Перенос gpo на другой компьютер

Обновлено: 03.07.2024

Чтобы создать GPO для устройств пограничной зоны, сделайте копию основного GPO изоляции домена, а затем измените параметры для запроса, а не обязательной проверки подлинности. Чтобы сделать копию GPO, используйте оснастку пользователей Active Directory и устройств MMC.

Учетные данные администратора

Чтобы завершить эту процедуру, необходимо быть членом группы администраторов домена или иным образом делегировать разрешения на создание новых GPOs.

Чтобы сделать копию GPO

Откройте консоль управления групповой политикой.

В области навигации разместите Forest: YourForestName , разместите домены, разместите YourDomainNameи нажмите кнопку Объекты групповой политики. ****

В области сведений щелкните правой кнопкой мыши GPO, который необходимо скопировать, а затем нажмите кнопку Скопируйте.

В области навигации щелкните правой кнопкой мыши объекты групповой политики и нажмите кнопку Вайта.

В диалоговом окне Copy GPO нажмите кнопку Сохранитьсуществующие разрешения, а затем нажмите кнопку ОК. При выборе этого параметра сохраняются все группы исключений, которым отказано в разрешении на чтение и применение GPO, что упростает изменение.

После завершения копирования нажмите кнопку ОК. Новое имя GPO называется Copy of original GPO name.

Чтобы переименовать его, щелкните правой кнопкой мыши GPO и нажмите кнопку Переименовать.

Введите новое имя и нажмите кнопку ENTER.

Чтобы применить политику к правильной группе устройств, необходимо изменить фильтры безопасности. Для этого щелкните вкладку Область **** и в разделе Фильтрация безопасности выберите группу, которая предоставляет разрешения всем членам изолированного домена, например CG_DOMISO_IsolatedDomain, а затем нажмите кнопку Удалить.

В диалоговом окне подтверждения нажмите кнопку ОК.

Щелкните Добавить.

Введите имя группы, которая содержит членов пограничной зоны, например CG_DOMISO_Boundary, а затем нажмите кнопку ОК.

При необходимости измените фильтр WMI на подходящий для нового GPO. Например, если исходный GPO для клиентских устройств с Windows 10 или Windows 11, а новая зона границ — для устройств с Windows Server 2016, выберите фильтр WMI, который позволяет только этим устройствам читать и применять GPO.

date

25.11.2020

directory

Групповые политики

comments

комментариев 28

Групповые политики являются мощным и одновременно гибким инструментом настройки параметров ОС Windows и являются незаменимым средством приведения компьютеров к единой конфигурации в рамках домена Active Directory. При отсутствии домена настраивать параметры отдельного компьютера можно через локальную групповую политику. Существенный недостаток локальных политик – отсутствие средств их распространения между компьютерами рабочей группы. В результате, администратору приходится на каждом компьютере вручную настраивать параметры групповой политики. При большом количестве компьютеров и настраиваемых параметров это не очень-то продуктивно…

Оптимально было бы создать в рамках рабочей группы некий эталонный компьютер с необходимыми настройками локальных групповых политик и параметров безопасности, которые должны быть применены на всех компьютерах, и при внесении изменений распространять эту конфигурацию на остальные ПК.

В этой статье мы рассмотрим, как раз такой сценарий, позволявший просто и быстро перенести настройки локальной групповой политики с одного настроенного компьютера на другие ПК в рабочей группе.

Проблемы переноса локальных Group Policy между компьютерами

Самый простой способов перенести настройки локальной GP (групповой политики) между компьютерами – вручную скопировать содержимое папки %systemroot%\System32\GroupPolicy (по умолчанию этот каталог скрыт) с одного компьютера на другой с заменой содержимого (после замены файлов нужно вручную запустить обновление политик командой gpupdate /force или перезагрузить ПК).

Этот метод довольно прост, но имеет несколько существенных недостатков:

Гораздо проще и удобнее для импорта/экспорта локальной групповой политики, созданной с помощью gpedit.msc, воспользоваться утилитой LocalGPO, входящей в состав пакета Microsoft Security Compliance Manager 3.0. Утилита LocalGPO позволяет не только быстро создать резервную копию локальной GPO и восстанавливать из нее настройки локальных политик, но и создавать исполняемый файл GPOPack, позволяющий одним щелчком перенести (импортировать) настройки локальной GPO на другую машину.

Важно. Утилита LocalGPO на данный момент является устаревшей и официально не поддерживается Microsoft. Кроме того, она не работает в современных Windows 10 и Windows Server 2016 (хотя это можно обойти с помощью модификации скрипта, описанного ниже). Для экспорта, импорта и переноса настроек локальных GPO между компьютерами рекомендуется использовать утилиту LGPO.exe (примеры использования данной утилиты вы можете найти в последнем разделе этой статьи).

Утилита LocalGPO – позволяет экспортировать все настройки локальных политик, в том числе из разделов INF, POL, Audit, параметры политики брандмауэра Windows и т.п. LocalGPO идеально подходит для использования в организациях без доменов для распространения шаблона групповой политики между компьютерами. Также она крайне полезна при использовании в связке с системой развертывания Microsoft Deployment Toolkit (MDT) или SCCM.

Установка утилиты LocalGPO

Чтобы установить утилиту LocalGPO на локальном компьютере (в нашем случае он будет выступать в качестве донора настроек локальной групповой политики):

Примечание. Мы не хотим целиком устанавливать пакет Security Compliance Manager, т.к. он достаточно тяжелый и содержит множество компонентов, которые нам не требуются для этой задачи (SQL Server Express, Microsoft Visual C++ 2010 Redistributable и т.д.).

Разберемся, как пользоваться утилитой LocalGPO. Управление возможно только через интерфейс консоли (командной строки). Откроем командную строку с правами администратора и перейдем в каталог C:\Program Files\LocalGPO (на 32 битных системах) или C:\Program Files (x86)\LocalGPO (на 64-битных).

Примечание. Если вы попытаетесь использовать утилиту LocalGPO для переноса локальных групповых политик в Windows 10, вы получите ошибку.

LocalGPO Tool
---------------------------
This tool only runs on Windows XP Professional, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, or Windows Server 2012

LocalGPO.wsf не поддерживается в Windows 10

Дело в том, что утилита LocalGPO поддерживает только для Windows 8 (Windows Server 2012) и ниже. В более новых версиях Windows (Windows 8.1, Windows 10) рекомендуется использовать новую утилиту LGPO.exe (см. последний раздел в этой статье). Хотя технически, старый скрипт LocalGPO.wsf поддерживает и Windows 10 / 8.1 и Windows Server 2016 / 2012 R2. Чтобы LocalGPO.wsf работал с новыми ОС, достаточно изменить в файле код функции проверки версии ОС (ChkOSVersion), добавив следующие строки:

ChkOSVersion функция проверки версии ОС в скрипте LLocalGPO.wsf ocalGPO.wsf

If(Left(strOpVer,4) = "10.0") and (strProductType = "1") then
strOS = "Win10"
ElseIf(Left(strOpVer,3) = "6.3") and (strProductType <> "1") then
strOS = "WS16"
ElseIf(Left(strOpVer,3) = "6.3") and (strProductType = "1") then
strOS = "Win81"

Экспорт локальной политики

Для экспорта настроек локальной групповой политики в каталог C:\GPObackup (каталог нужно создать предварительно), выполним команду
cscript LocalGPO.wsf /Path:C:\GPObackup /Export

LocalGPO - экспорт локальных политик

В целевом каталоге появится новая папка с неким GPO GUID, в которой будут содержаться все параметры локальной политики компьютера.

Резервная копия локальной групповой политики

По сути мы создали резервную копию локальной GPO, к которой мы всегда сможем откатиться.

cscript LocalGPO.wsf /Path:C:\GPObackup /Export /MLGPO:Administrators

cscript LocalGPO.wsf /Path:C:\GPObackup /Export /MLGPO:LocalUserName

Импорт настроек локальной GPO

Чтобы восстановить настройки Local Group Policy из полученной копии, выполним импорт следующей командой, указав в качестве аргумента путь к каталогу.
cscript LocalGPO.wsf /Path:C:\GPObackup\

Импорт настроек Local Group Policy

GPOPack – формат переноса локальной групповой политики на другие компьютеры

Формат переноса настроек GPO между компьютерами gpopack

Утилита LocalGPO предполагает возможность создания пакета GPOPack, предназначенного для удобного импорта настроек локальной GPO на другие компьютеры (не требует предварительной установки LocalGPO на целевой компьютер). Этот же формат удобен для использования в задачах развертывания ОС через Microsoft Deployment Toolkit (MDT) или Microsoft System Center Configuration Manager (SCCM). Для создания переносимого пакета, выполним:
cscript LocalGPO.wsf /Path:C:\GPObackup /Export /GPOPack
Скопируем полученную папку на другой компьютер (на котором планируется применить эти политики), откроем командную строку с правами администратора и запустим файл GPOPack.wsf.

Applied GPOPack to Local Policy

Полный список аргументов утилиты LocalGPO.wsf доступен с ключом /?:

LocalGPO help

Сброс настроек локальной политики на значения по-умолчанию

С помощью LocalGPO можно сбросить все текущие настройки локальной политики на стандартные, для этого выполним команду:

cscript LocalGPO.wsf /Restore

Совет. Ранее мы уже показывали как можно вручную сбросить конфигурацию локальной групповой политики.

Импорт локальной групповой политики в домен AD

Формат импорта политик LocalGPO предполагает возможность импорта настроек локальной групповой политики в доменную GPO. Эта операция может быть выполнена через функционал резвого копирования и восстановления доменных GPO в консоли управления GPMC (Group Policy Management Console). Пример использования подобной техники есть в статье Перенос GPO между доменами.

Утилита LGPO.exe для управления локальными GPO

Утилита консольной строки LGPO.exe предназначена для автоматизации управления локальными групповыми политиками и предназначена заменить более не поддерживаемую утилиту LocalGPO. Поэтому в настоящий момент рекомендуется использовать только ее. LGPO.exe входит в состав Security Compliance Manager (SCM).

утилита LGPO.exe для автоматизации управления локальными групповыми политиками

Утилита LGPO.exe обладает следующими возможностями:

  • Возможность экспорта настроек локальной групповой политик.
  • Импортировать настройки GPO из резервной копии. Поддерживается импорт в том числе файлов registry.pol, шаблонов безопасности, CSV файлов.
  • Преобразование файлов registry.pol в удобочитаемый формат LGPO и наоборот.

Чтобы экспортировать текущие настройки локальной GPO в указанный каталог, выполните команду:

LGPO.exe /b c:\tools\GPO

lgpo.exe экспорт настроек локальной GPO в каталог

Утилита выгрузит все текущие настройки политик в папку с GUID групповой политики.

Чтобы представить текущие настройки GPO в файле резервной копии из файла registry.pol в удобном для анализа текстовом виде, выполните команду:

lgpo.exe /parse /m "C:\tools\GPO\\DomainSysvol\GPO\Machine\registry.pol">>c:\tools\gpo\lgpo.txt

Откройте текстовый файл lgpo.txt. Как вы видите, в нем содержаться все настройки реестра, которые применяются данной политикой.

lgpo.txt

Внесите необходимые изменения в файл с параметрами реестра lgpo.txt и сконвертируйте его в формат registry.pol:

LGPO.exe /r "C:\tools\GPO\lgpo.txt" /w "C:\tools\GPO\registry_new.pol​"

Теперь импортируйте новые настройки политик из pol файла:

LGPO.exe /m "C:\tools\GPO\registry_new.pol​"

LGPO.exe импорт тектсового файла registry.pol

Чтобы импортировать (перенести) настройки локальной GPO с этого компьютера на другой, скопируйте каталог с политикой на целевой компьютере и выполните команду:

LGPO.exe /g C:\tools\GPO\

импорт настроек локальных политик через lgpo.exe

Версия LGPO v2.2 поддерживает корректную работу с множественной локальной политикой (MLGPO), которая позволяет настраивать отдельные политики для разных пользователей (доступно в Windows Vista и выше).

Постановка задачи

Для каких целей вам может потребоваться с клонировать один объект групповой политики в вашем домене:

  • Вы хотите иметь копию оригинальной политики перед внесением значимых изменений, эффект от которых вам сложно просчитать и оценить, и чтобы можно было всегда отказаться от новой GPO и вернуть старую, рабочую.
  • В вашей GPO много настроек, которые вы хотели бы сохранить для новой групповой политики, но с небольшими изменениями. Чтобы не делать рутинную, дополнительную работу вы можете быстро и удобно скопировать нужную GPO, для дальнейшей работы с ней.

Методы клонирования объекта групповой политики

Существует несколько методов, позволяющих вам произвести полное копирование GPO:

  1. Через оснастку управление групповыми политиками GPMC
  2. Это использование моего любимого сильного языка, PowerShell

Открываем оснастку "Управление групповой политикой (gpmc.msc)". Находим нужный объект GPO который вам необходимо скопировать. В моем примере, это будет "Управление UIPI".

Просмотр политики в GPMC

Посмотрим на вкладке "Параметры", что делает данная политика. Я ее использовал для отключения User Interface Privilege Isolation.

Копирование gpo

Далее переходим в контейнер "Объекты групповой политики", который содержит все ваши объекты GPO присутствующие в данном домене Active Directory. Щелкаем правым кликом по нужному и из контекстного меню выбираем пункт "Копировать".

копирование групповой политики

Вот вы нажали скопировать и ничего не произошло, на мой взгляд, что Microsoft сделала очень не очевидно, что нужно делать дальше, особенно если вы делаете, это впервые. Парадокс заключается в том, что скопировать объект GPO вы можете только в контейнере "Объекты групповой политики" и нигде более. Вот почему бы сразу сюда не вставлять? Чтобы вы могли теперь создать скопированный объект GPO, кликните правым кликом по данному контейнеру и из контекстного меню выберите "Вставить".

Вставка групповой политики

У вас появится дополнительное окно с выбором действий "Копирование объекта групповой политики":

  • Использовать разрешения по умолчанию для новых объектов групповой политики
  • Сохранить существующие разрешения

Сохранение разрешений при копировании объекта GPO

Если хотите создать полный клон, то выбираем второй пункт, если хотите под шаманить список доступа к объекту, то выбираем первый вариант. Далее появится окно со статусом и прогрессом копирования, дожидаемся успешного окончания операции.

как скопировать объект групповой политики

В итоге у вас появится новый объект GPO. у которого в начале названия будет слово "Копия". Обратите внимание, что все разрешения я сохранил, это видно по списку в фильтре безопасности и примененному WMI фильтру. Так же стоит отметить, что у новой политики, будет новый GUID, можете проверить на вкладке "Сведения".

Копирование gpo

Для вашего удобства советую вам переименовать новую политику, через клавишу F2 или контекстное меню.

Переименовывание объекта GPO

Теперь посмотрим на сколько удобнее, это сделать через PowerShell. Для начала откройте PowerShell от имени администратора. Первым делом я вам предлагаю посмотреть вашу текущую политику, для этого есть командлет Get-GPO и вот такая конструкция.

как скопировать gpo через powershell

Copy-GPO -SourceName "Управление UIPI" -TargetName "Copy_Управление UIPI" -CopyAcl
  • SourceName - Имя копируемой политики
  • TargetName - Имя новой политики
  • -CopyAcl - Копирует все разрешения на политику GPO.

Копирование объекта групповой политики через powershell

Теперь сделав просмотр новой политики, я вижу, что были скопированы права и WMI фильтры.

Так же вы можете проводить копирование между доменами. Между исходным доменом и доменом назначения должны существовать доверительные отношения.

Copy-GPO -SourceName "Gpo01" -SourceDomain "root.pyatilistnik.org" TargetName "Gpo01" -TargetDomain "sales.pyatilistnik.org"

Для переименовывания политики, через PowerShell можно применить командлет Rename-GPO.


Если вы собираетесь применять одинаковые параметры групповой политики на нескольких компьютерах, вы можете использовать функцию экспорта и импорта. В этой статье мы покажем вам, как импортировать или экспортировать параметры групповой политики в Windows 10.

Вместо того, чтобы открывать редактор локальных групповых политик на каждом компьютере и вносить изменения вручную, вы можете использовать эту процедуру. Это сэкономит вам много драгоценного времени, и вам не нужно будет просматривать все параметры, чтобы найти все настройки, которые вы хотите настроить. Тем не менее проблема возникает, когда вы пытаетесь найти прямой вариант для резервного копирования редактора групповой политики. В отличие от редактора реестра, в редакторе групповой политики нет опции импорта/экспорта. Вот где это руководство может вам помочь.


Чтобы выполнить резервное копирование/восстановление или импорт/экспорт параметров групповой политики в Windows 10, выполните следующие действия.

  • Откройте проводник на вашем исходном компьютере.
  • Откройте подпапку GroupPolicy в папке System32.
  • Скопируйте весь контент и переместите его на целевой компьютер.
  • Вставьте все содержимое в ту же папку на целевом компьютере.
  • Принудительно обновите групповую политику или перезагрузите компьютер.
  • Давайте углубимся в шаги, чтобы узнать больше.

Прежде всего, вы должны знать, что ваш компьютер Windows сохраняет все изменения групповой политики в файлы и сохраняет их на жестком диске. Вам нужно переместить эти файлы.

Чтобы начать, откройте проводник на исходном компьютере и перейдите в следующую папку:

Кроме того, вы можете открыть приглашение «Выполнить», нажав Win + R , вставить этот путь и нажать кнопку «Ввод»:

Вам может потребоваться показать скрытые файлы и папки, чтобы увидеть подпапку GroupPolicy в папке System32.

Здесь вы найдете папки с именами «Machine», «User» , «gpt.ini» и т.д. На стандартном компьютере отображаются только эти две папки, но их может быть и больше, если вы выполнили какие-либо специальные настройки для конкретного пользователя.

Вам нужно сделать копию этих папок и всего содержимого. Затем переместите их на целевой компьютер, откройте ту же папку GroupPolicy и вставьте их соответственно. Если вы получаете приглашение «Отказано в доступе» , вам необходимо установить флажок «Сделать это для всех текущих элементов» и нажать кнопку «Продолжить».

Теперь вам нужно принудительно обновить групповую политику или перезагрузить компьютер.

Теперь вы должны найти все изменения групповой политики в вашей целевой системе.

Читайте также: