За допомогою локальної групової політики ви можете налаштовувати параметри Windows і користувача на комп’ютерах в невеликих робочих групах мережах (без домена AD). Раніше одним з важливих недоліків локальної групової політики вважалася неможливість застосувати політику тільки до певного локальному користувачеві / групі. Тобто якщо ви через локальну GPO заборонили використання USB пристроїв, ця настройка застосовується не тільки для користувачів, але і для адміністраторів комп’ютера.

Починаючи з Vista, в Windows з’явився функціонал множинних локальних групових політик (MLGPO – Multiple Local Group Policy Objects), що дозволяє застосувати різні настройки локальних GPO для різних локальних користувачів або груп. У цій статті, ми покажемо, як за допомогою MLGPO застосувати локальну GPO до одного локальному користувачеві, або тільки користувачам, що не входять в групу локальних адміністраторів.

MLGPO можна призначити на:

  • Будь-якого локального користувача (по його імені);
  • Всіх користувачів, що входять в локальну групу Administrators;
  • Всіх користувачів, які НЕ входять в локальні адміністратори.

Щоб створити нову локальну політику для користувача або групи:

  1. натисніть Win + R -> mmc; запустити mmc консоль
  2. Виберіть File -> Add / Remove Snap-in; Додати / видалити оснастку
  3. У списку натисніть доступних оснасток виберіть Редактор об’єктів групової політики та натисніть Додати; консоль Редактор об'єктів групової політики
  4. Натисніть кнопку Перегляньте, Перейдіть на вкладку Користувачі. Тут ви можете вибрати локальну групу або користувача, до якого потрібно застосувати політику. Якщо на користувача або групу вже призначена окрема локальна GPO, в стовпці Об’єкт групової політики існує буде вказано Так. Щоб застосувати політику до всіх локальних користувачів, крім адміністраторів, виберіть Неадміністратори; множинні локальні політики - mlgpo
  5. Переконайтеся, що обрана політика Local Computer Non-Administrators і натисніть кнопку Готово. Локальний комп’ютер  неадміністратори політика
  6. Перед вами відкриється консоль редактора GPO з настройками користувача. Тут ви можете налаштувати потрібні параметри локальної політики, які повинні застосовуватися до звичайних користувачів комп’ютера; настройка параметрів локальної групової політики для користувачів, що не входять в групу адміністраторів
  7. Налаштуйте потрібні параметри політики локальних користувачів.

Якщо потрібно видалити локальну політику для даної групи користувачів, потрібно на вкладці Користувачі клацнути по потрібній групі і вибрати пункт меню Видалити об’єкт групової політики.

видалити локальну політику

Основний недолік локальних політик – складність їх перенесення між комп’ютерами (на відміну від доменних GPO, які зберігаються на контролерах домену AD і редагуються централізовано). Для перенесення налаштувань локальних MLGPO можна використовувати офіційну утиліту Microsoft – lgpo.exe (Входить до складу Security Compliance Manager, як і Microsoft Security Baseline).

lgpo /b c:GPObackup

Для імпорту налаштувань локальної політики на іншому комп’ютері, потрібно вказати її GUID (можна в отриманих файлах знайти папку політики по SIDу групи Non-Administrators – S-1-5-32-545). Для застосування налаштувань використовується команда:

lgpo /parse /u C:GPObackup{GUID}DomainSysvolGPOUserregistry.pol

Залишилося відновити настройки політик командою:

gpupdate /force

Або можна для експорту / імпорту конкретної MLGPO можна використовувати скрипт LocalGPO.wsf:

експорт:

cscript LocalGPO.wsf /Path:C:GPObackup /Export /MLGPO:Non-Administrators

імпорт:

cscript LocalGPO.wsf /Path:C:GPObackup{GUID}

[/alert]

Leave a Reply

Your email address will not be published. Required fields are marked *