Використовуючи локальну групову політику, ви можете налаштувати параметри Windows та користувача на комп’ютерах у невеликих робочих групах мереж (без Admain AD). Раніше одна з важливих недоліків місцевої групової політики вважалася неможливістю застосовувати політику лише до певного місцевого користувача/групи. Т.Е. Якщо ви заборонили використовувати USB -пристрої через локальний GPO, цей параметр використовується не лише для користувачів, але і для комп'ютерних адміністраторів.

Починаючи з Vista, у Windows з'явився функціональність Кілька місцевих групових політик (Mlgpo - Кілька об'єктів локальної групової політики), що дозволяє використовувати різні локальні параметри GPO для різних локальних користувачів або груп. У цій статті ми покажемо, як використовувати місцевий GPO для одного місцевого користувача за допомогою MLGPO, або лише користувачів, які не включені до групи місцевих адміністраторів.

MLGPO може бути призначений:

• Будь -який місцевий користувач (за його іменем);
• Усі користувачі, що входять до адміністраторів місцевої групи;
• Всі користувачі, які не Введіть місцевих адміністраторів.

Редактор місцевої групової політики знаходиться лише в редакціях Pro, Enterprise та Education. У Windows 10 Home Gpedit.MSC доведеться доставити надзвичайними засобами.

Для створення нової локальної політики для користувача чи групи:

1. Клацати Win + r -> MMC ;
2. Натисніть Файл -> Додати/видалити SNAP -IN;
3. У списку натисніть на доступне обладнання, виберіть Редактор об'єктів групової політики та натисніть Додавання;
4. Натисніть кнопку Переглядати, Перейдіть на вкладку Користувачі. Тут ви можете вибрати локальну групу або користувача, до якого потрібно застосувати політику. Якщо окремий локальний GPO вже призначений користувачеві або групі, у стовпці Існує об'єкт групової політики Це буде вказано Так. Щоб застосувати політику до всіх місцевих користувачів, крім адміністраторів, виберіть Недоброзичливці;
5. Переконайтесь, що місцевий комп'ютер \ Політика недигмайстраторів була обрана та натисніть кнопку Закінчувати.
6. Редактор GPO з налаштуваннями користувача відкриється перед вами. Тут ви можете налаштувати необхідні параметри локальної політики, які слід застосувати до звичайних користувачів комп'ютера;
7. Налаштуйте необхідні параметри локальної політики користувачів. Ви можете використовувати MLGPO, щоб зробити обмеження для користувачів, які вже слід використовувати, перш ніж додавати комп'ютер до домену. Наприклад, ви можете обмежити доступ до мережі під локальними обліковими записами.

Якщо вам потрібно видалити місцеву політику для цієї групи користувачів, вам потрібно на вкладці Користувачі Клацніть на потрібну групу та виберіть пункт меню Видалити об'єкт групової політики.

Основним недоліком місцевих політиків є труднощі передати їх між комп’ютерами (на відміну від GPO домену, які зберігаються на контролера домену домену та відредаговані центрально). Ви можете використовувати офіційну утиліту Microsoft для передачі локальних налаштувань MLGPO - LGPO.Екзе (Входить до менеджера з питань дотримання безпеки, як, наприклад, базовий рівень безпеки Microsoft).

Для експорту всіх налаштованих локальних політик у файли використовується команда:

Lgpo /b c: \ gpobackup \

Щоб імпортувати налаштування локальної політики на іншому комп’ютері, вам потрібно вказати його GUID (ви можете знайти політику не-Dministrators Group-1-5-32-545 у отриманих файлах файлів). Команда використовується для використання налаштувань:

Lgpo /parse /u c: \ gpobackup \ guid \ domainsysvol \ gpo \ user \ реєстр.Пол

Залишається оновити налаштування політики командою:

Gpupdate /force

Або ви можете використовувати сценарій для експорту/імпорту певного MLGPO Localgpo.WSF :

Експорт:

Cscript localgpo.WSF /PATH: C: \ gpobackup /експорт /mlgpo: non -administrators

Імпорт:

Cscript localgpo.Wsf /path: c: \ gpobackup \ guid

[/Попередження]