如何备份并将本地组策略设置复制到另一台计算机
小组策略用于为Windows中的计算机和用户集中配置设置。如果将您的计算机连接到Windows域,则可以使用域GPO将所有计算机都带入Active Directory域中的所有计算机中。如果您没有域,则可以使用本地组策略来配置一台计算机的设置(本地组策略编辑器始于gpedit.msc命令)。在本文中,我们将向您展示如何备份本地GPO并将本地策略设置复制到其他计算机。
如果您的网络基于Windows WorkGroup,则可以使用本地组策略使所有计算机具有相同的配置。为此,您需要在参考计算机上配置本地GPO选项,然后将这些设置复制并应用于其他计算机。
内容:
如何手动将本地GPO设置复制到另一台计算机
Windows中没有内置工具可以备份,导入,导出或迁移本地GPO设置。 Windows存储本地组策略管理模板设置registry.pol在以下路径下的文件:
%SystemRoot%System32GroupPolicyMachine%SystemRoot%System32GroupPolicyUser
因此,在计算机之间传输本地组策略设置的最简单方法是手动复制和替换内容的内容%systemroot%System32GroupPolicy从一台计算机到另一台计算机的文件夹。您必须使用gpupdate /force更换GPO文件后,命令或重新启动窗口。
此GPO迁移方法的主要缺点:
- 未复制来自本地安全模板的设置;
- 如果目标计算机上的Windows版本不同,则应用GPO时可能会发生错误;
- 您不能将本地GPO设置导入域组策略管理控制台(
gpmc.msc); - 从自定义ADMX模板中迁移设置存在一些问题。
如何使用lgpo.exe备份(导出)本地组策略
微软建议使用lgpo.exe用于备份/导入/导出和转移本地组策略设置的控制台工具。 LGPO(当前版本3.0)包含在Microsoft安全合规性工具包中,可在此处下载https://www.microsoft.com/en-us/download/details.aspx?id=55319。
LGPO支持操作系统的所有现代版本,包括Windows 10/11和Windows Server 2022/2019/2016。
这LGPO.exe实用程序允许您:
- 将本地组策略设置导出到文件;
- 从备份导入GPO设置。允许导入registry.pol文件,安全模板和CSV文件;
- 将registry.pol文件转换为可读的LGPO格式,反之亦然。
备份(导出)当前本地GPO设置到指定的目录,请使用命令:
LGPO.exe /b c:toolsGPO
该工具将本地策略设置保存在带有随机GUID名称的文件夹中。该目录包含恢复本地GPO设置或将其应用于其他计算机所需的所有必要文件。
您还可以将本地GPO设置的目录导入到域组策略管理控制台中。或使用PowerShell GPO管理模块>将配置的策略上传到域:
Restore-GPO -Name Win10Settings -Path C:BackupGPO_W10
要方便地查看registry.pol文件中的当前GPO设置,请运行以下命令:
lgpo.exe /parse /m "C:ToolsGPO{985966AD-21BE-4A9C-BF7D-26C879982067}DomainSysvolGPOMachineregistry.pol" >>c:toolsgpolgpo.txt
目标lgpo.txt文本文件包含该策略应用的注册表设置。
您可以手动编辑lgpo.txt文件并将其转换为registry.pol格式:
LGPO.exe /r "C:toolsGPOlgpo.txt" /w "C:toolsGPOregistry_new.pol"
将新设置从consistry_new.pol文件应用于计算机当前本地策略:
LGPO.exe /m "C:toolsGPOregistry_new.pol"
导入(还原)Windows上的本地组策略设置
要从另一台计算机上的备份导入(还原)本地GPO设置,您必须将策略GUID目录复制到目标计算机并运行命令:
LGPO.exe /g C:toolsGPO
一些管理员使用多个本地组策略(MLGPO)仅将单个本地GPO设置应用于特定组(非管理员或管理员)或用户。默认情况下,lgpo.exe不会导出MLGPO设置。
我们要看的下一件事是如何将MLGPO设置为特定用户或组复制到其他计算机。
当管理员为特定本地用户或组创建新的本地MGPO策略时(mmc- >添加/删除snap -in-->组策略对象编辑器 - >选择本地组或用户将策略应用于:用户,管理员,非管理员,特定用户等),在该GPO中创建一个单独的文件夹C:WindowsSystem32GroupPolicyUsers目录。用户或组的SID用作目录名称。例如:
S-1-5-32-545- 非管理员(内置工具)S-1-5-32-544- 管理员(内置分配器)
例如,您可能需要将非管理员的本地GPO设置复制到另一台计算机。
- 从参考计算机中,从目录中复制本地策略设置文件,并带有所需的SID(
C:WindowsSystem32GroupPolicyUsersS-1-5-32-545UserRegistry.pol); - 要在目标计算机上应用registry.pol文件,以适用于非管理员,请运行以下命令:
lgpo /un "C:tmpRegistry.pol"
Import MLGPO settings for Non-Administrators from registry.pol
要从registry.pol文件导入GPO设置并将其应用于管理员组,请使用命令:
lgpo /ua "C:tmpRegistry.pol"
从文件中导入GPO设置,并将策略应用于特定的本地用户:
lgpo /u:username "C:tmpRegistry.pol"
使用LocalGPO导出和导入组策略设置
以前,当地的脚本(Microsoft Security Compliance Manager 3.0的一部分)用于导入和导出本地组策略配置。 LocalGPO工具使您可以快速创建本地GPO的备份副本,并从中恢复本地策略设置。它还具有创建GPOPACK可执行文件的有趣选项,该文件允许您单击一键迁移(导入)本地GPO设置到另一台计算机。
参见:将本地组策略应用于Windows 10中的非管理员或特定用户
重要的。现代Windows 10/11和Windows Server 2016/2019/2022现在不再弃用LocalGPO工具,并且不再正式支持。
要将本地组策略设置导出到C:GPOBACKUP目录(必须提前创建目标文件夹):
cscript LocalGPO.wsf /Path:C:GPObackup /Export
LocalGPO实用程序允许您将特定组或用户的MLGPO设置导出到单独的目录。使用的语法:
cscript LocalGPO.wsf /Path:C:GPObackup /Export /MLGPO:Administrators
或者
cscript LocalGPO.wsf /Path:C:GPObackup /Export /MLGPO:LocalUserName
从以前的备份副本中恢复本地组策略设置:
cscript LocalGPO.wsf /Path:C:GPObackup{B6542366-C0C0-4948-AF39-B17F0B1F0E9A}
LocalGPO允许您将所有当前本地组策略设置重置为默认值:
cscript LocalGPO.wsf /Restore
提示。在上一篇文章中,我们展示了如何手动重置您的本地组策略设置。
