Импорт локальной политики безопасности windows 7

Групповые политики являются мощным и одновременно гибким инструментом настройки параметров ОС Windows и являются незаменимым средством приведения компьютеров к единой конфигурации в рамках домена Active Directory. При отсутствии домена настраивать параметры отдельного компьютера можно через локальную групповую политику. Существенный недостаток локальных политик – отсутствие средств их распространения между компьютерами рабочей группы. В результате, администратору приходится на каждом компьютере вручную настраивать параметры групповой политики. При большом количестве компьютеров и настраиваемых параметров это не очень-то продуктивно…

Оптимально было бы создать в рамках рабочей группы некий эталонный компьютер с необходимыми настройками локальных групповых политик и параметров безопасности, которые должны быть применены на всех компьютерах, и при внесении изменений распространять эту конфигурацию на остальные ПК.

В этой статье мы рассмотрим, как раз такой сценарий, позволявший просто и быстро перенести настройки локальной групповой политики с одного настроенного компьютера на другие ПК в рабочей группе.

Проблемы переноса локальных Group Policy между компьютерами

Самый простой способов перенести настройки локальной GP (групповой политики) между компьютерами – вручную скопировать содержимое папки %systemroot%System32GroupPolicy (по умолчанию этот каталог скрыт) с одного компьютера на другой с заменой содержимого (после замены файлов нужно вручную запустить обновление политик командой gpupdate /force или перезагрузить ПК).

Этот метод довольно прост, но имеет несколько существенных недостатков:

1. Так не переносятся локальные параметры безопасности (Security Templates);
2. Есть вероятность неработоспособности GPO, если версия или сборка ОС на компьютере-доноре и получателе сильно отличаются;
3. Невозможность создания на базе локальной политики доменной GPO (импорта политики в домен Active Directory для дальнейшего использования);
4. При копировании политики придется вручную править любые упоминания имени локального компьютера в настройках;
5. Есть ряд проблем с переносом нестандартных admx шаблонов.

Гораздо проще и удобнее для импорта/экспорта локальной групповой политики, созданной с помощью gpedit.msc, воспользоваться утилитой LocalGPO, входящей в состав пакета Microsoft Security Compliance Manager 3.0. Утилита LocalGPO позволяет не только быстро создать резервную копию локальной GPO и восстанавливать из нее настройки локальных политик, но и создавать исполняемый файл GPOPack, позволяющий одним щелчком перенести (импортировать) настройки локальной GPO на другую машину.

Утилита LocalGPO – позволяет экспортировать все настройки локальных политик, в том числе из разделов INF, POL, Audit, параметры политики брандмауэра Windows и т.п. LocalGPO идеально подходит для использования в организациях без доменов для распространения шаблона групповой политики между компьютерами. Также она крайне полезна при использовании в связке с системой развертывания Microsoft Deployment Toolkit (MDT) или SCCM.

Установка утилиты LocalGPO

Чтобы установить утилиту LocalGPO на локальном компьютере (в нашем случае он будет выступать в качестве донора настроек локальной групповой политики):

1. Скачайте пакет Security Compliance Manager (SCM) 3.0 (https://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx
2. Откройте скачанный файл Security_Compliance_Manager_Setup.exe как архив с помощью любого архиватора (7Zip или WinRar).

   Примечание. Мы не хотим целиком устанавливать пакет Security Compliance Manager, т.к. он достаточно тяжелый и содержит множество компонентов, которые нам не требуются для этой задачи (SQL Server Express, Microsoft Visual C++ 2010 Redistributable и т.д.).

   

3. Извлеките из архива файл data.cab, который в свою очередь распакуйте (например в каталог C:Distrdata).
4. Найдите в полученном каталоге файл GPOMSI и переименуйте его в GPO.msi.
5. Запустите установку GPO.msi.

Разберемся, как пользоваться утилитой LocalGPO. Управление возможно только через интерфейс консоли (командной строки). Откроем командную строку с правами администратора и перейдем в каталог C:Program FilesLocalGPO (на 32 битных системах) или C:Program Files (x86)LocalGPO (на 64-битных).

Экспорт локальной политики

Для экспорта настроек локальной групповой политики в каталог C:GPObackup (каталог нужно создать предварительно), выполним команду
cscript LocalGPO.wsf /Path:C:GPObackup /Export

В целевом каталоге появится новая папка с неким GPO GUID, в которой будут содержаться все параметры локальной политики компьютера.

По сути мы создали резервную копию локальной GPO, к которой мы всегда сможем откатиться.

Утилита LocalGPO.wsf поддерживает работу с множественной локальной групповой политикой (Multiple Local GPO — MLGPO). Чтобы выгрузить локальную политику, привязанную к конкретной локальной группе или пользователю, нужно использовать следующий формат использования LocalGPO.wsf.

cscript LocalGPO.wsf /Path:C:GPObackup /Export /MLGPO:Administrators

Или

cscript LocalGPO.wsf /Path:C:GPObackup /Export /MLGPO:LocalUserName

Импорт настроек локальной GPO

Чтобы восстановить настройки Local Group Policy из полученной копии, выполним импорт следующей командой, указав в качестве аргумента путь к каталогу.
cscript LocalGPO.wsf /Path:C:GPObackup{B6542366-C0C0-4948-AF39-B17F0B1F0E9A}

GPOPack – формат переноса локальной групповой политики на другие компьютеры

Утилита LocalGPO предполагает возможность создания пакета GPOPack, предназначенного для удобного импорта настроек локальной GPO на другие компьютеры (не требует предварительной установки LocalGPO на целевой компьютер). Этот же формат удобен для использования в задачах развертывания ОС через Microsoft Deployment Toolkit (MDT) или Microsoft System Center Configuration Manager (SCCM). Для создания переносимого пакета, выполним:
cscript LocalGPO.wsf /Path:C:GPObackup /Export /GPOPack

Скопируем полученную папку на другой компьютер (на котором планируется применить эти политики), откроем командную строку с правами администратора и запустим файл GPOPack.wsf.

Сообщение «Applied GPOPack to Local Policy» говорит о том, что политики перенесены успешно. Осталось перезагрузить систему и проверить, что на этот компьютер теперь действуют такие же настройки локальной политики.

Полный список аргументов утилиты LocalGPO.wsf доступен с ключом /?:

cscript LocalGPO.wsf /?

Сброс настроек локальной политики на значения по-умолчанию

С помощью LocalGPO можно сбросить все текущие настройки локальной политики на стандартные, для этого выполним команду:

cscript LocalGPO.wsf /Restore

Импорт локальной групповой политики в домен AD

Формат импорта политик LocalGPO предполагает возможность импорта настроек локальной групповой политики в доменную GPO. Эта операция может быть выполнена через функционал резвого копирования и восстановления доменных GPO в консоли управления GPMC (Group Policy Management Console). Пример использования подобной техники есть в статье Перенос GPO между доменами.

Утилита LGPO.exe для управления локальными GPO

Утилита консольной строки LGPO.exe предназначена для автоматизации управления локальными групповыми политиками и предназначена заменить более не поддерживаемую утилиту LocalGPO. Поэтому в настоящий момент рекомендуется использовать только ее. LGPO.exe входит в состав Security Compliance Manager (SCM).

Скачать LGPO.exe можно по ссылке https://www.microsoft.com/en-us/download/details.aspx?id=55319.

Утилита LGPO.exe обладает следующими возможностями:

• Возможность экспорта настроек локальной групповой политик.
• Импортировать настройки GPO из резервной копии. Поддерживается импорт в том числе файлов registry.pol, шаблонов безопасности, CSV файлов.
• Преобразование файлов registry.pol в удобочитаемый формат LGPO и наоборот.

Чтобы экспортировать текущие настройки локальной GPO в указанный каталог, выполните команду:

LGPO.exe /b c:toolsGPO

Утилита выгрузит все текущие настройки политик в папку с GUID групповой политики.

Чтобы представить текущие настройки GPO в файле резервной копии из файла registry.pol в удобном для анализа текстовом виде, выполните команду:

lgpo.exe /parse /m "C:toolsGPO{6DFFBBF4-91A3-4235-925B-FD108878E8F}DomainSysvolGPOMachineregistry.pol">>c:toolsgpolgpo.txt

Откройте текстовый файл lgpo.txt. Как вы видите, в нем содержаться все настройки реестра, которые применяются данной политикой.

Внесите необходимые изменения в файл с параметрами реестра lgpo.txt и сконвертируйте его в формат registry.pol:

LGPO.exe /r "C:toolsGPOlgpo.txt" /w "C:toolsGPOregistry_new.pol​"

Теперь импортируйте новые настройки политик из pol файла:

LGPO.exe /m "C:toolsGPOregistry_new.pol​"

Чтобы импортировать (перенести) настройки локальной GPO с этого компьютера на другой, скопируйте каталог с политикой на целевой компьютере и выполните команду:

LGPO.exe /g C:toolsGPO

Версия LGPO v2.2 поддерживает корректную работу с множественной локальной политикой (MLGPO), которая позволяет настраивать отдельные политики для разных пользователей (доступно в Windows Vista и выше).

Итак, как вы видите, пользоваться утилитой LGPO.exe для создания бэкапа локальных политик и переноса настроек GPO между компьютерами совсем несложно.

Помогла ли Вам статья?

Локальная политика безопасности (Local Security Policy) — мощный инструмент, который позволяет контролировать различные параметры безопасности на вашем компьютере в операционной системе Windows. Локальная политика безопасности Windows позволяет ограничить использование некоторых функций или разрешить доступ к ним только определенным пользователям.

Вы можете использовать функции локальной политики безопасности для повышения безопасности своего локального компьютера с операционной системой Windows. Оснастка «Локальная политика безопасности» позволяет пользователю управлять политиками паролей, учетных записей, прав пользователей, аудита, управления приложениями и так далее.

Перед пользователем встает вопрос, где находится локальная политика безопасности, чтобы воспользоваться функциями этого инструмента. Существует несколько способов для получения доступа к политикам безопасности локального компьютера.

Вы можете столкнуться с тем, что локальная политика безопасности отсутствует на вашем компьютере. В этом случае непонятно, где локальные политики безопасности находятся на данном ПК.

Необходимо учитывать, что локальная политика безопасности используется только в старших версиях операционной системы Windows: Корпоративной, Профессиональной и для образовательных учреждений. В Домашних версиях Windows этого инструмента нет, поэтому вы не сможете войти в управление локальными политиками безопасности.

Для выполнения настройки локальных политик безопасности необходимо войти в Windows с учетной записью администратора или у вас должны быть права администратора.

В этом руководстве перечислены способы открыть локальную политику безопасности в Windows 10 или Windows 11, используя разные методы системного средства.

Как открыть локальную политику безопасности через поиск Windows

Панель поиска Windows помогает найти нужные файлы, папки и приложения на вашем устройстве, в том числе и системные инструменты.

Выполните следующие действия:

1. Щелкните по значку поиска на панели задач, чтобы открыть поиск Windows.
2. В строке поиска ведите выражение «локальная политика безопасности».
3. Откройте локальную политику безопасности.

1. На экране вашего компьютера откроется редактор локальной политики безопасности, в котором вносятся необходимые изменения в параметрах безопасности компьютера.

Запуск локальной политики безопасности с помощью команды «Выполнить»

С помощью выполнения команд в окне «Выполнить» вы можете быстро открывать программы или системные средства на вашем компьютере. Вызывает приложение «Локальная политика безопасности» команда «secpol.msc», которую мы будем использовать в разных методах из этой статьи.

Проделайте следующее:

1. Нажмите на клавиатуре «Win» + «R».
2. В диалоговое окно «Выполнить» введите команду «msc», а затем нажмите «Enter».

Это действие запустит локальную политику безопасности.

Открытие локальной политики безопасности с помощью меню «Пуск»

В меню «Пуск» в Windows вы можете найти большинство программ на вашем компьютере, включая системные средства Windows.

Локальная политика безопасности Windows 11 запускается следующим образом:

1. Откройте меню «Пуск», нажмите на кнопку «Все приложения» в правом верхнем углу.
2. Прокрутите страницу вниз, а затем щелкните по «Инструменты Windows».
3. В окне «Инструменты Windows» найдите «Локальная политика безопасности» и дважды щелкните по ней.

Локальная политика безопасности Windows 10 открывается из меню «Пуск» таким способом:

1. Войдите в меню «Пуск».
2. В списке программ найдите папку «Средства администрирования Windows».
3. Щелкните по значку «Локальная политика безопасности».

Вход в локальную политику безопасности через Панель управления

Панель управления Windows обеспечивает доступ к различным системным инструментам и настройкам операционной системы.

Сделайте следующее:

1. Нажимайте на клавиши «Win» + «R»,
2. Введите «control panel» в диалоговом окне «Выполнить» и нажмите кнопку «ОК».
3. В окне «Все элементы панели управления» выберите представление для просмотра крупными или мелкими значками.
4. Нажмите на «Инструменты Windows».

1. В окне «Инструменты Windows» дважды щелкните по значку «Локальная политика безопасности».

Как открыть локальную политику безопасности с помощью Диспетчера задач

Диспетчер задач Windows предоставляет сведения об активных процессах и программах, запущенных на компьютере, другую полезную информацию. Этот инструмент можно использовать не только для завершения или остановки процессов и служб, но и для запуска программ на вашем компьютере.

Воспользуйтесь этими рекомендациями:

1. Щелкните правой кнопкой мыши по меню «Пуск».
2. В контекстном меню выберите «Диспетчер задач».
3. Во вкладке «Процессы» нажмите «Запустить новую задачу» на верхней панели в Windows В Windows 10 откройте меню «Файл», а там кликните «Запустить новую задачу».
4. В открывшемся окне, в поле «Открыть:» введите «secpol.msc».
5. Нажмите «ОК».

Переход к локальной политики безопасности из адресной строки Проводника

Проводник Windows имеет адресную строку, которую можно использовать для доступа к локальной политике безопасности.

Выполните инструкцию:

1. Откройте Проводник Windows.
2. Щелкните по адресной строке, введите «secpol.msc».
3. Нажмите «Enter» или на стрелку справа от адресной строки.

Как запустить локальную политику безопасности из системной папки Windows

Вы можете запустить локальную политика безопасности непосредственно из папки «Windows», в которой располагается операционная система на компьютере.

Пройдите шаги:

1. Откройте окно Проводника.
2. Перейдите в следующую папку:

C:WindowsSystem32

1. Найдите и дважды щелкните по файлу «secpol» для запуска системного средства.

Как запустить утилиту локальная политика безопасности с помощью командной строки или PowerShell

Если вам более удобно, вы можете применить методы командной строки для запуска локальной политики безопасности на своем ПК. С этой целью можно использовать командную строку или Windows PowerShell, в обоих средствах выполняется одинаковая команда.

Выполните следующее:

1. В поле поиска Windows введите «cmd» или «powershell».
2. Откройте командную строку или Windows PowerShell.
3. В окне системного средства введите «secpol», а затем нажмите на «Enter».

На экране вашего компьютера появится окно «Локальная политика безопасности».

Запуск локальной политику безопасности с помощью редактора локальной групповой политики

Вы можете использовать редактор локальной групповой политики для запуска локальной политики безопасности.

Пройдите следующие шаги:

1. В поле поиска Windows введите «gpedit.msc».
2. Откройте окно «Редактор локальной групповой политики».
3. Перейдите по пути:

Конфигурация компьютера → Конфигурация Windows → Параметры безопасности

1. Здесь вы найдете все модули локальной политики безопасности.

Как закрепить локальною политику безопасности на панели задач

Вы можете открыть локальную политику безопасности, используя любой из перечисленных выше методов. Намного проще получить доступ к политикам безопасности прямо из панели задач. Для этого значок инструмента локальной политики безопасности необходимо закрепить на панели задач.

Необходимо выполнить следующее:

1. Нажмите на клавиши «Win» + «S».
2. В поле поиска введите «локальная политика безопасности».
3. В результатах поиска отобразится нужное приложение, выберите «Закрепить на панели задач».

Теперь вы можете запускать локальную политику безопасности непосредственно с панели задач Windows.

Потом можно открепить этот значок от панели задач, если вам больше не нужно, чтобы локальная политика безопасности находилась на этом элементе интерфейса системы.

Выводы статьи

В операционной системе Windows используется локальная политика безопасности, с помощью которой пользователь может управлять некоторыми параметрами безопасности компьютера. Этот инструмент доступен в версиях Windows Корпоративная, Профессиональная и для образовательных учреждений. Вы можете воспользоваться несколькими способами, чтобы открыть локальную политику безопасности на своем компьютере.

Как открыть локальную политику безопасности Windows (видео)

Доброго времени суток!
ОС Windows 10, на некоторых Windows 7
Имеется определённая задача — настроить необходимые возможности пользователей. То есть кому-то запретить доступ к дискам, кому-то запретить доступ к вставленным флешкам и т.д. С этим я более-менее разобрался и всё это находится в локальной групповой политике (которая по gpedit.msc)
Но возникла проблема следующего характера: каким образом можно экспортировать, а потом импортировать данные политики? Рабочих станций достаточно много и заниматься этим руками весьма нуторно и долго.
Я пробовал вариант с

secedit /export /cfg security_settings.inf
secedit /configure /db secpol.sdb /cfg security_settings.inf /overwrite

на собственной машине.
Я экспортировал таким образом политику безопасности перед включением запрета к диску с системой и получил конфигурационный файл 1.
После я экспортировал политику безопасности снова с уже отключённым запретом на доступк к диску с системой и получил второй конфигурационный файл 2. После сравнил их друг с другом в diff и обнаружил, что разницы между ними совершенно никакой. Я проделовал это ещё пару раз, чтобы убедиться в результате.
Что делать, как быть?