Bạn có thể sử dụng Chính sách Nhóm Cục bộ để định cấu hình Windows hoặc cài đặt người dùng trên máy tính trong mạng nhóm làm việc nhỏ (không có miền AD). Trước đó, nhược điểm chính của GPO cục bộ là không thể áp dụng cài đặt chính sách cho người dùng hoặc nhóm cục bộ cụ thể. Ví dụ:nếu bạn đã tắt thiết bị USB trong GPO cục bộ, chính sách này được áp dụng cho cả người dùng và tài khoản quản trị viên cục bộ.
Nhiều đối tượng chính sách nhóm cục bộ ( MLGPOs ) cho phép bạn áp dụng cài đặt GPO cục bộ cho các nhóm hoặc người dùng cục bộ khác nhau. Trong bài viết này, chúng tôi sẽ hướng dẫn cách áp dụng GPO cục bộ cho một người dùng cục bộ hoặc những người dùng không phải là thành viên của quản trị viên cục bộ bằng MLGPO.
Bạn có thể chỉ định một MLGPO cho:
- Bất kỳ người dùng cục bộ nào (theo tên);
- Thành viên của nhóm Quản trị viên địa phương;
- Tất cả người dùng không thành viên của nhóm Quản trị viên địa phương.
gpedit.msc bằng cách sử dụng hướng dẫn sau đây. Để tạo Chính sách nhóm cục bộ mới cho người dùng hoặc một nhóm:
- Nhấn Win + R ->
mmc; - Nhấp vào Tệp -> Thêm / Xóa phần đính kèm
- Chọn Trình chỉnh sửa đối tượng chính sách nhóm trong danh sách các snap-in có sẵn và nhấp vào Thêm ;
- Nhấp vào Duyệt qua và đi tới Người dùng chuyển hướng. Bạn có thể chọn một nhóm cục bộ hoặc một người dùng để áp dụng chính sách. Nếu GPO cục bộ đã được chỉ định cho người dùng hoặc nhóm, bạn sẽ thấy Có trong Đối tượng chính sách nhóm tồn tại cột. Để áp dụng chính sách cho tất cả người dùng cục bộ ngoại trừ quản trị viên, hãy chọn Người không phải là quản trị viên ;
- Đảm bảo rằng Máy tính Cục bộ \ Không phải Quản trị viên được chọn và nhấp vào Hoàn tất ;
- Bảng điều khiển trình soạn thảo GPO với cài đặt người dùng xuất hiện. Tại đây, bạn có thể định cấu hình cài đặt chính sách cục bộ để áp dụng cho người dùng không phải quản trị viên;
- Định cấu hình cài đặt Chính sách nhóm mong muốn cho người dùng cục bộ.
Nếu bạn muốn xóa chính sách cục bộ cho nhóm, hãy chọn nhóm trong Người dùng và nhấp vào Xóa đối tượng chính sách nhóm .
Nhược điểm chính của GPO cục bộ là chúng khó di chuyển đến các máy tính khác (không giống như GPO miền được lưu trữ trên bộ điều khiển miền AD và được chỉnh sửa tập trung). Để chuyển cài đặt MLGPO, bạn có thể sử dụng công cụ chính thức của Microsoft - lgpo.exe (nó là một phần của Trình quản lý Tuân thủ Bảo mật và Đường cơ sở Bảo mật của Microsoft).
Để xuất tất cả các chính sách cục bộ đã định cấu hình sang tệp, lệnh này được sử dụng:
lgpo /b c:\GPObackup\
Để nhập cài đặt Chính sách Nhóm cục bộ sang một máy tính khác, hãy chỉ định GUID của nó (bạn có thể tìm thấy thư mục chính sách trong các tệp bạn có bằng SID nổi tiếng của nhóm Người không phải quản trị viên - S-1-5-32-545 ). Để áp dụng các cài đặt trên máy tính đích, lệnh sau được sử dụng:
lgpo /parse /u C:\GPObackup\{GUID}\DomainSysvol\GPO\User\registry.pol
Sau đó, chỉ cần làm mới cài đặt GPO:
gpupdate /force
Ngoài ra, bạn có thể sử dụng LocalGPO.wsf tập lệnh để xuất / nhập MLGPO.
Để xuất:
cscript LocalGPO.wsf /Path:C:\GPObackup /Export /MLGPO:Non-Administrators
Để nhập:
cscript LocalGPO.wsf /Path:C:\GPObackup\{GUID}