目前有一批Win7 Pro PC要作為公用電腦使用,因單位環境內無Windows Domain,故無法使用AD GPO管理這一批PC。
為了資安方面需求再加上有AD管理經驗,小弟使用"本機群組原則"設了些Policy限制OS的操作和功能。Policy設好了、Login Logout Scripts也做好了,但...... 卻不知道如何把"本機群組原則"匯出來提供給其他台PC使用。
有嘗試過匯出機碼出來,但把機碼導入到另一台OS後,限制的功能有實現出來(套了機碼),但開啟該OS的"群組原則物件編輯器"查看,編輯器裡面看不到設定項目。
因為電腦數量不少,若土法煉鋼一台一台設本機群組原則,短期內功能是能實現出來,但未來若要維護改Policy...... 讓我屎了吧~~~~~~!
已邀請的邦友 {{ invite_list.length }}/5
請找到這個隱藏的系統資料夾:
<pre class="c" name="code">%systemroot%\system32\grouppolicy\
裡面有兩個子目錄: User 和 Machine
把這兩個目錄拷貝到其他電腦的相同目錄下, 然後重開機就可以了.
感謝raytracy前輩的回覆。
小弟設定的本機群組原則,主要是套local user帳號的做法(群組原則集中在"使用者設定")。
規劃使用公用帳號(ex.demo)登入OS後,帳號會被本機群組原則限制使用的功能,如果用管理者帳號或特殊帳號則不受群組原則限制。
↓本機群組原則套到demo這組帳號(群組原則集中在"使用者設定")
↓demo這組帳號被限制的功能一覽
raytracy前輩提供的建議作法實作後,本機群組原則的"電腦設定"確實有搬移到其他台電腦,但"使用者設定"未能在另一台電腦上顯現出來。
如果要連同"使用者設定"一併搬移的話,需要再修改什麼地方呢?
後來有找到微軟自己出的一個本機群組原則匯入匯出工具「LocalGPO」。
用這工具來把LGPO migration到別台OS,還是會遇到"使用者設定"沒搬過去的問題。
目前推測問題可能是出在使用者的SID之類的問題上,小弟再繼續研究、研究。
請問 jessezero ,單一使用者的本機群組原則設定檔,後來有找到如何搬移到其他單機上嗎~~謝謝
iThome鐵人賽
看影片追技術