Copia de seguridad / restauración y exportación de la configuración de la política de grupo local a otra computadora

Las políticas de grupo son una herramienta poderosa y al mismo tiempo flexible para configurar los ajustes de Windows y son un medio indispensable para llevar las computadoras a una sola configuración en el dominio de Active Directory. Si no hay dominio, la configuración de una sola computadora se puede configurar mediante una política de grupo local. Una desventaja significativa de las políticas locales es que no se pueden distribuir de forma centralizada entre los equipos del grupo de trabajo. Como resultado, el administrador tiene que configurar manualmente la configuración de la política de grupo en cada computadora. Si hay muchas computadoras y configuraciones para configurar, no es demasiado productivo …

Sería apropiado tener una computadora en un grupo de trabajo con configuraciones de referencia de políticas de grupo local y configuraciones de seguridad para aplicarlas a las otras computadoras y, después de realizar cualquier cambio, podría copiar esta configuración a otras máquinas.

En este artículo consideraremos este escenario. Permite exportar y transferir (migrar) rápidamente configuraciones de políticas de grupo local desde una computadora configurada a otras computadoras en un grupo de trabajo.

Problemas de migración de políticas de grupo local entre equipos

La forma más sencilla de migrar la configuración de GPO local entre equipos es copiar manualmente el contenido de % systemroot% System32 GroupPolicy carpeta (de forma predeterminada, este directorio está oculto) de una computadora a otra reemplazando su contenido (después de reemplazar los archivos, ejecute la actualización de políticas manualmente usando el comando gpupdate / force o reiniciando su PC).

Este método es bastante simple, pero tiene algunas fallas importantes:

  1. No se puede utilizar para migrar plantillas de seguridad locales;
  2. Es posible que GPO no funcione si la versión del sistema operativo y su compilación en una computadora de origen y de destino difieren;
  3. No puede crear un GPO de dominio basado en una política local (importando una política al dominio de Active Directory para su uso posterior);
  4. Al copiar una política, deberá corregir manualmente cualquier referencia al nombre de la computadora local en la configuración;
  5. Hay algunos problemas al migrar plantillas ADMX personalizadas.

Para importar / exportar un GPO local creado con gpedit.msc, es más fácil y conveniente de usar LocalGPO utilidad, que es parte de Microsoft Seguridad Cumplimiento Gerente 3.0. LocalGPO permite no solo crear rápidamente una copia de seguridad de un GPO local y restaurar la configuración de la política local, sino también crear un archivo ejecutable GPOPack para migrar (importar) la configuración de GPO local a otra máquina con un solo clic.

Nota IMPORTANTE. La utilidad LocalGPO ahora está obsoleta y no es oficialmente compatible con Microsoft. Además, no funciona en Windows 10 y Windows Server 2016 modernos (aunque esta limitación se puede eludir modificando el código de secuencia de comandos, que se describe a continuación). Para exportar, importar y transferir la configuración de GPO local entre computadoras, se recomienda utilizar la herramienta LGPO.exe (Se pueden encontrar ejemplos del uso de esta utilidad en la última sección de este artículo).

El LocalGPO La herramienta le permite exportar todas las configuraciones de políticas locales, incluidas las de INF, POL, Auditoría, secciones de firewall, etc. LocalGPO se adapta perfectamente para su uso en empresas sin dominios para distribuir plantillas de GPO entre computadoras en el grupo de trabajo. También es muy útil junto con Microsoft Deployment Toolkit (MDT) o SCCM.

Cómo instalar LocalGPO

Para instalar LocalGPO en una computadora local (en nuestro caso, será una imagen maestra de la configuración de GPO local):

  • Descargar Administrador de cumplimiento de seguridad (SCM) 3.0 (https://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx);
  • Abierto Security_Compliance_Manager_Setup.exe como un archivo de almacenamiento utilizando cualquier archivador (7Zip o WinRar).Nota. No queremos realizar una instalación completa de Security Compliance Manager ya que es bastante pesado y contiene muchos componentes que no necesitamos para nuestra tarea (SQL Server Express, Microsoft Visual C ++ 2010 Redistributable, etc.).

    Extraiga data.cab de Security Compliance Manager (SCM) 3.0

  • Extraer data.cab de este archivo y descomprímalo también (por ejemplo, en la carpeta C: Distr data);
  • En este directorio, busque GPOMSI archivo y cámbiele el nombre a GPO.msi;GPOMSI
  • Ejecute la instalación de GPO.msi.Configurar la herramienta LocalGPO

Averigüemos cómo usar LocalGPO. Puede administrarlo solo a través de la interfaz de la consola (símbolo del sistema). Inicie el símbolo del sistema como administrador y vaya a la carpeta C: Archivos de programa LocalGPO (para sistemas x86) o C: Archivos de programa (x86) LocalGPO (para sistemas x64).

Nota. Si intenta utilizar la utilidad LocalGPO para migrar las políticas de grupo local en Windows 10, obtendrá un error:

LocalGPO Tool
---------------------------
This tool only runs on Windows XP Professional, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, or Windows Server 2012

Herramienta LocalGPO Esta herramienta solo se ejecuta en Windows XP Professional, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 o Windows Server 2012

El hecho es que la utilidad LocalGPO solo admite versiones de Windows anteriores a Windows 8 (Windows Server 2012). En las versiones más recientes de Windows (Windows 8.1, Windows 10), se recomienda utilizar la nueva utilidad LGPO.exe (consulte la última sección de este artículo). Aunque técnicamente, el antiguo script LocalGPO.wsf es compatible con Windows 10 / 8.1 y Windows Server 2016/2012 R2. Para que el script LocalGPO.wsf se ejecute correctamente en los nuevos sistemas operativos, basta con cambiar el código de la función de verificación de la versión del sistema operativo (ChkOSVersion) agregando las siguientes líneas:

If(Left(strOpVer,4) = "10.0") and (strProductType = "1") then
strOS = "Win10"
ElseIf(Left(strOpVer,3) = "6.3") and (strProductType <> "1") then
strOS = "WS16"
ElseIf(Left(strOpVer,3) = "6.3") and (strProductType = "1") then
strOS = "Win81"

modificar la función ChkOSVersion en LocalGPO.wsf para admitir Windows 10

Cómo exportar la configuración de una política local

Para exportar la configuración de GPO local a la carpeta C: GPObackup (este directorio debe crearse con anticipación), ejecute este comando:

cscript LocalGPO.wsf /Path:C:GPObackup /Export

LocalGPO exportar la configuración de GPO local

Aparece una nueva carpeta con algún GUID de GPO en el directorio de destino. Contendrá todas las configuraciones de políticas locales para esta computadora.

carpeta de copia de seguridad de gpo

De hecho, hemos creado una copia de seguridad de GPO local, que se puede revertir en cualquier momento que lo necesitemos.

La utilidad LocalGPO.wsf admite varios GPO locales (MLGPO). Para exportar una política local asociada con un grupo o usuario local específico, debe utilizar el siguiente formato de uso de la secuencia de comandos LocalGPO.wsf:

cscript LocalGPO.wsf /Path:C:GPObackup /Export /MLGPO:Administrators
o
cscript LocalGPO.wsf /Path:C:GPObackup /Export /MLGPO:LocalUserName

Cómo importar la configuración de GPO local

Para restaurar la configuración de la Política de grupo local desde la copia de seguridad, impórtela con el siguiente comando. Especifique la ruta al directorio que contiene su copia de seguridad como argumento:
cscript LocalGPO.wsf /Path:C:GPObackup{B6545366-C0B0-4848-BF39-A17F0B4F0E9A}
Importar la configuración de la política local de LocalGPO

GPOPack: Implementar formato de GPO local

Con LocalGPO, puede crear un GPOPack paquete que ayuda a implementar fácilmente la configuración de GPO local en otras computadoras (no requiere instalar LocalGPO en la computadora de destino). Este formato también es conveniente para usar en tareas de implementación de SO mediante Microsoft Deployment Toolkit (MDT) o Microsoft System Center Configuration Manager (SCCM). Para crear un paquete portátil, ejecute este comando:

cscript LocalGPO.wsf /Path:C:GPObackup /Export /GPOPack

Crea GPOPack para implementar

Copie la carpeta creada en el paso anterior a otra computadora, a la que se deben aplicar estas políticas. Para hacerlo, inicie el símbolo del sistema con privilegios de administrador y ejecute el archivo GPOPack.wsf.

El mensaje «GPOPack aplicado a la política local”Indica que las políticas se han migrado correctamente. Ahora solo tiene que reiniciar su sistema y asegurarse de que se apliquen las mismas configuraciones de GPO locales en esta computadora.

GPOPack aplicado a la política local

La lista completa de argumentos para LocalGPO.wsf está disponible con el parámetro /?:
cscript LocalGPO.wsf /?

Argumentos de LocalGPO.wsf

Cómo restablecer todas las configuraciones de GPO locales

Con LocalGPO, puede restablecer todas las configuraciones de políticas locales a los valores predeterminados. Para hacerlo, ejecute el siguiente comando:
cscript LocalGPO.wsf /Restore

Cómo importar un GPO local a la directiva de grupo de dominio de AD

El formato de importación de políticas de LocalGPO permite importar la configuración de políticas de grupo local a un GPO de dominio. Puede hacerlo utilizando la función de copia de seguridad y restauración de GPO de dominio en GPMC (Consola de administración de políticas de grupo).

LGPO.exe: Cómo exportar e implementar la configuración de GPO local

El LGPO.exe La herramienta de consola está diseñada para automatizar la administración de políticas de grupo local y está destinada a reemplazar el LocalGPO que ya no es compatible. Actualmente se recomienda utilizar solo esta utilidad. LGPO.exe se incluye en la herramienta gratuita Security Compliance Manager (SCM).

Puede descargar LGPO.exe mediante el siguiente enlace https://www.microsoft.com/en-us/download/details.aspx?id=55319.

descargar la herramienta lgpo.exe

La utilidad LGPO.exe tiene las siguientes características:

  • Soporte de exportación de configuraciones de políticas de grupo local;
  • Importa la configuración de GPO desde la copia de seguridad. Se admite la importación de archivos registry.pol, plantillas de seguridad y archivos CSV;
  • Convierta archivos registry.pol a formato LGPO legible y viceversa.

Para exportar la configuración de GPO local actual al directorio especificado, ejecute el siguiente comando:

LGPO.exe /b c:toolsGPO

lgpo.exe crear copia de seguridad localgpo

La utilidad exportará todas las configuraciones de políticas locales actuales a la carpeta con el GUID de la política de grupo.
Para presentar la configuración actual de GPO en el archivo de respaldo del archivo registry.pol en un formato compatible con texto, ejecute el comando:

lgpo.exe /parse /m "C:toolsGPO{6DFFB293-675f-4c32-4AB-FD1234567CE}DomainSysvolGPOMachineregistry.pol">>c:toolsgpolgpo.txt

Abra el archivo de texto lgpo.txt. Como puede ver, contiene todas las configuraciones de registro que aplica esta política.

convertir el archivo registry.pol a formato de texto lgpo

Realice los cambios necesarios en el archivo de configuración del registro lgpo.txt y conviértalo al formato registry.pol:

LGPO.exe /r "C:toolsGPOlgpo.txt" /w "C:toolsGPOregistry_new.pol​"

Ahora importe la nueva configuración de política local desde el archivo pol:

LGPO.exe /m "C:toolsGPOregistry_new.pol​"

lgpo importar archivo registry.pol

Para importar (transferir) la configuración de GPO local de esta computadora a otra, copie el directorio con la política en la computadora de destino y ejecute el comando:

LGPO.exe /g C:toolsGPO

importar la configuración de lgpo en otra computadora

La versión LGPO v2.2 admite varios objetos de política de grupo local (MLGPO), lo que le permite configurar políticas individuales para diferentes usuarios (disponible en Windows Vista y versiones posteriores).

Como puede ver, la utilidad LGPO.exe es muy útil para crear una copia de seguridad de las políticas locales y transferir la configuración de GPO entre computadoras.

Artículos Interesantes

Relacionados:

Habilitación del Editor de políticas de grupo (gpedit.msc) en Windows 10 Home
Usar PowerShell detrás de un servidor proxy
Outlook no muestra imágenes en el correo electrónico
Cómo deshabilitar las "advertencias de seguridad de archivos abiertos" en Windows 10, 8 y 7