我需要知道如何使用域 GPO 中存在的设置创建和部署本地组策略。我知道本地 GPO 仅支持域 GP 的一部分功能,我认为这就是问题所在。我需要应用的设置包含在计算机配置 -> 策略 -> Windows 设置 -> 安全设置 ->系统服务,无线网络 (802.11) 策略, 和有线网络 (802.3) 策略。这三个选项在 XP 或 7 本地 GPO 中都不存在。
我调查过使用 SCA 管理单元中的 secedit 和安全模板,但它们似乎也不包含这些设置。
所以问题很简单,我如何将域 GPO 中已配置的设置应用于本地 GPO?
答案1
(这个老问题已被社区推到主页,至今仍未得到解答。)
一般来说:如果本地组策略编辑器中不存在某个设置,则无法导入该设置。
针对原始问题提出的解决方案是尝试从域中导出 GPO 并将其导入到本地组策略。相反,正确的做法是这些设置是特定于域的,这意味着在这种情况下出口/进口它们是没有帮助的。
虽然可以从一个域导出域特定设置,然后使用以下命令将其导入另一个域迁移表 将源 GPO 中的用户、组、计算机和 UNC 路径引用到目标 GPO 中的新值,无法将此类设置导入至本地GP。
TechNet 社区支持解答将域 GPO 应用于独立计算机列表:
以下项目包含安全主体,可以使用迁移表进行修改,这些域 GPO 可能在本地策略中不可用:
- 以下类型的安全策略设置:
- 用户权限分配
- 受限制的群组
- 系统服务
- 文件系统
- 註冊
- 高级文件夹重定向设置
- GPO DACL(如果在复制操作期间保留)
- 软件安装对象上的 DACL,仅当指定了复制 GPO DACL 的选项时才会保留
这无线网络 (802.11) 策略和有线网络 (802.3) 策略从问题来看系统服务从上面的列表中。
答案2
您应该能够使用组策略管理控制台将 GPO 导出为 inf,然后将其移动到目标计算机