如果我有一个相对强大的域环境(例如 20 个与安全相关的组策略对象)作为一组基准策略设置应用于我的服务器,并且我有一个想要应用这些设置的独立服务器,那么有没有办法:
- 将加入域的计算机的有效设置转换为安全或 POL 文件,以便我可以刻录并导入到独立机器?
- 从域中导出组策略对象并将其导入到独立机器中?
最终目标是快速轻松地使独立机器符合域的安全策略,以便其在独立环境中是安全的?
答案1
我认为你不会找到一个现成的工具来满足你的要求。我对此进行的研究让我相信,存在一些可能的半解决方案,但我认为没有一个是全面的。
我会看看Ashley McGlone 的复制/合并 GPO 脚本作为可能的起点。但它似乎只处理管理模板(注册表设置)。生成的 GPO 可以复制到%SystemRoot%\System32\GroupPolicy独立客户端的目录中,并且至少管理模板部分可能会起作用。
您并使用命令secedit行工具导出域成员计算机的安全策略。然后您可以将其导入到独立机器上。
其他组策略客户端扩展 (CSE),如组策略首选项工具、Internet Explorer、脚本等,将更加困难。它们各自具有不同的配置文件格式,将策略结果集“归结”为单个配置文件可能会很困难。
如果您只查看注册表和安全设置,这可能是相当可行的。但是,您想做的越多,就越难。