로컬 그룹 정책을 사용하여 소규모 작업 그룹 네트워크(AD 도메인 없음)의 컴퓨터에서 Windows 또는 사용자 설정을 구성할 수 있습니다. 이전에 로컬 GPO의 주요 단점은 정책 설정을 특정 로컬 사용자나 그룹에 적용할 수 없다는 것이었습니다. 예를 들어 로컬 GPO에서 USB 장치를 비활성화한 경우 이 정책은 사용자와 로컬 관리자 계정 모두에 적용됩니다.
여러 로컬 그룹 정책 개체 (MLGPO ) 로컬 GPO 설정을 다른 로컬 사용자 또는 그룹에 적용할 수 있습니다. 이 문서에서는 MLGPO를 사용하여 단일 로컬 사용자 또는 로컬 관리자의 구성원이 아닌 사용자에게 로컬 GPO를 적용하는 방법을 보여줍니다.
MLGPO를 다음에 할당할 수 있습니다.
- 모든 로컬 사용자(이름별),
- 로컬 관리자 그룹의 구성원,
- 다음이 아닌 모든 사용자 로컬 Administrators 그룹의 구성원입니다.
gpedit.msc를 설치할 수 있습니다. 다음 가이드를 사용하여. 사용자 또는 그룹에 대한 새 로컬 그룹 정책을 만들려면:
- Win + R ->
mmc누르기; - 파일 클릭 -> 스냅인 추가/제거
- 그룹 정책 개체 편집기 선택 사용 가능한 스냅인 목록에서 추가를 클릭합니다.;
- 찾아보기를 클릭합니다. 사용자로 이동합니다. 탭. 정책을 적용할 로컬 그룹 또는 사용자를 선택할 수 있습니다. 로컬 GPO가 이미 사용자 또는 그룹에 할당된 경우 예가 표시됩니다. 그룹 정책 개체가 있음에서 열. 관리자를 제외한 모든 로컬 사용자에게 정책을 적용하려면 비관리자를 선택합니다.;
- Local Computer\Non-Administrators가 선택되었는지 확인하고 마침을 클릭합니다.;
- 사용자 설정이 포함된 GPO 편집기 콘솔이 나타납니다. 여기에서 관리자가 아닌 사용자에게 적용할 로컬 정책 설정을 구성할 수 있습니다.
- 로컬 사용자에 대해 원하는 그룹 정책 설정을 구성합니다.
그룹에 대한 로컬 정책을 제거하려면 사용자 탭을 클릭하고 그룹 정책 개체 제거를 클릭합니다. .
로컬 GPO의 주요 단점은 (AD 도메인 컨트롤러에 저장되고 중앙에서 편집되는 도메인 GPO와 달리) 다른 컴퓨터로 이동하기 어렵다는 것입니다. MLGPO 설정을 전송하려면 공식 Microsoft 도구인 lgpo.exe를 사용할 수 있습니다. (Security Compliance Manager 및 Microsoft Security Baseline의 일부입니다.)
구성된 모든 로컬 정책을 파일로 내보내려면 다음 명령이 사용됩니다.
lgpo /b c:\GPObackup\
로컬 그룹 정책 설정을 다른 컴퓨터로 가져오려면 해당 GUID를 지정합니다(비 관리자 그룹의 잘 알려진 SID로 얻은 파일에서 정책 폴더를 찾을 수 있습니다. - S-1-5-32-545 ). 대상 컴퓨터에 설정을 적용하려면 다음 명령을 사용합니다.
lgpo /parse /u C:\GPObackup\{GUID}\DomainSysvol\GPO\User\registry.pol
그런 다음 GPO 설정을 새로 고치면 됩니다.
gpupdate /force
또한 LocalGPO.wsf를 사용할 수 있습니다. MLGPO 내보내기/가져오기 스크립트.
내보내기:
cscript LocalGPO.wsf /Path:C:\GPObackup /Export /MLGPO:Non-Administrators
가져오려면:
cscript LocalGPO.wsf /Path:C:\GPObackup\{GUID}