Computer >> 컴퓨터 >  >> 체계 >> Windows 10

관리자가 아닌 사용자 또는 MLGPO가 있는 단일 사용자에게 로컬 그룹 정책 적용

로컬 그룹 정책을 사용하여 소규모 작업 그룹 네트워크(AD 도메인 없음)의 컴퓨터에서 Windows 또는 사용자 설정을 구성할 수 있습니다. 이전에 로컬 GPO의 주요 단점은 정책 설정을 특정 로컬 사용자나 그룹에 적용할 수 없다는 것이었습니다. 예를 들어 로컬 GPO에서 USB 장치를 비활성화한 경우 이 정책은 사용자와 로컬 관리자 계정 모두에 적용됩니다.

여러 로컬 그룹 정책 개체 (MLGPO ) 로컬 GPO 설정을 다른 로컬 사용자 또는 그룹에 적용할 수 있습니다. 이 문서에서는 MLGPO를 사용하여 단일 로컬 사용자 또는 로컬 관리자의 구성원이 아닌 사용자에게 로컬 GPO를 적용하는 방법을 보여줍니다.

MLGPO를 다음에 할당할 수 있습니다.

  • 모든 로컬 사용자(이름별),
  • 로컬 관리자 그룹의 구성원,
  • 다음이 아닌 모든 사용자 로컬 Administrators 그룹의 구성원입니다.
로컬 그룹 정책 편집기는 Pro, Enterprise 및 Education Windows 10 버전에서만 사용할 수 있습니다. Windows 10 Home에서는 gpedit.msc를 설치할 수 있습니다. 다음 가이드를 사용하여.

사용자 또는 그룹에 대한 새 로컬 그룹 정책을 만들려면:

  1. Win + R -> mmc 누르기;
  2. 파일 클릭 -> 스냅인 추가/제거
    관리자가 아닌 사용자 또는 MLGPO가 있는 단일 사용자에게 로컬 그룹 정책 적용
  3. 그룹 정책 개체 편집기 선택 사용 가능한 스냅인 목록에서 추가를 클릭합니다.;
    관리자가 아닌 사용자 또는 MLGPO가 있는 단일 사용자에게 로컬 그룹 정책 적용
  4. 찾아보기를 클릭합니다. 사용자로 이동합니다. 탭. 정책을 적용할 로컬 그룹 또는 사용자를 선택할 수 있습니다. 로컬 GPO가 이미 사용자 또는 그룹에 할당된 경우 가 표시됩니다. 그룹 정책 개체가 있음에서 열. 관리자를 제외한 모든 로컬 사용자에게 정책을 적용하려면 비관리자를 선택합니다.;
    관리자가 아닌 사용자 또는 MLGPO가 있는 단일 사용자에게 로컬 그룹 정책 적용
  5. Local Computer\Non-Administrators가 선택되었는지 확인하고 마침을 클릭합니다.;
    관리자가 아닌 사용자 또는 MLGPO가 있는 단일 사용자에게 로컬 그룹 정책 적용
  6. 사용자 설정이 포함된 GPO 편집기 콘솔이 나타납니다. 여기에서 관리자가 아닌 사용자에게 적용할 로컬 정책 설정을 구성할 수 있습니다.
    관리자가 아닌 사용자 또는 MLGPO가 있는 단일 사용자에게 로컬 그룹 정책 적용
  7. 로컬 사용자에 대해 원하는 그룹 정책 설정을 구성합니다.
MLGPO를 사용하여 컴퓨터를 AD 도메인에 연결하기 전에 적용할 사용자 제한을 설정할 수 있습니다. 예를 들어 로컬 계정에서 네트워크 액세스를 제한할 수 있습니다.

그룹에 대한 로컬 정책을 제거하려면 사용자 탭을 클릭하고 그룹 정책 개체 제거를 클릭합니다. .

관리자가 아닌 사용자 또는 MLGPO가 있는 단일 사용자에게 로컬 그룹 정책 적용

로컬 GPO의 주요 단점은 (AD 도메인 컨트롤러에 저장되고 중앙에서 편집되는 도메인 GPO와 달리) 다른 컴퓨터로 이동하기 어렵다는 것입니다. MLGPO 설정을 전송하려면 공식 Microsoft 도구인 lgpo.exe를 사용할 수 있습니다. (Security Compliance Manager 및 Microsoft Security Baseline의 일부입니다.)

구성된 모든 로컬 정책을 파일로 내보내려면 다음 명령이 사용됩니다.

lgpo /b c:\GPObackup\

로컬 그룹 정책 설정을 다른 컴퓨터로 가져오려면 해당 GUID를 지정합니다(비 관리자 그룹의 잘 알려진 SID로 얻은 파일에서 정책 폴더를 찾을 수 있습니다. - S-1-5-32-545 ). 대상 컴퓨터에 설정을 적용하려면 다음 명령을 사용합니다.

lgpo /parse /u C:\GPObackup\{GUID}\DomainSysvol\GPO\User\registry.pol

그런 다음 GPO 설정을 새로 고치면 됩니다.

gpupdate /force

또한 LocalGPO.wsf를 사용할 수 있습니다. MLGPO 내보내기/가져오기 스크립트.

내보내기:

cscript LocalGPO.wsf /Path:C:\GPObackup /Export /MLGPO:Non-Administrators

가져오려면:

cscript LocalGPO.wsf /Path:C:\GPObackup\{GUID}