home

หน้าแรก
 Computer >> คอมพิวเตอร์ >  >> ระบบ >> Windows 10

ใช้ Local Group Policy กับผู้ที่ไม่ใช่ผู้ดูแลระบบหรือผู้ใช้รายเดียวที่มี MLGPO

คุณสามารถใช้ Local Group Policy เพื่อกำหนดค่า Windows หรือการตั้งค่าผู้ใช้บนคอมพิวเตอร์ในเครือข่ายเวิร์กกรุ๊ปขนาดเล็ก (ไม่มีโดเมน AD) ก่อนหน้านี้ ข้อเสียเปรียบหลักของ GPO ในพื้นที่คือการไม่สามารถใช้การตั้งค่านโยบายกับผู้ใช้หรือกลุ่มเฉพาะในเครื่องได้ ตัวอย่างเช่น หากคุณปิดใช้งานอุปกรณ์ USB ใน GPO ในพื้นที่ นโยบายนี้จะมีผลกับทั้งผู้ใช้และบัญชีผู้ดูแลระบบภายใน

ออบเจ็กต์นโยบายกลุ่มภายในหลายรายการ (MLGPO ) อนุญาตให้คุณใช้การตั้งค่า GPO ในพื้นที่กับผู้ใช้หรือกลุ่มต่างๆ ในพื้นที่ ในบทความนี้ เราจะแสดงวิธีใช้ GPO ในพื้นที่กับผู้ใช้รายเดียวในเครื่องหรือผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบในพื้นที่โดยใช้ MLGPO

คุณสามารถกำหนด MLGPO ให้กับ:

  • ผู้ใช้ในพื้นที่ (ตามชื่อ);
  • สมาชิกของกลุ่มผู้ดูแลระบบในพื้นที่
  • ผู้ใช้ทั้งหมดที่ไม่ใช่ สมาชิกของกลุ่ม Administrators ในพื้นที่
Local Group Policy Editor มีให้ใช้งานในรุ่น Pro, Enterprise และ Education Windows 10 เท่านั้น ใน Windows 10 Home คุณสามารถติดตั้ง gpedit.msc โดยใช้คำแนะนำต่อไปนี้

ในการสร้างนโยบายกลุ่มภายในเครื่องสำหรับผู้ใช้หรือกลุ่ม:

  1. กด Win + R -> mmc;
  2. คลิกไฟล์ -> เพิ่ม/ลบสแนปอิน
    ใช้ Local Group Policy กับผู้ที่ไม่ใช่ผู้ดูแลระบบหรือผู้ใช้รายเดียวที่มี MLGPO
  3. เลือก ตัวแก้ไขวัตถุนโยบายกลุ่ม ในรายการสแน็ปอินที่มีอยู่แล้วคลิก เพิ่ม;
    ใช้ Local Group Policy กับผู้ที่ไม่ใช่ผู้ดูแลระบบหรือผู้ใช้รายเดียวที่มี MLGPO
  4. คลิก เรียกดู และไปที่ ผู้ใช้ แท็บ คุณสามารถเลือกกลุ่มโลคัลหรือผู้ใช้เพื่อใช้นโยบายได้ หากกำหนด GPO ในพื้นที่ให้กับผู้ใช้หรือกลุ่มแล้ว คุณจะเห็นใช่ ใน มีวัตถุนโยบายกลุ่ม คอลัมน์. หากต้องการใช้นโยบายกับผู้ใช้ในพื้นที่ทั้งหมดยกเว้นผู้ดูแลระบบ ให้เลือก ไม่ใช่ผู้ดูแลระบบ;
    ใช้ Local Group Policy กับผู้ที่ไม่ใช่ผู้ดูแลระบบหรือผู้ใช้รายเดียวที่มี MLGPO
  5. ตรวจสอบให้แน่ใจว่าได้เลือก Local Computer\Non-Administrators แล้วคลิก เสร็จสิ้น;
    ใช้ Local Group Policy กับผู้ที่ไม่ใช่ผู้ดูแลระบบหรือผู้ใช้รายเดียวที่มี MLGPO
  6. คอนโซลตัวแก้ไข GPO พร้อมการตั้งค่าผู้ใช้จะปรากฏขึ้น คุณสามารถกำหนดการตั้งค่านโยบายท้องถิ่นเพื่อใช้กับผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบได้ที่นี่
    ใช้ Local Group Policy กับผู้ที่ไม่ใช่ผู้ดูแลระบบหรือผู้ใช้รายเดียวที่มี MLGPO
  7. กำหนดการตั้งค่านโยบายกลุ่มที่ต้องการสำหรับผู้ใช้ภายในเครื่อง
คุณสามารถใช้ MLGPO เพื่อตั้งค่าการจำกัดผู้ใช้ที่จะใช้ก่อนที่จะเข้าร่วมคอมพิวเตอร์กับโดเมน AD ของคุณ ตัวอย่างเช่น คุณสามารถจำกัดการเข้าถึงเครือข่ายภายใต้บัญชีท้องถิ่น

หากคุณต้องการลบนโยบายท้องถิ่นสำหรับกลุ่ม ให้เลือกกลุ่มใน ผู้ใช้ แท็บแล้วคลิก ลบวัตถุนโยบายกลุ่ม .

ใช้ Local Group Policy กับผู้ที่ไม่ใช่ผู้ดูแลระบบหรือผู้ใช้รายเดียวที่มี MLGPO

ข้อเสียเปรียบหลักของ GPO ในพื้นที่คือยากที่จะย้ายไปยังคอมพิวเตอร์เครื่องอื่น (ต่างจากโดเมน GPO ซึ่งจัดเก็บไว้ในตัวควบคุมโดเมน AD และแก้ไขจากส่วนกลาง) หากต้องการโอนการตั้งค่า MLGPO คุณสามารถใช้เครื่องมืออย่างเป็นทางการของ Microsoft – lgpo.exe (เป็นส่วนหนึ่งของ Security Compliance Manager และ Microsoft Security Baseline)

ในการส่งออกนโยบายท้องถิ่นที่กำหนดค่าทั้งหมดไปยังไฟล์ จะใช้คำสั่งนี้:

lgpo /b c:\GPObackup\

หากต้องการนำเข้าการตั้งค่า Group Policy ในเครื่องไปยังคอมพิวเตอร์เครื่องอื่น ให้ระบุ GUID (คุณสามารถค้นหาโฟลเดอร์นโยบายในไฟล์ที่คุณได้รับจาก SID ที่รู้จักกันดีของกลุ่มที่ไม่ใช่ผู้ดูแลระบบ — S-1-5-32-545 ). ในการใช้การตั้งค่าบนคอมพิวเตอร์เป้าหมาย จะใช้คำสั่งต่อไปนี้:

lgpo /parse /u C:\GPObackup\{GUID}\DomainSysvol\GPO\User\registry.pol

จากนั้นให้รีเฟรชการตั้งค่า GPO:

gpupdate /force

นอกจากนี้ คุณสามารถใช้ LocalGPO.wsf สคริปต์เพื่อส่งออก/นำเข้า MLGPO

ในการส่งออก:

cscript LocalGPO.wsf /Path:C:\GPObackup /Export /MLGPO:Non-Administrators

ในการนำเข้า:

cscript LocalGPO.wsf /Path:C:\GPObackup\{GUID}