前面介绍了使用LGPO工具进行Windows基线的部署,但经过我的测试,使用LGPO时,存在一些BUG。
比如:
- 使用LGPO工具部署基线后,目标机器无法正确找到windows桌面。
- 如果部署了扩展admx包,这些包中的基线可能无法正确导出/导入。
以下的方式,经过我的测试,可以完全避免以上2个问题。
具体方法如下:
第一步:扩展组策略
如果您使用CIS的基线,系统内置的组策略可能无法完全满足您的需求,这时,您就需要对组策略进行扩展。
您可以从此处下载Win10的扩展admx包。
您也可以从https://social.technet.microsoft.com/wiki/contents/articles/4976.group-policy-administrative-templates-adm-and-admx-downloads-and-selected-content.aspx获取微软全部产品的admx文件。
安装完成后,复制您的扩展admx/adml文件到C:\Windows\PolicyDefinitions\目录
在您复制或替换admx文件时,可能会遇到权限问题,您需要更改C:\Windows\PolicyDefinitions\的拥有者和权限。
并且添加administrator为完全控制。
您可能无法直接替换,需要您手动删除对应的admx/adml文件,再将文件复制到该目录。
扩展admx后,重启您的系统。
第二步: 从源主机备份组策略
1、从源主机上,备份组策略文件夹下的所有文件到另一个目录。
C:\Windows\System32\GroupPolicy*
2、在管理员模式下的cmd,运行secedit工具,备份安全策略
secedit /export /cfg Security.csv
3、在管理员模式下的cmd,运行auditpol工具,备份审计策略
Auditpol /backup /file:Audit.ini
将备份好的组策略文件夹、Security.csv、Audit.ini复制到目标主机。
第三步:恢复组策略
1、在目标主机上,按第一步的步骤,扩展组策略。
将PolicyDefinitions下的admx和adml文件替换C:\Windows\PolicyDefinitions\下的应对文件。
注意:初始可能无权限,必须更改C:\Windows\PolicyDefinitions\的拥有者,然后添加administrator的完全控制权限。
2、将备份的组策略文件夹恢复到以下位置
C:\Windows\System32\GroupPolicy\
3、恢复/配置安全策略,在管理员模式下的cmd,运行以下命令。
secedit /configure /cfg Security.csv /db defltbase.sdb /verbose
4、恢复审计策略,在管理员模式下的cmd,运行以下命令。
Auditpol /restore /file:audit.ini
第四步: 更新组策略,并重启您的目标主机
1、在管理员模式下的cmd,运行
gpupdate /force
2、重启您的机器
3、配置完成。