W2K8R2-効果的なグループポリシー設定を変換して、ローカルポリシー用にスタンドアロンマシンにインポートする方法はありますか?
ポリシー設定のベースラインセットとしてサーバーに適用する比較的堅牢なドメイン環境(たとえば、20のセキュリティ関連のグループポリシーオブジェクト)があり、それらの設定を適用するスタンドアロンサーバーがある場合、次の方法はありますか?いずれか:
- ドメインに参加しているコンピューターの有効な設定をセキュリティファイルまたはPOLファイルに変換して、スタンドアロンマシンに書き込み、インポートできるようにしますか?
- ドメインからグループポリシーオブジェクトをエクスポートし、スタンドアロンマシンにインポートしますか?
最終的な目標は、スタンドアロンマシンをドメインのセキュリティポリシーにすばやく簡単に適合させて、スタンドアロン環境で安全にすることです。
私はあなたがあなたが探していることをする単一の既製のツールを見つけるつもりはないと思います。これについて私が行った調査では、可能なハーフソリューションのパッチワークがあると信じていますが、包括的なものはないと思います。
GPOをコピー/マージするAshley McGloneのスクリプト を出発点として考えます。ただし、管理用テンプレート(レジストリ設定)のみを処理しているようです。結果のGPOは、スタンドアロンクライアントの%SystemRoot%\System32\GroupPolicyディレクトリにコピーでき、少なくとも管理用テンプレートの部分はおそらく機能します。
seceditコマンドラインツール を使用して、ドメインメンバーコンピューターのセキュリティポリシーをエクスポートします。次に、 スタンドアロンマシンにインポートする 。
グループポリシー設定ツール、Internet Explorer、スクリプトなどの他のグループポリシークライアント側拡張機能(CSE)は、より困難になります。それらはそれぞれ異なる構成ファイル形式を持っており、結果のポリシーセットを単一の構成ファイルに「煮詰める」ことはおそらく難しいでしょう。
レジストリとセキュリティの設定を見ているだけなら、これはおそらくかなり実現可能です。しかし、やりたいことが多ければ多いほど、それは難しくなります。