使用 MLGPO 将本地组策略应用于非管理员或单个用户

您可以使用本地组策略在小型工作组网络（没有 AD 域）中的计算机上配置 Windows 或用户设置。此前，本地 GPO 的主要缺点是无法将策略设置应用于特定的本地用户或组。例如，如果您在本地 GPO 中禁用了 USB 设备，则此策略将同时应用于用户和本地管理员帐户。

多个本地组策略对象 (MLGPO) 允许您将本地 GPO 设置应用于不同的本地用户或组。在本文中，我们将展示如何使用 MLGPO 将本地 GPO 应用于单个本地用户或不是本地管理员成员的用户。

您可以将 MLGPO 分配给：

• 任何本地用户（按名称）；

• 本地管理员组的成员；

• 不本地管理员组成员的所有用户。

本地组策略编辑器仅在 Windows 10 专业版、企业版和教育版中可用。在 Windows 10 家庭版中，您可以安装

gpedit.msc

使用以下指南。

要为用户或组创建新的本地组策略：

1. 按 Win + R ->

   mmc

   ;

2. 单击文件 -> 添加/删除管理单元
   

   

3. 在可用管理单元列表中选择组策略对象编辑器，然后单击添加；
   

   

4. 单击浏览并转到用户选项卡。您可以选择要应用策略的本地组或用户。如果本地 GPO 已分配给用户或组，您将在组策略对象存在列中看到是。要将策略应用于除管理员之外的所有本地用户，请选择非管理员；
   

   

5. 确保选择本地计算机\非管理员，然后单击完成；
   

   

6. 将出现带有用户设置的 GPO 编辑器控制台。您可以在此处配置要应用于非管理员用户的本地策略设置；
   

   

7. 为本地用户配置所需的组策略设置。

您可以使用 MLGPO 设置在将计算机加入 AD 域之前应用的用户限制。例如，您可以限制本地帐户下的网络访问。

如果要删除该组的本地策略，请在用户选项卡中选择该组，然后单击删除组策略对象。

本地 GPO 的主要缺点是它们很难移动到其他计算机（与存储在 AD 域控制器上并集中编辑的域 GPO 不同）。要传输 MLGPO 设置，您可以使用 Microsoft 官方工具 - lgpo.exe（它是安全合规性管理器和 Microsoft Security Baseline 的一部分）。

要将所有配置的本地策略导出到文件，请使用以下命令：

lgpo /b c:\GPObackup\

要将本地组策略设置导入到另一台计算机，请指定其 GUID（您可以在通过非管理员组的众所周知的 SID 获得的文件中找到策略文件夹 -

S-1-5-32-545

）。要在目标计算机上应用设置，请使用以下命令：

lgpo /parse /u C:\GPObackup\{GUID}\DomainSysvol\GPO\User\registry.pol

然后刷新 GPO 设置：

gpupdate /force

此外，您还可以使用

LocalGPO.wsf

用于导出/导入 MLGPO 的脚本。

导出：

cscript LocalGPO.wsf /Path:C:\GPObackup /Export /MLGPO:Non-Administrators

导入：

cscript LocalGPO.wsf /Path:C:\GPObackup\{GUID}