适用于：Windows 10 神州网信政府版

1.概要：

我们可以使用本地组策略在小型工作组网络（没有 AD 域）中的计算机上配置计算机或用户设置。本地 GPO 的主要缺点是无法将策略设置应用于特定的本地用户或组。例如，如果在本地 GPO 中禁用了 USB 设备，则此策略将同时应用于用户和本地管理员帐户。

多个本地组策略对象( MLGPO ) 允许将本地 GPO 设置应用于不同的本地用户或组。

我们将展示如何使用 MLGPO 将本地 GPO 应用于单个本地用户或不是本地管理员成员的用户。

MLGPO 分配给：

任何本地用户（按名称）；
本地管理员组的成员；
不是本地管理员组成员的所有用户。

要为用户或组创建新的本地组策略：

1、按 Win + R 打开“运行”窗口，输入 mmc 打开管理控制台；
单击文件 -> 添加/删除管理单元；

2、在可用管理单元列表中选择“组策略对象编辑器”，然后单击“添加”；

3、单击“浏览”并转到“用户”选项卡。选择要应用策略的本地组或用户。如果本地 GPO 已分配给用户或组，可以在“存在组策略对象”列中看到“是” 。要将策略应用于除管理员以外的所有本地用户，请选择“非管理员”；

4、确保选择了“本地计算机\非管理员”并单击“完成”；

5、打开带有用户设置的 GPO 编辑器控制台。可以在此处配置要应用于非管理员用户的本地策略设置；

6、为本地用户配置所需的组策略设置。

如果要删除某个组的本地策略，请在“用户”选项卡中选择该组，然后单击“删除组策略对象”；

要导出GPO设置并应用到其他计算机，可以使用lgpo.exe工具。

1、将所有配置的本地策略导出到文件：

lgpo /b c:\GPObackup\

2、在目标计算机上应用设置到非管理员或者其他用户：

lgpo /un path\registry.pol	import settings from registry.pol into user config for Non-Administrators
lgpo /u:username path\registry.pol	import settings from registry.pol into user config for local user specified by “username”

3、然后只需刷新 GPO 设置：

gpupdate /force