Oficialmente, você não pode. (No Server 2012 R2 no momento da redação deste artigo).
Não oficialmente? Talvez ...
As configurações de Diretiva de Grupo "MSS" não são e nunca foram incluídas com uma instalação padrão pronta para uso do Active Directory. Eles eram um complemento desenvolvido por um grupo de consultoria no campo, e as configurações foram consideradas tão úteis que foram incluídas no "Solution Accelerator" conhecido como Security Compliance Manager. (Ele é conhecido em vários nomes semelhantes anteriormente, como "Kit de ferramentas de gerenciamento de conformidade de segurança do Windows 7".)
O problema é que o Security Compliance Manager vem com um monte de lixo que você não quer, como uma instância do SQL Express. Lixo que você realmente não quer instalar em um controlador de domínio. Você só deseja extrair apenas a parte que deseja, que é o pacote "LocalGPO.msi".
O próximo problema é que o Security Compliance Manager nunca foi atualizado para 2012 R2. 2012 sim. 2012 R2, não.
Dito isso, talvez você ainda consiga fazê-lo funcionar no 2012 R2, mas cuidado - isso pode colocar seu servidor em um estado não suportável.
Faça o download da instalação do Security Compliance Manager . Execute-o no seu servidor.
Execute o .exe, mas não continue com a instalação. O instalador esvazia alguns arquivos em um diretório temporário no disco rígido, como C:\a1b2c3d4e5f6a0b1c2
ou D:\a1b2c3d4e5f6a0b1c2
. Nesse diretório, você encontrará um arquivo data.cab
. Abra esse arquivo e extraia o arquivo chamado GPOMSI
e renomeie esse arquivo para LocalGPO.msi
. Agora cancele o instalador do SCM e ele excluirá os arquivos temporários.
Instale o LocalGPO.msi no seu servidor. Em seguida, inicie o novo atalho "LocalGPO Command-line" que você encontrará em sua tela inicial. Execute-o como administrador. Digite cscript LocalGPO.wsf /ConfigSCE
.
Você receberá um erro informando que não está executando um sistema operacional suportado.
Abra LocalGPO.wsf no bloco de notas e comente o procedimento ChkOSVer no script para que ele não verifique sua versão. Agora, execute o comando acima novamente.
Eu tenho visto vários relatos de que isso funciona para outras pessoas, mas não funcionou para mim. Eu ainda tenho um erro VBscript na linha 2245 do script, em uma instrução WriteLine. Eu não me preocupei em depurar mais profundamente, me resignando ao fato de que ele simplesmente não foi atualizado para o 2012 R2.
Editar 11/04/2016: A versão que está hospedada em este blog da Microsoft escrito por Aaron Margosis contém um link de download para uma versão do MSS Extension que funcione para mim com o 2012 R2 sem necessidade de" hacking ". Isso é um link para um arquivo zip. Dentro do arquivo zip, você verá um diretório chamado 'Local_Script'. Dentro dessa pasta, você encontrará uma subpasta chamada 'MSS_Extension'. Simplesmente transfira esse diretório MSS_Extension para seu controlador de domínio 2012 R2. Em seguida, abra um prompt de comando e navegue para esse diretório. Então corra:
Cscript LocalGPO.wsf /ConfigSCE