(черновик)
LGPO.exe — это новая утилита командной строки для автоматизации управления локальной групповой политикой. Он заменяет ненужный инструмент LocalGPO, который поставляется с диспетчером соответствия безопасности (SCM) и инструментами Apply_LGPO_Delta и ImportRegPol.
Особенности:
Импортируйте настройки в локальную групповую политику из резервных копий GPO или из отдельных файлов компонентов политики, включая политику реестра (registry.pol), шаблоны безопасности и расширенные файлы CSV для аудита.
Экспорт локальной политики в резервную копию объекта групповой политики.
Разбирайте файл реестра (registry.pol) для чтения «текста LGPO» непосредственно на консоль или перенаправлены в файл, который можно редактировать и импортировать в локальную политику.
Создайте новый файл политики реестра (registry.pol) из «текста LGPO».
Включить расширения клиентской стороны групповой политики для обработки локальной политики.
Add Security Group to Local Administrators Using GPO
Почтовый файл, прикрепленный к этому сообщению, включает в себя файл LGPO.exe и полную документацию. Это синтаксис командной строки:
LGPO.exe v1.00 — Утилита локальных объектов групповой политики
LGPO.exe имеет четыре режима:
* Импортировать и применять параметры политики;
* Экспорт локальной политики в резервную копию объекта групповой политики;
* Разбирайте файл registry.pol в формате «LGPO text»;
* Создайте файл registry.pol из «текста LGPO».
Чтобы применить параметры политики:
где «команда» — одно или несколько из следующих (каждый из которых можно повторить):
/ g из одного или нескольких резервных копий GPO в разделе «путь»
/ m путь registry.pol параметры импорта из registry.pol в параметры конфигурации машины
/ u path registry.pol из реестра.pol в пользовательский config
/ s путь GptTmpl.inf применить шаблон безопасности
/ a [c] путь Audit.csv применить расширенные настройки аудита; / ac для очистки политики first
/ t path lgpo.txt применять команды реестра из текста LGPO
/ e | включить расширение GP для обработки локальной политики; укажите
GUID или одно из этих имен:
* «зона» для расширения отображения зоны IE
* «смягчение» для вариантов предотвращения, включая блокировку шрифтов
* «аудит» для расширенной конфигурации политики аудита
/ перезагрузки после применения политик
/ v подробный вывод
/ q тихий выход (без заголовков)
Чтобы создать резервную копию групповой политики из локальной политики:
LGPO.exe / b путь [/ n GPO-name]
/ b Создать резервное копирование GPO в «пути»
/ n Имя GPO Необязательное отображаемое имя GPO (используйте кавычки, если оно содержит пробелы)
Чтобы проанализировать файл Registry.pol на текст LGPO (stdout):
LGPO.exe / parse [/ q] путь registry.pol
/ m path registry.pol parse registry.pol как команды конфигурации машины
block USB drive via local GPO
/ u path registry.pol parse registry.pol как пользовательские команды конфигурации
/ q тихий вывод (без заголовков)
Чтобы создать файл Registry.pol из текста LGPO:
LGPO.exe / r path lgpo.txt / w path registry.pol [/ v]
/ r path lgpo.txt Прочитать ввод текстового файла LGPO
/ w path registry.pol Записать новый файл registry.pol
(Дополнительную информацию и примеры см. В документации).
Загрузить:
Источник:
Aaron Margosis January 21, 2016 «LGPO.exe – Local Group Policy Object Utility, v1.0» на blogs.technet.microsoft.com
Источник: reks.biz
Как: экспортировать параметры групповой политики в Windows 7
Редактор локальной групповой политики это мощный, но гибкий инструмент для настройки параметров Windows и незаменимое средство для объединения компьютеров в домене Active Directory в единую конфигурацию. Если домена нет, параметры для отдельных компьютеров можно настроить с помощью локальной групповой политики. Основным недостатком локальных политик является то, что они не могут быть централизованно распределены между компьютерами рабочей группы. Поэтому администратор должен вручную настроить параметры групповой политики на каждом компьютере. Если есть много компьютеров и параметров для настройки, это не очень продуктивно.
Было бы целесообразно иметь один компьютер в рабочей группе со ссылочными настройками локальной групповой политики и параметрами безопасности, которые применяются к другим компьютерам, и после внесения изменений вы можете скопировать эту конфигурацию на другие компьютеры.
Экспорт файлов GPO вручную
Если вы пытаетесь экспортировать файл локальной групповой политики, вы должны знать, что при экспорте обычных настроек и параметров безопасности необходимо соблюдать разные шаги.
Экспорт нормальных параметров групповой политики
- Откройте проводник
- Перейти к этому пути к файлу:
% systemroot% System32 Групповая политика - В этой папке вы найдете две другие папки с именем Machine и User
- Скопируйте их в папки% systemroot% System32 Group Policy на компьютере, на который вы хотите выполнить экспорт.
- Если вы не видите папки, убедитесь, что вы видите скрытые файлы и папки.
Обновление за май 2023 года:
- Шаг 1: Скачать PC Repair https://windowsbulletin.com/ru/%D0%9A%D0%B0%D0%BA-%D1%8D%D0%BA%D1%81%D0%BF%D0%BE%D1%80%D1%82%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D1%82%D1%8C-%D0%BF%D0%B0%D1%80%D0%B0%D0%BC%D0%B5%D1%82%D1%80%D1%8B-%D0%B3%D1%80%D1%83%D0%BF%D0%BF%D0%BE%D0%B2%D0%BE%D0%B9-%D0%BF%D0%BE%D0%BB%D0%B8%D1%82%D0%B8%D0%BA%D0%B8-%D0%B2-Windows-7/» target=»_blank»]windowsbulletin.com[/mask_link]
Перенос настроек локальной групповой политики между компьютерами
15.11.2022
itpro
Групповые политики
комментарий 31
Групповые политики являются мощным и одновременно гибким инструментом настройки параметров ОС Windows и являются незаменимым средством приведения компьютеров к единой конфигурации в рамках домена Active Directory. При отсутствии домена настраивать параметры отдельного компьютера можно через локальную групповую политику. Существенный недостаток локальных политик – отсутствие средств их распространения между компьютерами рабочей группы. В результате, администратору приходится на каждом компьютере вручную настраивать параметры групповой политики. При большом количестве компьютеров и настраиваемых параметров это не очень-то продуктивно…
Оптимально было бы создать в рамках рабочей группы некий эталонный компьютер с необходимыми настройками локальных групповых политик и параметров безопасности, которые должны быть применены на всех компьютерах, и при внесении изменений распространять эту конфигурацию на остальные ПК.
В этой статье мы рассмотрим, как раз такой сценарий, позволявший просто и быстро перенести настройки локальной групповой политики с одного настроенного компьютера на другие ПК в рабочей группе.
Проблемы переноса локальных Group Policy между компьютерами
Самый простой способов перенести настройки локальной GP (групповой политики) между компьютерами – вручную скопировать содержимое папки %systemroot%System32GroupPolicy (по умолчанию этот каталог скрыт) с одного компьютера на другой с заменой содержимого (после замены файлов нужно вручную запустить обновление политик командой gpupdate /force или перезагрузить ПК).
Этот метод довольно прост, но имеет несколько существенных недостатков:
- Так не переносятся локальные параметры безопасности (Security Templates);
- Есть вероятность неработоспособности GPO, если версия или сборка ОС на компьютере-доноре и получателе сильно отличаются;
- Невозможность создания на базе локальной политики доменной GPO (импорта политики в домен Active Directory для дальнейшего использования);
- При копировании политики придется вручную править любые упоминания имени локального компьютера в настройках;
- Есть ряд проблем с переносом нестандартных admx шаблонов.
Гораздо проще и удобнее для импорта/экспорта локальной групповой политики, созданной с помощью gpedit.msc, воспользоваться утилитой LocalGPO, входящей в состав пакета Microsoft Security Compliance Manager 3.0. Утилита LocalGPO позволяет не только быстро создать резервную копию локальной GPO и восстанавливать из нее настройки локальных политик, но и создавать исполняемый файл GPOPack, позволяющий одним щелчком перенести (импортировать) настройки локальной GPO на другую машину.
Важно. Утилита LocalGPO на данный момент является устаревшей и официально не поддерживается Microsoft. Кроме того, она не работает в современных Windows 10 и Windows Server 2016 (хотя это можно обойти с помощью модификации скрипта, описанного ниже). Для экспорта, импорта и переноса настроек локальных GPO между компьютерами рекомендуется использовать утилиту LGPO.exe (примеры использования данной утилиты вы можете найти в последнем разделе этой статьи).
Утилита LocalGPO – позволяет экспортировать все настройки локальных политик, в том числе из разделов INF, POL, Audit, параметры политики брандмауэра Windows и т.п. LocalGPO идеально подходит для использования в организациях без доменов для распространения шаблона групповой политики между компьютерами. Также она крайне полезна при использовании в связке с системой развертывания Microsoft Deployment Toolkit (MDT) или SCCM.
Установка утилиты LocalGPO
Чтобы установить утилиту LocalGPO на локальном компьютере (в нашем случае он будет выступать в качестве донора настроек локальной групповой политики):
- Скачайте пакет Security Compliance Manager (SCM) 3.0 (https://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx
- Откройте скачанный файл Security_Compliance_Manager_Setup.exe как архив с помощью любого архиватора (7Zip или WinRar).
Примечание. Мы не хотим целиком устанавливать пакет Security Compliance Manager, т.к. он достаточно тяжелый и содержит множество компонентов, которые нам не требуются для этой задачи (SQL Server Express, Microsoft Visual C++ 2010 Redistributable и т.д.).
- Извлеките из архива файл data.cab, который в свою очередь распакуйте (например в каталог C:Distrdata).
- Найдите в полученном каталоге файл GPOMSI и переименуйте его в GPO.msi.
- Запустите установку GPO.msi.
- Возможность экспорта настроек локальной групповой политик.
- Импортировать настройки GPO из резервной копии. Поддерживается импорт в том числе файлов registry.pol, шаблонов безопасности, CSV файлов.
- Преобразование файлов registry.pol в удобочитаемый формат LGPO и наоборот.
Разберемся, как пользоваться утилитой LocalGPO. Управление возможно только через интерфейс консоли (командной строки). Откроем командную строку с правами администратора и перейдем в каталог C:Program FilesLocalGPO (на 32 битных системах) или C:Program Files (x86)LocalGPO (на 64-битных).
Примечание. Если вы попытаетесь использовать утилиту LocalGPO для переноса локальных групповых политик в Windows 10, вы получите ошибку.
LocalGPO Tool
—————————
This tool only runs on Windows XP Professional, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, or Windows Server 2012
Дело в том, что утилита LocalGPO поддерживает только для Windows 8 (Windows Server 2012) и ниже. В более новых версиях Windows (Windows 8.1, Windows 10) рекомендуется использовать новую утилиту LGPO.exe (см. последний раздел в этой статье). Хотя технически, старый скрипт LocalGPO.wsf поддерживает и Windows 10 / 8.1 и Windows Server 2016 / 2012 R2. Чтобы LocalGPO.wsf работал с новыми ОС, достаточно изменить в файле код функции проверки версии ОС (ChkOSVersion), добавив следующие строки:
If(Left(strOpVer,4) = «10.0») and (strProductType = «1») then
strOS = «Win10»
ElseIf(Left(strOpVer,3) = «6.3») and (strProductType <> «1») then
strOS = «WS16»
ElseIf(Left(strOpVer,3) = «6.3») and (strProductType = «1») then
strOS = «Win81»
Экспорт локальной политики
Для экспорта настроек локальной групповой политики в каталог C:GPObackup (каталог нужно создать предварительно), выполним команду
cscript LocalGPO.wsf /Path:C:GPObackup /Export
В целевом каталоге появится новая папка с неким GPO GUID, в которой будут содержаться все параметры локальной политики компьютера.
По сути мы создали резервную копию локальной GPO, к которой мы всегда сможем откатиться.
Утилита LocalGPO.wsf поддерживает работу с множественной локальной групповой политикой (Multiple Local GPO — MLGPO). Чтобы выгрузить локальную политику, привязанную к конкретной локальной группе или пользователю, нужно использовать следующий формат использования LocalGPO.wsf.
cscript LocalGPO.wsf /Path:C:GPObackup /Export /MLGPO:Administrators
cscript LocalGPO.wsf /Path:C:GPObackup /Export /MLGPO:LocalUserName
Импорт настроек локальной GPO
Чтобы восстановить настройки Local Group Policy из полученной копии, выполним импорт следующей командой, указав в качестве аргумента путь к каталогу.
cscript LocalGPO.wsf /Path:C:GPObackup
GPOPack – формат переноса локальной групповой политики на другие компьютеры
Утилита LocalGPO предполагает возможность создания пакета GPOPack, предназначенного для удобного импорта настроек локальной GPO на другие компьютеры (не требует предварительной установки LocalGPO на целевой компьютер). Этот же формат удобен для использования в задачах развертывания ОС через Microsoft Deployment Toolkit (MDT) или Microsoft System Center Configuration Manager (SCCM). Для создания переносимого пакета, выполним:
cscript LocalGPO.wsf /Path:C:GPObackup /Export /GPOPack
Скопируем полученную папку на другой компьютер (на котором планируется применить эти политики), откроем командную строку с правами администратора и запустим файл GPOPack.wsf.
Сообщение «Applied GPOPack to Local Policy» говорит о том, что политики перенесены успешно. Осталось перезагрузить систему и проверить, что на этот компьютер теперь действуют такие же настройки локальной политики.
Полный список аргументов утилиты LocalGPO.wsf доступен с ключом /?:
Сброс настроек локальной политики на значения по-умолчанию
С помощью LocalGPO можно сбросить все текущие настройки локальной политики на стандартные, для этого выполним команду:
cscript LocalGPO.wsf /Restore
Совет. Ранее мы уже показывали как можно вручную сбросить конфигурацию локальной групповой политики.
Импорт локальной групповой политики в домен AD
Формат импорта политик LocalGPO предполагает возможность импорта настроек локальной групповой политики в доменную GPO. Эта операция может быть выполнена через функционал резвого копирования и восстановления доменных GPO в консоли управления GPMC (Group Policy Management Console). Пример использования подобной техники есть в статье Перенос GPO между доменами.
Утилита LGPO.exe для управления локальными GPO
Утилита консольной строки LGPO.exe предназначена для автоматизации управления локальными групповыми политиками и предназначена заменить более не поддерживаемую утилиту LocalGPO. Поэтому в настоящий момент рекомендуется использовать только ее. LGPO.exe входит в состав Security Compliance Manager (SCM).
Утилита LGPO.exe обладает следующими возможностями:
Чтобы экспортировать текущие настройки локальной GPO в указанный каталог, выполните команду:
LGPO.exe /b c:toolsGPO
Утилита выгрузит все текущие настройки политик в папку с GUID групповой политики.
Чтобы представить текущие настройки GPO в файле резервной копии из файла registry.pol в удобном для анализа текстовом виде, выполните команду:
lgpo.exe /parse /m «C:toolsGPO\DomainSysvolGPOMachineregistry.pol»>>c:toolsgpolgpo.txt
Откройте текстовый файл lgpo.txt. Как вы видите, в нем содержаться все настройки реестра, которые применяются данной политикой.
Внесите необходимые изменения в файл с параметрами реестра lgpo.txt и сконвертируйте его в формат registry.pol:
LGPO.exe /r «C:toolsGPOlgpo.txt» /w «C:toolsGPOregistry_new.pol»
Теперь импортируйте новые настройки политик из pol файла:
LGPO.exe /m «C:toolsGPOregistry_new.pol»
Чтобы импортировать (перенести) настройки локальной GPO с этого компьютера на другой, скопируйте каталог с политикой на целевой компьютере и выполните команду:
LGPO.exe /g C:toolsGPO
Версия LGPO v2.2 поддерживает корректную работу с множественной локальной политикой (MLGPO), которая позволяет настраивать отдельные политики для разных пользователей (доступно в Windows Vista и выше).
Итак, как вы видите, пользоваться утилитой LGPO.exe для создания бэкапа локальных политик и переноса настроек GPO между компьютерами совсем несложно.
Предыдущая статья Следующая статья 
Источник: winitpro.ru