LGPO.exe: Lokale Gruppenrichtlinien importieren und exportieren

    Lokale Gruppenrichtlinien verwalten mit LGPO.exeMicrosoft gab ein Tool frei, das lokale Grup­pen­richt­linien sichern und auf andere PCs migrieren kann. Interessant ist das Programm für Workgroups, um Ein­stel­lungen auf mehrere PCs zu ver­teilen. Es eignet sich auch, um GPOs aus einer Domäne auf Einzel­platz-PCs zu über­tragen.

    Bis dato stellte Microsoft für diese Aufgabe LocalGPO zur Verfügung, das aus mehreren .wsf-Scripts besteht und zum Lieferumfang des Security Compliance Manager gehört. Es ist zwar noch weiterhin verfügbar, seine Entwicklung wurde jedoch zugunsten des neuen LGPO.exe eingestellt.

    Import von Policies, Security-Templates, Auditing-Einstellungen

    Beim Nachfolger handelt es sich um ein Tool für die Kommandozeile. Es erfüllt im Wesentlichen folgende drei Aufgaben:

    • Import und Anwendung von Policies
    • Export lokaler Einstellungen in ein GPO-Backup
    • Konver­tierung von registry.pol in ein Textformat und zurück

    Die meisten Optionen dienen dem Import von Policies, wobei für jeden Typ ein eigenen Schalter zur Verfügung steht. So gibt es solche für die Computer- und Benutzerkonfiguration (/m bzw. /u), Security-Templates (/s) und die Einstellungen für das Auditing (/a).

    Möchte man sämtliche Richtlinien eines GPO-Backups importieren, dann gibt man /g zusammen mit dem Verzeichnis an, in dem sich die Sicherung befindet. Eine solche kann auch aus einer Domäne stammen, wo man sie mit Hilfe der Gruppen­richtlinien­verwaltung oder mit PowerShell erzeugt.

    Möchte man die lokalen Gruppenrichtlinien eines anderen PCs importieren, dann kann man sie zuerst dort mit LGPO.exe exportieren. Diesem Zweck dient der Schalter /b, dem man den absoluten Pfad des Verzeichnisses mitgeben muss, und zwar nach diesem Muster:

    LGPO.exe /b C:\Users\me\GPOs

    LGPO.exe kann die binären registry.pol in ein Textformat konvertieren.

    Schließlich eignet sich LGPO noch dazu, die in einer registry.pol gespeicherten Policies in einem Klartextformat auszugeben. Auf diese Weise kann man überprüfen, welche Einstellungen ein GPO enthält. Das Textformat dient bei Bedarf auch als Austauschformat, weil LGPO.exe dieses wieder in eine registry.pol zurückverwandeln kann.

    Voraussetzungen und Verfügbarkeit

    Die Ausführung von LGPO.exe bedarf administrative Rechte. Eine Installation des Kommandozeilen-Tools ist nicht erforderlich. Es kann kostenlos von Microsofts Website herunter­geladen werden. Zum Lieferumfang des ZIP-Archivs gehört eine PFD-Datei mit einer Dokumentation aller Parameter.

    2 Kommentare

    Bild von Günter Niemann
    Günter Niemann sagt:
    20. April 2018 - 10:38

    Eine neuere LGPOO.exe (v2.2) ist unter "Microsoft Security Compliance Toolkit 1.0" verfügbar:
    https://www.microsoft.com/en-us/download/details.aspx?id=55319

    Gruß, G. N.

    Bild von Wolfgang Sommergut
    20. April 2018 - 11:00

    Danke! Ich habe den Download-Link aktualisiert.