Tags: Backup, Gruppenrichtlinien
Wenn man Gruppenrichtlinien erst in einer PC-Referenzinstallation definieren möchte, um sie auf andere Rechner zu übertragen, dann muss man sie irgendwann vom Musterrechner exportieren. Nachher kann man sie dann in der Gruppenrichtlinienverwaltung importieren und in der Domäne anwenden, oder man überträgt sie auf PCs, die einer Workgroup angehören. Für diesen Zweck eignet sich LocalGPO, das zum Lieferumfang von Microsofts kostenlosem Security Compliance Manager 2 gehört.
Das Setup des SCM 2 richtet LocalGPO nicht mit ein, sondern platziert nur die entsprechende .msi-Datei im Programmverzeichnis, so dass man das Tool davon installieren kann. Der Vorgang reduziert sich im Wesentlichen darauf, das darin enthaltenen .wsf-Script zu entpacken und im Startmenü eine Verküpfung mit der Eingabeaufforderung einzurichten, die in das LocalGPO-Verzeichnis wechselt und dort das Script mit der Hilfefunktion aufruft.
Export im Backup-Format oder als GPOPack
LocalGPO sieht 2 Modi für den Export lokaler Gruppenrichtlinien vor. Der eine entspricht dem Backup von GPOs in der Gruppenrichtlinienverwaltung und produziert exakt dasselbe Format wie jene, so dass es dort importiert und auf Rechner in der Domäne angewandt werden kann. Ein Aufruf sieht beispielsweise so aus, neben dem /export-Schalter muss man nur noch das Zielverzeichnis angeben:
LocalGPO.wsf /Path:%USERPROFILE% /export
Die zweite Option dient dazu, die exportierten Einstellungen so zu speichern, dass man sie auf einem anderen PC wieder in die lokalen Richtlinien importieren kann, auch wenn dort LocalGPO nicht vorhanden ist. Daher umfasst dieses Paket, das man mit dem Schalter /GPOPack erstellt, neben LocalGPO.wsf ein weiteres Script namens GPOPack.wsf, das man für den Import aufrufen muss. Mit von der Partie ist zudem LocalPol.exe. Ist jedoch auf dem Zielrechner LocalGPO installiert, dann übergibt man mit dem /Path-Argument den Pfad zu den exportierten Richtlinien, die importiert werden sollen.
User-Einstellungen übernehmen
Ein weiteres Feature von LocalGPO besteht darin, dass es die mit Vista eingeführten Multiple Local Group Policy Objects unterstützt. Sie erlauben die Definition von verschiedenen Richtlinien für individuelle lokale Benutzer oder Gruppen. Mit dem Schalter /MLGPO:{Name} kann man daher die Einstellungen für einen bestimmten User oder spezifische Gruppen übernehmen.
Nützlich ist zudem die Möglichkeit, mit LocalGPO die lokalen Gruppenrichtlinien auf die Standardwerte zurückzusetzen, wenn man die Übersicht verloren hat:
LocalGPO.wsf /Restore
Zahlreiche Anwendungsmöglichkeiten
Insgesamt bieten sich mehrere Einsatzgebiete für LocalGPO an. Eines besteht im Export der Einstellungen aus einer Musterinstallation, wobei dieser nicht nur in die Gruppenrichtlinienverwaltung einer Domäne erfolgen muss. Möglich wäre auch die Integration eines GPOPacks in das Microsoft Deployment Toolkit, um es nach dem Deployment eines Windows-Images automatisch auszuführen. Schließlich liegt es natürlich auch noch nahe, die exportierten GPOs in den Security Compliance Manager 2 zu importieren und sie mit den eigenen oder von Microsoft gelieferten Vorgaben abzugleichen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- LGPO.exe: Lokale Gruppenrichtlinien importieren und exportieren
- Gruppenrichtlinienobjekte sichern und wiederherstellen mit PowerShell
- Neue Gruppenrichtlinien in Windows 11 23H2
- Taskleiste in Windows 11 anpassen und mit GPO oder Intune verteilen
- Sicherheitseinstellungen für Windows verwalten: Ansible und Gruppenrichtlinien im Vergleich
Weitere Links