Lokale Gruppenrichtlinien exportieren und migrieren mit LocalGPO

    Wenn man Gruppenrichtlinien erst in einer PC-Referenzinstallation definieren möchte, um sie auf andere Rechner zu übertragen, dann muss man sie irgendwann vom Musterrechner exportieren. Nachher kann man sie dann in der Gruppenrichtlinien­verwaltung importieren und in der Domäne anwenden, oder man überträgt sie auf PCs, die einer Workgroup angehören. Für diesen Zweck eignet sich LocalGPO, das zum Lieferumfang von Microsofts kostenlosem Security Compliance Manager 2 gehört.

    Das Setup von SCM 2 speichert im Programmverzeichnis eine .msi-Datei, mit der sich LocalGPO einrichten lässt.Das Setup des SCM 2 richtet LocalGPO nicht mit ein, sondern platziert nur die entsprechende .msi-Datei im Programmverzeichnis, so dass man das Tool davon installieren kann. Der Vorgang reduziert sich im Wesentlichen darauf, das darin enthaltenen .wsf-Script zu entpacken und im Startmenü eine Verküpfung mit der Eingabeaufforderung einzurichten, die in das LocalGPO-Verzeichnis wechselt und dort das Script mit der Hilfefunktion aufruft.

    Export im Backup-Format oder als GPOPack

    LocalGPO sieht 2 Modi für den Export lokaler Gruppenrichtlinien vor. Der eine entspricht dem Backup von GPOs in der Gruppenrichtlinien­verwaltung und produziert exakt dasselbe Format wie jene, so dass es dort importiert und auf Rechner in der Domäne angewandt werden kann. Ein Aufruf sieht beispielsweise so aus, neben dem /export-Schalter muss man nur noch das Zielverzeichnis angeben:

    LocalGPO.wsf /Path:%USERPROFILE% /export

    Die zweite Option dient dazu, die exportierten Einstellungen so zu speichern, dass man sie auf einem anderen PC wieder in die lokalen Richtlinien importieren kann, auch wenn dort LocalGPO nicht vorhanden ist. Daher umfasst dieses Paket, das man mit dem Schalter /GPOPack erstellt, neben LocalGPO.wsf ein weiteres Script namens GPOPack.wsf, das man für den Import aufrufen muss. Mit von der Partie ist zudem LocalPol.exe. Ist jedoch auf dem Zielrechner LocalGPO installiert, dann übergibt man mit dem /Path-Argument den Pfad zu den exportierten Richtlinien, die importiert werden sollen.

    User-Einstellungen übernehmen

    Ein weiteres Feature von LocalGPO besteht darin, dass es die mit Vista eingeführten Multiple Local Group Policy Objects unterstützt. Sie erlauben die Definition von verschiedenen Richtlinien für individuelle lokale Benutzer oder Gruppen. Mit dem Schalter /MLGPO:{Name} kann man daher die Einstellungen für einen bestimmten User oder spezifische Gruppen übernehmen.

    Nützlich ist zudem die Möglichkeit, mit LocalGPO die lokalen Gruppenrichtlinien auf die Standardwerte zurückzusetzen, wenn man die Übersicht verloren hat:

    LocalGPO.wsf /Restore

    Zahlreiche Anwendungsmöglichkeiten

    Insgesamt bieten sich mehrere Einsatzgebiete für LocalGPO an. Eines besteht im Export der Einstellungen aus einer Musterinstallation, wobei dieser nicht nur in die Gruppenrichtlinien­verwaltung einer Domäne erfolgen muss. Möglich wäre auch die Integration eines GPOPacks in das Microsoft Deployment Toolkit, um es nach dem Deployment eines Windows-Images automatisch auszuführen. Schließlich liegt es natürlich auch noch nahe, die exportierten GPOs in den Security Compliance Manager 2 zu importieren und sie mit den eigenen oder von Microsoft gelieferten Vorgaben abzugleichen.

    Keine Kommentare