LGPO.exe - Local Group Policy Object Utility, v1.0 | Microsoft Community Hub
LGPO.exe 是 Windows 操作系统中的一款命令行工具,专门用于管理本地组策略。它允许用户导入、导出以及解析与本地组策略相关的设置,适用于计算机配置和用户配置。以下是详细介绍:
1. 是什么
LGPO.exe 是 本地组策略对象(Local Group Policy Object, LGPO)工具,由微软提供,通常用于管理和配置计算机的组策略设置。它支持多种操作,比如导入、导出策略文件(例如 registry.pol),或者从 LGPO 文本文件中应用设置。
2. 怎么使用
LGPO.exe 可以通过命令行使用,执行的操作通常包括以下几种:
-
导入本地组策略设置:你可以从外部文件(例如 GPO 备份、注册表文件等)导入组策略设置到计算机或用户的本地策略。
-
导出本地组策略设置:你可以将当前的本地组策略配置导出到一个文件,以便备份或者在其他计算机上应用。
-
解析
registry.pol文件:将包含在组策略中的注册表设置导出为 LGPO 文本格式。 -
应用注册表策略:将组策略设置直接应用到计算机配置或者用户配置中。
3. 为什么使用 LGPO.exe
LGPO.exe 工具特别适合以下场景:
-
批量管理:如果你有多台计算机需要管理,LGPO.exe 允许你轻松批量导入或导出策略,避免手动配置每台计算机的本地组策略。
-
备份和恢复:通过导出组策略设置,可以在系统出现问题时快速恢复原有配置,或者将配置迁移到其他机器上。
-
自动化管理:管理员可以通过脚本实现自动化操作,使得本地组策略的管理变得更加高效。
-
兼容性:LGPO.exe 不依赖于 Active Directory,因此它适用于没有域控制器的本地计算机环境,适合那些只需本地策略管理的情况。
4. 常用命令
/b 路径:创建 GPO 备份。/g 路径:从指定路径导入 GPO 设置。/p 路径:从Policy Analyzer的.PolicyRules文件导入设置。/m 路径\registry.pol:导入注册表文件到计算机配置。/t 路径\lgpo.txt:应用来自 LGPO 文本的注册表命令。/e:启用扩展功能(例如 IE 区域映射、LAPS 等)。
LGPO.exe 是一种强大的工具,特别适合 Windows 环境中需要管理本地组策略的系统管理员。它简化了本地策略的导入、导出、应用和备份操作,且可以自动化这些过程,提升工作效率。
更清晰地展示 LGPO.exe 的功能,以下是经过进一步改进的表格,按功能分类进行详细描述:
| 功能类别 | 命令选项 | 描述 | 用途 |
|---|---|---|---|
| 导入/导出组策略设置 | /g <路径> |
从指定路径导入组策略设置到本地计算机。 | 导入一个 GPO 文件中的设置到本地组策略。 |
/b <路径> |
创建并导出当前本地组策略的备份文件。 | 备份当前的组策略配置,以便将来恢复或迁移到其他计算机。 | |
| 注册表策略文件管理 | /m <路径\registry.pol> |
从 registry.pol 文件导入注册表策略设置到计算机配置。 |
导入包含在 registry.pol 文件中的注册表策略设置。 |
| 应用本地组策略设置 | /l |
强制应用本地计算机上的组策略设置,立即生效。 | 立即刷新并应用当前的本地组策略设置。 |
| 从文本文件应用策略 | /t <路径\lgpo.txt> |
从 LGPO 文本文件应用策略配置。 | 将文本文件中的策略设置应用到本地组策略。 |
| 扩展功能支持 | /e |
启用扩展功能,例如 Internet Explorer 区域映射、LAPS 配置等。 | 启用特定的扩展功能以支持其他策略(如 IE 设置、LAPS)。 |
| 导入 PolicyRules 文件 | /p <路径\PolicyRules> |
从 Policy Analyzer 的 .PolicyRules 文件导入策略设置。 |
导入并应用由 Policy Analyzer 生成的策略规则。 |
| 显示帮助信息 | /h |
显示 LGPO.exe 命令行工具的帮助信息。 | 获取有关命令行工具的使用说明与选项。 |
详细说明:
- 导入/导出组策略设置:适用于对整个本地组策略进行备份与恢复,确保策略设置的一致性。
- 注册表策略文件管理:主要用于导入注册表策略文件,确保注册表设置可以通过 LGPO 应用到本地计算机。
- 应用本地组策略设置:用于强制系统在更改组策略后立即生效,常用于配置完成后的测试或验证。
- 扩展功能支持:帮助启用一些额外的功能支持,如针对 Internet Explorer 和本地管理员密码解锁(LAPS)策略的支持。
- 导入 PolicyRules 文件:结合 Policy Analyzer 工具使用,适用于更复杂的策略设置导入和管理。
这个表格改进后,按功能类别进行了分组,方便理解和查找具体命令的用途与功能。
进一步提升表格的清晰度和易用性,可以根据 LGPO.exe 的实际应用场景对命令进行更细致的分类,并加入一些说明,帮助用户更好地理解每个命令的实际用途。下面是改进后的表格,将命令分为 备份与恢复、注册表策略管理、组策略应用与刷新、扩展功能支持 和 帮助与信息查询 五大类。
| 功能类别 | 命令选项 | 描述 | 用途 |
|---|---|---|---|
| 备份与恢复 | /b <路径> |
创建并导出当前本地组策略的备份文件。 | 备份当前的组策略配置,以便将来恢复或迁移到其他计算机。 |
/g <路径> |
从指定路径导入组策略设置到本地计算机。 | 导入一个 GPO 文件中的设置到本地组策略。 | |
| 注册表策略管理 | /m <路径\registry.pol> |
从 registry.pol 文件导入注册表策略设置到计算机配置。 |
导入包含在 registry.pol 文件中的注册表策略设置。 |
| 组策略应用与刷新 | /l |
强制应用本地计算机上的组策略设置,立即生效。 | 立即刷新并应用当前的本地组策略设置。 |
/t <路径\lgpo.txt> |
从 LGPO 文本文件应用策略配置。 | 将文本文件中的策略设置应用到本地组策略。 | |
| 扩展功能支持 | /e |
启用扩展功能,例如 Internet Explorer 区域映射、LAPS 配置等。 | 启用特定的扩展功能以支持其他策略(如 IE 设置、LAPS)。 |
/p <路径\PolicyRules> |
从 Policy Analyzer 的 .PolicyRules 文件导入策略设置。 |
导入并应用由 Policy Analyzer 生成的策略规则。 | |
| 帮助与信息查询 | /h |
显示 LGPO.exe 命令行工具的帮助信息。 | 获取有关命令行工具的使用说明与选项。 |
详细说明:
- 备份与恢复:这一类命令用于对组策略进行备份和恢复操作,确保在需要时能够恢复到特定的策略设置。适用于迁移策略设置或在配置更改前进行备份。
- 注册表策略管理:专注于注册表策略的管理,适用于从注册表策略文件 (
registry.pol) 导入设置。 - 组策略应用与刷新:用于应用和刷新本地计算机上的策略设置,确保策略变更后立即生效,常用于配置完成后的测试。
- 扩展功能支持:启用特定的扩展功能,帮助用户处理更多复杂的场景,如 Internet Explorer 设置、LAPS(本地管理员密码解锁)等功能。
- 帮助与信息查询:用于查询
LGPO.exe工具的帮助信息,帮助用户了解如何使用该工具的各种命令和选项。
通过这种分类,用户可以根据需要快速找到相关命令,同时了解命令的具体用途。这种结构也更便于对每个功能进行细致的操作和管理。
LGPO.exe 于 2016 年 1 月 21 日首次发布在 TechNet 上,是一个新的命令行实用程序,用于自动管理本地组策略。它取代了安全合规性管理器 (SCM) 附带的不再维护的 LocalGPO 工具,以及 Apply_LGPO_Delta 和 ImportRegPol 工具。
特征:
- 从 GPO 备份或单个策略组件文件(包括 Registry Policy (registry.pol)、安全模板和高级审核 CSV 文件)将设置导入到本地组策略中。
- 将本地策略导出到 GPO 备份。
- 将注册表策略 (registry.pol) 文件解析为可读的“LGPO 文本”,直接到控制台,或重定向到可以编辑并导入到本地策略中的文件。
- 从 “LGPO text” 构建一个新的注册表策略 (registry.pol) 文件。
- 为本地策略处理启用组策略客户端扩展。
本文附带的 zip 文件包括 LGPO.exe 和完整文档。以下是命令行语法:
LGPO.exe v1.00 - 本地组策略对象实用程序
LGPO.exe 有四种模式:
* 导入和应用策略设置;
* 将本地策略导出到 GPO 备份;
* 将 registry.pol 文件解析为 “LGPO text” 格式;
* 从 “LGPO text” 构建一个 registry.pol 文件。
要应用策略设置:
LGPO.exe命令 [...]
其中,“command”是以下一项或多项(每个都可以重复):
/g 路径 从“path”
下的一个或多个 GPO 备份导入设置 /m path\registry.pol 将设置从 registry.pol 导入到计算机配置
/u path\registry.pol 将设置从 registry.pol 导入到用户配置
/s path\GptTmpl.inf 应用安全模板
/a[c] path\Audit.csv 应用高级审核设置;/ac 首先
清除策略 /t path\lgpo.txt 从 LGPO 文本
应用注册表命令 /e <name>|<guid> 启用 GP 扩展以进行本地策略处理;指定
GUID 或以下名称之一:
* “zone” 表示 IE 区域映射扩展
* “mitigation” 用于缓解选项,包括字体阻止
* “audit” 用于高级审核策略配置
/应用策略
后启动重启 /v verbose 输出
/q 静默输出(无标头)
要从本地策略创建 GPO 备份:
LGPO.exe /b 路径 [/n GPO-name]
/b 路径 在“路径”
中创建 GPO 备份 /n GPO-name 可选的 GPO 显示名称(如果包含空格,请使用引号)
要将 Registry.pol 文件解析为 LGPO 文本 (stdout):
LGPO.exe /parse [/q] {/m|/u} path\registry.pol
/m path\registry.pol 将 registry.pol 解析为机器配置命令
/u path\registry.pol 解析 registry.pol 作为用户配置命令
/q 静默输出(无标头)
要从 LGPO 文本构建 Registry.pol 文件:
LGPO.exe /r path\lgpo.txt /w path\registry.pol [/v]
/r path\lgpo.txt 从 LGPO 文本文件
读取输入 /w path\registry.pol 写入新的 registry.pol 文件
(有关更多信息和示例,请参阅文档。
[更新:最新版本的 LGPO.exe 在这里 。
LGPO.exe - 本地组策略对象工具
版本 3.0.2004.13001
版权所有 (C) 2015-2020 微软公司
安全合规工具包 - https://www.microsoft.com/download/details.aspx?id=55319
无法识别的选项 "/?"
LGPO.exe 有四种模式:
- 导入并应用策略设置;
- 将本地策略导出为 GPO 备份;
- 解析 registry.pol 文件为 "LGPO 文本" 格式;
- 从 "LGPO 文本" 构建 registry.pol 文件。
应用策略设置:
LGPO.exe 命令 [...] 其中 "命令" 是以下之一或多个(每个命令都可以重复): /g 路径 从 "路径" 下的一个或多个 GPO 备份导入设置
/p 路径\lgpo.PolicyRules 从 Policy Analyzer 的 .PolicyRules 文件导入设置
/m 路径\registry.pol 从 registry.pol 导入设置到计算机配置
/u 路径\registry.pol 从 registry.pol 导入设置到用户配置
/ua 路径\registry.pol 从 registry.pol 导入设置到管理员的用户配置
/un 路径\registry.pol 从 registry.pol 导入设置到非管理员的用户配置
/u:用户名 路径\registry.pol 从 registry.pol 导入设置到指定 "用户名" 的本地用户配置
/s 路径\GptTmpl.inf 应用安全模板
/a[c] 路径\Audit.csv 应用高级审计设置;/ac 表示先清除策略
/t 路径\lgpo.txt 应用来自 LGPO 文本的注册表命令
/e <名称>|<GUID> 启用 GP 扩展用于本地策略处理;指定 GUID 或以下名称之一: * "zone" 用于 IE 区域映射扩展 * "mitigation" 用于缓解选项,包括字体阻止 * "audit" 用于高级审计策略配置 * "LAPS" 用于本地管理员密码解决方案 * "DGVBS" 用于设备保护虚拟化安全 * "DGCI" 用于设备保护代码完整性策略
/ef 路径\backup.xml 启用在 GPO 备份的 backup.xml 中引用的 GP 扩展
/boot 应用策略后重新启动
/v 显示详细输出
/q 安静输出(没有标题)从本地策略创建 GPO 备份:
LGPO.exe /b 路径 [/n GPO-名称] /b 路径 在 "路径" 中创建 GPO 备份
/n GPO-名称 可选的 GPO 显示名称(如果包含空格,请使用引号)将 Registry.pol 文件解析为 LGPO 文本(标准输出):
LGPO.exe /parse [/q] {/m|/u|/ua|/un|/u:用户名} 路径\registry.pol /m 路径\registry.pol 将 registry.pol 解析为计算机配置命令
/u 路径\registry.pol 将 registry.pol 解析为用户配置命令
/ua 路径\registry.pol 将 registry.pol 解析为管理员的用户配置
/un 路径\registry.pol 将 registry.pol 解析为非管理员的用户配置
/u:用户名 路径\registry.pol 将 registry.pol 解析为指定 "用户名" 的本地用户配置
/q 安静输出(没有标题)从 LGPO 文本构建 Registry.pol 文件:
LGPO.exe /r 路径\lgpo.txt /w 路径\registry.pol [/v] /r 路径\lgpo.txt 从 LGPO 文本文件读取输入
/w 路径\registry.pol 写入新的 registry.pol 文件(有关更多信息和示例,请参阅文档。)
| 功能 | 命令 | 参数及描述 | 示例 |
|---|---|---|---|
| 应用策略设置 | LGPO /g 路径 |
从指定路径下的一个或多个 GPO 备份导入设置 | LGPO /g C:\Backup |
LGPO /p 路径\lgpo.PolicyRules |
从 Policy Analyzer 的 .PolicyRules 文件导入设置 | LGPO /p C:\Policies\PolicyRules |
|
LGPO /m 路径\registry.pol |
从 registry.pol 导入设置到计算机配置 | LGPO /m C:\Policies\registry.pol |
|
LGPO /u 路径\registry.pol |
从 registry.pol 导入设置到用户配置 | LGPO /u C:\Users\Default\registry.pol |
|
LGPO /ua 路径\registry.pol |
从 registry.pol 导入设置到管理员的用户配置 | LGPO /ua C:\Admin\registry.pol |
|
LGPO /un 路径\registry.pol |
从 registry.pol 导入设置到非管理员的用户配置 | LGPO /un C:\NonAdmin\registry.pol |
|
LGPO /u:用户名 路径\registry.pol |
从 registry.pol 导入设置到指定 "用户名" 的本地用户配置 | LGPO /u:John C:\Users\John\registry.pol |
|
LGPO /s 路径\GptTmpl.inf |
应用安全模板 | LGPO /s C:\Templates\GptTmpl.inf |
|
LGPO /a[c] 路径\Audit.csv |
应用高级审计设置,/ac 表示先清除策略 | LGPO /a C:\Audit\Audit.csv /ac |
|
LGPO /t 路径\lgpo.txt |
应用来自 LGPO 文本的注册表命令 | LGPO /t C:\LGPO\lgpo.txt |
|
LGPO /e 名称 GUID |
启用 GP 扩展用于本地策略处理 | LGPO /e {8C3A3F77-2D45-4C6A-9B0F-4A2F72F53110} |
|
LGPO /ef 路径\backup.xml |
启用 GPO 备份中的 GP 扩展 | LGPO /ef C:\Backup\backup.xml |
|
LGPO /boot |
应用策略后重新启动计算机 | LGPO /boot |
|
LGPO /v |
显示详细输出 | LGPO /v |
|
LGPO /q |
安静输出(没有标题) | LGPO /q |
|
| 从本地策略创建 GPO 备份 | LGPO /b 路径 |
在指定路径创建 GPO 备份 | LGPO /b C:\Backup |
LGPO /n GPO-名称 |
可选的 GPO 显示名称(包含空格时需使用引号) | LGPO /n "My GPO" |
|
| 解析 registry.pol 为 LGPO 文本 | LGPO /parse |
解析 registry.pol 文件为 LGPO 文本格式 | LGPO /parse /m C:\Registry\registry.pol |
LGPO /m 路径\registry.pol |
解析为计算机配置命令 | LGPO /m C:\Policies\registry.pol |
|
LGPO /u 路径\registry.pol |
解析为用户配置命令 | LGPO /u C:\UserConfig\registry.pol |
|
LGPO /ua 路径\registry.pol |
解析为管理员的用户配置命令 | LGPO /ua C:\AdminConfig\registry.pol |
|
LGPO /un 路径\registry.pol |
解析为非管理员的用户配置命令 | LGPO /un C:\NonAdminConfig\registry.pol |
|
LGPO /u:用户名 路径\registry.pol |
解析为指定 "用户名" 的本地用户配置 | LGPO /u:John C:\Users\John\registry.pol |
|
LGPO /q |
安静输出(没有标题) | LGPO /q |
|
| 从 LGPO 文本构建 registry.pol 文件 | LGPO /r 路径\lgpo.txt |
从 LGPO 文本文件读取输入 | LGPO /r C:\LGPO\lgpo.txt |
LGPO /w 路径\registry.pol |
写入新的 registry.pol 文件 | LGPO /w C:\NewConfig\registry.pol |
|
LGPO /v |
显示详细输出 | LGPO /v |
