LGPO.exe is een handige opdrachtregeltool voor het beheren van lokaal groepsbeleid op Windows-machines buiten het domein. Maar het is natuurlijk niet perfect. Een veelvoorkomend probleem is wanneer de /g -switch weigert mee te werken tijdens het exporteren of importeren. Soms lijken de opdrachten wel uitgevoerd te worden, maar wordt het beleid niet daadwerkelijk toegepast of opgeslagen. Dit is frustrerend, vooral als u beveiligingsbasislijnen probeert te automatiseren of instellingen wilt aanpassen zonder handmatig op elke machine in te loggen. Het goede nieuws is dat de meeste van deze problemen te wijten zijn aan syntaxisfouten, bestandsindelingen of incompatibele beleidsgegevens. Het oplossen ervan vereist over het algemeen wat speurwerk en wat trucjes met de opdrachtregel. Dit is wat vaak werkt, gebaseerd op praktijkervaring.
LGPO.exe /g werkt niet tijdens export- of importbewerking
De meeste problemen ontstaan door simpele problemen zoals een verkeerde padopmaak, verwijzingen naar domeingroepen in de back-upbestanden of onjuiste bestandscodering. Soms kan zelfs een kleine typefout of een bestand dat met de verkeerde codering is opgeslagen, ervoor zorgen dat LGPO.exe het begeeft. Hieronder staan de meest voorkomende oplossingen die hebben geholpen om de boel te redden. Normaal gesproken worden de beleidsregels soepel toegepast als deze worden aangepakt, maar wees voorbereid op wat problemen als er steeds vreemde fouten opduiken.
Citeer paden met spaties — omdat Windows het natuurlijk moeilijker moet maken dan nodig is
Dit is iets waar mensen vaker over struikelen dan je zou denken. Als je back-upmap of bestandspad spaties bevat (zoals C:\My Policies\Backup), zou je die eigenlijk tussen aanhalingstekens moeten plaatsen. Anders denkt de opdrachtprompt of PowerShell misschien dat je meer dan één argument doorgeeft, wat alles in de war schopt. Het is een beetje vreemd, maar als LGPO.exe “bestand niet gevonden” of “ongeldige parameter” meldt, is het de moeite waard om de aanhalingstekens te controleren.
Voer de opdracht bijvoorbeeld als volgt uit:
LGPO.exe /g "C:\My Policies\LGPO Backup"Zorg ervoor dat je dit uitvoert via een opdrachtprompt met verhoogde bevoegdheden. Klik hiervoor met de rechtermuisknop op Opdrachtprompt en selecteer Als administrator uitvoeren. Als de opdracht nog steeds mislukt, kan een eenvoudige test met een kort pad zonder spaties helpen vaststellen of het probleem echt aanhalingstekens of iets anders ligt.
Corrigeer fouten bij de toewijzing van gebruikersrechten: vermijd het verwijzen naar domeingroepen op lokale machines
Soms loopt LGPO.exe vast doordat domeinspecifieke groepen zoals ‘Domeinbeheerders’ in uw beleidsbestanden verschijnen. Als uw computer geen deel uitmaakt van een domein, zijn die verwijzingen ongeldig. Wanneer LGPO het beleid probeert toe te passen, kan het deze domeingroepen niet omzetten in geldige SID’s, wat leidt tot fouten of onvolledige beleidstoepassing. Hier is een snelle oplossing die bij veel installaties heeft geholpen:
- Navigeer naar de back-upmap, meestal onder [UwBackupFolder]\DomainSysvol\GPO\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.
- Open GptTmpl.inf met Kladblok of je favoriete teksteditor. Maak zeker eerst een back-up; geloof me, je wilt je werk hier niet kwijtraken.
- Zoek in het gedeelte Privilege Rights naar regels als deze :
SeRemoteInteractiveLogonRight = *S-1-5-21-XYZ, Domain Admins- Vervang Domeinbeheerders door een lokale groepsnaam, zoals Beheerders. Lokaliseer in principe het beleid voor de machine, niet voor het domein.
- Sla het bestand op met ANSI-codering. Notepad++ maakt dit heel eenvoudig: ga gewoon naar Codering > Converteren naar ANSI.
Voer na het bewerken de LGPO-importopdracht opnieuw uit. Er zijn geen mislukte rechtentoewijzingen meer met betrekking tot domeingroepen en het beleid zou correct moeten worden toegepast. In sommige configuraties moet u mogelijk opnieuw opstarten of het beleid handmatig vernieuwen met gpupdate /force, maar vaak is het gewoon een kwestie van het herstellen van die groepsverwijzingen.
Gebruik Secedit voor het afhandelen van lastige beleidsregels, omdat LGPO niet altijd voldoet
Dingen zoals geavanceerd beveiligingsbeleid zijn mogelijk te complex voor de /g-optie van LGPO.exe. In plaats daarvan is de ingebouwde secedit- tool ontworpen om beveiligingssjablonen native te exporteren en importeren, wat het betrouwbaarder maakt voor dit soort taken. Het idee is om een .inf-bestand te genereren van je huidige beleid en dat vervolgens in LGPO te plaatsen om toe te passen of samen te voegen.
Exporteer beleid van uw broncomputer met:
secedit /export /cfg C:\temp\security_policies.inf /areas SECURITYPOLICYPas ze vervolgens op uw doelcomputer toe met:
LGPO.exe /m C:\temp\security_policies.infDeze methode werkt over het algemeen beter voor complexe beleidsregels zoals auditinstellingen of gebruikersrechten waar LGPO’s /g mogelijk moeite mee hebben. Onthoud dat het.inf-bestand compatibel moet zijn, dus vermijd het beschadigen door handmatige bewerkingen, tenzij u er zeker van bent.
Controleer en stel de juiste bestandscodering in, omdat de parser van LGPO.exe kieskeurig is
Als je.inf- of back-upbestanden zijn opgeslagen in UTF-8 met een BOM (Byte Order Mark), kan LGPO over onzichtbare tekens struikelen en fouten genereren. De oplossing is eenvoudig, maar wordt vaak over het hoofd gezien: open de betreffende bestanden in Notepad++, kies Codering > Converteren naar ANSI en sla opnieuw op. Dit zorgt ervoor dat het bestand in platte ASCII staat, wat LGPO perfect begrijpt. Het is bijna magie – althans, het voelt zo, maar het is gewoon de juiste opmaak.
Probeer de import opnieuw na het opslaan in ANSI. Meestal is dat voldoende om vreemde parseerfouten te verhelpen. In één configuratie mislukte het de eerste paar keer, maar na het converteren van de codering werkte het wel. Ik weet niet zeker waarom het werkt, maar het werkt.
Hoe LGPO-beleid exporteren en importeren
Om uw huidige lokale beleid te verwijderen, voert u het volgende uit:
LGPO.exe /g <PathToBackupFolder>Hiermee wordt een volledige back-up gemaakt, inclusief lokaal en domeinbeleid, in de opgegeven map. De map moet toegankelijk en beschrijfbaar zijn. Als u wilt herstellen, voert u dezelfde opdracht uit, maar dan met verwijzing naar de back-upmap. Zorg ervoor dat u dit als administrator uitvoert.
Wat zorgt ervoor dat groepsbeleid mislukt?
Meestal zijn storingen te wijten aan netwerkproblemen (indien deze voortkomen uit domeinbeleid), onjuiste machtigingsconfiguraties of corrupte lokale caches. Als de machine de domeincontroller niet kan bereiken of geen toestemming heeft om bepaalde instellingen te wijzigen, loopt de verwerking van LGPO of Group Policy Object (GPO) vast. Soms is het gewoon een slechte build of stapelen conflicterende beleidsregels zich op, waardoor het systeem moeite heeft om wijzigingen door te voeren. Het oplossen van deze problemen omvat het controleren van de netwerkconnectiviteit, machtigingen en het voorkomen van conflicterende beleidsregels.
Hopelijk verminderen deze tips de frustratie met LGPO.exe. Het is een wat lastige tool, maar met de juiste aanpassingen doet het meestal wat nodig is.
Samenvatting
- Omsluit paden met aanhalingstekens als ze spaties bevatten.
- Vervang of verwijder domeingroepen in beleidsbestanden als uw computer niet aan een domein is gekoppeld.
- Gebruik secedit om complexe beleidsregels beter te kunnen verwerken voordat u deze via LGPO toepast.
- Zorg ervoor dat de bestanden worden opgeslagen in ANSI/ASCII-formaat, niet in UTF-8 met BOM.
Afronding
De meeste problemen komen neer op simpele opmaak- of verwijzingsfouten. Los die op en LGPO.exe lost het probleem meestal op. Soms moet je een beetje detectivewerk verrichten, maar als je deze kleine trucjes eenmaal onder de knie hebt, wordt het toepassen van lokaal beleid een stuk minder lastig. Hopelijk bespaart dit iemand een paar uur aan hoofdbrekens.