概要
ドメイン環境であれば複数の端末に同時にポリシーを設定することは容易です。
しかしながらワークグループ環境では、個々の端末で設定を行わねばならず工数がかかります。
また手動での操作となる為、設定ミスを起こすリスクが高まります。
OS 標準のツールではローカルグループ ポリシーで設定した内容をエクスポート並びにインポートする機能は含まれておりません。
しかしながら Microsoft Security Compliance Toolkit に含まれる LGPO.exe を使用することで設定したローカルグループ ポリシーの設定をエクスポート並びにインポート可能となりますのでで紹介いたします。
LGPO.exe について
以前は単独で配布されていたツールのようですが、2023 年 3 月時点ではMicrosoft セキュリティ コンプライアンス ツールキットに含まれております。
設定されたポリシーのエクスポート並びにインポートは LGPO.exe 単独でできますがセキュリティ コンプライアンス ツールキットの概要についてまとめられたページも念のためリンクしておきます。
また LGPO.exe 公開当時に機能についてまとめられたと思われる blog があります。
入手先
LGPO.exe は下記より入手が可能です。
必要なファイルは LGPO.zip のみです。
使用方法
エクスポート並びにインポートの手順は下記です。
エクスポートの手順
-
LGPO.zip をダウンロードします。
-
ローカルポリシーが設定され、エクスポートを行いたい端末でダウンロードした LGPO.exe を任意のフォルダに展開します。
-
コマンド プロンプト を管理者として起動します。
管理者権限が必須です。 -
以下のコマンドを実行します
LGPO /b エクスポート先パス例
LGPO /b c:\temp -
エクスポート先パスに新規にGUID 名が設定されたフォルダーが作成されますのでインポートをしたい端末へコピーします。
インポートの手順
-
LGPO.zip をダウンロードします。
-
ローカルポリシーが設定され、インポートを行いたい端末でダウンロードした LGPO.exe を任意のフォルダに展開します。
-
コマンド プロンプト を管理者として起動します。
管理者権限が必須です。以下どのようにインポートするのかによってコマンドが異なります。
- 全ての設定を一括でインポートする場合
LGPO /g コピーした GUID 名のフォルダのパス例
LGPO /g C:\temp\{D8FDF82F-D498-44CA-97FB-088B1AB18CD1}- コンピュータの構成で設定したポリシーのみインポートする方法
LGPO /m コピーした GUID 名のフォルダのパス配下の Machine 側の registry.pol例
LGPO /m C:\temp\{D8FDF82F-D498-44CA-97FB-088B1AB18CD1}\DomainSysvol\GPO\Machine\registry.pol- ユーザーの構成で設定したポリシーのみインポートする方法
LGPO /u コピーした GUID 名のフォルダのパス配下の User 側の registry.polLGPO /u C:\temp\{D8FDF82F-D498-44CA-97FB-088B1AB18CD1}\DomainSysvol\GPO\User\registry.pol -
ローカル グループ ポリシー エディターやグループ ポリシーの管理にて設定がインポートされたことを確認します。
インポート時の注意事項
インポート前の状態に戻す手順は特に用意されていないようです。
その為設定を行いたいポリシーのみを構成した端末を用意し、エクスポートを実施し、コンピューターの構成またはユーザーの構成いずれかの単位でインポートをすることが望ましいと思われます。
最後に
ワークグループ環境で多数の端末をポリシー設定をしなければならいない際には LGPO.exe は有益なツールだと思われます。
ただレジストリ操作に慣れ親しんでいる方はレジストリ設定のほうが楽かもしれませんので使い分けていただければと思います。