Manipuler les objets de stratégie de groupe locale à l’aide de Local Policy Tool (LPT)

Sommaire

 

 

Introduction

Local Policy Tool est un script proposé par Microsoft, compatible de Windows XP à Windows 7, qui vous permettra d’exporter, d’importer et de réinitialiser votre stratégie de groupe locale. Il remplace l’outil GPOAccelerator depuis juin 2010 et fait partie intégrante de la solution Microsoft Security Compliance Manager.

 

 

Installer Local Policy Tool

Local Policy Tool ne peut malheureusement pas être téléchargé indépendamment de Security Compliance Manager depuis le site de Microsoft cependant l’outil pouvant toutefois être installé de façon autonome, nous le tenons cependant à votre disposition depuis notre section Téléchargements.

Le paquet d’installation récupéré, il suffit simplement de suivre l’assistant d’installation.

{gallery}26_LPT/1{/gallery}

 

 

 

 

 

 

 

 

Local Policy Tool installé, l’outil est accessible depuis le dossier %programfiles%\LocalGPO. Le programme est essentiellement composé d’un script appelé LocalGPO.wsf.

{gallery}26_LPT/2{/gallery}

 

 

 

 

 

 

 

 

Exporter et importer une stratégie de groupe locale

Le principal intérêt de l’outil est de pouvoir sauvegarder une stratégie de groupe locale afin de pouvoir l’importer sur une autre machine.

Par exemple, vous pourriez exporter une stratégie de groupe locale d’un ordinateur pour l’affecter sur un autre de façon simple et efficace, intégrer de base une stratégie de groupe locale sur une image de déploiement ou même importer vos stratégies de groupe de domaine, exportées au préalable à l’aide de GPMC, dans la limite des paramètres supportés par la stratégie de groupe locale.

Pour réaliser une exportation, il suffit de lancer une invite de commandes (exécuté en tant qu’administrateur) et de lancer depuis le dossier %programfiles%\LocalGPO la commande « cscript LocalGPO.wsf /path :C:\LGPO_Export /export ». L’outil génère sous forme de fichiers une sauvegarde de votre objet de stratégie locale.

{gallery}26_LPT/3{/gallery}

 

 

 

 

 

 

 

Remarque : Le format de l’exportation réalisée est en tout point similaire à la fonctionnalité de sauvegarde disponible depuis la console de gestion de stratégie de groupe (GPMC).

Une fois notre objet de stratégie locale exporté, nous allons l’importer sur un autre ordinateur en mettant tout simplement à disposition de ce dernier les données associées à notre exportation et en exécutant la commande  « cscript LocalGPO.wsf /path:C:\Backup_LGPO\{GUID} » dans les mêmes conditions que l’exportation. Méfiez-vous toutefois de certaines limites liées à la fonctionnalité d’exportation. La sauvegarde ne contient pas les fichiers associés à votre stratégie de groupe locale tel que les modèles d’administration et les scripts. Il faudra donc les copier manuellement dans les répertoires adéquats une fois l’importation réalisée avec succès.

{gallery}26_LPT/4{/gallery}

 

 

 

 

 

 

La commande exécutée avec succès, forcez préalablement l’application de la stratégie de groupe locale à l’aide de la commande « gpupdate /force » et redémarrez.

 

 

Réinitialiser la stratégie de groupe locale

Autre fonctionnalité recherchée est la possibilité pour Local Policy Tool de permettre la réinitialisation de l’ensemble des paramètres par défaut exclusivement associés à une stratégie de groupe locale grâce à la commande  « cscript LocalGPO.wsf /restore ». Une fois la commande exécutée, pensez toujours à forcer son application à l’aide de la commande « gpupdate /force » et redémarrez.

{gallery}26_LPT/5{/gallery}

 

 

 

 

 

 

ATTENTION !!! Une des méthodes bien connues consiste à supprimer le dossier GroupPolicy stockant la stratégie de groupe locale cependant non seulement cette méthode n’est pas supportée par Microsoft mais ne permet pas de restaurer les paramètres par défaut tel que les paramètres de sécurité associés à une stratégie de groupe locale.

 

 

Conclusion

Microsoft met donc à notre disposition un outil adapté à la manipulation des stratégies de groupe locales malheureusement encore trop méconnu mais qui fera à n’en pas douter des émules. Seul ombre au tableau sera l’absence de prise en charge des MLGPO (Multiple Group Policy Objets).