LGPO.exe 是 Windows 操作系统中的一款命令行工具,专门用于管理本地组策略。它允许用户导入、导出以及解析与本地组策略相关的设置,适用于计算机配置和用户配置。以下是详细介绍:希望这个对照表和示例能帮你更好地在 PowerShell 中替代 LGPO.exe 命令。

LGPO.exe - Local Group Policy Object Utility, v1.0 | Microsoft Community Hub

Download Microsoft Security Compliance Toolkit 1.0 from Official Microsoft Download Center

LGPO.exe(Local Group Policy Object)是一个用于在本地计算机上配置 组策略 的命令行工具。它通常用于导出、导入、和管理本地计算机的 组策略设置。下面是一个 LGPO.exe 命令和它的等效 PowerShell 命令的对照表:

LGPO.exe 命令 等效 PowerShell 命令 说明
LGPO.exe /backup Backup-Gpo 备份组策略设置。PowerShell 使用 Backup-Gpo 命令备份当前组策略对象(GPO)。
LGPO.exe /restore Restore-Gpo 恢复备份的组策略设置。PowerShell 使用 Restore-Gpo 命令恢复之前备份的 GPO 设置。
LGPO.exe /import Import-Gpo 从一个 GPO 文件中导入组策略设置。PowerShell 使用 Import-Gpo 来导入设置。
LGPO.exe /export Export-Gpo 将本地组策略对象导出为一个 GPO 文件。PowerShell 使用 Export-Gpo 将本地 GPO 导出为文件。
LGPO.exe /set 使用 Set-ItemProperty 或 Set-LocalGroupPolicy 使用 PowerShell 设置本地组策略的特定属性。例如,使用 Set-ItemProperty 修改注册表键值。
LGPO.exe /query Get-LocalGroupPolicy 或使用 Get-ItemProperty 获取注册表值 PowerShell 中 Get-LocalGroupPolicy 可查看本地组策略配置,或者使用 Get-ItemProperty 直接查询注册表值。
LGPO.exe /gpt Get-GpoReport 获取组策略对象报告。Get-GpoReport 获取 GPO 报告并导出为 XML 或 HTML 格式。
LGPO.exe /help Get-Help LGPO 或 Get-Help Set-LocalGroupPolicy 获取 LGPO.exe 或组策略相关的帮助。PowerShell 使用 Get-Help 查看 PowerShell 命令的帮助文档。
LGPO.exe /change Set-ItemProperty 或 Set-LocalGroupPolicy 更改本地计算机的组策略配置。PowerShell 可以通过设置注册表项来实现此操作。
LGPO.exe /show Get-LocalGroupPolicy 或 Get-ItemProperty 显示当前本地计算机的组策略设置。PowerShell 通过 Get-LocalGroupPolicy 或 Get-ItemProperty 查询并显示注册表设置。
LGPO.exe /apply Invoke-Command -ScriptBlock {Set-LocalGroupPolicy} 应用本地组策略的更改。PowerShell 通过运行 Set-LocalGroupPolicy 或者使用 Invoke-Command 执行策略应用。
LGPO.exe /delete Remove-ItemProperty 或 Remove-LocalGroupPolicy 删除指定的组策略配置。PowerShell 使用 Remove-ItemProperty 删除注册表项来删除组策略设置。

解释:

  • 备份和恢复:PowerShell 提供了 Backup-GpoRestore-Gpo 来备份和恢复 GPO 设置,而 LGPO.exe 使用 /backup/restore 命令来实现相同的功能。

  • 导入和导出LGPO.exe /importLGPO.exe /export 用于导入和导出 GPO 配置文件,而 PowerShell 则使用 Import-GpoExport-Gpo 来进行相应操作。

  • 查询和修改:PowerShell 的 Set-ItemPropertyGet-ItemProperty 可以对注册表进行直接修改,从而实现对本地组策略设置的查询和修改。LGPO.exe 通过 /set/query 来实现类似功能。

  • 应用和删除:PowerShell 的 Set-LocalGroupPolicyRemove-LocalGroupPolicy 等命令可以应用和删除本地组策略配置,LGPO.exe 则通过 /apply/delete 来执行。

示例:

1. 导出本地组策略配置:

LGPO.exe:

bash
LGPO.exe /export C:\Backup\LocalGPO.xml

PowerShell:

powershell
Export-Gpo -Name "LocalGPO" -Path "C:\Backup\LocalGPO.xml"

2. 备份组策略:

LGPO.exe:

bash
LGPO.exe /backup C:\Backup\GPO_Backup

PowerShell:

powershell
Backup-Gpo -BackupDir "C:\Backup\GPO_Backup"

3. 设置本地组策略:

LGPO.exe:

bash
LGPO.exe /set C:\Settings\GPO_Settings.inf

PowerShell:

powershell
Set-LocalGroupPolicy -Path "C:\Settings\GPO_Settings.inf"

注意:

  • LGPO.exe 主要用于导出、导入和备份本地组策略,而 PowerShell 提供了更细粒度的控制,可以直接操作本地计算机的组策略设置。
  • 使用 PowerShell 时,你可能需要额外的模块,如 GroupPolicy 模块来更好地管理 GPO 设置。

希望这个对照表和示例能帮你更好地在 PowerShell 中替代 LGPO.exe 命令。

继续补充更多关于 LGPO.exePowerShell 对应命令的对照表,进一步涵盖更多常见的组策略操作,以及 PowerShell 中的等效命令。

补充对照表

LGPO.exe 命令 等效 PowerShell 命令 说明
LGPO.exe /load Import-LocalGroupPolicy 加载组策略设置。PowerShell 中 Import-LocalGroupPolicy 可以导入组策略设置,加载之前配置好的策略文件。
LGPO.exe /clear Clear-LocalGroupPolicy 清除当前的本地组策略设置。PowerShell 使用 Clear-LocalGroupPolicy 可以清除当前的本地组策略配置。
LGPO.exe /audit Get-LocalGroupPolicyAudit 启用或查看本地组策略的审核设置。PowerShell 中的 Get-LocalGroupPolicyAudit 可以查看和启用本地计算机的组策略审计。
LGPO.exe /set Set-LocalGroupPolicy 配置指定的组策略设置。PowerShell 使用 Set-LocalGroupPolicy 配置组策略设置。
LGPO.exe /apply Invoke-Command -ScriptBlock {Set-LocalGroupPolicy} 应用本地组策略的更改。PowerShell 通过 Set-LocalGroupPolicy 或使用 Invoke-Command 执行策略应用。
LGPO.exe /remove Remove-LocalGroupPolicy 删除指定的本地组策略配置。PowerShell 使用 Remove-LocalGroupPolicy 来移除本地计算机的组策略设置。
LGPO.exe /list Get-LocalGroupPolicy 列出当前的组策略设置。PowerShell 使用 Get-LocalGroupPolicy 来列出当前本地计算机的组策略配置。
LGPO.exe /delete Remove-LocalGroupPolicy 删除特定的组策略配置。PowerShell 使用 Remove-LocalGroupPolicy 来删除指定的本地组策略设置。

更详细的 PowerShell 命令与示例

1. 导入组策略设置

LGPO.exe:

bash
LGPO.exe /load C:\Settings\GPO_Settings.inf

PowerShell:

powershell
Import-LocalGroupPolicy -Path "C:\Settings\GPO_Settings.inf"

2. 清除所有组策略配置

LGPO.exe:

bash
LGPO.exe /clear

PowerShell:

powershell
Clear-LocalGroupPolicy

3. 启用本地组策略审核设置

LGPO.exe:

bash
LGPO.exe /audit enable

PowerShell:

powershell
Enable-LocalGroupPolicyAudit

4. 应用组策略设置

LGPO.exe:

bash
LGPO.exe /apply

PowerShell:

powershell
Invoke-Command -ScriptBlock { Set-LocalGroupPolicy }

5. 列出所有当前组策略设置

LGPO.exe:

bash
LGPO.exe /list

PowerShell:

powershell
Get-LocalGroupPolicy

6. 删除指定的组策略设置

LGPO.exe:

bash
LGPO.exe /remove [policy_name]

PowerShell:

powershell
Remove-LocalGroupPolicy -PolicyName "[policy_name]"

7. 设置本地组策略

LGPO.exe:

bash
LGPO.exe /set C:\Settings\New_GPO.inf

PowerShell:

powershell
Set-LocalGroupPolicy -Path "C:\Settings\New_GPO.inf"

8. 删除本地组策略配置

LGPO.exe:

bash
LGPO.exe /delete [policy_name]

PowerShell:

powershell
Remove-LocalGroupPolicy -PolicyName "[policy_name]"

关键 PowerShell Cmdlet 示例

PowerShell 中常用的与组策略相关的 Cmdlet 包括:

  • Get-LocalGroupPolicy:获取当前计算机的本地组策略配置。
  • Set-LocalGroupPolicy:设置或修改本地计算机的组策略配置。
  • Export-LocalGroupPolicy:导出当前本地组策略配置。
  • Import-LocalGroupPolicy:导入本地组策略配置。
  • Clear-LocalGroupPolicy:清除本地组策略配置。
  • Enable-LocalGroupPolicyAudit / Disable-LocalGroupPolicyAudit:启用或禁用本地组策略的审核功能。

扩展资源和注意事项

  • 在 Windows Server 版本中,PowerShell 提供了更多的灵活性,可以通过 GroupPolicy 模块或者直接操作注册表来处理组策略。

  • 如果你需要自动化更多与组策略相关的任务,可以考虑使用 GroupPolicy 模块,它提供了对 GPO 的管理、创建和配置功能。你可以通过运行以下命令安装它:

    powershell
    Install-Module -Name GroupPolicy

  • 如果你在执行这些命令时遇到权限问题,请确保使用 管理员权限 启动 PowerShell。使用 Run as Administrator 启动 PowerShell 以确保有足够的权限管理组策略设置。

通过 PowerShell,你可以实现对本地组策略的灵活控制、备份、导入、导出和修改,几乎能够替代 LGPO.exe 命令行工具,并且支持更强的脚本化和自动化操作。这些命令在处理企业环境中的组策略时尤其重要,能有效提高工作效率和配置一致性。

深入探讨 高阶技巧,使用 PowerShell 自动化本地组策略(LGPO) 的操作,包括灵活控制、备份、导入、导出和修改。下面我整理了一套实用指南和示例脚本。

1️⃣ 高阶技巧概览

使用 PowerShell 管理本地组策略(LGPO)时,高阶技巧主要包括:

  1. 批量导入/导出组策略
  2. 策略备份与恢复
  3. 条件化策略修改
  4. 自动化部署与计划任务
  5. 策略验证与报告生成

2️⃣ 备份与恢复组策略

备份本地组策略

powershell
# 定义备份路径
$backupPath = "C:\GPO_Backup\$(Get-Date -Format 'yyyyMMdd_HHmmss')"

# 创建目录
New-Item -ItemType Directory -Path $backupPath -Force

# 导出本地组策略
Export-LocalGroupPolicy -Path $backupPath

Write-Output "本地组策略已备份到 $backupPath"

恢复组策略

powershell
# 指定要恢复的备份路径
$restorePath = "C:\GPO_Backup\20251001_123000"

# 导入备份策略
Import-LocalGroupPolicy -Path $restorePath

Write-Output "本地组策略已从 $restorePath 恢复"

✅ 这比手动使用 LGPO.exe 更灵活,并且可以结合日期/时间自动生成备份文件夹,实现自动化备份。

3️⃣ 自动化修改组策略

示例:启用“禁用USB存储设备”策略

powershell
# 使用注册表修改实现策略修改(本地组策略多数设置可映射注册表)
$regPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices"
New-Item -Path $regPath -Force | Out-Null
Set-ItemProperty -Path $regPath -Name "Deny_All" -Value 1

Write-Output "USB存储设备已禁用"

自动化多策略修改

powershell
# 定义策略列表
$policies = @{
    "DenyUSB" = @{Path="HKLM:\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices"; Name="Deny_All"; Value=1}
    "DisableCMD" = @{Path="HKCU:\Software\Policies\Microsoft\Windows\System"; Name="DisableCMD"; Value=1}
}

# 批量应用策略
foreach ($policy in $policies.Values) {
    New-Item -Path $policy.Path -Force | Out-Null
    Set-ItemProperty -Path $policy.Path -Name $policy.Name -Value $policy.Value
}

Write-Output "所有策略已批量应用"

🔹 技巧:使用哈希表管理策略,便于自动化部署和版本控制。

4️⃣ 自动化导入/导出策略(批量化管理)

导出所有策略

powershell
$exportDir = "C:\GPO_Exports"
New-Item -ItemType Directory -Path $exportDir -Force

Get-LocalGroupPolicy | ForEach-Object {
    $name = $_.PolicyName -replace '[\\/:*?"<>|]', '_'
    $path = "$exportDir\$name.xml"
    Export-LocalGroupPolicy -Path $path
}

Write-Output "所有策略已导出到 $exportDir"

导入策略

powershell
$importDir = "C:\GPO_Imports"

Get-ChildItem -Path $importDir -Filter "*.xml" | ForEach-Object {
    Import-LocalGroupPolicy -Path $_.FullName
}

Write-Output "所有策略已导入"

5️⃣ 自动化验证和报告

生成策略报告

powershell
$reportPath = "C:\GPO_Report\GPO_Report_$(Get-Date -Format 'yyyyMMdd_HHmmss').txt"
New-Item -ItemType Directory -Path "C:\GPO_Report" -Force | Out-Null

Get-LocalGroupPolicy | ForEach-Object {
    "$($_.PolicyName) : $($_.State)" | Out-File -FilePath $reportPath -Append
}

Write-Output "本地组策略报告已生成:$reportPath"

🔹 技巧:可以把报告结合 计划任务 自动生成,实现每天或每周策略状态巡检。

6️⃣ 高阶建议

  1. 策略版本管理

    • 使用日期文件夹保存每次备份,实现策略版本管理。
    • 配合 Git 或 SVN 可追踪策略修改历史。

  2. 自动化部署

    • 使用 PowerShell 脚本结合 Intune 或 SCCM 分发策略。

  3. 条件化策略应用

    • 根据计算机类型、用户组或环境变量,自动决定应用哪些策略。

  4. 安全审计

    • 在策略修改前生成快照,修改后对比快照,确保策略符合预期。

如果你想,我可以帮你写一套 完整的 PowerShell 自动化管理框架脚本,实现:

  • 一键备份
  • 自动导入/导出
  • 批量修改策略
  • 报告生成
    所有功能整合在一个脚本里,像企业自动化部署那样使用。

LGPO.exe v3.0
本地组策略对象工具

LGPO.exe 有四种模式:

模式 功能描述 应用场景
导入并应用策略设置 导入策略设置并将其应用到本地计算机。 场景: 用于恢复已保存的策略配置,或将预先配置的策略应用到新的计算机。
将本地策略导出为 GPO 备份 将本地计算机的策略导出并保存为 GPO 备份文件。 场景: 在更改策略前创建备份,或者将本地计算机的策略配置复制到其他计算机上。
解析 registry.pol 文件为“LGPO 文本”格式 将 registry.pol 文件解析为 LGPO 文本格式,以便查看或修改。 场景: 在查看或编辑本地策略时,将 registry.pol 文件转换为可读的文本格式进行操作。
从“LGPO 文本”构建 registry.pol 文件 从 LGPO 文本格式创建并构建 registry.pol 文件,适用于策略导入。 场景: 在修改或定制策略后,生成新的 registry.pol 文件以便导入到目标计算机。

要应用策略设置:

LGPO.exe 命令 [...]

其中“命令”是以下之一或多个(每个可以重复):
命令 功能描述 应用场景
LGPO.exe /g 路径 从指定路径下的一个或多个 GPO 备份导入设置。 场景: 当需要将之前导出的 GPO 配置恢复到目标计算机时使用。
LGPO.exe /p 路径\lgpo.PolicyRules 从 Policy Analyzer 的 .PolicyRules 文件导入设置。 场景: 在使用 Policy Analyzer 进行策略审查后,将导出的策略规则应用到本地计算机。
LGPO.exe /m 路径\registry.pol 将 registry.pol 设置导入机器配置。 场景: 用于将机器配置的注册表策略(如计算机账户设置)导入到目标计算机。
LGPO.exe /u 路径\registry.pol 将 registry.pol 设置导入用户配置。 场景: 用于将用户配置的注册表策略(如用户账户设置)导入到目标计算机。
LGPO.exe /ua 路径\registry.pol 将 registry.pol 设置导入管理员的用户配置。 场景: 如果你需要将管理员用户的注册表策略导入到目标计算机时使用。
LGPO.exe /un 路径\registry.pol 将 registry.pol 设置导入非管理员的用户配置。 场景: 用于将普通用户的注册表策略导入目标计算机,适用于非管理员用户。
LGPO.exe /u:用户名 路径\registry.pol 将 registry.pol 设置导入指定“用户名”的本地用户配置。 场景: 针对特定用户导入注册表策略配置,适用于需要定制某个用户策略的情况。
LGPO.exe /s 路径\GptTmpl.inf 应用安全模板。 场景: 在设置计算机的安全性(如密码策略、账户锁定策略等)时,使用安全模板进行应用。
LGPO.exe /a[c] 路径\Audit.csv 应用高级审计设置;使用 /ac 清除策略。 场景: 用于启用详细的审计日志记录,特别是在需要监控用户活动或系统事件时。
LGPO.exe /t 路径\lgpo.txt 应用来自 LGPO 文本的注册表命令。 场景: 如果已有的 LGPO 配置文件是文本格式,使用此命令将配置应用到目标计算机。
**LGPO.exe /e <名称> <GUID>** 启用 GP 扩展以处理本地策略;指定 GUID 或以下名称之一:
  "zone" 用于 IE 区域映射扩展 场景: 配置 Internet Explorer 的区域映射设置,增强浏览器的安全性。
  "mitigation" 用于缓解选项,包括字体阻止 场景: 启用字体缓解选项,防止字体渲染漏洞的利用。
  "audit" 用于高级审计策略配置 场景: 配置计算机的高级审计策略,确保能够记录更详细的系统日志。
  "LAPS" 用于本地管理员密码解决方案 场景: 使用 LAPS 解决方案来自动化并管理本地管理员密码。
  "DGVBS" 用于设备保护虚拟化安全 场景: 在启用虚拟化安全功能时,使用此命令增强设备的安全防护。
  "DGCI" 用于设备保护代码完整性策略 场景: 启用代码完整性策略,以确保设备启动时的代码安全。
LGPO.exe /ef 路径\backup.xml 启用在 GPO 备份的 backup.xml 中引用的 GP 扩展。 场景: 在恢复 GPO 备份时,同时启用相关的 GP 扩展配置。
LGPO.exe /boot 应用策略后重启计算机。 场景: 应用本地策略变更后,自动重启计算机以使设置生效。
LGPO.exe /v 显示详细输出。 场景: 用于调试或查看执行过程的详细日志信息,帮助排查问题。
LGPO.exe /q 显示安静输出(无头信息)。 场景: 在自动化脚本中使用,避免输出冗余信息,简洁地完成任务。

这些命令和应用场景有助于在实际工作中灵活地配置和管理本地组策略。

命令 功能描述 应用场景
LGPO.exe /b 路径 [/n GPO-名称] 从本地计算机创建 GPO 备份并将其保存在指定路径中。 场景: 用于备份当前本地计算机的策略配置,以便恢复或迁移到其他计算机。
/b 路径 指定存储 GPO 备份的路径。 场景: 需要将备份文件存储在特定目录中,方便后续导入或恢复使用。
/n GPO-名称 可选的 GPO 名称,用于指定显示的 GPO 名称。如果名称包含空格,需使用引号。 场景: 在备份过程中为 GPO 分配一个名称,便于后续识别和管理。例如,备份多个 GPO 时,命名以便区分。

这个命令非常适用于定期备份本地计算机的组策略设置,或在迁移策略到新计算机时使用。

解析 Registry.pol 文件为 LGPO 文本(标准输出):

LGPO.exe /parse [/q] {/m|/u|/ua|/un|/u:用户名} 路径\registry.pol
命令 功能描述 适用场景
LGPO.exe /m 路径\registry.pol 将 registry.pol 解析为机器配置命令。 查看或修改计算机配置相关的策略设置。
LGPO.exe /u 路径\registry.pol 将 registry.pol 解析为用户配置命令。 查看或修改与用户配置相关的策略设置。
LGPO.exe /ua 路径\registry.pol 将 registry.pol 解析为管理员的用户配置命令。 查看或修改管理员用户配置的策略。
LGPO.exe /un 路径\registry.pol 将 registry.pol 解析为非管理员的用户配置命令。 查看或修改非管理员用户配置的策略。
LGPO.exe /u:用户名 路径\registry.pol 将 registry.pol 解析为指定“用户名”的本地用户配置命令。 查看或修改特定用户的本地用户配置(适用于多用户环境)。
LGPO.exe /q 安静输出模式,执行时不显示头部信息,仅显示解析结果。 用于脚本或批处理任务中,避免输出冗余的头部信息。

从 LGPO 文本构建 Registry.pol 文件:

LGPO.exe /r 路径\lgpo.txt /w 路径\registry.pol [/v]
命令 功能描述 适用场景
LGPO.exe /m 路径\registry.pol 将 registry.pol 解析为机器配置命令。 查看或修改计算机配置相关的策略设置。
LGPO.exe /u 路径\registry.pol 将 registry.pol 解析为用户配置命令。 查看或修改与用户配置相关的策略设置。
LGPO.exe /ua 路径\registry.pol 将 registry.pol 解析为管理员的用户配置命令。 查看或修改管理员用户配置的策略。
LGPO.exe /un 路径\registry.pol 将 registry.pol 解析为非管理员的用户配置命令。 查看或修改非管理员用户配置的策略。
LGPO.exe /u:用户名 路径\registry.pol 将 registry.pol 解析为指定“用户名”的本地用户配置命令。 查看或修改特定用户的本地用户配置(适用于多用户环境)。
LGPO.exe /q 安静输出模式,执行时不显示头部信息,仅显示解析结果。 用于脚本或批处理任务中,避免输出冗余的头部信息。
LGPO.exe /r 路径\lgpo.txt 从 lgpo.txt 文本文件读取输入并执行配置。 从指定的文本文件加载策略配置并应用。
LGPO.exe /w 路径\registry.pol 将当前配置写入新的 registry.pol 文件。 将当前的策略配置保存为新的 registry.pol 文件。

这个表格整合了你提到的 /r/w 参数,详细说明了它们的功能和适用场景。

概述

LGPO.exe 是一个命令行工具,旨在帮助自动化管理本地组策略。它可以导入并应用来自注册表策略(Registry.pol)文件、安全模板、先进审计备份文件、格式化的“LGPO文本”文件以及策略分析器“.PolicyRules”XML文件中的设置。它还可以将本地策略导出为GPO备份。它可以将注册表策略文件的内容导出为“LGPO文本”格式,之后可以进行编辑,并且可以从LGPO文本文件构建一个注册表策略文件。(LGPO文本文件的语法将在本文件后面描述。)

LGPO.exe 有四种命令行形式:用于导入和应用设置到本地策略,包括多个本地组策略对象(MLGPO);用于创建GPO备份;用于解析注册表策略文件并输出“LGPO”文本;以及从LGPO文本文件生成注册表策略文件。

所有输出都写入LGPO.exe的标准输出,所有诊断和错误信息都写入标准错误输出。两者都可以使用标准命令行 shell 操作重定向到文件。为了支持批处理文件使用,LGPO.exe的退出码为0表示成功,非零值表示发生错误。

目前,LGPO.exe 不支持组策略偏好设置(GPP)。

版本 3.0 的新功能

在 LGPO.exe 中增加了两个新选项。第一个是 /ef,它启用在 backup.xml 中引用的组策略扩展。第二个是 /p,它允许直接从 .PolicyRules 文件导入设置,从而无需实际的 GPO 文件。此外,LGPO.exe 的 /b 和 /g 现在可以捕获本地配置的客户端扩展(CSE),解决了之前存在的问题。最后,/b 也正确捕获所有用户权限分配,克服了底层“secedit.exe /export”中的一个 bug,该 bug 无法捕获没有被授予任何人的用户权限分配。

使用条款

使用条款已包含在下载中。

导入并应用设置

在此模式下,LGPO.exe 将输入文件的内容应用到本地策略中。请注意,它不会清除或移除输入文件中未指定的、已经存在的策略设置,除了 /ac 命令。

此模式下的命令行语法是:
(关于 MLGPO 的更多信息,请参见 https://docs.microsoft.com/previous-versions/windows/it-pro/windows-vista/cc766291(v=ws.10))

LGPO.exe 命令[...]

其中命令是以下之一或多个,每个命令可以重复使用:

/g path
从指定路径下的一个或多个组策略备份文件中导入设置。

/p path\lgpo.PolicyRules
从策略分析器的 .PolicyRules 文件中导入设置。

/m path\registry.pol
将注册表策略文件中的设置导入到计算机(机器)配置中。

/u path\registry.pol
将注册表策略文件中的设置导入到系统范围的用户配置中。

/ua path\registry.pol
将注册表策略文件中的设置导入到 MLGPO 用户配置中的管理员部分。

/un path\registry.pol
将注册表策略文件中的设置导入到 MLGPO 用户配置中的非管理员部分。

/u:username path\registry.pol
将注册表策略文件中的设置导入到指定本地帐户的 MLGPO 用户配置中。

/s path\GptTmpl.inf
应用指定的安全模板。

/a[c] path\audit.csv
应用高级审计备份(CSV)文件。使用 /ac 时,LGPO.exe 在应用 CSV 文件中的设置之前,会清除现有的高级审计设置,并将该文件复制到本地组策略子目录中,以便设置出现在本地组策略编辑器中。

/e name|guid
启用本地策略处理的组策略客户端扩展(CSE)。
指定 GUID,或以下名称(不区分大小写):

  • zone – Internet Explorer 区域映射扩展;适用于网站到区域分配列表策略。
  • mitigation – 缓解选项扩展;适用于不信任字体阻止策略(Windows 10)。
  • audit – 高级审计策略配置;确保 GpUpdate.exe 也应用高级审计策略设置。
  • LAPS – 本地管理员密码解决方案(LAPS)扩展。
  • DGVBS – 设备保护虚拟化安全扩展;适用于凭证保护和设备保护(Windows 10)。
  • DGCI – 设备保护代码完整性策略扩展;适用于设备保护(Windows 10)。

/ef path\backup.xml
启用备份.xml 中引用的组策略扩展(来自 GPO 备份)。

/t path\lgpo.txt
应用基于注册表的命令,来自“LGPO 文本”文件。

/boot
在应用策略后重启。

/v
详细输出。

/q
安静输出(无头信息)。

/g 选项从包含注册表策略(registry.pol)文件、安全模板(GptTmpl.inf)、高级审计备份(audit.csv)和备份.xml 文件的一个或多个组策略备份中导入设置,这些文件中包括了对组策略客户端扩展(CSE)的引用,这些扩展由 GPO 中的设置使用。
/g 选项会在指定的路径目录中搜索这些文件,并导入它们。每个 registry.pol 文件必须位于“Machine”或“User”子目录中。

“文件名参数不要求文件名遵守这些限制。”请注意,/g选项仅将设置导入到系统范围的设置中,并不支持配置MLGPO。 使用此LGPO.exe模式需要管理员权限。 在此示例中(忽略换行符),LGPO.exe从两个注册表策略文件中导入计算机配置的设置,从另外两个注册表策略文件中导入系统范围的用户配置和非管理员的MLGPO用户配置,导入安全模板和清除现有审计策略后的高级审计备份文件。它还启用IE区域映射扩展,以便正确处理站点到区域分配列表策略。它将详细输出写入lgpo.out文件,将任何错误信息写入lgpo.err文件。

Copy Code
LGPO.exe /e zone /m .\Win10\machine.pol /m .\Win10\IE11.pol /u .\Win10\AllUsers.pol /u .\Win10\NonAdmin.pol /s .\Win10\GptTmpl.inf /ac .\Win10\audit.csv /v > lgpo.out 2> lgpo.err

下一个示例搜索C:\GPOBackups中名为registry.pol、GptTmpl.inf或audit.csv的文件,并将其内容导入本地策略,还会将backup.xml文件中引用的任何计算机或用户CSE注册到本地策略中。与前面的示例一样,它也会将详细输出写入日志文件。

Copy Code
LGPO.exe /g C:\GPOBackups /v > lgpo.out 2> lgpo.err

此示例执行相同的操作,从仅一个备份的GPO导入设置。(注意,花括号在PowerShell命令中需要特殊引用。)

Copy Code
LGPO.exe /g C:\GPOBackups\{45CA52BB-19DE-487A-9CE8-0A95B18F6054} /v > lgpo.out 2> lgpo.err

此示例演示了如何应用来自Policy Analyzer .PolicyRules文件的策略设置,该文件可以包含来自一个或多个GPO及其相关CSE的设置:

Copy Code
LGPO.exe /p .\MSFT-Win10-v1909-FINAL.PolicyRules /v > lgpo.out 2> lgpo.err

以下是Windows 10 v1607 ADMX文件中可能需要与/e选项一起使用的组策略客户端扩展的GUID:

  • AppV 策略
  • ConfigMgr 用户状态管理扩展
  • Cortana 搜索
  • 设备防护:代码完整性策略
  • 设备防护:基于虚拟化的安全性
  • 磁盘配额
  • Internet Explorer 计算机加速器
  • Internet Explorer 用户加速器
  • Internet Explorer 区域映射
  • LAPS
  • Microsoft 离线文件
  • Microsoft 用户体验虚拟化
  • 缓解选项:进程缓解选项

以下是这些GUID的示例:

  • {2BFCC077-22D2-48DE-BDE1-2F618D9B476D}
  • {346193F5-F2FD-4DBD-860C-B88843475FD3}
  • {29BBE2D5-DE47-4855-97D7-2745E166DC6D}
  • {FC491EF1-C4AA-4CE1-B329-414B101DB823}
  • {F312195E-3D9D-447A-A3F5-08DFFA24735E}
  • {3610eda5-77ef-11d2-8dc5-00c04fa31a66}
  • {CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}
  • {7b849a69-220f-451e-b3fe-2cb811af94ae}
  • {4CFB60C1-FAA6-47f1-89AA-0B18730C9FD3}
  • {D76B9641-3288-4f75-942D-087DE603E3EA}
  • {C631DF4C-088F-4156-B058-4375F0853CD8}
  • {169EBF44-942F-4C43-87CE-13C93996EBBE}
  • {4B7C3B0F-E993-4E06-A241-3FBE06943684}

 

查询 Group Policy Client Side Extension (CSE)GUID,你可以使用几种不同的方法。以下是一些常见的查询方法:

1. 使用 注册表查看 CSE GUID

Windows 操作系统会在注册表中存储与 Group Policy 相关的扩展信息。你可以通过查看相关的注册表项来查找 CSE 的 GUID。

步骤:

  1. 按 Win + R 打开 运行 对话框,输入 regedit 并按 Enter,打开注册表编辑器。
  2. 导航到以下注册表位置:
    Copy Code
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History
    或者
    Copy Code
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Group Policy
  3. 这里会包含与 Group Policy Client Side Extension 相关的 GUID 信息。你可以查看这些子项以找到相应的 GUID。

2. 通过 PowerShell 查询

你可以使用 PowerShell 脚本列出 Group Policy Client Side Extension(CSE)的 GUID 信息。具体方法如下:

示例 PowerShell 脚本:

powershellCopy Code
# 获取所有已加载的组策略扩展 GUID
$gpExtensions = Get-WmiObject -Class Win32_GroupPolicyTemplate
$gpExtensions | ForEach-Object {
    Write-Host "Extension: $($_.Name) - GUID: $($_.GUID)"
}

此脚本会列出与组策略相关的扩展及其 GUID。

3. 查看 事件日志

Group Policy 客户端会在事件查看器中记录应用程序和系统相关的事件。在 事件查看器 中,你可以查看有关组策略扩展的信息。

步骤:

  1. 按 Win + R 打开 运行 对话框,输入 eventvwr.msc 并按 Enter
  2. 在左侧导航窗格中,依次选择 Windows 日志 -> 应用程序
  3. 查找与组策略相关的事件(通常事件 ID 为 1500 至 2000,具体取决于你的操作系统版本和配置)。
  4. 在详细信息中,可能会提到 CSE 的 GUID。

4. 查看 Group Policy Management Console (GPMC)

Group Policy Management Console (GPMC) 中,虽然它不会直接显示 GUID,但是你可以查看每个扩展和策略的详细信息。你可以通过 GPMC 创建和管理组策略对象(GPO),并了解不同的客户端扩展如何工作。

这些方法可以帮助你查询和获取 Group Policy Client Side Extension 的 GUID。如果你有特定的扩展 GUID 需要查询,最有效的方法通常是通过注册表或 WMI 查询。

 

组策略客户端扩展 Group Policy Client Side Extension GUID
应用虚拟化策略 AppV Policy {2BFCC077-22D2-48DE-BDE1-2F618D9B476D}
配置管理器用户状态管理扩展 ConfigMgr User State Management Extension {346193F5-F2FD-4DBD-860C-B88843475FD3}
Cortana 搜索 Cortana Search {29BBE2D5-DE47-4855-97D7-2745E166DC6D}
设备保护:代码完整性策略 Device Guard: Code Integrity Policy {FC491EF1-C4AA-4CE1-B329-414B101DB823}
设备保护:基于虚拟化的安全性 Device Guard: Virtualization Based Security {F312195E-3D9D-447A-A3F5-08DFFA24735E}
磁盘配额 Disk Quotas {3610eda5-77ef-11d2-8dc5-00c04fa31a66}
Internet Explorer 机器加速器 Internet Explorer Machine Accelerators {CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}
Internet Explorer 用户加速器 Internet Explorer User Accelerators {7b849a69-220f-451e-b3fe-2cb811af94ae}
Internet Explorer 区域映射 Internet Explorer Zonemapping {4CFB60C1-FAA6-47f1-89AA-0B18730C9FD3}
本地管理员密码解决方案(LAPS) LAPS {D76B9641-3288-4f75-942D-087DE603E3EA}
微软离线文件 Microsoft Offline Files {C631DF4C-088F-4156-B058-4375F0853CD8}
微软用户体验虚拟化 Microsoft User Experience Virtualization {169EBF44-942F-4C43-87CE-13C93996EBBE}
缓解选项:进程缓解选项 Mitigation Options: Process Mitigation Options {4B7C3B0F-E993-4E06-A241-3FBE06943684}
缓解选项:不受信任字体阻止 Mitigation Options: Untrusted Font Blocking {2A8FDC61-2347-4C87-92F6-B05EB91A201A}
服务质量(QoS)数据包调度器 QoS Packet Scheduler {426031c0-0b47-4852-b0ca-ac3d37bfcb39}
远程桌面USB重定向 Remote Desktop USB Redirection {4bcd6cde-777b-48b6-9804-43568e23545d}
远程应用程序和桌面连接 RemoteApp and Desktop Connections {4D2F9B6F-1E52-4711-A382-6A8B1A003DE6}
TCP/IP TCPIP {cdeafc3d-948d-49dd-ab12-e578ba4af7aa}
Windows 搜索组策略扩展 Windows Search Group Policy Extension {7933F41E-56F8-41d6-A31C-4148A711EE93}
Windows To Go 休眠选项 Windows To Go Hibernate Options {C34B2751-1CF4-44F5-9262-C3FC39666591}
Windows To Go 启动选项 Windows To Go Startup Options {BA649533-0AAC-4E04-B9BC-4DBAE0325B12}
工作文件夹 Work Folders {4d968b55-cac2-4ff5-983f-0a54603781a3}

 

 

LGPO.exe 是 Windows 操作系统中的一款命令行工具,专门用于管理本地组策略。它允许用户导入、导出以及解析与本地组策略相关的设置,适用于计算机配置和用户配置。以下是详细介绍:

1. 是什么

LGPO.exe 是 本地组策略对象(Local Group Policy Object, LGPO)工具,由微软提供,通常用于管理和配置计算机的组策略设置。它支持多种操作,比如导入、导出策略文件(例如 registry.pol),或者从 LGPO 文本文件中应用设置。

2. 怎么使用

LGPO.exe 可以通过命令行使用,执行的操作通常包括以下几种:

  • 导入本地组策略设置:你可以从外部文件(例如 GPO 备份、注册表文件等)导入组策略设置到计算机或用户的本地策略。

  • 导出本地组策略设置:你可以将当前的本地组策略配置导出到一个文件,以便备份或者在其他计算机上应用。

  • 解析 registry.pol 文件:将包含在组策略中的注册表设置导出为 LGPO 文本格式。

  • 应用注册表策略:将组策略设置直接应用到计算机配置或者用户配置中。

3. 为什么使用 LGPO.exe

LGPO.exe 工具特别适合以下场景:

  • 批量管理:如果你有多台计算机需要管理,LGPO.exe 允许你轻松批量导入或导出策略,避免手动配置每台计算机的本地组策略。

  • 备份和恢复:通过导出组策略设置,可以在系统出现问题时快速恢复原有配置,或者将配置迁移到其他机器上。

  • 自动化管理:管理员可以通过脚本实现自动化操作,使得本地组策略的管理变得更加高效。

  • 兼容性:LGPO.exe 不依赖于 Active Directory,因此它适用于没有域控制器的本地计算机环境,适合那些只需本地策略管理的情况。

4. 常用命令

  • /b 路径:创建 GPO 备份。
  • /g 路径:从指定路径导入 GPO 设置。
  • /p 路径:从 Policy Analyzer 的 .PolicyRules 文件导入设置。
  • /m 路径\registry.pol:导入注册表文件到计算机配置。
  • /t 路径\lgpo.txt:应用来自 LGPO 文本的注册表命令。
  • /e:启用扩展功能(例如 IE 区域映射、LAPS 等)。

 

LGPO.exe 是一种强大的工具,特别适合 Windows 环境中需要管理本地组策略的系统管理员。它简化了本地策略的导入、导出、应用和备份操作,且可以自动化这些过程,提升工作效率。

更清晰地展示 LGPO.exe 的功能,以下是经过进一步改进的表格,按功能分类进行详细描述:

功能类别 命令选项 描述 用途
导入/导出组策略设置 /g <路径> 从指定路径导入组策略设置到本地计算机。 导入一个 GPO 文件中的设置到本地组策略。
  /b <路径> 创建并导出当前本地组策略的备份文件。 备份当前的组策略配置,以便将来恢复或迁移到其他计算机。
注册表策略文件管理 /m <路径\registry.pol> 从 registry.pol 文件导入注册表策略设置到计算机配置。 导入包含在 registry.pol 文件中的注册表策略设置。
应用本地组策略设置 /l 强制应用本地计算机上的组策略设置,立即生效。 立即刷新并应用当前的本地组策略设置。
从文本文件应用策略 /t <路径\lgpo.txt> 从 LGPO 文本文件应用策略配置。 将文本文件中的策略设置应用到本地组策略。
扩展功能支持 /e 启用扩展功能,例如 Internet Explorer 区域映射、LAPS 配置等。 启用特定的扩展功能以支持其他策略(如 IE 设置、LAPS)。
导入 PolicyRules 文件 /p <路径\PolicyRules> 从 Policy Analyzer 的 .PolicyRules 文件导入策略设置。 导入并应用由 Policy Analyzer 生成的策略规则。
显示帮助信息 /h 显示 LGPO.exe 命令行工具的帮助信息。 获取有关命令行工具的使用说明与选项。

详细说明:

  • 导入/导出组策略设置:适用于对整个本地组策略进行备份与恢复,确保策略设置的一致性。
  • 注册表策略文件管理:主要用于导入注册表策略文件,确保注册表设置可以通过 LGPO 应用到本地计算机。
  • 应用本地组策略设置:用于强制系统在更改组策略后立即生效,常用于配置完成后的测试或验证。
  • 扩展功能支持:帮助启用一些额外的功能支持,如针对 Internet Explorer 和本地管理员密码解锁(LAPS)策略的支持。
  • 导入 PolicyRules 文件:结合 Policy Analyzer 工具使用,适用于更复杂的策略设置导入和管理。

这个表格改进后,按功能类别进行了分组,方便理解和查找具体命令的用途与功能。

进一步提升表格的清晰度和易用性,可以根据 LGPO.exe 的实际应用场景对命令进行更细致的分类,并加入一些说明,帮助用户更好地理解每个命令的实际用途。下面是改进后的表格,将命令分为 备份与恢复注册表策略管理组策略应用与刷新扩展功能支持帮助与信息查询 五大类。

功能类别 命令选项 描述 用途
备份与恢复 /b <路径> 创建并导出当前本地组策略的备份文件。 备份当前的组策略配置,以便将来恢复或迁移到其他计算机。
  /g <路径> 从指定路径导入组策略设置到本地计算机。 导入一个 GPO 文件中的设置到本地组策略。
注册表策略管理 /m <路径\registry.pol> 从 registry.pol 文件导入注册表策略设置到计算机配置。 导入包含在 registry.pol 文件中的注册表策略设置。
组策略应用与刷新 /l 强制应用本地计算机上的组策略设置,立即生效。 立即刷新并应用当前的本地组策略设置。
  /t <路径\lgpo.txt> 从 LGPO 文本文件应用策略配置。 将文本文件中的策略设置应用到本地组策略。
扩展功能支持 /e 启用扩展功能,例如 Internet Explorer 区域映射、LAPS 配置等。 启用特定的扩展功能以支持其他策略(如 IE 设置、LAPS)。
  /p <路径\PolicyRules> 从 Policy Analyzer 的 .PolicyRules 文件导入策略设置。 导入并应用由 Policy Analyzer 生成的策略规则。
帮助与信息查询 /h 显示 LGPO.exe 命令行工具的帮助信息。 获取有关命令行工具的使用说明与选项。

详细说明:

  1. 备份与恢复:这一类命令用于对组策略进行备份和恢复操作,确保在需要时能够恢复到特定的策略设置。适用于迁移策略设置或在配置更改前进行备份。
  2. 注册表策略管理:专注于注册表策略的管理,适用于从注册表策略文件 (registry.pol) 导入设置。
  3. 组策略应用与刷新:用于应用和刷新本地计算机上的策略设置,确保策略变更后立即生效,常用于配置完成后的测试。
  4. 扩展功能支持:启用特定的扩展功能,帮助用户处理更多复杂的场景,如 Internet Explorer 设置、LAPS(本地管理员密码解锁)等功能。
  5. 帮助与信息查询:用于查询 LGPO.exe 工具的帮助信息,帮助用户了解如何使用该工具的各种命令和选项。

通过这种分类,用户可以根据需要快速找到相关命令,同时了解命令的具体用途。这种结构也更便于对每个功能进行细致的操作和管理。

 

LGPO.exe 于 2016 年 1 月 21 日首次发布在 TechNet 上,是一个新的命令行实用程序,用于自动管理本地组策略。它取代了安全合规性管理器 (SCM) 附带的不再维护的 LocalGPO 工具,以及 Apply_LGPO_Delta 和 ImportRegPol 工具。

特征:

    • 从 GPO 备份或单个策略组件文件(包括 Registry Policy (registry.pol)、安全模板和高级审核 CSV 文件)将设置导入到本地组策略中。

 

    • 将本地策略导出到 GPO 备份。

 

    • 将注册表策略 (registry.pol) 文件解析为可读的“LGPO 文本”,直接到控制台,或重定向到可以编辑并导入到本地策略中的文件。

 

    • 从 “LGPO text” 构建一个新的注册表策略 (registry.pol) 文件。

 

    • 为本地策略处理启用组策略客户端扩展。



本文附带的 zip 文件包括 LGPO.exe 和完整文档。以下是命令行语法:

LGPO.exe v1.00 - 本地组策略对象实用程序

LGPO.exe 有四种模式:
* 导入和应用策略设置;
* 将本地策略导出到 GPO 备份;
* 将 registry.pol 文件解析为 “LGPO text” 格式;
* 从 “LGPO text” 构建一个 registry.pol 文件。

要应用策略设置:

LGPO.exe命令 [...]

其中,“command”是以下一项或多项(每个都可以重复):

/g 路径 从“path”
下的一个或多个 GPO 备份导入设置 /m path\registry.pol 将设置从 registry.pol 导入到计算机配置
/u path\registry.pol 将设置从 registry.pol 导入到用户配置
/s path\GptTmpl.inf 应用安全模板
/a[c] path\Audit.csv 应用高级审核设置;/ac 首先
清除策略 /t path\lgpo.txt 从 LGPO 文本
应用注册表命令 /e <name>|<guid> 启用 GP 扩展以进行本地策略处理;指定
GUID 或以下名称之一:
* “zone” 表示 IE 区域映射扩展
* “mitigation” 用于缓解选项,包括字体阻止
* “audit” 用于高级审核策略配置
/应用策略
后启动重启 /v verbose 输出
/q 静默输出(无标头)

要从本地策略创建 GPO 备份:

LGPO.exe /b 路径 [/n GPO-name]

/b 路径 在“路径”
中创建 GPO 备份 /n GPO-name 可选的 GPO 显示名称(如果包含空格,请使用引号)

要将 Registry.pol 文件解析为 LGPO 文本 (stdout):

LGPO.exe /parse [/q] {/m|/u} path\registry.pol

/m path\registry.pol 将 registry.pol 解析为机器配置命令
/u path\registry.pol 解析 registry.pol 作为用户配置命令
/q 静默输出(无标头)

要从 LGPO 文本构建 Registry.pol 文件:

LGPO.exe /r path\lgpo.txt /w path\registry.pol [/v]

/r path\lgpo.txt 从 LGPO 文本文件
读取输入 /w path\registry.pol 写入新的 registry.pol 文件

(有关更多信息和示例,请参阅文档。

[更新:最新版本的 LGPO.exe 在这里 

 

LGPO.exe - 本地组策略对象工具
版本 3.0.2004.13001
版权所有 (C) 2015-2020 微软公司
安全合规工具包 - https://www.microsoft.com/download/details.aspx?id=55319

无法识别的选项 "/?"

LGPO.exe 有四种模式:

  • 导入并应用策略设置;
  • 将本地策略导出为 GPO 备份;
  • 解析 registry.pol 文件为 "LGPO 文本" 格式;
  • 从 "LGPO 文本" 构建 registry.pol 文件。

应用策略设置:

LGPO.exe 命令 [...]  

其中 "命令" 是以下之一或多个(每个命令都可以重复):  

/g 路径                   从 "路径" 下的一个或多个 GPO 备份导入设置  
/p 路径\lgpo.PolicyRules  从 Policy Analyzer 的 .PolicyRules 文件导入设置  
/m 路径\registry.pol      从 registry.pol 导入设置到计算机配置  
/u 路径\registry.pol      从 registry.pol 导入设置到用户配置  
/ua 路径\registry.pol     从 registry.pol 导入设置到管理员的用户配置  
/un 路径\registry.pol     从 registry.pol 导入设置到非管理员的用户配置  
/u:用户名 路径\registry.pol  
                          从 registry.pol 导入设置到指定 "用户名" 的本地用户配置  
/s 路径\GptTmpl.inf       应用安全模板  
/a[c] 路径\Audit.csv      应用高级审计设置;/ac 表示先清除策略  
/t 路径\lgpo.txt          应用来自 LGPO 文本的注册表命令  
/e <名称>|<GUID>          启用 GP 扩展用于本地策略处理;指定 GUID 或以下名称之一:  
                          * "zone" 用于 IE 区域映射扩展  
                          * "mitigation" 用于缓解选项,包括字体阻止  
                          * "audit" 用于高级审计策略配置  
                          * "LAPS" 用于本地管理员密码解决方案  
                          * "DGVBS" 用于设备保护虚拟化安全  
                          * "DGCI" 用于设备保护代码完整性策略  
/ef 路径\backup.xml       启用在 GPO 备份的 backup.xml 中引用的 GP 扩展  
/boot                     应用策略后重新启动  
/v                        显示详细输出  
/q                        安静输出(没有标题)

从本地策略创建 GPO 备份:

LGPO.exe /b 路径 [/n GPO-名称]  

/b 路径               在 "路径" 中创建 GPO 备份  
/n GPO-名称           可选的 GPO 显示名称(如果包含空格,请使用引号)

将 Registry.pol 文件解析为 LGPO 文本(标准输出):

LGPO.exe /parse [/q] {/m|/u|/ua|/un|/u:用户名} 路径\registry.pol  

/m 路径\registry.pol   将 registry.pol 解析为计算机配置命令  
/u 路径\registry.pol   将 registry.pol 解析为用户配置命令  
/ua 路径\registry.pol  将 registry.pol 解析为管理员的用户配置  
/un 路径\registry.pol  将 registry.pol 解析为非管理员的用户配置  
/u:用户名 路径\registry.pol  
                       将 registry.pol 解析为指定 "用户名" 的本地用户配置  
/q                     安静输出(没有标题)

从 LGPO 文本构建 Registry.pol 文件:

LGPO.exe /r 路径\lgpo.txt /w 路径\registry.pol [/v]  

/r 路径\lgpo.txt      从 LGPO 文本文件读取输入  
/w 路径\registry.pol  写入新的 registry.pol 文件

(有关更多信息和示例,请参阅文档。)

功能 命令 参数及描述 示例
应用策略设置 LGPO /g 路径 从指定路径下的一个或多个 GPO 备份导入设置 LGPO /g C:\Backup
  LGPO /p 路径\lgpo.PolicyRules 从 Policy Analyzer 的 .PolicyRules 文件导入设置 LGPO /p C:\Policies\PolicyRules
  LGPO /m 路径\registry.pol 从 registry.pol 导入设置到计算机配置 LGPO /m C:\Policies\registry.pol
  LGPO /u 路径\registry.pol 从 registry.pol 导入设置到用户配置 LGPO /u C:\Users\Default\registry.pol
  LGPO /ua 路径\registry.pol 从 registry.pol 导入设置到管理员的用户配置 LGPO /ua C:\Admin\registry.pol
  LGPO /un 路径\registry.pol 从 registry.pol 导入设置到非管理员的用户配置 LGPO /un C:\NonAdmin\registry.pol
  LGPO /u:用户名 路径\registry.pol 从 registry.pol 导入设置到指定 "用户名" 的本地用户配置 LGPO /u:John C:\Users\John\registry.pol
  LGPO /s 路径\GptTmpl.inf 应用安全模板 LGPO /s C:\Templates\GptTmpl.inf
  LGPO /a[c] 路径\Audit.csv 应用高级审计设置,/ac 表示先清除策略 LGPO /a C:\Audit\Audit.csv /ac
  LGPO /t 路径\lgpo.txt 应用来自 LGPO 文本的注册表命令 LGPO /t C:\LGPO\lgpo.txt
  LGPO /e 名称 GUID 启用 GP 扩展用于本地策略处理 LGPO /e {8C3A3F77-2D45-4C6A-9B0F-4A2F72F53110}
  LGPO /ef 路径\backup.xml 启用 GPO 备份中的 GP 扩展 LGPO /ef C:\Backup\backup.xml
  LGPO /boot 应用策略后重新启动计算机 LGPO /boot
  LGPO /v 显示详细输出 LGPO /v
  LGPO /q 安静输出(没有标题) LGPO /q
从本地策略创建 GPO 备份 LGPO /b 路径 在指定路径创建 GPO 备份 LGPO /b C:\Backup
  LGPO /n GPO-名称 可选的 GPO 显示名称(包含空格时需使用引号) LGPO /n "My GPO"
解析 registry.pol 为 LGPO 文本 LGPO /parse 解析 registry.pol 文件为 LGPO 文本格式 LGPO /parse /m C:\Registry\registry.pol
  LGPO /m 路径\registry.pol 解析为计算机配置命令 LGPO /m C:\Policies\registry.pol
  LGPO /u 路径\registry.pol 解析为用户配置命令 LGPO /u C:\UserConfig\registry.pol
  LGPO /ua 路径\registry.pol 解析为管理员的用户配置命令 LGPO /ua C:\AdminConfig\registry.pol
  LGPO /un 路径\registry.pol 解析为非管理员的用户配置命令 LGPO /un C:\NonAdminConfig\registry.pol
  LGPO /u:用户名 路径\registry.pol 解析为指定 "用户名" 的本地用户配置 LGPO /u:John C:\Users\John\registry.pol
  LGPO /q 安静输出(没有标题) LGPO /q
从 LGPO 文本构建 registry.pol 文件 LGPO /r 路径\lgpo.txt 从 LGPO 文本文件读取输入 LGPO /r C:\LGPO\lgpo.txt
  LGPO /w 路径\registry.pol 写入新的 registry.pol 文件 LGPO /w C:\NewConfig\registry.pol
  LGPO /v 显示详细输出 LGPO /v

 

posted @ 2025-01-30 20:03  suv789  阅读(677)  评论(0)    收藏  举报