如何将本地组策略设置备份并复制到另一台计算机

组策略用于集中配置 Windows 中计算机和用户的设置。如果您的计算机已加入 Windows 域，则可以使用域 GPO 将 Active Directory 域中的所有计算机纳入单一配置。如果您没有域，则可以使用本地组策略来配置单台计算机的设置（本地组策略编辑器通过

gpedit.msc

命令）。在本文中，我们将向您展示如何备份本地 GPO 并将本地策略设置复制到其他计算机。

如果您的网络基于 Windows 工作组，则可以使用本地组策略使所有计算机具有相同的配置。为此，您需要在参考计算机上配置本地 GPO 选项，然后将这些设置复制并应用到其他计算机。

如何手动将本地 GPO 设置复制到另一台计算机

Windows 中没有用于备份、导入、导出或迁移本地 GPO 设置的内置工具。 Windows 将本地组策略管理模板设置存储在以下路径下的 Registry.pol 文件中：

• %SystemRoot%\System32\GroupPolicy\Machine\

• %SystemRoot%\System32\GroupPolicy\User\

因此，在计算机之间传输本地组策略设置的最简单方法是手动复制并替换组策略的内容。

%systemroot%\System32\GroupPolicy

文件夹从一台计算机转移到另一台计算机。您必须使用以下命令手动更新组策略设置

gpupdate /force

命令或在替换 GPO 文件后重新启动 Windows。

这种 GPO 迁移方法的主要缺点：

1. 不会复制本地安全模板中的设置；

2. 如果目标计算机上的Windows版本不同，应用GPO时可能会出现错误；

3. 您无法将本地 GPO 设置导入域组策略管理控制台 (

   gpmc.msc

   ）；

4. 从自定义 ADMX 模板迁移设置存在一些问题。

如何使用 LGPO.exe 备份（导出）本地组策略

Microsoft 建议使用LGPO.exe 控制台工具来备份/导入/导出和传输本地组策略设置。 LGPO（当前版本 3.0）包含在 Microsoft 安全合规性工具包中，可在此处下载 https://www.microsoft.com/en-us/download/details.aspx?id=55319。

LGPO 支持所有现代版本的操作系统，包括 Windows 10/11 和 Windows Server 2022/2019/2016。

这

LGPO.exe

实用程序允许您：

• 将本地组策略设置导出到文件；

• 从备份导入 GPO 设置。允许导入registry.pol文件、安全模板和CSV文件；

• 将registry.pol 文件转换为可读LGPO 格式，反之亦然。

要将当前本地 GPO 设置备份（导出）到指定目录，请使用以下命令：

LGPO.exe /b c:\tools\GPO

该工具将本地策略设置保存在具有随机 GUID 名称的文件夹中。此目录包含还原本地 GPO 设置或将其应用到其他计算机所需的所有必要文件。

您还可以将本地 GPO 设置的目录导入到域组策略管理控制台中。或者使用 PowerShell GPO 管理模块将配置的策略上传到域。

Restore-GPO -Name Win10Settings -Path C:\Backup\GPO_W10\

为了方便地查看registry.pol文件中当前的GPO设置，请运行以下命令：

lgpo.exe /parse /m "C:\Tools\GPO\{985966AD-21BE-4A9C-BF7D-26C879982067}\DomainSysvol\GPO\Machine\registry.pol" >>c:\tools\gpo\lgpo.txt

目标 lgpo.txt 文本文件包含此策略应用的注册表设置。

您可以手动编辑lgpo.txt文件并将其转换为registry.pol格式：

LGPO.exe /r "C:\tools\GPO\lgpo.txt" /w "C:\tools\GPO\registry_new.pol"

要将registry_new.pol 文件中的新设置应用到计算机当前的本地策略：

LGPO.exe /m "C:\tools\GPO\registry_new.pol"

在 Windows 上导入（恢复）本地组策略设置

要从另一台计算机上的备份导入（恢复）本地 GPO 设置，您必须将策略 GUID 目录复制到目标计算机并运行以下命令：

LGPO.exe /g C:\tools\GPO\

某些管理员使用多个本地组策略 (MLGPO) 将各个本地 GPO 设置仅应用于特定组（非管理员或管理员）或用户。默认情况下，lgpo.exe 不会导出 MLGPO 设置。

接下来我们要讨论的是如何将特定用户或组的 MLGPO 设置复制到其他计算机。

当管理员为特定本地用户或组 (MLGPO) 创建新的本地策略时，会在

C:\Windows\System32\GroupPolicyUsers

目录。用户或组的 SID 用作目录名称。例如：

• S-1-5-32-545

  - 非管理员（内置\用户）

• S-1-5-32-544

  -管理员（内置\管理员）

例如，您可能希望将非管理员的本地 GPO 设置复制到另一台计算机。

• 从参考计算机上，从具有所需 SID 的目录复制本地策略设置文件 (

  C:\Windows\System32\GroupPolicyUsers\S-1-5-32-545\User\Registry.pol

  ）；

• 为了在目标计算机上为非管理员应用Registry.pol文件，请运行以下命令：

  lgpo /un "C:\tmp\Registry.pol"

Import MLGPO settings for Non-Administrators from registry.pol

要从registry.pol 文件导入GPO 设置并将其应用到管理员组，请使用以下命令：

lgpo /ua "C:\tmp\Registry.pol"

从文件导入 GPO 设置并将策略应用到特定本地用户：

lgpo /u:username "C:\tmp\Registry.pol"

使用 LocalGPO 导出和导入组策略设置

以前，LocalGPO 脚本（Microsoft 安全合规性管理器 3.0 的一部分）用于导入和导出本地组策略配置。 LocalGPO 工具允许您快速创建本地 GPO 的备份副本并从中恢复本地策略设置。它还具有一个有趣的选项来创建 GPOPack 可执行文件，使您只需单击一下即可将本地 GPO 设置迁移（导入）到另一台计算机。

重要。 LocalGPO 工具现已弃用，并且在现代 Windows 10/11 和 Windows Server 2016/2019/2022 上不再受官方支持。

要将本地组策略设置导出到 C:\GPObackup 目录（必须提前创建目标文件夹）：

cscript LocalGPO.wsf /Path:C:\GPObackup /Export

LocalGPO 实用程序允许您将特定组或用户的 MLGPO 设置导出到单独的目录。使用的语法：

cscript LocalGPO.wsf /Path:C:\GPObackup /Export /MLGPO:Administrators

或者

cscript LocalGPO.wsf /Path:C:\GPObackup /Export /MLGPO:LocalUserName

要从以前的备份副本恢复本地组策略设置：

cscript LocalGPO.wsf /Path:C:\GPObackup\{B6542366-C0C0-4948-AF39-B17F0B1F0E9A}

LocalGPO 允许您将所有当前本地组策略设置重置为默认值：

cscript LocalGPO.wsf /Restore

提示。在上一篇文章中，我们展示了如何手动重置本地组策略设置。