Dans ce tutoriel, je vais vous expliquer comment utiliser l’outil LGPO de Microsoft sur Windows pour gérer des stratégies locales sans domaine Active Directory.
Pour commencer, nous allons préparer un ordinateur en groupe de travail que l’on va configurer, puis utiliser LGPO pour exporter la configuration, puis voir comment importer toujours à l’aide de LGPO la configuration.
Sommaire
Présentation de LGPO (Local Group Policy Object Tool)
LGPO.exe est un outil en ligne de commande développé par Microsoft permettant de gérer les stratégies de groupe locales (GPO locales) sur les postes Windows. Il est particulièrement utile dans les environnements non-domaine, comme les postes autonomes ou ceux intégrés dans des groupes de travail, où il n’est pas possible d’utiliser les GPO centralisées via Active Directory.
L’outil LGPO permet d’exporter, d’importer et d’appliquer des paramètres de stratégies de groupe stockés localement. Il prend en charge les fichiers de sauvegarde GPO (.pol) ainsi que les modèles de configuration .inf et les fichiers de sécurité .csv. C’est un outil précieux pour automatiser la configuration des stratégies sur plusieurs machines ou pour appliquer rapidement une configuration de sécurité cohérente
LGPO est souvent utilisé dans les déploiements industriels, les environnements d’entreprise isolés ou pour les administrateurs système qui souhaitent standardiser la configuration de leurs machines sans serveur de domaine. Il est aussi très utile dans le cadre de l’intégration à des outils de déploiement d’image (MDT, SCCM, etc.).
L’outil fait partie du Microsoft Security Compliance Toolkit et peut être intégré dans des scripts ou des processus automatisés pour une gestion fine et reproductible des paramètres de sécurité et de configuration système.
Configuration de l’ordinateur « modèle »
La premier chose à faire, va être de configurer l’ordinateur que l’on va utiliser comme modèle pour la stratégie locale, je vous conseille de prendre un ordinateur « fraichement » installé en groupe de travail pour éviter tout conflit avec des stratégies de groupe d’un domaine Active Directory qui pourraient être appliquées.
Sur l’ordinateur, ouvrir une fenêtre Exécuter et saisir gpedit.msc et cliquer sur OK.
A l’aide de la console : Editeur de stratégie de groupe locale, configurer les différents paramètres que vous souhaitez appliquer.
Pour une configuration de base pour Windows 11, vous pouvez lire cet article : GPO : configuration et optimisation de Windows 10 et Windows 11.
Télécharger LGPO sur le site de Microsoft
Maintenant que l’ordinateur est prêt, nous allons télécharger LGPO depuis le site de Microsoft : Microsoft Security Compliance Toolkit 1.0
Cliquer sur le bouton Download 1.
Sélectionner le fichier LGPO.zip 1 puis cliquer sur le bouton Download 2.
Le téléchargement terminé, décompresser l’archive, pour plus de simplicité dans l’utilisation de LGPO, j’ai copié le fichier LGPO.exe dans un dossier tmp à la racine du lecteur C:.
Exporter les stratégies locales avec LGPO
On va commencer par voir comment exporter les stratégies locales avec LGPO, j’ai oublie de préciser au début de cet article, LGPO s’utilise en ligne de commande.
Dans le dossier tmp, j’ai créé dans un premier temps, un dossier W2019T que je vais utiliser pour l’export.
Commencer par ouvrir une fenêtre CMD ou PowerShell en administrateur et aller dans le dossier où se trouve le fichier LGPO.exe.
Pour faire l’export entrer la commande suivante :
LGPO.exe /b C:\Path\Of\Export
Une fois l’export effectué, un dossier avec GUID est créé, puis dans ce dossier, on va retrouver les différents dossiers des stratégies locales.
SI vous êtes habitué au GPO dans un domaine Active Directory, on retrouve la même arborescence.
Importer les paramètres de stratégies locales avec LGPO
Pour importer les paramètres, copier le fichier LGPO.exe et le dossier d’export sur un autre ordinateur, ouvrir une invite de commande en administrateur, aller dans le dossier ou se trouve le fichier LGPO.exe et le dossier d’export entrer la commande suivante :
LGPO.exe /g C:\Path\Of\Import
Redémarrer l’ordinateur pour l’application complète des paramètres.
Importer les stratégies locales dans MDT avec LGPO
Pour finir ce tutoriel, je vais vous expliquer comment utiliser LGPO avec MDT en créer une application que vous pourrez exécuter dans MDT lors de vos déploiements de Windows.
Sur votre serveurs MDT, créer un dossier qui va servir de sources pour l’application et coller le contenu du dossier avec le fichier LGPO.exe et le dossier d’export.
Dans un MDT créer une application en sélectionnant : Application with source files.
Indiquer le dossier qui contient LGPO.exe et l’export.
En ligne de commande indiquer : .\LGPO.exe /g .\FolderNameExport\
Ensuite ajouter l’application à la séquence de tâche et configurer un redémarrage pour l’application.
Il est aussi possible de faire autrement, si vous avez personnaliser MDT pour utiliser la personnalisation par Séquence de tâches, vous pouvez forcer l’application par le fichier CustomSetting.ini, dans ce cas, dans les propriétés de l’application indiquer qu’elle nécessite un redémarrage.
Vous savez maintenant comment utiliser LGPO afin de standardiser les paramètres Windows qu’ils soient membre ou non d’un domaine Active Directory.
On peut aussi faire une simple importation des paramètres sur le poste, il n’est pas obligatoire d’avoir un MDT ?
Bonjour,
Oui il est tout à fait possible de faire l’import sans MDT, il faut sur le poste où l’import est fait, copier le répertoire qui a service à l’export puis entrer la commande :
LGPO.exe /g C:\Path\Of\ImportRomain