Posted in

Yerel Grup İlkesi Yönetiminde LGPO.EXE Aracı

by Mustafa Emre GÜL0

IT operasyonlarında yerel grup ilkeleri (Local Group Policy) çoğu zaman göz ardı edilse de, özellikle domain yapısında olmayan makinelerde veya geçici çözümler üretmemiz gereken durumlarda hayat kurtarıcı olabiliyor. Bugün sizlere sahada birçok kez elimiz ayağımı olan LGPO.exe aracından ve neden tercih ettiğimizden bahsetmek istiyorum.

Windows, yerel Grup İlkesi (Local Group Policy) yönetim şablonu ayarlarını Registry.pol dosyalarında aşağıdaki yollarda depolar:

%SystemRoot%\System32\GroupPolicy\Machine\

%SystemRoot%\System32\GroupPolicy\User\

Bu nedenle, yerel Grup İlkesi ayarlarını bilgisayarlar arasında aktarmanın en kolay yolu klasörün içeriğini %systemroot%\System32\GroupPolicybir bilgisayardan diğerine elle kopyalamak ve değiştirmektir. Bu işlemden sonra gpupdate /force yaparak bilgisayarı yeniden başlatabilirsiniz. Fakat bu GPO geçiş yönteminin başlıca dezavantajları vardır.

  1. Yerel Güvenlik Şablonlarından gelen ayarlar kopyalanmaz;
  2. Hedef bilgisayardaki Windows sürümü farklıysa GPO uygulanırken hatalar oluşabilir;
  3. Yerel GPO ayarlarını etki alanı Grup İlkesi Yönetim Konsolu’na ( gpmc.msc) aktaramazsınız ;
  4. Özel ADMX şablonlarından ayarların taşınmasında sorunlar oluşur.

Microsoft, yerel Grup İlkesi ayarlarının yedeklenmesi/içe aktarılması/dışa aktarılması ve aktarılması için LGPO.exe konsol aracının kullanılmasını önermektedir

LGPO.EXE Nedir?

Microsoft tarafından sunulan LGPO.exe, Windows makinelerdeki Yerel Grup İlkesi ayarlarını dışa aktarmaya, içe aktarmaya ve uygulamaya yarayan bir komut satırı aracıdır.

Bu araç sayesinde:

  • GPO yedeği alabilir,

  • Başka bir makinaya aynı ayarları uygulayabilir,

  • Yerel GPO’yu otomasyonla dağıtabilirsiniz.

Özellikle domain’e dahil olmayan kiosklar, bağımsız makineler, test cihazları gibi senaryolarda bu araç ciddi anlamda işimizi kolaylaştırır.

LGPO, Windows 10/11 ve Windows Server 2022/2019/2016 dahil olmak üzere tüm modern işletim sistemi sürümlerini destekler.

Sahadan Bir Senaryo

Bir kamu kurumunda domain’e dahil olmayan kiosk bilgisayarlar vardı. Her biri bağımsız çalışıyor, ama hepsinde aynı güvenlik ayarlarının (USB kısıtlama, ekran kilidi zamanlaması, Windows Update ayarları vs.) uygulanmış olması gerekiyordu.

Normalde her bir makineye tek tek girip gpedit.msc açıp ayarları elle yapmak gerekir. Ama düşünün ki 50-60 makinelik bir ortamda bu ne kadar zaman alır?

İşte burada LGPO.exe ile önce referans makinada gerekli tüm ayarları yaptık, ardından komutla dışa aktardık:

lgpo.exe /b C:\LGPO_Backup

Sonrasında USB ile ya da yazılım dağıtım aracıyla diğer tüm makinelerde şunu çalıştırdık:

lgpo.exe /g C:\LGPO_Backup
Ve hepsi hazır. Ne .reg dosyasıyla uğraştık, ne de manuel işlemle zaman kaybettik.
Sahada olan senaryonun basit küçük bir versiyonunu sanal ortamda kullanım açısından sizlere göstermek adına alt tarafta UYGULAMA başlığı altında anlatıyor olacağım.

LGPO Ne Yapar?

  • lgpo.exe /b [path] → Yerel grup ilkesi yedeğini alır.

  • lgpo.exe /g [path] → Daha önce alınmış GPO yedeğini geri yükler.

  • lgpo.exe /v → İşlemler sırasında detaylı bilgi verir.

  • lgpo.exe /m → Registry.pol dosyaları gibi Machine bazlı ayarları işler.

 

LGPO’nun Alternatifleri Neler?

  1. Regedit ile elle ayar yapmak
    Dezavantajı: Karmaşık, sürüm uyumsuzluğu olabilir, bazı GPO’lar sadece UI ile uygulanabilir.

  2. PowerShell ile kayıt defteri değiştirmek
    Avantajlı ama karmaşık yapılar için reg ayarlarını ezbere bilmek gerek. Ayrıca bazı GPO’lar Registry.pol içinde binary olarak tutulduğu için doğrudan uygulanamaz.

  3. DISM / Provisioning Paketleri
    Özellikle Windows 10/11 için kurulum sırasında kullanılabilir. Ama anlık müdahale veya offline olmayan makineler için zahmetli.

  4. Group Policy Preferences XML Aktarımı (Domain ortamı)
    Domain varsa zaten merkezi GPO yönetimi tercih edilir. Ama domain dışı makinelerde LGPO tek başına kraldır.

 

Ne Zaman LGPO Kullanmalıyız?

  • Domain olmayan makinelerde ortak güvenlik politikaları uygularken

  • Aynı ayarları tekrar tekrar yapmak istemiyorsanız

  • Hızlı kurulum veya format sonrası post-install süreçlerinde

  • Offline makineler veya dış ağda yer alan cihazlarda

Sahada işler genelde teorideki gibi gitmez. Hızlı ve etkili çözümler gerekir. LGPO.exe, Windows sistemlerde yerel politika yönetimini merkezi hale getirmek için gerçekten küçük ama etkili bir araçtır.

 

Uygulamalı Anlatım

Öncelikle Download Microsoft Security Compliance Toolkit 1.0 from Official Microsoft Download Center adresinden LGPO.zip dosyasını indiriyoruz. Ben bir sonraki örnekte Security Baseline uygulamasını da göstereceğim için onu da indiriyorum. Dilerseniz Lab ortamında incelemek için indirebilirsiniz fakat bu örnek için bir ehemmiyeti bulunmamaktadır. (Resimler küçük gözüküyor ise üzerine tıklayarak büyütebilirsiniz.)

İndirdiğimiz dosyayı sunucu üzerinde bir dizine zip dosyasından çıkartarak açıyoruz. Benim örneğimde C:\LGPO olacak şekilde.

Ortamımdaki kiosk1 sunucusundaki local group policy ayarlarını kiosk2 ye uygulamak istediğimdem kiosk1 ve kiosk2 sunucularımın ip ve local gpo üzerinde User Rights Assignment bölümleri aşağıdaki gibidir.

Kiosk1

 

Kiosk2

Kiosk1 sunucumun command promt terminal ekranında cd C:\LGPO yazarak ilgili dizine gidiyorum.

.\lgpo.exe /b C:\LGPO\GPObackup

diyerek gpo ayarlarımın GPObackup klasörüne alınmasını istiyorum. (Belirttiğiniz klasör adının ilgili dizinde bulunması gerekiyor.)

GPOBackup dizinini olduğu gibi kiosk1 makineme kopyaladıktan sonra, ilgili LGPO.exe dizinine giderek aşağıdaki komutu çalıştırıyorum.

.\lgpo.exe /g C:\LGPO\GPObackup

Ve ekranda görüleceği üzere belirttiğim dizindeki ilke ayarlarını uyguladı.

Kiosk2 makinemizdeki ilke ayarlarına bakacak olursak, kiosk1 makinesindeki ayarlar ile aynı olduğunu görebiliriz.

Faydalı olması dileğiyle.

 

Leave a Reply

Your email address will not be published. Required fields are marked *