How Can We Help?
Editare policy (EXTRA REGISTRY SETTINGS) non visibili in policy manager (GPMC)
Le “impostazioni di registro extra” (EXTRA REGISTRY SETTINGS) nel contesto dei Criteri di gruppo si riferiscono alle impostazioni di registro che appaiono nella Console di gestione dei Criteri di gruppo (GPMC) ma non sono associate ad alcuna impostazione di criterio specifica.
Queste impostazioni si trovano nella sezione Modelli amministrativi dello spazio dei nomi delle GPO perché sono state impostate utilizzando file ADM o ADMX che non sono più reperibili.
In altre parole, si tratta di impostazioni orfane che non sono più gestibili all’interno della GPO.
Queste “impostazioni di registro extra” si verificano in genere quando vengono aggiunti nuovi modelli ADMX, come quelli di Windows 10, e i nuovi modelli non supportano le vecchie impostazioni.
GPMC visualizza queste impostazioni come “Impostazioni di registro extra” perché non è in grado di mapparle a un’impostazione di criterio specifica.
Procedura per editare una EXTRA REGISTRY SETTINGS
- Invividuare la policy da editare
- Effettuare il backup della policy
- Accedere alla cartella del backup e cercare il file REGISTRY.POL (ad es. si può trovare in {3A030F40-F779-4BA0-8AC4-E8CAF96D10BA}\DomainSysvol\GPO\Machine\)
- Scaricare l’applicazione di Microsoft LGPO.exe (link https://www.microsoft.com/en-us/download/details.aspx?id=55319)
- Fare una copia del file registry.pol e (per comodità) metterla nella stessa caartella dell’eseguibile lgpo.exe
- Editare il file REGISTRY.POL per trasformarlo da .POL a .TXT con il seguente comando:
lgpo /parse /m registry.pol > registry.txt - Eseguire le modifiche necessarie e salvare il file
- Editare il file REGISTRY.POL per trasformarlo da .TXT a .POL con il seguente comando:
lgpo /r registry.txt /w registry.pol /v - In questo esempio il file registry.pol è stato messo nella stessa cartella dell’eseguibile LGPO
- Ottenuto il nuovo file registry.pol lo si va a mettere all’interno del backup della GPO fatto in precedenza sovrascrivendo il veccio file (nel nostro caso lo metterò in {3A030F40-F779-4BA0-8AC4-E8CAF96D10BA}\DomainSysvol\GPO\Machine\)
- Eseguire il restore della GPO
- Eseguire quindi gpupdate /force
Documentazione LGPO in: https://techcommunity.microsoft.com/t5/microsoft-security-baselines/lgpo-exe-local-group-policy-object-utility-v1-0/ba-p/701045