LGPO.exe adalah command-line tool untuk mengelola Local Group Policy pada sistem Windows yang tidak tergabung dalam domain. Namun, pengguna sering mengalami kesalahan dengan switch /g selama operasi import atau export, yang dapat mengganggu skrip otomatisasi dan menghambat penerapan security baselines. Masalah ini biasanya muncul karena sintaks perintah atau integritas file backup policy yang digunakan.
Perintah LGPO.exe sangat sensitif terhadap kesalahan path, seperti spasi yang tidak diapit tanda kutip atau struktur path yang salah. Selain itu, backup mungkin menyertakan pengaturan policy yang tidak kompatibel dengan sistem target, seperti User Rights Assignments yang mereferensikan grup berbasis domain (misalnya, “Domain Admins”) pada komputer yang tidak bergabung dengan domain. Masalah dengan format file, seperti penggunaan encoding Unicode dalam file .inf atau .txt alih-alih format ANSI yang diperlukan, juga dapat menyebabkan proses import berakhir dengan kesalahan.
Untuk mengatasi masalah ketika LGPO.exe switch /g tidak berfungsi selama operasi export atau import, ada beberapa solusi yang bisa diterapkan. Pertama, selalu gunakan tanda kutip untuk path yang mengandung spasi. Command-line interpreters, seperti Command Prompt dan PowerShell, menggunakan spasi untuk memisahkan argumen. Ketika sebuah path mengandung spasi, interpreter akan salah mengartikan bagian-bagian dari path sebagai argumen terpisah.
Mengapit path dalam tanda kutip akan memaksa interpreter untuk memperlakukan seluruh path sebagai satu kesatuan argumen, memastikan LGPO.exe menerima path file yang lengkap dan benar. Contoh sintaks yang benar adalah: LGPO.exe /g “C:\My Policies\LGPO Backup”. Jalankan perintah ini di elevated Command Prompt (Run as Administrator). Jika tidak ada masalah lain pada sistem, perbaikan sintaks ini seharusnya sudah cukup untuk menyelesaikan masalah.
Kedua, koreksi User Rights Assignment Errors. LGPO.exe akan gagal pada User Rights Assignments spesifik domain karena grup keamanan seperti “Domain Admins” tidak ada di komputer lokal, sehingga tidak mungkin untuk menyelesaikan nama grup menjadi Security Identifier (SID) yang valid. Untuk memperbaikinya, edit file GptTmpl.inf dan ganti grup domain dengan grup lokal, seperti “Administrators”. Ini memastikan SID yang valid ada di semua mesin Windows, memungkinkan local security subsystem untuk menerapkan policy tanpa kesalahan. Langkah-langkahnya adalah sebagai berikut: buka File Explorer, navigasikan ke folder backup LGPO Anda.
File penting terletak di: [YourBackupFolder]\DomainSysvol\GPO\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf. Klik kanan file GptTmpl.inf dan buka dengan text editor seperti Notepad. Sangat disarankan untuk membuat salinan backup dari file ini sebelum melakukan perubahan. Cari baris di bagian Privilege Rights yang mereferensikan grup domain, seperti: SeRemoteInteractiveLogonRight = *S-1-5-21-123456789-1234567890-123456789-512,Domain Admins atau SeBackupPrivilege = *S-1-5-32-544,BUILTIN\Administrators,*S-1-5-21-123456789-1234567890-123456789-512,Domain Admins.
Untuk setiap grup domain (misalnya, Domain Admins), Anda memiliki dua pilihan: hapus grup domain sepenuhnya jika Anda hanya ingin grup lokal memiliki hak tersebut, atau ganti dengan grup lokal yang memiliki tujuan serupa (misalnya, Administrators). Simpan perubahan pada file GptTmpl.inf. Pastikan encoding file tetap ANSI untuk menghindari kesalahan baru. Jalankan kembali perintah import LGPO Anda. Perintah tersebut seharusnya sekarang selesai dengan sukses karena tidak lagi mencoba menetapkan hak ke grup domain yang tidak ada.
Ketiga, gunakan Secedit untuk Security Policies. Switch /g di LGPO.exe memiliki keterbatasan dengan pengaturan keamanan canggih tertentu yang dikelola oleh subsystem yang berbeda. Tool secedit dirancang khusus untuk bekerja dengan database Security Configuration Editor, yang menangani policies ini secara native.
Dengan menggunakan secedit untuk mengekspor ke file .inf, Anda membuat security template yang kompatibel yang kemudian dapat diterapkan dengan benar oleh LGPO.exe menggunakan switch /m (merge), melewati batasan proses import standar. Pada sistem sumber, jalankan secedit /export /cfg C:\temp\security_policies.inf /areas SECURITYPOLICY. Pada sistem target, terapkan template menggunakan LGPO.exe /m C:\temp\security_policies.inf. Setelah itu, periksa apakah masalah masih berlanjut.
Keempat, pastikan encoding file adalah ANSI. Parser LGPO.exe memerlukan file policy template dalam format teks ANSI atau ASCII. Jika Anda menyimpan file dalam UTF-8 dengan Byte Order Mark (BOM), parser akan menemukan karakter yang tidak terlihat di awal file yang tidak dapat dipahami. Masalah ini menyebabkan parser segera gagal pada baris pertama. Untuk menghindari ini, simpan file dalam encoding ANSI. Ini akan menghilangkan karakter yang tidak kompatibel dan memungkinkan parser membaca file dengan benar dari karakter pertama.
Pertama, navigasikan ke [YourBackupFolder]\DomainSysvol\GPO\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf. Klik kanan pada file .inf dan buka dengan Notepad++ atau text editor modern lainnya yang menampilkan encoding. Klik pada Encoding > Convert to ANSI. Terakhir, simpan file. Langkah ini seharusnya berhasil mengatasi masalah encoding. Dengan menerapkan solusi-solusi ini secara sistematis, pengguna dapat mengatasi sebagian besar masalah yang terkait dengan kegagalan operasi LGPO.exe switch /g selama proses export atau import. Pemahaman yang cermat tentang sintaks perintah, penanganan grup keamanan, dan format encoding file adalah kunci untuk keberhasilan penerapan local group policy menggunakan tool ini.