Заметки о Windows и других программных продуктах Microsoft...

Резервное копирование и восстановление GPO

Резервное копирование и восстановление GPO

Групповые политики играют важную роль в управлении доменом, а их повреждение или случайное удаление может привести к непредсказуемым результатам. Резервное копирование объектов групповых политик (Group Policy Object, GPO) дает возможность оперативно восстановить их состояние и если не избежать последствий, то свести их к минимуму. Кроме того, резервные копии стоит делать перед редактированием параметров GPO, чтобы в случае проблем не заниматься поиском, а просто откатить изменения из бэкапа.

Управлять резервным копированием и восстановлением GPO можно как из графической оснастки, так и из командной строки. Итак, вариант первый.

Оснастка Group Policy Management

Запустить оснастку управления групповыми политиками Group Policy Management можно из раздела Administrative Tools, либо нажав Win+R и введя команду gpmc.msc. Для создания резервной копии надо перейти в раздел Group Policy Objects, выделить нужный объект, кликнуть на нем правой клавишей мыши и в контекстном меню выбрать пункт «Back Up».

бэкап одного GPO

 

Затем в открывшемся окне указываем директорию, в которой будет храниться бэкап, добавляем его внятное описание и жмем кнопку «Back Up».

описание и выбор папки для бэкапа

 

Если надо сохранить сразу все доменные политики, то поступаем немного по другому: кликаем правой клавишей на разделе Group Policy Objects и выбираем «Back Up All». Дальше все так же, как и в предыдущем примере.

бэкап всех GPO в домене

 

Для восстановления GPO из бэкапа есть два пути. Если необходимо откатить изменения в существующей политике, то выделяем соответствующий GPO и в контекстном меню выбираем «Restore from Backup».

восстановление GPO способ 1

 

Запускается мастер восстановления, в котором надо указать местоположение резервной копии.

выбор папки с бэкапом GPO

 

И выбрать версию GPO для восстановления. Выбирать можно по дате создания или описанию. Также по кнопке «View Settings» можно посмотреть настройки, содержащиеся в этом GPO.

выбор версии GPO для восстановления

 

Также восстановить объект групповой политики можно из окна Manage Backups (управление резервными копиями), кликнув правой клавишей на разделе Group Policy Objects и выбрав пункт «Manage Backups».

восстановление GPO 2 вариант

 

В этом окне нужно указать папку с бэкапами, выбрать объект для восстановления и нажать «Restore». Кстати, таким образом можно не только восстанавливать существующие, но и импортировать новые GPO.

окно Manage Backups

PowerShell

В PowerShell для управления групповыми политиками есть модуль GroupPolicy, в состав которого входят командлеты для резервного копирования и восстановления объектов групповых политик. Так следующая команда создаст в папке C:\GPO Backups резервную копию GPO с названием Documents и добавит к ней комментарий:

Backup-GPO -Name Documents -Path ″C:\GPO Backups″ -Comment ″Backup with PowerShell″

А для архивации всех GPO в текущем домене можно воспользоваться командой:

Backup-GPO -All -Path ″C:\GPO Backups″

создание бэкапа GPO из PowerShell

 

Для восстановления используется командлет Restore-GPO. Следующая команда восстановит наиболее свежую версию GPO с именем Documents:

Restore-GPO -Name Documents -Path ″C:\GPO Backups″

Для восстановления всех GPO используйте ключ -All, вот так:

Restore-GPO -All -Path ″C:\GPO Backups″

восстановление новейшей версии GPO из PowerShell

 

Если же необходимо восстановить версию GPO, отличающуюся от последней, то с помощью ключа -BackupID можно указать идентификатор резервной копии:

Restore-GPO -Path ″C:\GPO Backups″ -BackupID 17205BEF-6A37-4D5D-BB42-72D690922BF3

BackupID представляет собой 32-разрядный идентификатор, уникальный для каждой резервной копии. Как ни странно 🙂 он совпадает с именем папки, в которой хранится данная копия.

восстановление GPO с указанием версии

 

Еще PowerShell можно использовать для автоматизации резервного копирования объектов групповых политик. Для примера запланируем бэкап всех доменных GPO ежедневно в 3 часа ночи:

$t = New-JobTrigger -Daily -At 3am
Register-SheduledJob -Name AllGPOBackup -ScriptBlock {Backup-GPO -All -Path ″C:\GPO Backups″} -Trigger $t

B завершение напомню, что для работы с объектами групповых политик необходимо иметь соответствующие полномочия в домене. По умолчанию их имеют только члены групп Domain и Enterprise Admins.

 
 
Комментарии
Михаил

Спасибо. Видно почерк настоящего сисадмина)
Спасибо также за командочки powershell)