Групповые политики играют важную роль в управлении доменом, а их повреждение или случайное удаление может привести к непредсказуемым результатам. Резервное копирование объектов групповых политик (Group Policy Object, GPO) дает возможность оперативно восстановить их состояние и если не избежать последствий, то свести их к минимуму. Кроме того, резервные копии стоит делать перед редактированием параметров GPO, чтобы в случае проблем не заниматься поиском, а просто откатить изменения из бэкапа.
Управлять резервным копированием и восстановлением GPO можно как из графической оснастки, так и из командной строки. Итак, вариант первый.
Оснастка Group Policy Management
Запустить оснастку управления групповыми политиками Group Policy Management можно из раздела Administrative Tools, либо нажав Win+R и введя команду gpmc.msc. Для создания резервной копии надо перейти в раздел Group Policy Objects, выделить нужный объект, кликнуть на нем правой клавишей мыши и в контекстном меню выбрать пункт «Back Up».
Затем в открывшемся окне указываем директорию, в которой будет храниться бэкап, добавляем его внятное описание и жмем кнопку «Back Up».
Если надо сохранить сразу все доменные политики, то поступаем немного по другому: кликаем правой клавишей на разделе Group Policy Objects и выбираем «Back Up All». Дальше все так же, как и в предыдущем примере.
Для восстановления GPO из бэкапа есть два пути. Если необходимо откатить изменения в существующей политике, то выделяем соответствующий GPO и в контекстном меню выбираем «Restore from Backup».
Запускается мастер восстановления, в котором надо указать местоположение резервной копии.
И выбрать версию GPO для восстановления. Выбирать можно по дате создания или описанию. Также по кнопке «View Settings» можно посмотреть настройки, содержащиеся в этом GPO.
Также восстановить объект групповой политики можно из окна Manage Backups (управление резервными копиями), кликнув правой клавишей на разделе Group Policy Objects и выбрав пункт «Manage Backups».
В этом окне нужно указать папку с бэкапами, выбрать объект для восстановления и нажать «Restore». Кстати, таким образом можно не только восстанавливать существующие, но и импортировать новые GPO.
PowerShell
В PowerShell для управления групповыми политиками есть модуль GroupPolicy, в состав которого входят командлеты для резервного копирования и восстановления объектов групповых политик. Так следующая команда создаст в папке C:\GPO Backups резервную копию GPO с названием Documents и добавит к ней комментарий:
Backup-GPO -Name Documents -Path ″C:\GPO Backups″ -Comment ″Backup with PowerShell″
А для архивации всех GPO в текущем домене можно воспользоваться командой:
Backup-GPO -All -Path ″C:\GPO Backups″
Для восстановления используется командлет Restore-GPO. Следующая команда восстановит наиболее свежую версию GPO с именем Documents:
Restore-GPO -Name Documents -Path ″C:\GPO Backups″
Для восстановления всех GPO используйте ключ -All, вот так:
Restore-GPO -All -Path ″C:\GPO Backups″
Если же необходимо восстановить версию GPO, отличающуюся от последней, то с помощью ключа -BackupID можно указать идентификатор резервной копии:
Restore-GPO -Path ″C:\GPO Backups″ -BackupID 17205BEF-6A37-4D5D-BB42-72D690922BF3
BackupID представляет собой 32-разрядный идентификатор, уникальный для каждой резервной копии. Как ни странно 🙂 он совпадает с именем папки, в которой хранится данная копия.
Еще PowerShell можно использовать для автоматизации резервного копирования объектов групповых политик. Для примера запланируем бэкап всех доменных GPO ежедневно в 3 часа ночи:
$t = New-JobTrigger -Daily -At 3am
Register-SheduledJob -Name AllGPOBackup -ScriptBlock {Backup-GPO -All -Path ″C:\GPO Backups″} -Trigger $t
B завершение напомню, что для работы с объектами групповых политик необходимо иметь соответствующие полномочия в домене. По умолчанию их имеют только члены групп Domain и Enterprise Admins.
Спасибо. Видно почерк настоящего сисадмина)
Спасибо также за командочки powershell)