Резервное копирование, восстановление, миграция и копирование объектов групповой политики

В этой статье описывается резервное копирование, восстановление, миграция и копирование существующих объектов групповой политики (ГОП) с помощью консоли управления групповыми политиками (GPMC). Эти возможности важны для защиты развертываний групповой политики от ошибок или аварий. Они помогают избежать необходимости вручную повторно создавать потерянные или поврежденные объекты групповой политики и повторять этапы планирования, тестирования и развертывания. Часть текущего плана операций групповой политики должна включать регулярные резервные копии всех объектов групповой политики.

Вы также можете копировать и импортировать объекты групповой политики из одного домена и между доменами. Вы можете использовать GPMC для переноса существующего объекта групповой политики, например из существующего домена в только что развернутый домен. Вы можете скопировать объекты групповой политики или импортировать параметры политики из одного объекта групповой политики в другой объект групповой политики. Импорт объектов групповой политики позволяет передавать параметры политики из резервного объекта групповой политики в существующий объект групповой политики и особенно полезен в ситуациях, когда связь доверия отсутствует между исходными и целевыми доменами. Если вы хотите повторно использовать существующие объекты групповой политики, копирование также позволяет удобно перемещать объекты групповой политики из одной рабочей среды в другую.

Резервное копирование объектов групповой политики и просмотр резервных копий объектов групповой политики

Операция резервного копирования создает резервную копию производственного объекта групповой политики в файловой системе. Расположение резервной копии может быть любой папкой, в которую у вас есть доступ на запись. После резервного копирования объектов групповой политики необходимо использовать GPMC для отображения содержимого папки резервного копирования и управления ими напрямую или программно с помощью скрипта. После резервного копирования объектов групповой политики используйте GPMC для обработки архивированных объектов групповой политики с помощью операций импорта и восстановления.

Вы можете резервировать несколько экземпляров одного и того же объекта групповой политики в одном и том же местоположении, поскольку GPMC однозначно идентифицирует каждый экземпляр резервной копии. Этот механизм позволяет вам выбрать экземпляр архивированного объекта групповой политики, с которым вы хотите работать. Например, вы можете отобразить только последние резервные копии при просмотре содержимого папки резервного копирования через GPMC.

Сделайте резервные копии всех GPO в домене

Чтобы создать резервную копию всех объектов групповой политики в домене, выполните следующие действия.

1. Чтобы открыть GPMC, нажмите кнопку "Пуск", введите групповую политику управления в поле поиска и выберите "Управление групповыми политиками".

2. В дереве консоли GPMC разверните лес доменов или домен, содержащий объекты групповой политики, которые нужно сохранить в резервной копии.

3. Щелкните правой кнопкой мыши объекты групповой политики и выберите команду "Создать резервную копию всех".

4. В диалоговом окне "Объект групповой политики резервного копирования " введите путь к месту хранения резервных копий групповой политики и введите описание. Кроме того, можно выбрать "Обзор", найдите папку, в которой требуется сохранить резервные копии объектов групповой политики, а затем нажмите кнопку "ОК". Выберите "Создать резервную копию".

5. После завершения операции резервного копирования будет представлена сводка, в которой указано, сколько объектов групповой политики было успешно сохранено, и каких объектов не удалось сохранить. Нажмите кнопку "ОК ", чтобы вернуться в GPMC.

Резервное копирование определенного объекта групповой политики

Чтобы создать резервную копию определенного объекта групповой политики, выполните следующие действия.

1. В дереве консоли GPMC разверните объект групповой политики в лесу или домене, содержащем объект, резервную копию которого требуется создать.

2. Щелкните правой кнопкой мыши объект групповой политики, который вы хотите скопировать, а затем выберите Создать резервную копию.

3. В диалоговом окне "Объект групповой политики резервного копирования" введите путь к месту хранения резервных копий групповой политики и введите описание. Кроме того, можно выбрать "Обзор", найдите папку, в которой требуется сохранить резервные копии объектов групповой политики, а затем нажмите кнопку "ОК". Выберите "Создать резервную копию".

4. После завершения операции резервного копирования будет представлена сводка, в которой указано, сколько объектов групповой политики было успешно сохранено, и каких объектов не удалось сохранить. Нажмите кнопку "ОК ", чтобы вернуться в GPMC.

Просмотр резервных копий объектов групповой политики

Чтобы просмотреть список резервных копий объектов групповой политики, выполните следующие действия.

1. В дереве консоли GPMC разверните лес доменов или домен, содержащий объекты групповой политики, которые нужно сохранить в резервной копии.

2. Щелкните правой кнопкой мыши объекты групповой политики и выберите пункт "Управление резервными копиями".

3. В диалоговом окне "Управление резервными копиями" введите путь к расположению, в котором хранятся резервные копии GPO, которые вы хотите просмотреть. Кроме того, можно выбрать «Обзор», затем найти папку, содержащую резервные копии групповой политики, и выбрать «ОК».

4. Чтобы указать, что в списке резервных объектов групповой политики отображаются только последняя версия всех объектов групповой политики, установите флажок "Показать только последнюю версию каждого группового объекта". Выберите Закрыть.

Восстановление объектов групповой политики

Вы также можете восстановить объекты групповой политики. Эта операция восстанавливает резервную копию объекта групповой политики в том же домене, из которого он был создан. Невозможно восстановить объект групповой политики из резервной копии в домен, отличный от исходного домена групповой политики. Чтобы восстановить предыдущую версию существующего объекта групповой политики, выполните следующие действия.

1. В дереве консоли GPMC разверните объекты групповой политики в лесу или домене, которые содержат объекты групповой политики, которые требуется восстановить.

2. Щелкните правой кнопкой мыши объект групповой политики, который требуется восстановить до предыдущей версии, а затем выберите "Восстановить из резервного копирования".

3. Нажмите кнопку "Далее ", чтобы приступить к работе.

4. Введите путь к расположению, где находятся резервные копии объектов групповой политики, а затем нажмите «Далее».

5. Выберите резервную копию объекта групповой политики, которую вы хотите восстановить, и нажмите кнопку "Далее".

6. Нажмите «Готово», чтобы восстановить GPO.

Чтобы восстановить удаленный объект групповой политики, выполните следующие действия.

1. В дереве консоли GPMC откройте лес или домен, содержащий GPO, который требуется восстановить.

2. Щелкните правой кнопкой мыши объекты групповой политики и выберите пункт "Управление резервными копиями".

3. В диалоговом окне "Управление резервными копиями" выберите "Обзор" и найдите файл, содержащий ваши резервные копии объектов групповой политики.

4. В списке зарезервированных объектов групповой политики выберите объект групповой политики, который требуется восстановить, а затем выберите Восстановить.

5. Когда появится запрос на подтверждение операции восстановления, нажмите кнопку "ОК".

6. После завершения операции восстановления будет представлена сводка, указывающая, было ли восстановление успешным. Нажмите ОК, после чего выберите Закрыть.

Копирование объектов групповой политики

GPMC позволяет копировать объекты групповой политики как в одном домене, так и в разных доменах, а также импортировать параметры групповой политики из одного объекта групповой политики в другой. Выполните эти операции в рамках промежуточного процесса перед развертыванием в рабочей среде. Эти операции также полезны для переноса объектов групповой политики из одной рабочей среды в другую.

Хотя коллекция параметров политики, составляющих объект групповой политики, логически является одной сущностью, данные для одного объекта групповой политики хранятся в нескольких расположениях и в различных форматах. Некоторые данные содержатся в Active Directory, а другие данные хранятся в папке Sysvol на контроллерах домена. Это означает, что нельзя копировать объекты групповой политики (GPOs), перемещая папку с одного компьютера на другой.

Операция копирования копирует существующий текущий объект групповой политики (GPO) в нужный целевой домен. Новый объект групповой политики всегда создается в рамках этого процесса. Целевой домен может быть любым доверенным доменом, в котором у вас есть право создавать новые объекты групповой политики. Добавьте требуемые леса и домены в GPMC и используйте GPMC для копирования и вставки (или перемещения) необходимых GPO из одного домена в другой. Чтобы скопировать объект групповой политики, необходимо иметь разрешение на создание объектов групповой политики в целевом домене.

При копировании объектов групповой политики вы также можете скопировать дискретионный список управления доступом (DACL) для объекта групповой политики в дополнение к параметрам политики. Это полезно для обеспечения того, чтобы новый объект групповой политики, созданный в рамках операции копирования, имеет те же параметры фильтрации безопасности и делегирования, что и исходный объект групповой политики.

Импорт объекта групповой политики позволяет передавать параметры политики из резервного объекта групповой политики в существующий объект групповой политики. Импорт объекта групповой политики передает только параметры групповой политики. Он не изменяет существующие фильтры безопасности или ссылки на целевой объект групповой политики. Импорт объекта групповой политики полезен для переноса объектов групповой политики в ненадежных средах, так как вам нужен только доступ к резервному объекту групповой политики, а не к рабочему объекту групповой политики. Так как операция импорта изменяет только параметры политики, для выполнения операции достаточно разрешений на изменение целевого объекта групповой политики.

При копировании или импорте объекта групповой политики можно указать таблицу миграции, если объект групповой политики содержит субъекты безопасности или UNC-пути, которые могут потребоваться обновить при копировании в целевой домен. Редактор таблиц миграции (MTE) используется для создания и изменения таблиц миграции. Таблицы миграции описаны далее в этой статье.

Чтобы скопировать объект групповой политики, выполните следующие действия.

1. В дереве консоли GPMC разверните Объекты групповой политики в лесу и домене, содержащих Объект групповой политики, который требуется скопировать.

2. Щелкните правой кнопкой мыши объект групповой политики, который требуется скопировать, и нажмите кнопку "Копировать".

3. Выполните одно из следующие действия:

   • Чтобы поместить копию объекта групповой политики в тот же домен, что и исходный объект групповой политики, щелкните правой кнопкой мыши объекты групповой политики и выберите "Вставить".
   • Чтобы разместить копию объекта групповой политики в другом домене (в одном или другом лесу), разверните целевой домен, щелкните правой кнопкой мыши объекты групповой политики и выберите "Вставить".
   • Если вы копируете в домене, выберите " Использовать разрешения по умолчанию для новых объектов групповой политики " или "Сохранить существующие разрешения" и нажмите кнопку "ОК".

4. Если вы копируете в другой домен или из другого домена, следуйте инструкциям в открывающемся мастере и нажмите кнопку "Готово".

Импорт параметров групповой политики

Чтобы импортировать параметры политики из резервного объекта групповой политики в другой объект групповой политики, выполните следующие действия.

1. В дереве консоли GPMC разверните Объекты групповой политики в лесу и домене, содержащих объект групповой политики, в который вы хотите импортировать параметры политики.

2. Щелкните правой кнопкой мыши объект групповой политики, который требуется импортировать, и выберите пункт "Импорт параметров".

3. В диалоговом окне мастера импорта параметров нажмите кнопку "Далее ", чтобы приступить к работе.

4. Нажмите кнопку "Далее" или при необходимости выберите "Резервная копия".

   1. Необязательный: В диалоговом окне "Объект групповой политики резервного копирования" введите путь к месту хранения резервных копий групповой политики и введите описание. Кроме того, можно выбрать "Обзор", найдите папку, в которой требуется сохранить резервные копии объектов групповой политики, а затем нажмите кнопку "ОК". Выберите "Создать резервную копию".

   2. После завершения операции резервного копирования будет представлена сводка, в которой указано, сколько объектов групповой политики было успешно сохранено, и каких объектов не удалось сохранить. Нажмите кнопку "ОК ", чтобы вернуться в мастер импорта параметров, а затем нажмите кнопку "Далее".

5. Введите путь к расположению, где находятся резервные копии объектов групповой политики, а затем нажмите кнопку "Далее".

6. Выберите резервную копию объекта групповой политики, которую вы хотите импортировать, и нажмите кнопку "Далее".

7. Просмотрите результаты сканирования и нажмите кнопку "Далее".

8. Нажмите кнопку "Готово", чтобы импортировать GPO.

9. После завершения операции импорта сводка будет указать, успешно ли выполнен импорт. Нажмите ОК.

Таблицы миграции

Поскольку некоторые данные в объекте групповой политики зависят от конкретного домена и могут быть недопустимыми при копировании непосредственно в другой домен, консоль управления групповыми политиками (GPMC) предоставляет таблицы миграции. Таблица миграции — это простая таблица, указывающая сопоставление между исходным значением и целевым значением.

Таблица миграции преобразует ссылки в объекте групповой политики во время операции копирования или импорта в новые ссылки, которые работают в целевом домене. Таблицы миграции можно использовать для обновления субъектов безопасности и UNC-путей к новым значениям в рамках операции импорта или копирования. Таблицы миграции хранятся с расширением .migtable имени файла и фактически являются XML-файлами. Вам не нужно знать XML для создания или изменения таблиц миграции. GPMC предоставляет редактор таблиц миграции (MTE) для управления таблицами миграции.

Таблица миграции состоит из одной или нескольких записей сопоставления. Каждая запись сопоставления состоит из исходного типа, ссылки на источник и целевую ссылку. Если при выполнении операции импорта или копирования указана таблица миграции, каждая ссылка на исходную запись заменяется на целевую запись при записи параметров политики в целевой объект групповой политики. Прежде чем использовать таблицу миграции, убедитесь, что целевые ссылки, указанные в таблице миграции, уже существуют.

Следующие элементы могут содержать субъекты безопасности и могут быть изменены с помощью таблицы миграции:

• Параметры политики безопасности следующих типов:

  • Назначение прав пользователя
  • Ограниченные группы
  • Системные службы
  • Файловая система
  • Registry

• Дополнительные параметры политики перенаправления папок

• Дискреционный список управления доступом (DACL) объекта групповой политики (GPO), если вы решили сохранить его во время операции копирования

• DACL для объектов установки программного обеспечения, которая сохраняется только в том случае, если указан параметр копирования DACL групповой политики

Следующие элементы могут содержать UNC-пути, которые могут потребоваться обновить до новых значений в рамках операции импорта или копирования. Например, серверы в исходном домене могут быть недоступны из домена, в который переносится объект групповой политики.

• Параметры групповой политики перенаправления папок
• Параметры групповой политики установки программного обеспечения

Ссылки на скрипты (например, для сценариев входа и запуска), которые хранятся за пределами исходной GPO. Сам скрипт не копируется в рамках операции копирования или импорта групповой политики, если только скрипт не хранится в исходном объекте групповой политики.

Чтобы создать таблицу миграции, которая сопоставляет пример пути UNC, выполните следующие действия:

1. В дереве консоли GPMC разверните объекты групповой политики в лесу и домене.

2. Щелкните правой кнопкой мыши Объекты групповой политики и выберите Редактор таблиц миграции.

3. В меню выберите «Инструменты», затем «Заполнение из GPO».

4. В диалоговом окне "Выбор групповой политики" выберите объект групповой политики , содержащий UNC-путь, который требуется сопоставить, и нажмите кнопку "ОК".

5. Введите новое целевое значение для пути UNC.

6. В меню выберите "Файл " и " Сохранить как".

7. Перейдите к расположению, которое вы хотите использовать. Введите имя таблицы миграции и нажмите кнопку "Сохранить".

Чтобы использовать таблицу миграции во время операции копирования или импорта, выполните следующие действия.

1. В дереве консоли GPMC разверните Объекты групповой политики в лесу и домене, содержащих объект групповой политики, в который вы хотите импортировать параметры политики.

2. Щелкните правой кнопкой мыши объект групповой политики, в который необходимо импортировать параметры политики, а затем выберите пункт "Импорт параметров".

3. В диалоговом окне мастера импорта параметров нажмите кнопку "Далее ", чтобы приступить к работе.

4. Нажмите кнопку "Далее" или при необходимости выберите "Резервная копия".

   1. Необязательный: В диалоговом окне "Объект групповой политики резервного копирования" введите путь к месту хранения резервных копий групповой политики, а затем введите описание. Кроме того, можно выбрать "Обзор", найдите папку, в которой требуется сохранить резервные копии объектов групповой политики, а затем нажмите кнопку "ОК". Выберите "Создать резервную копию".

   2. После завершения операции резервного копирования будет представлена сводка, в которой указано, сколько объектов групповой политики было успешно сохранено, и каких объектов не удалось сохранить. Нажмите кнопку "ОК ", чтобы вернуться в мастер импорта параметров, а затем нажмите кнопку "Далее".

5. Введите путь к расположению, где находятся резервные копии объектов групповой политики, а затем нажмите «Далее».

6. Выберите резервную копию объекта групповой политики, которую вы хотите импортировать, и нажмите кнопку "Далее".

7. Просмотрите результаты сканирования и нажмите кнопку "Далее".

8. Выберите «Использование данной таблицы миграции для сопоставления их с целевым объектом групповой политики (GPO)», а затем выберите «Обзор», чтобы найти таблицу миграции, которую вы хотите использовать. Нажмите кнопку Далее.

9. Нажмите кнопку "Готово", чтобы импортировать GPO.

10. После завершения операции импорта сводка будет указать, успешно ли выполнен импорт. Нажмите ОК.

Связанный контент

• Обработка групповой политики
• Результаты моделирования групповой политики и групповой политики
• Консоль управления групповыми политиками (GPMC)