通过

备份、还原、迁移和复制组策略对象

本文介绍如何使用组策略管理控制台(GPMC)备份、还原、迁移和复制现有组策略对象(GPO)。 这些功能对于保护组策略部署免受错误或灾难的影响非常重要。 它们可帮助你避免手动重新创建丢失或损坏的 GPO,并重复规划、测试和部署阶段。 正在进行的组策略操作计划的一部分应包括所有 GPO 的定期备份。

还可以从同一域和跨域复制和导入 GPO。 例如,可以使用 GPMC 将现有的 GPO 从现有的域迁移到新部署的域。 可以复制 GPO,也可以将策略设置从一个 GPO 导入到另一个 GPO。 通过导入 GPO,可以将策略设置从备份的 GPO 传输到现有 GPO,在源域和目标域之间不存在信任关系的情况下尤其有用。 如果要重复使用现有的 GPO,通过复制还可以方便地将 GPO 从一个生产环境移动到另一个生产环境。

备份 GPO 并查看 GPO 备份

备份操作将生产 GPO 备份到文件系统。 备份的位置可以是有写入访问权限的任何文件夹。 备份 GPO 后,必须使用 GPMC 通过直接或编程方式使用 GPMC 来显示和作备份文件夹的内容。 备份 GPO 后,使用 GPMC 通过导入和还原操作处理存档的 GPO。

Caution

请勿直接通过文件系统与存档的 GPO 进行交互。

可以将同一 GPO 的多个实例备份到同一位置,因为 GPMC 唯一标识每个备份实例。 通过此机制可以选择要使用的存档 GPO 的实例。 例如,在通过 GPMC 查看备份文件夹的内容时,可以选择仅显示最近的备份。

备份域中的所有 GPO

若要备份域中的所有 GPO,请执行以下步骤:

  1. 若要打开 GPMC,请选择“ 开始”,在搜索框中输入 组策略管理 ,然后选择 “组策略管理”。

  2. 在 GPMC 控制台树中,展开包含要备份的 GPO 的林或域。

  3. 右键单击组策略对象,然后选择全部备份

  4. “备份组策略对象 ”对话框中,输入要存储 GPO 备份的位置的路径,并输入说明。 或者,可以选择“ 浏览”,找到要在其中存储 GPO 备份的文件夹,然后选择“ 确定”。 选择“ 备份”。

  5. 备份操作完成后,摘要将列出已成功备份的 GPO 数量和未备份的 GPO 数量。 选择 “确定 ”以返回到 GPMC。

备份特定 GPO

若要备份特定 GPO,请执行以下步骤:

  1. 在 GPMC 控制台树中,展开包含要备份的 GPO 的林或域中的组策略对象。

  2. 右键单击要备份的 GPO,然后选择“ 备份”。

  3. “备份组策略对象 ”对话框中,输入要存储 GPO 备份的位置的路径,并输入说明。 或者,可以选择“ 浏览”,找到要在其中存储 GPO 备份的文件夹,然后选择“ 确定”。 选择“ 备份”。

  4. 备份操作完成后,摘要将列出已成功备份的 GPO 数量和未备份的 GPO 数量。 选择 “确定 ”以返回到 GPMC。

查看 GPO 备份

若要查看备份 GPO 的列表,请执行以下步骤:

  1. 在 GPMC 控制台树中,展开包含要备份的 GPO 的林或域。

  2. 右键单击组策略对象,然后选择管理备份

  3. 在“ 管理备份 ”对话框中,输入存储要查看的 GPO 备份的位置的路径。 或者,可以选择“ 浏览”,找到包含 GPO 备份的文件夹,然后选择“ 确定”。

  4. 若要指定“ 备份 GPO”列表中仅显示最新版本的 GPO,请选择“ 仅显示每个 GPO 的最新版本 ”复选框。 选择 关闭

还原 GPO

还可以还原 GPO。 通过此操作,可以将已备份的 GPO 还原到原备份域。 无法将 GPO 从备份还原到不同于 GPO 原始域的域。 若要还原现有 GPO 的早期版本,请执行以下步骤:

  1. 在 GPMC 控制台树中,展开包含要还原的 GPO 的林或域中的组策略对象。

  2. 右键单击要还原到以前版本的 GPO,然后选择从备份还原

  3. 选择 “下一步 ”以开始。

  4. 输入 GPO 备份所在的位置的路径,然后选择“ 下一步”。

  5. 选择要还原的备份 GPO,然后选择“ 下一步”。

  6. 选择 “完成 ”以还原 GPO。

若要还原已删除的 GPO,请执行以下步骤:

  1. 在 GPMC 控制台树中,展开包含要还原的 GPO 的林或域。

  2. 右键单击组策略对象,然后选择管理备份

  3. 在“ 管理备份 ”对话框中,选择“ 浏览”,然后找到包含备份 GPO 的文件。

  4. “备份 GPO ”列表中,选择要还原的 GPO,然后选择“ 还原”。

  5. 当系统提示确认还原作时,请选择“ 确定”。

  6. 还原操作完成后,将显示一个摘要,说明还原是否成功。 选择“ 确定”,然后选择“ 关闭”。

复制 GPO

通过 GPMC 可以在同一域中和跨域复制 GPO,并将组策略设置从一个 GPO 导入到另一个 GPO。 在将这些操作部署到生产环境之前,将其作为暂存过程的一部分执行。 这些操作对于将 GPO 从一个生产环境迁移到另一个环境也很有用。

尽管包括 GPO 的策略设置集合在逻辑上是单个实体,但单个 GPO 的数据存储在多个位置并以各种格式存储。 一些数据包含在 Active Directory 中,其他数据存储在域控制器上的 Sysvol 文件夹中。 这意味着,无法通过将文件夹从一台计算机复制到另一台计算机来复制 GPO。

复制操作将现有的当前 GPO 复制到所需的目标域。 作为此过程的一部分,始终会创建一个新 GPO。 目标域可以是你有权在其中创建新 GPO 的任何受信任域。 在 GPMC 中添加所需的林和域,并使用 GPMC 将所需的 GPO 从一个域复制和粘贴(或拖放)到另一个域。 若要复制 GPO,必须具有在目标域中创建 GPO 的权限。

复制 GPO 时,除了复制 GPO 内部的策略设置外,还可以复制 GPO 上的自由访问控制列表 (DACL)。 这对于确保作为复制操作的一部分创建的新 GPO 具有与原始 GPO 相同的安全筛选和委派选项非常有用。

通过导入 GPO,可以将策略设置从备份的 GPO 传输到现有 GPO。 导入 GPO 仅传输 GPO 设置。 它不会修改目标 GPO 上的现有安全筛选或链接。 导入 GPO 对于跨不受信任的环境迁移 GPO 非常有用,因为只需访问备份的 GPO,而不需要访问生产 GPO。 由于导入作仅修改策略设置,因此对目标 GPO 的编辑权限足以执行该作。

复制或导入 GPO 时,如果 GPO 包含安全主体或 UNC 路径,则当 GPO 复制到目标域时可能需要更新这些主体或 UNC 路径,则可以指定迁移表。 可以使用迁移表编辑器 (MTE) 创建和编辑迁移表。 本文稍后将介绍迁移表。

若要复制 GPO,请执行以下步骤:

  1. 在 GPMC 控制台树中,展开包含要复制的 GPO 的林和域中的组策略对象

  2. 右键单击要复制的 GPO,然后选择“ 复制”。

  3. 执行下列其中一项操作:

    • 若要将 GPO 的副本与源 GPO 放置在同一域中,请右键单击组策略对象,然后选择粘贴
    • 要将 GPO 的副本放置在不同的域(位于同一林或不同的林中),请展开目标域,右键单击 组策略对象,然后选择粘贴
    • 如果要在域中复制,请选择“ 使用新 GPO 的默认权限 ”或 “保留现有权限”,然后选择“ 确定”。

  4. 如果要复制到其他域或从另一个域复制,请按照打开的向导中的说明作,然后选择“ 完成”。

“导入 GPO”设置

如果需要将备份 GPO 中的策略导入到其他 GPO 中,请执行以下步骤:

  1. 在 GPMC 控制台树中,展开包含要将策略设置导入到的 GPO 的林和域中的组策略对象

  2. 右键单击要导入策略设置的 GPO,然后选择“ 导入设置”。

  3. “导入设置向导 ”对话框中,选择“ 下一步 ”以开始。

  4. 选择“ 下一步”,或者选择“ 备份”。

    1. 自选:“备份组策略对象 ”对话框中,输入要存储 GPO 备份的位置的路径,并输入说明。 或者,可以选择“ 浏览”,找到要在其中存储 GPO 备份的文件夹,然后选择“ 确定”。 选择“ 备份”。

    2. 备份操作完成后,摘要将列出已成功备份的 GPO 数量和未备份的 GPO 数量。 选择 “确定 ”以返回到 “导入设置向导”,然后选择“ 下一步”。

  5. 输入 GPO 备份所在的位置的路径,然后选择“ 下一步”。

  6. 选择要导入的备份 GPO,然后选择“ 下一步”。

  7. 查看扫描结果,然后选择“ 下一步”。

  8. 选择 “完成 ”以导入 GPO。

  9. 导入操作完成后,将显示一个摘要,说明导入是否成功。 选择“确定”

迁移表

由于 GPO 中的某些数据特定于域,因此在直接复制到另一个域时可能无效;为此 GPMC 提供了迁移表。 迁移表是一个简单表,指定源值与目标值之间的映射。

在复制或导入操作期间,迁移表将 GPO 中的引用转换为在目标域中生效的新引用。 作为导入或复制操作的一部分,可以使用迁移表将安全主体和 UNC 路径更新为新值。 迁移表以文件扩展名 .migtable 存储,实际上是 XML 文件。 无需知道 XML 来创建或编辑迁移表。 GPMC 提供用于作迁移表的迁移表编辑器(MTE)。

迁移表由一个或多个映射条目组成。 每个映射条目都包含源类型、源引用和目标引用。 如果在执行导入或复制操作时指定迁移表,则策略设置写入目标 GPO 时,对源条目的每个引用都将替换为目标条目。 在使用迁移表之前,请确保迁移表中指定的目标引用已存在。

以下项目可以包含安全主体,并且可以使用迁移表进行修改:

  • 以下类型的安全策略设置:

    • 用户权限分配
    • 受限组
    • 系统服务
    • 文件系统
    • Registry

  • 高级文件夹重定向策略设置

  • GPO DACL(如果选择在复制操作期间保留它)

  • 软件安装对象上的 DACL,只有在指定了复制 GPO DACL 的选项时才会保留

以下项可能包含 UNC 路径,在导入或复制操作中可能需要将其更新为新值。 例如,原始域中的服务器可能无法从 GPO 迁移到的域中访问。

  • 文件夹重定向组策略设置
  • 软件安装组策略设置

对存储在源 GPO 外部的脚本(例如,登录和启动脚本)的引用。 除非脚本存储在源 GPO 中,否则脚本本身不会作为 GPO 复制或导入操作的一部分进行复制。

若要创建映射示例 UNC 路径的迁移表,请执行以下步骤:

  1. 在 GPMC 控制台树中,展开林和域中的组策略对象

  2. 右键单击组策略对象,然后选择打开迁移表编辑器

  3. 从菜单中选择“ 工具 ”,然后 从 GPO 填充

  4. “选择 GPO ”对话框中,选择包含要映射的 UNC 路径的 GPO,然后选择“ 确定”。

  5. 输入 UNC 路径的新目标值。

  6. 从菜单中选择“ 文件 ”,然后选择“ 另存为”。

  7. 浏览到要使用的位置。 输入迁移表的名称,然后选择“ 保存”。

若要在复制或导入操作期间使用迁移表,请执行以下步骤:

  1. 在 GPMC 控制台树中,展开包含要将策略设置导入到的 GPO 的林和域中的组策略对象

  2. 右键单击要将策略设置导入到其中的 GPO,然后选择“ 导入设置”。

  3. “导入设置向导 ”对话框中,选择“ 下一步 ”以开始。

  4. 选择“ 下一步”,或者选择“ 备份”。

    1. 自选:“备份组策略对象 ”对话框中,输入要存储 GPO 备份的位置的路径,然后输入说明。 或者,可以选择“ 浏览”,找到要在其中存储 GPO 备份的文件夹,然后选择“ 确定”。 选择“ 备份”。

    2. 备份操作完成后,摘要将列出已成功备份的 GPO 数量和未备份的 GPO 数量。 选择 “确定 ”以返回到 “导入设置向导”,然后选择“ 下一步”。

  5. 输入 GPO 备份所在的位置的路径,然后选择“ 下一步”。

  6. 选择要导入的备份 GPO,然后选择“ 下一步”。

  7. 查看扫描结果,然后选择“ 下一步”。

  8. 选择“ 使用此迁移表”在目标 GPO 中映射它们,然后选择“ 浏览 ”以查找要使用的迁移表。 选择“下一步”。

  9. 选择 “完成 ”以导入 GPO。

  10. 导入操作完成后,将显示一个摘要,说明导入是否成功。 选择“确定”

相关内容