В связи с тем, что именно от групповых политик зависит большинство настроек административных шаблонов и безопасности серверов и компьютеров вашей организации, наиболее важными этапами являются планирование и обеспечение стратегии архивации объектов групповых политик в корпоративной среде вашей компании. Оснастка «Управление групповой политикой» позволяет автоматизировать практически все возможные настройки для оптимального обеспечения функционирования вашей организации. Данная оснастка обеспечивает компонент архивации, который позволяет создавать резервные копии всего списка объектов групповых политик в лесу или домене, а также архивировать его отдельные компоненты. Выполнение архивации позволяет вам не только защитить развернутые вами объекты групповых политик, а также архивировать их с целью миграции или импорта в другие домены или леса Active Directory. В этой статье вы узнаете об архивации объектов групповой политики, их восстановлении, о копировании и импорте объектов групповой политики в ручном режиме.
Архивация групповой политики
Как было указано выше, вы можете выполнять резервное копирование конкретных объектов групповых политик, а также контейнер «Объекты групповой политики». Помимо этого, вы можете архивировать начальные объекты групповой политики и фильтры WMI. К сожалению, такие внешние параметры самого объекта групповой политики, как фильтры WMI, ссылки на сайты, домены и подразделения, а также политики IPSec, считаются независимыми объектами Active Directory и не подлежат архивированию. Стоит обратить внимание на то, что для выполнения архивирования объекта групповой политики у вас должны быть права на разрешение чтения объекта GPO, а также разрешения на запись в папку, в которой будет располагаться резервная копия объекта групповой политики. Для того чтобы выполнить архивирование одного определенного объекта групповой политики, выполните следующие действия:
Откройте оснастку «Управление групповой политикой» и в ней, в дереве консоли, разверните контейнер «Объекты групповой политики»;
Выберите один объект групповой политики (в этом примере создается резервная копия объекта групповой политики Default Domain Controllers Policy), нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Архивировать». Если вы хотите заархивировать сразу все объекты групповой политики, которые расположены в контейнере «Объекты групповой политики» или «Начальные объекты групповой политики», нажмите правой кнопкой мыши на самом контейнере и выберите команду «Архивировать все»;
В обоих случаях откроется диалоговое окно «Архивация объекта групповой политики», которое вы можете увидеть на первой иллюстрации. В этом диалоговом окне, в поле «Расположение» введите путь к папке, в которой будут храниться резервные копии ваших объектов групповой политики, а в поле «Описание» - краткое описание, предназначенное для локализации заархивированного объекта GPO. Если вы уже выполняли резервное копирование объектов GPO, то при повторном открытии данного диалогового окна, в поле «Расположение», будет указана папка, в которую выполнялось архивирование в предыдущий раз. Поле «Описание» является опциональным, то есть вводить текст в данное поле не обязательно;
Рис. 1. Диалоговое окно «Архивация объекта групповой политики»
Для того чтобы начать процесс архивации, нажмите на кнопку «Архивировать». На следующей иллюстрации отображается также диалоговое окно «Архивация объекта групповой политики», но во время выполнения резервного копирования объекта GPO:
Рис. 2. Процесс архивации объектов GPO
После того как все объекты групповой политики будут заархивированы, нажмите на кнопку «ОК» для закрытия данного диалогового окна.
Восстановление объекта групповой политики
Во время изменения параметров политик объекта групповой политики вы можете совершить ошибку, и настройки пользовательских компьютеров могут измениться в худшую сторону. Помимо этого, у вас всегда есть шанс по ошибке удалить нужный, а, возможно, и критичный для вас объект групповой политики. Чтобы избежать большинства подобных проблем, оснастка «Управление групповой политикой» позволяет управлять и восстанавливать резервные копии объектов групповой политики. При помощи механизма восстановления объектов GPO, вы можете изменить как модифицированные, так и удаленные объекты групповой политики. Так как каждый объект групповой политики архивируется отдельно с номером версии, которая включает в себя отметку времени и описание архива, вы можете восстановить последнюю или любую из предыдущих версий указанного вами объекта групповой политики. Также как и в случае с архивацией, для восстановления объекта GPO у вас должны быть права на разрешение создание в домене объект GPO, а также разрешения на чтение папки, в которой располагается резервная копия объекта групповой политики. Для восстановления существующего объекта групповой политики, выполните следующие действия:
Откройте оснастку «Управление групповой политикой», где в дереве консоли разверните контейнер, в котором расположен объект групповой политики, который вам нужно восстановить;
Выделите объект групповой политики, который вам нужно восстановить, нажмите на нем правой кнопкой мыши и в открывшемся контекстном меню выберите команду «Восстановить из архива…»;
В отобразившемся диалоговом окне «Мастер восстановления объекта групповой политики», на первой странице мастера прочтите информацию о восстановлении объектов GPO из архивов и нажмите на кнопку «Далее»;
Рис. 3. Страница приветствия мастера восстановления объектов групповой политики
На странице «Расположение архива» укажите папку, в которой расположена архивная копия объекта групповой политики;
Рис. 4. Страница «Расположение архива» мастера восстановления объекта групповой политики
На странице «Исходный объект групповой политики», выберите объект групповой политики, который требуется восстановить. Если вы создавали несколько резервных копий объекта групповой политики, вы можете выбрать любую архивную копию, создаваемую ранее из списка «Архивированные объекты политики для восстановления». Если вы хотите просмотреть изменения в выбранной вами политике, нажмите на кнопку «Просмотреть параметры…»;
Рис. 5. Страница «Исходный объект групповой политики» мастера восстановления групповой политики
Нажмите на кнопку «Далее». На странице «Завершение мастера восстановления объектов групповой политики» просмотрите сводную информацию и нажмите на кнопку «Готово»;
Рис. 6. Страница завершения мастера восстановления объектов групповой политики
На следующем шаге откроется диалоговое окно «Восстановление», где по завершению процесса восстановления нажмите на кнопку «ОК»;
Рис. 7. Диалоговое окно «Восстановление»
Управление архивацией
Управления архивацией позволяет вам восстанавливать или удалять один или несколько объектов групповой политики. Для того чтобы воспользоваться механизмом управления архивации, выполните следующие действия:
В оснастке «Управление групповой политикой» выберите контейнер «Объекты групповой политики», нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Управление архивацией»;
В диалоговом окне «Управление архивацией», которое отображено на следующей иллюстрации, выберите удаленный объект групповой политики или тот объект GPO, который требуется восстановить, и нажмите на кнопку «Восстановить». Если у вас отображено сразу несколько объектов групповой политики, которые отличаются только по временной отметке, вы можете установить флажок «Показывать только последнюю версию каждого объекта групповой политики» для отображения последнего изменения для каждого присутствующего в архиве объекта GPO. Также вы можете удалить из архива несколько объектов групповых политик. Для этого, удерживая клавишу Ctrl, выделите сразу несколько объектов GPO и нажмите на кнопку «Удалить».
Для обеспечения быстрого способа миграции параметров групповой политики из одного домена в другой, в оснастке «Управление групповой политикой» предусмотрен функционал копирования объектов GPO. Для того чтобы у вас была возможность выполнения операций копирования объектов групповых политик, у вас должны быть права на разрешение чтения объекта GPO в исходном домене, а также разрешения на создание объекта групповой политики в конечном домене. Также вы можете создавать копии объектов групповой политики в том же домене, где и был скопирован исходных объект GPO. Для того чтобы выполнить копирование объектов GPO, выполните следующие действия:
Откройте оснастку «Управление групповой политикой», где в дереве консоли разверните контейнер, в котором расположен объект групповой политики, который вам нужно скопировать;
Выделите объект групповой политики, который вы хотите скопировать, нажмите на нем правой кнопкой мыши и выберите в контекстном меню команду «Копировать»;
В конечном домене или в домене, содержащем исходный объект групповой политики, нажмите правой кнопкой мыши на контейнере «Объекты групповой политики» и выберите команду «Вставить»;
В том случае, если вы производите копирование объекта GPO в исходный домен, в отобразившемся диалоговом окне «Копирование объекта групповой политики» вы можете завершить процесс копирования. Укажите разрешения для нового объекта групповой политики и нажмите на кнопку «ОК». В случае копирования объекта групповой политики в другой домен, для завершения процесса копирования, мастер запросит конфигурацию таблицы миграции, которая используется для преобразования специфических данных объектов групповых политик, которые могут оказаться неприменимыми в другом домене. На следующей иллюстрации отображено диалоговое окно «Копирование объекта групповой политики»:
Рис. 9. Диалоговое окно «Копирование объекта групповой политики»
Импорт параметров объекта групповой политики
Иногда вам может понадобиться скопировать данные конфигурации определенного объекта групповой политики и импортировать заархивированные параметры групповой политики. Для выполнения импорта параметров групповых политик, выполните следующие действия:
Создайте архивную копию объекта групповой политики;
На следующем этапе вам нужно развернуть контейнер «Объекты групповой политики» в конечном домене или лесе, выбрать объект групповой политики, в который будут импортироваться параметры, нажать на нем правой кнопкой мыши и выбрать команду «Импорт параметров»;
На первой странице диалогового окна «Мастер импорта параметров» ознакомьтесь с предоставленной информацией и нажмите на кнопку «Далее»;
На странице «Архивирование объекта групповой политики» вы можете выполнить архивацию текущего объекта групповой политики, так как импорт параметров приведет к безвозвратному удалению текущих параметров объекта GPO;
Рис. 10. Страница архивирования объекта GPO мастера импорта параметров
На странице «Мастер импорта параметров» выберите папку, которая содержит архивную копию импортируемого объекта GPO;
На следующем шаге, странице «Исходный объект групповой политики» выберите заархивированную копию объекта GPO, параметры которого будут импортированы. Эта страница отображена ниже:
Рис. 11. Выбор исходного объекта групповой политики
На странице «Проверка архива» мастер импорта параметров проверит такие параметры домена, как группы безопасности и пути UNC. В этом случае рекомендуется использовать таблицу миграции. По окончании проверки архива нажмите на кнопку «Далее»;
Рис. 12. Процесс проверки исходного архива
На странице завершение мастера импорта параметров просмотрите сводную информацию и нажмите на кнопку «Готово»;
Последним шагом процесса импорта параметров GPO является, непосредственно сам импорт. После того как архивированные параметры GPO будут импортированы в конечный объект нажмите на кнопку «ОК».
Рис. 12. Процесс импорта заархивированных параметров объекта групповой политики
Заключение
В этой статье вы узнали о методах создания архивных копий существующих объектов групповой политики, об их восстановлении в случае изменения параметров политик объекта групповой политики или удаления самих объектов GPO. Помимо этого были рассмотрены процессы копирования объектов групповых политик в домен с исходным объектом GPO или в другой домен текущего леса, а также импорт архивированных объектов GPO. Импорт параметров групповой политики обычно применяется в случае тестирования объекта групповой политики в лабораторной среде, уже работающих в производственной среде в другом домене. В следующей статье данного цикла вы узнаете о таблицах миграции и сценариях, позволяющих автоматизировать процессы архивирования и восстановления объектов групповых политик.