Logo faq-o-matic.net
Logo faq-o-matic.net

Sichern und Wiederherstellen von GPOs über die GPMC

von veröffentlicht am4. August 2006, 16:42 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, Administration, Datensicherung, Gruppenrichtlinien, Wiederherstellung   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Wer mit Gruppenrichtlinien arbeitet, sollte sich auch Gedanken über die Sicherung sowie Wiederherstellung der GPOs (Group Policy Object) machen. Das Sichern von GPOs ist zwar möglich, das Rücksichern einzelner Richtlinien gestaltet sich da schon schwieriger. Durch das Sichern eines Gruppenrichtlinienobjektes werden die Daten des GPOs in das Dateisystem kopiert. Folgende Informationen sind darin enthalten:

  • Einstellungen des Gruppenrichtlinienobjekts
  • Vom Benutzer angegebene Beschreibung der Sicherung
  • Datums- und Zeitstempel der Erstellung der Sicherung
  • Der GUID (Globally Unique Identifier) des Gruppenrichtlinienobjekts und die Domäne
  • Die freigegebene Zugriffssteuerungsliste (Discretionary Access Control List, DACL) im Gruppenrichtlinienobjekt
  • Die WMI-Filterverknüpfung, falls vorhanden, nicht jedoch der Filter selbst
  • Verknüpfungen zu IP-Sicherheitsrichtlinien, falls vorhanden
  • XML-Bericht mit den Einstellungen des Gruppenrichtlinienobjekts, die als HTML-Text innerhalb der Gruppenrichtlinien-Verwaltungskonsole angezeigt werden können

Es werden nur die Daten eines Gruppenrichtlinienobjekts gespeichert, die sich innerhalb des GPO befindet. Die Daten die sich außerhalb des GPO befinden, wie z.B.:

  • WMI-Filter
  • IP-Sicherheitsrichtlinie
  • Die Verknüpfung zu einem Standort/Domäne/OU

werden nicht mitgesichert und stehen bei der Wiederherstellung nicht zur Verfügung.

Mit der Gruppenrichtlinien-Verwaltungskonsole GPMC (Group Policy Management Console) kann man Gruppenrichtlinien (automatisiert) sichern, wiederherstellen, importieren sowie kopieren. Mit der Datensicherung der GPMC ist es nicht nur möglich GPOs rückzusichern, sondern es können auch Einstellungen von GPOs aus Sicherungen in andere Richtlinien importiert werden. Falls Gruppenrichtlinienobjekte in andere Domänen oder Gesamtstrukturen kopiert oder importiert werden sollen, helfen Migrationstabellen dabei, Sicherheitsprinzipale (SID) und UNC-Pfade im Quell-Gruppenrichtlinienobjekt auf die neuen Werte im Ziel-Gruppenrichtlinienobjekt zu aktualisieren. Dadurch ist es z.B. auch möglich, Gruppenrichtlinienobjekte aus einer Testumgebung in die Produktivumgebung zu überführen. 
Eine Migrationstabelle wird als XML-Datei mit der Dateierweiterung .MIGTABLE gespeichert und lässt sich mit dem in der GPMC integrierten „Migration Table Editor“ bearbeiten.

Wenn die GPMC nicht zum Einsatz kommt, würde man zur Sicherung sowie Wiederherstellung von Gruppenrichtlinien, genauso für den Im- und Export, dass System State sichern bzw. wiederherstellen und somit wären zwei Serverneustarts fällig. Damit man für eine Rücksicherung „einer“ Gruppenrichtlinie nicht gleich den System State rücksichern muss, bietet auch hier die GPMC ihre Funktionen an. Da die GPMC scriptingfähig ist, werden 37 Skripts im Pfad „%PROGRAMFILES%\GPMC\Scripts“ mit installiert. Dort gibt es z.B. das „BackupAllGPOs“-Skript, das man dazu nutzen kann, sich per Batch täglich die GPOs zu sichern. So lässt sich die Rücksicherung eines GPO leichter handhaben.

Die Sicherung der Richtlinien über die GPMC findet grundsätzlich auf Festplatte statt, und es ist nicht möglich, die Sicherung direkt auf ein Bandlaufwerk zu schreiben.

In der GPMC hat man die Möglichkeit entweder einzelne (was z.B. ideal vor einer Richtlinienänderung wäre) oder alle Richtlinien zu sichern. Mit einem Rechtsklick auf den Container „Gruppenrichtlinienobjekte“ gilt es den Eintrag „Alle sichern&“ auszuwählen. Im darauf folgenden Fenster gibt man den Speicherort und eine aussagekräftige Beschreibung an:

Nach der Sicherung bekommt man den Sicherungsstatus angezeigt, in dem angezeigt wird, wie viele Richtlinien erfolgreich bzw. nicht gesichert wurden.
Der Speicherort sieht danach wie folgt aus:

Für jede Gruppenrichtlinie wird im angegebenen Speicherort ein Unterordner erstellt, dessen Name eine eindeutige Backup-ID ist. In den Unterordnern wird die Struktur der jeweiligen Richtlinie, wie sie im SYSVOL-Verzeichnis eines DCs existiert, inklusive der INF-, POL- und ADM-Dateien gesichert. Neben den Unterordnern existiert die Datei „manifest.xml“, die dafür dient, dass die gesicherten GPOs anhand ihres benutzerfreundlichen Namens identifiziert werden können.

Die GPMC erzeugt (jeweils in einem Ordner) zusätzlich drei XML-Dateien, die wichtige Informationen bezgl. der Gruppenrichtlinie sowie Sicherung enthalten.
Diese sind:

  • Backup.xml: Hier werden Informationen wie z.B. Berechtigungen, DNS- sowie NetBIOS-Domänenname, WMI-Filter, Versionsinfos und Gruppenrichtlinienerweiterungen gespeichert.
  • Bkupinfo.xml: Diese (versteckte) Datei enthält eher allgemeine Informationen wie z.B. die Gruppenrichtlinien-GUID, den Domänennamen, den Domänencontroller, der die Sicherung durchgeführt hat, die Sicherungszeit sowie die Beschreibung.
  • Gpreport.xml: Diese Datei speichert die Eigenschaften der Gruppenrichtlinie wie Deaktivierungen, Verknüpfungen und Berechtigungen.

Ebenfalls lassen sich die Sicherungen über das Kontextmenü des Containers „Gruppenrichtlinienobjekte“ verwalten. Das Dialogfeld öffnet sich standardmäßig in dem Pfad, in dem die letzte Sicherung durchgeführt wurde. Hier kann man sich eine Übersicht über alle gesicherten GPOs in einem Pfad anzeigen lassen:

Mit dem Kontrollkästchen „Für jedes Gruppenrichtlinienobjekt nur die neueste Version anzeigen“ lässt sich die Ansicht der Sicherungen auf die jeweils aktuellste Version beschränken.
  
Über die Schaltfläche „Wiederherstellen“ lässt sich die ausgewählte Richtlinie wiederherstellen. Dabei würde eine evtl. bestehende Gruppenrichtlinie überschrieben werden.

Mit „Löschen“ kann die ausgewählte GPO-Sicherung oder mehrere Sicherung durch betätigen der STRG-Taste markiert und gelöscht werden. 

Über die Schaltfläche „Einstellungen anzeigen&“ lässt sich ein HTML-Bericht anzeigen, der die konfigurierten Einstellungen wie vorhandene WMI-Filter, verknüpfte Container usw. anzeigen lässt.

Download: GPMC mit SP1
http://www.microsoft.com/downloads/details.aspx?FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&DisplayLang=de

© 2005-2017 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!