Una copia de seguridad de los objetos de directiva de grupo le permite restaurar rápidamente el estado y la configuración de cualquier GPO en el dominio en caso de daños o cambios incorrectos. Puede realizar copias de seguridad y restaurar GPO a través de la consola gráfica de la Consola de administración de directivas de grupo o mediante PowerShell. En este artículo, cubriremos los aspectos básicos de la copia de seguridad, la restauración y la importación de GPO en un dominio de Active Directory en Windows Server 2016 o Windows Server 2019.

Insinuación. Los objetos de directiva de grupo también realizan copias de seguridad cuando copia de seguridad de un controlador de dominio AD.

Copia de seguridad y restauración de GPO mediante GPMC

Para ejecutar la Consola de administración de directivas de grupo, presione Ganar + R -> gpmc.msc. Ve a la Objetos de directiva de grupo sección, seleccione la política para la que desea realizar la copia de seguridad. Elegir el Apoyo opción del menú contextual.

Nota. De forma predeterminada, solo los miembros de los grupos Administradores de dominio y Administradores de empresa tienen la autoridad para administrar los GPO.

Especifique la carpeta en la que desea guardar la copia de seguridad de GPO (el directorio debe existir) y especifique la descripción de la copia de seguridad. presione el Apoyo botón.

Si la copia de seguridad de la directiva de grupo se realiza correctamente, aparece el siguiente mensaje: GPO: CA_Proxy... Exitoso

política de grupo de copia de seguridad

Nota. Los siguientes elementos de política se guardan durante la copia de seguridad del GPO:

  • Configuración dentro de GPO;
  • permisos y delegación de GPO;
  • GUID;
  • enlaces de filtros WMI;

La copia de seguridad de GPO no contiene información sobre los contenedores de AD a los que está asignado (información del alcance de la administración), información sobre enlaces de GPO y configuraciones de herencia de bloques.

Puede hacer una copia de seguridad de todos los GPO del dominio. Simplemente haga clic en la raíz de la Objetos de directiva de grupo sección y seleccione Copia de seguridad All.

copia de seguridad gpo

Vaya a la carpeta de copia de seguridad de GPO. Como puede ver, se crea un directorio separado con una ID de copia de seguridad única para cada copia de seguridad de la política. Es bastante difícil averiguar a qué política se refiere una carpeta de copia de seguridad en particular.

copia de seguridad gpo

Insinuación. Solo hay dos políticas con GUID conocidos en el dominio: Política de dominio predeterminada i {31B2F340-016D-11D2-945F-00C04FB984F9} y Política de controladores de dominio predeterminados {6AC1786C-016F-11D2-945F-00C04fB984F9}.

La forma más sencilla de averiguar qué política es relevante para cada directorio es a través de la GPMC. Seleccione la sección Objetos de directiva de grupo en la consola y seleccione Administrar copias de seguridad.

copia de seguridad gpo powershell

Verá una lista de las copias de seguridad disponibles en el directorio especificado (no olvide especificar la ruta en el campo Ubicación de la copia de seguridad). Seleccione la copia de seguridad que desea restaurar y haga clic en el Restaurar botón.

Nota. Puede ver la configuración de cualquier GPO mediante el botón Ver configuración.

copia de seguridad de la política de grupo

También puede restaurar un GPO específico desde una copia de seguridad si lo selecciona en la consola, hace clic con el botón derecho y selecciona Reinstalar desde el respaldo en el menú.

como respaldar gpo

Se inicia el asistente de recuperación, en el que debe especificar la ubicación de la copia de seguridad de GPO.

cómo hacer una copia de seguridad del servidor gpo

Seleccione la versión de GPO para recuperar. Puede seleccionar por fecha de creación o descripción. Además, utilizando el botón "Ver configuración", puede ver la configuración contenida en este GPO.

copia de seguridad-gpo

Copia de seguridad y restauración de GPO mediante PowerShell

Puede hacer una copia de seguridad y restaurar GPO usando PowerShell. Para ello, se utilizan cmdlets especiales del módulo GroupPolicy: Copia de seguridad-GPO y Restaurar-GPO. El módulo GPO es parte de las herramientas de administración remota del servidor (RSAT).

Insinuación. Puede enumerar todos los cmdlets del módulo GroupPolicy usando el comando:

Get-Command -Module GroupPolicy

restaurar política de grupo

Para hacer una copia de seguridad de la política CA_Proxy y guardarla en la carpeta C:backup, primero debe importar el módulo:

Import-Module GroupPolicy

Y luego ejecuta el comando:

Backup-GPO -Name "CA_Proxy" -Path "C:Backup" -Comment "Backup CA_proxy policy from with PowerShell"

restaurar gpo

Insinuación. Tenga en cuenta la identificación de la copia de seguridad, es posible que la necesite en el futuro al restaurar.

Para hacer una copia de seguridad de todos los GPO del dominio, use el comando:

Backup-GPO -All -Path "C:Backup"

Para restaurar la última versión de un GPO desde la copia de seguridad, use el comando:

Restore-GPO -Name CA_Proxy -Path "C:Backup"

restaurar la política de grupo desde la copia de seguridad

Si necesita restaurar la última versión del GPO, debe especificar su BackupID. BackupID es un identificador de 32 bits que es único para cada copia de seguridad. Su nombre coincide con el nombre de la carpeta donde se almacena la copia. Por ejemplo:

Restore-GPO -Path “C:Backups” -BackupID 334197E5-3F67-4C7E-B962-21BF63B783B8

copia de seguridad powershell gpo

Puede restaurar todos los GPO desde una copia de seguridad a la vez:

Restore-GPO -All -Path “C:Backups”

Por cierto, no solo puede restaurar el GPO existente sino también importar un nuevo GPO con esto. Puede utilizar las copias de seguridad no para reemplazar un GPO existente, sino para importar la configuración a uno nuevo. Crear un nuevo GPO:

New-GPO -Name "Test GPO Imported"

Insinuación. Tenga en cuenta que el controlador de dominio con el FSMO (Operador maestro único flexible) Función de emulador de PDC es responsable de crear el nuevo objeto de directiva de grupo en el dominio de Active Directory. Si este DC no está disponible, no puede crear un nuevo GPO. En algunos casos, puede transferir cualquier rol de FSMO a otro controlador de dominio.

Ahora puede restaurar una copia de seguridad de cualquier GPO a una nueva política (importando todas las configuraciones):

Import-GPO -BackupId "334197E5-3F67-4C7E-B962-21BF63B783B8" -TargetName "Test GPO Imported" -Path "C:backup"

Programar copia de seguridad de GPO

La copia de seguridad periódica de los objetos de directiva de grupo ayudará a proteger su dominio de Active Directory de cambios no deseados. Le mostraré cómo automatizar la copia de seguridad de GPO mediante un sencillo script de PowerShell.

Cree un archivo backup_gpo.ps1 en el controlador de dominio con el siguiente código:

$date = get-date -format dd.MM.yyyy

$path = “E:GPOBackup$date”

New-Item -Path $path -ItemType directory

Backup-Gpo -All -Path $path

Cree un nuevo trabajo del programador de tareas para respaldar todos los GPO diariamente:

$Trigger= New-ScheduledTaskTrigger -At 00:00am –Daily

$User= "NT AUTHORITYSYSTEM"

$Action= New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "C:Scriptsbackup_gpo.ps1"

Register-ScheduledTask -TaskName "GPOBackup" -Trigger $Trigger -User $User -Action $Action -RunLevel Highest –Force

Como resultado, se creará diariamente un directorio con la fecha actual y una copia completa de todos los GPO en el directorio especificado.

Es aconsejable hacer una copia de seguridad de su GPO con regularidad, especialmente antes de realizar cambios. Para que pueda revertir los cambios lo más rápido posible.

Recomendado para ti