Una copia de seguridad de los objetos de la Política de grupo permite restaurar rápidamente el estado y la configuración de cualquier GPO en el dominio en caso de daños o cambios incorrectos. Puede hacer una copia de seguridad y restaurar GPO a través de la consola gráfica de la Consola de administración de directivas de grupo o mediante PowerShell. En este artículo, trataremos los aspectos básicos de la realización de copias de seguridad, la restauración y la importación de GPO en un dominio de Active Directory en Windows Server 2016 o Windows Server 2019.
Pista. Los Objetos de Política de Grupo también hacen copia de seguridad cuando hacen una copia de seguridad de un controlador de dominio AD .
Respaldar y restaurar GPOs usando GPMC
Para ejecutar la consola de gestión de políticas de grupo, pulse Win + R -> gpmc.msc . Ve a la sección Group Policy Objects , selecciona la política de la que quieres hacer una copia de seguridad. Selecciona la opción Back Up del menú contextual.
Nota. De forma predeterminada, sólo los miembros de los grupos Administradores de Dominios y Administradores de Empresas tienen la autoridad para administrar las GPO.
Especifique la carpeta en la que desea guardar la copia de seguridad GPO (el directorio debe existir) y especifique la descripción de la copia de seguridad. Presione el botón Copia de seguridad .
Si la copia de seguridad de la Política de Grupo es exitosa, aparece el siguiente mensaje: GPO: CA_Proxy…Sucedió
Nota. Los siguientes elementos de la política se guardan durante la copia de seguridad del GPO:
- Ajustes dentro de GPO;
- Permisos y delegación de la GPO;
- GUID;
- Los filtros de WMI se vinculan;
La copia de seguridad GPO no contiene información sobre los contenedores AD a los que está asignada (información sobre el alcance de la gestión), información sobre los enlaces GPO y la configuración de la herencia de los bloques.
Puedes hacer una copia de seguridad de todos los GPOs de los dominios. Sólo tienes que hacer clic en la raíz de la sección Group Policy Objects y seleccionar Back Up A ll.
Ve a la carpeta de respaldo de GPO. Como puede ver, se crea un directorio separado con un identificador de copia de seguridad único para cada copia de seguridad de la póliza. Es bastante difícil averiguar a qué política se refiere una carpeta de copia de seguridad en particular.
Pista. Sólo hay dos políticas con los conocidos GUIDs en el dominio: Política de Dominio por Defecto i {31B2F340-016D-11D2-945F-00C04FB984F9} y Política de Controladores de Dominio por Defecto {6AC1786C-016F-11D2-945F-00C04fB984F9}.
La forma más fácil de averiguar qué política es relevante para cada directorio es a través de la GPMC. Seleccione la sección Group Policy Objects (Objetos de política de grupo) en la consola y seleccione Manage Backups .
Verá una lista de las copias de seguridad disponibles en el directorio especificado (no olvide especificar la ruta en el campo Ubicación de la copia de seguridad). Selecciona la copia de seguridad que quieras restaurar y haz clic en el botón Restaurar .
Nota. Puede ver la configuración de cualquier GPO con el botón Ver configuración.
También puede restaurar un GPO específico de una copia de seguridad si lo selecciona en la consola, haga clic con el botón derecho y seleccione Restaurar desde la copia de seguridad en el menú.
Se inicia el asistente de recuperación, en el que hay que especificar la ubicación de la copia de seguridad GPO.
Seleccione la versión de GPO para recuperarla. Puede seleccionar por fecha de creación o descripción. Además, con el botón “Ver configuración”, puede ver la configuración contenida en este GPO.
Haga una copia de seguridad y restaure el GPO usando PowerShell
Puedes hacer una copia de seguridad y restaurar el GPO usando PowerShell. Para ello, se utilizan cmdlets especiales del módulo GroupPolicy: Backup-GPO y Restore-GPO . El módulo GPO forma parte de las herramientas de administración del servidor remoto (RSAT ).
LEE TAMBIÉN Únete al dominio e inicia sesión a través de una conexión VPN
Pista. Puedes listar todos los cmdlets del módulo GroupPolicy usando el comando:
Get-Command -Module GroupPolicy
Para hacer una copia de seguridad de la política de CA_Proxy y guardarla en la carpeta C:backup, primero debes importar el módulo:
Política del Grupo de Módulos de Importación
Y luego ejecutar el comando:
Backup-GPO -Nombre "CA_Proxy" -Ruta "C:Backup" -Comentario "Backup CA_proxy policy from with PowerShell"
Pista. Por favor, tenga en cuenta la identificación de la copia de seguridad, puede que la necesite en el futuro cuando realice la restauración.
Para hacer una copia de seguridad de todos los GPOs de dominio, use el comando:
Backup-GPO -All -Path "C:Backup"
Para restaurar la última versión de un GPO de la copia de seguridad, use el comando:
Restore-GPO -Nombre CA_Proxy -Camino "C:Backup"
Si necesitas restaurar la última versión del GPO, necesitas especificar su BackupID. BackupID es un identificador de 32 bits que es único para cada copia de seguridad. Su nombre coincide con el nombre de la carpeta donde se almacena la copia. Por ejemplo:
Restaurar-GPO -Camino "C:Backups" -BackupID 334197E5-3F67-4C7E-B962-21BF63B783B8
Puedes restaurar todos los GPOs desde una copia de seguridad a la vez:
Restaurar-GPO -Todo -Camino "C:Backups"
Por cierto, no sólo se puede restaurar el GPO existente, sino también importar nuevo GPO con esto. Puedes usar las copias de seguridad no para reemplazar un GPO existente, sino para importar la configuración a uno nuevo. Crear un nuevo GPO:
Nuevo GPO -Nombre "Prueba GPO Importada"
Pista. Tenga en cuenta que el controlador de dominio con la función de FSMO (Flexible Single Master Operator) PDC Emulator es responsable de crear el nuevo objeto de política de grupo en el dominio de Active Directory. Si este DC no está disponible, no se puede crear un nuevo GPO. En algunos casos, se puede transferir cualquier rol del FSMO a otro controlador de dominio.
LEER TAMBIÉN Cómo hacer una copia de seguridad de Active Directory en Windows Server 2016?
Ahora puedes restaurar una copia de seguridad de cualquier GPO a una nueva política (mediante la importación de todas las configuraciones):
Import-GPO -BackupId "334197E5-3F67-4C7E-B962-21BF63B783B8" -TargetName "Test GPO Imported" -Path "C:backup"
Programe el respaldo de GPO
La copia de seguridad de los Objetos de Política de Grupo con regularidad ayudará a proteger su dominio de Active Directory de cambios no deseados. Te mostraré cómo automatizar el respaldo de GPO usando un simple script de PowerShell.
Crear un archivo backup_gpo.ps1 en el controlador de dominio con el siguiente código:
$date = get-date -formato dd.MM.yyyy Camino = "E:GPON-Fecha de respaldo" New-Item -Path $path -ItemType directorio Backup-Gpo -All -Path $path
Crear un nuevo trabajo de programación de tareas para hacer una copia de seguridad de todos los GPOs diariamente:
$Trigger= New-ScheduledTaskTrigger -At 00:00am -Daily $Usuario= "SISTEMA DE AUTORIDADES DE NT" $Action= New-ScheduledTaskAction -Ejecutar "PowerShell.exe" -Argumento "C:Scriptsbackup_gpo.ps1" Register-ScheduledTask -TaskName "GPOBackup" -Trigger $Trigger -User $User -Action $Action -RunLevel Highest -Force
Como resultado, se creará diariamente un directorio con la fecha actual y una copia completa de todos los GPO en el directorio especificado.
Es aconsejable hacer una copia de seguridad de su GPO regularmente, especialmente antes de hacer cualquier cambio. Para que pueda retroceder los cambios lo más rápido posible.