GPO 备份、还原、复制以及导入
备份 GPO
GPO 备份操作将 GPO 中的数据复制到文件系统中。备份功能还具有 GPO 导出功能。可使用 GPO 备份将 GPO 还原到已备份状态,或者将备份中的设置导入到另一个 GPO 中。
GPO 备份操作将 GPO 内部存储的所有信息保存到文件系统中。其中包括以下内容:
• GPO 全局唯一标识符 (GUID) 和域 GPO 设置

• GPO 中的自由访问控制列表 (DACL)

• WMI 筛选器链接(如果有的话),但不包括筛选器本身

• 到 IP 安全策略的链接(如果有的话)

• GPO 设置的可扩展标记语言 (XML) 报告(可将其视为 GPMC 中的 HTML)

• 备份的日期和时间戳

• 用户提供的备份说明

GPO 备份操作只保存在 GPO 中存储的数据。在 GPO 外面存储的数据包括以下内容:
• 到站点、域或 OU 的链接

• WMI 筛选器

• IP 安全策略

在将备份还原到原始 GPO 或导入新 GPO 时,该数据不可用。
要备份“Domain Password Policy”GPO,请按照以下步骤操作:
1.
在“组策略管理”窗口的“contoso.com”树下面,单击“组策略对象”文件夹。

2.
在“组策略对象”文件夹中,右键单击“Domain Password Policy”GPO,然后单击“备份”。

3.
在“备份组策略对象”对话框中,键入“c:\windows”作为“位置”,键入“Domain Password Policy Backup”作为“描述”,然后单击“备份”。

4.
在备份完成后,单击“确定”继续。

管理备份
可以将多个相同或不同的 GPO 备份存储在相同的文件系统位置中。每个备份都使用唯一的备份 ID 来标识。可以使用 GPMC 中的“管理备份”对话框或通过可编程接口来管理特定文件系统位置中的备份集合。可通过右键单击特定域中的“域”节点或“组策略对象”节点来访问“管理备份”对话框。在从“组策略对象”节点中打开“管理备份”时,就会自动对视图进行筛选,以便只显示该域的 GPO 备份。在从“域”节点中打开“管理备份”对话框时,将会显示所有备份(无论备份来自哪个域)。
要管理可用的 GPO 备份,请按照以下步骤操作:
1.
在“组策略管理”窗口的“contoso.com”树下面,右键单击“组策略对象”文件夹,然后单击“管理备份”。此时将出现“管理备份”窗口。
2.
在“管理备份”窗口中,单击以突出显示先前创建的“Domain Password Policy Backup”,然后单击“查看设置”。

3.
查看详细的 GPO 信息,然后关闭“Internet Explorer”。

从备份还原
GPO 还原操作从备份数据中重新创建 GPO。可以在下列两种情况下使用还原操作:备份了 GPO 但以后将其删除;或 GPO 处于活动状态,并且您要回滚到先前的已知状态。还原操作将替代以下 GPO 组件。
• GPO 设置

• GPO 上的 DACL

• WMI 筛选器链接(但不包括筛选器本身)

还原操作只能还原属于 GPO 的对象,其中包括到站点、域或 OU 的链接、WMI 筛选器以及 IPSec 策略。
要还原“Domain Password Policy”GPO,请按照以下步骤操作:
1.
在“管理备份”窗口中,单击“还原”。

2.
在出现提示时,单击“确定”还原选定的备份。

3.
在 GPO 还原完成后,单击“确定”。

4.
在“管理备份”对话框中,单击“关闭”。

复制 GPO
您可以使用复制操作,将 Active Directory 中现有 GPO 的设置直接传送到新的 GPO 中。将为复制操作期间创建的新 GPO 指定一个新的 GUID,并且将其解除链接。可以使用复制操作,将设置传送到相同域、相同林的其他域或其他林的域中的新 GPO。因为复制操作将 Active Directory 中的现有 GPO 作为源,所以源和目标域之间需要具有信任关系。复制操作适用于在生产环境之间移动组策略。只要源和目标域之间具有信任关系,就可以使用这些操作将测试域或林中经过测试的组策略迁移到生产环境中。
要复制 GPO,请按照以下步骤操作:
1.
在“contoso.com”树下面的“组策略对象”文件夹中,右键单击“Enforced User Policies”GPO,然后单击“复制”。

2.
单击“vancouver.contoso.com”旁边的加号 (+) 将树展开,然后单击“组策略对象”旁边的加号 (+) 将树展开。

3.
右键单击“组策略对象”,然后单击“粘贴”。

4.
在“跨域复制向导”中,单击“下一步”继续。

5.
在“指定权限”屏幕上,选择“新 GPO 使用默认权限”(默认),然后单击“下一步”。
6.
在扫描完原始 GPO 后,单击“下一步”继续。

7.
在“完成跨域复制向导”屏幕上,检查设置,然后单击“完成”。

8.
在完成复制操作后,单击“确定”。
注意:“Enforced User Policies”GPO 已复制到 vancouver.contoso.com 域中,不过它尚未链接到任何容器上。

要将“Enforced User Policies”GPO 链接到 vancouver.contoso.com 的根目录,请按照以下步骤操作:
1.
右键单击“vancouver.contoso.com”,单击“链接现有 GPO”,单击以突出显示“Enforced User Policies”,然后单击“确定”。
导入 GPO
导入操作使用文件系统位置中的已备份 GPO 作为其源,将设置传送到 Active Directory 中的现有 GPO。可以使用导入操作,将一个 GPO 的设置传送到相同域中的其他 GPO、相同林中其他域的 GPO、或不同林中域的 GPO。导入操作始终将已备份设置放在现有的 GPO 中。它会清除目标 GPO 中预先存在的任何设置。导入并不要求源域和目标域之间具有信任关系,因此,非常适用于在没有信任关系的林和域之间传送设置。将设置导入到 GPO 并不会影响其 DACL;也不会影响站点、域或 OU 到该 GPO 的链接或者到 WMI 筛选器的链接。
要将 contoso.com“Domain Password Policy”导入到 vancouver.contoso.com“Domain Password Policy”中,请按照以下步骤操作:
1.
在“组策略管理”窗口中,右键单击“vancouver.contoso.com”,然后单击“创建并链接 GPO”。

2.
在“新建 GPO”对话框中,键入“Domain Password Policy”作为“名称”,然后单击“确定”。

3.
在“vancouver.contoso.com”树中的“组策略对象”下面,右键单击“Domain Password Policy”GPO,然后单击“导入设置”。

4.
在“导入设置向导”中,单击“下一步”继续。

5.
在“备份 GPO”屏幕上,单击“下一步”继续,由于 GPO 当前没有策略定义,所以不进行备份。

6.
接受默认备份文件夹“c:\windows”,然后单击“下一步”继续。

7.
由于“Domain Password Policy”是当前唯一的备份,所以默认选择该 GPO。单击“下一步”,开始从该 GPO 中导入设置。

8.
在扫描完 GPO 安全主体后,单击“下一步”,然后单击“完成”。

9.
在“导入设置向导”完成后,单击“确定”。

要验证 vancouver.contoso.com“Domain Password Policy”,请按照以下步骤操作:
在“vancouver.contoso.com”树中的“组策略对象”下面,单击“Domain Password Policy”,然后在结果窗格中单击“全部显示”。