灵活备份GPO 组策略

■河南 刘进京

利用组策略，可以通过Active Directory 提供的LDAP 和Kerberos 协议，来对这些对象进行查询和编辑操作。对于组策略来说，其主要掌管着域中的所有配置信息的编辑和分发大权。域管理员只要配置某个策略，就可以自动批量的应用到域中的目标主机主机上。

如果管理员修改了某个组策略，客户端也会定期去获取和应用该策略。当配置了AD DS 域服务器后，系统会自动创建名为“Default Domain Policy”和“Default Doamin Controllers Policy”两个默认的组策略对象。当然，管理员可以根据需要来创建更多的组策略对象。对于组策略对象来说，其实际上包括组策略容器和组策略模版两部分，前者的内容存储在活动目录数据库中，记录着组策略对象的属性和版本等信息。

对于后者来说，负责存储组策略对象的设置值和相关文件，其实际上是一个文件夹，默认为“%systemroot%sysvolxxxpolicies”目录，其中的“xxx”为具体的域名，系统使用组策略对象的GUID作为目录的名称。这样，域中的所有任意计算机都可以对其进行访问。当域对象更改后，新的配置不会立即对计算机和用户生效，对于计算机配置项目来说，在计算机开机时会自动应用。对于域控来说，默认每隔5 分钟应用一次。对于非域控来说，默认每隔90 到120 分钟应用一次。

对于用户配置策略来说，在用户登录时会自动应用。也可以默认每隔90 到120分钟应用一次。对于上述两类配置策略来说，无论策略是否更改，安全性配置策略都会默认每隔16 小时应用一次。当然，客户端执行“gpupdate/force”命令，可以强制应用组策略。对于Windows Server 2012 及其以上的系统来说，其组策略管理支持强制推动组策略到客户端主机。

例如，在Windows Server 2012 中打开服务器管理器，点击菜单“工具”-“组策略管理”项，打开GPMC 组策略管理中心，便于管理员针对组策略进行集中的创建、修改等操作。当创建了组策略对象后，可以利用组策略编辑工具，对其进行具体的编辑和设置操作。对于组策略的客户端服务来说，可以在所有的客户端上运行，可以向域控的“%systemroot%sysvol”目录查询组策略设置的变动信息，并将其应用到本地计算机中。实现批量的分发和应用的目的。

从组策略的总体运作流程上看，组策略对象毫无疑问处于处于中心的位置，所有的操作几乎都是围绕着组策略对象进行的。当管理员创建了大量的额组策略对象后，对其进行备份操作就显得极为重要了。如果域控出现了故障，就可以利用备份快速恢复组策略对象。在GMPC控制台左侧选择“组策略对象”项，在其右键菜单上点击“全部备份”项，在打开窗口中点击“浏览”按钮，可以更改备份数据保存路径，输入描述信息后，点击“备份”按钮执行备份操作。

这样，虽然可以备份组策略对象。但是只能手工操作，无法实现自动化的备份操作。其实,利用PowerShell这一强大的工具，可以更加灵活的备份组策略对象。在PowerSHell中执行“Get-Com mand Backup-GPO”命令，显示和备份组策略相关的命令信息。为了便于使用，可以使用记事本创建名为“GPOBak.ps1”的文件，在其中输入“$Date=(Get-Date)”行令，获取当前的时间信息。输入“$BFPath=$D ate.Year.ToString()+$D ate.Month.ToString()+$D ate.Day.ToString()”行，将时间信息中的年月日数据提取出来，组成一个字符串，用来作为备份目录的名称。

输入“$ BFPath="D：Gp odata"+""+$ BFPath+""”，“New-Item -Path$FolderPath -ItemType Directory”行，设置备份的具体路径信息，这里在“D：Gpodata”目录下创建上述以年月时命令的目录，在其中存储组策略备份信息。输入“Backup-GPO -All-Path”行，执行具体的备份操作。为了实现自动备份操作，可以利用计划任务来实现。在PowerShell中已经提供了管理计划任务的命令，在PowerShell中执行“$trigger= New-ScheduledTaskTrigger-Daily -At 1am”命令，创建一个触发器，在每天的凌晨1点执行。

执行“$action=New-ScheduledTaskAction -Exec ute 'Powershell.exe' ` -A rgument 'd：psfilegpobac k.ps1'”命令，创建一个新的动作，利用Powershell执行上述名为“gpoback.ps1”的脚本文件，假设其保存在“d：psfile”目录中。执行“Register-ScheduledTask-Action $action -Trigger$trigger -TaskName"beifenzucelue" -Descript ion "每天备份组策略信息"”命令，使用上述触发器和动作参数，创建名为“BackupGpos”的计划任务，其描述信息为“每天备份组策略信息”。

这样，当每天到达预设的时间后，就可以执行上述脚本，来备份组策略对象了。当创建了多个组策略备份项目后，可以在GMPC控制台左侧选择“组策略对象”项，在其右键菜单上点击“管理备份”项，在打开窗口中点击“浏览”按钮，选择上述备份路径，列出其中的GPO备份信息。选择具体的备份对象，点击“查看设置”按钮，会在浏览器中显示其详细的配置信息。点击“还原”按钮，在弹出的提示窗口中点击“确定”按钮，即可执行组策略对象的还原操作。