Составляя план резервного копирования и восстановления систем Windows, необходимо предусмотреть меры для защиты объектов групповой политики (Group Policy Objects, GPO). Microsoft предоставляет инструмент для резервного копирования и восстановления объектов GPO: это консоль управления групповой политикой Group Policy Management Console (GPMC), оснастка для Microsoft Management Console (MMC), из которой можно управлять объектами GPO на машинах Windows Server 2003 и Windows 2000 Server. В июне 2004 г. компания Microsoft выпустила обновленную версию GPMC в составе пакета Service Pack 1 (SP1), с помощью которой можно копировать, восстанавливать и переносить объекты GPO в системах Windows 2003, Windows XP и Windows 2000 Server без установки Windows 2003. Ранее использовать GPMC можно было лишь при наличии лицензии на Windows 2003. Теперь GPMC можно задействовать для резервного копирования, восстановления и миграции GPO в доменах с любой комбинацией машин Windows 2003, XP и 2000 Server. GPMC можно бесплатно загрузить вместе с SP1 по адресу http://tinyurl.com/ysx4u.
Немного истории
Первое время после появления Active Directory (AD) и Group Policy единственным способом для подготовки резервных копий и восстановления GPO было использование утилиты NTBackup с последующим принудительным (authoritative) восстановлением AD (очень сложная процедура). Недостаток NTBackup заключается в том, что наряду с собственно объектами GPO утилита копирует все данные о состоянии системы, поэтому для хранения каждого экземпляра состояния системы требуется значительное пространство на жестком диске.
Принудительное восстановление случайно удаленного, измененного или испорченного GPO было еще более сложной задачей. Прежде всего необходимо было перевести в автономный режим контроллер домена (DC), на котором была запущена NTBackup, и перезагрузить DC в режиме Directory Services Restore Mode. Затем следовало восстановить резервную копию, чтобы подготовить сервер с восстанавливаемыми данными. И наконец, нужно было выполнить принудительное восстановление, для которого требовалось знать полное отличительное имя (distinguished name, DN) удаленного или измененного GPO. Не следует путать DN с более известным именем GPO — например, Security Settings for the Sales OU. DN представляет собой сложную строку, в которую входят путь к GPO в формате DN и глобально уникальный идентификатор (globally unique identifier, GUID), например cn={01710048-5F93-4F48-9DD2-A71C7486C431}, cn=policies,cn=system,DC=corp,DC=com, где GUID — компонент перед первой запятой. Если GUID объекта GPO до аварии неизвестен, то вряд ли удастся восстановить его (следовательно, и GPO). Часто на данном этапе администраторы отказываются от попыток восстановления. Более подробно о восстановлении AD рассказано в статье Шона Дейли «Устранение ошибок и восстановление AD». Делать резервные копии и восстанавливать GPO проще с использованием таких продуктов независимых поставщиков, как FAZAM 2000 (располагает функцией копирования и восстановления GPO) компании FullArmor и Aelita Recovery Manager for Active Directory фирмы Quest Software. В настоящее время ряд поставщиков предлагают инструменты, в состав которых входит функция резервного копирования и восстановления GPO.
Использование GPMC для резервного копирования и восстановления GPO
ИТ-специалисты, работающие с Windows, давно нуждались в более эффективном инструменте для резервного копирования и восстановления объектов GPO. Вскоре после выпуска Windows 2003 компания Microsoft удовлетворила просьбу пользователей, предложив сначала GPMC, а потом GPMC в составе пакета SP1.
Первый шаг к использованию GPMC — установить консоль, загрузив ее на машину Windows 2003 или XP. После установки GPMC следует запустить программу, затем перейти в раздел Forest, Domains, имя домена, Group Policy Objects. На экране появится список всех GPO в домене. На данном этапе можно выполнить одну из двух операций: создать резервные копии всех GPO или отдельных GPO. Чтобы копировать все GPO, следует щелкнуть правой кнопкой мыши на узле Group Policy Objects и выбрать из контекстного меню функцию Back Up All (экран 1). Другой вариант — щелкнуть правой кнопкой мыши на одном GPO и выбрать функцию Backup.
Экран 1. Использование GPMC для резервирования всех GPO в домене |
На экране появляется приглашение ввести имя каталога, в котором будут храниться резервные копии, и имя резервного набора. Резервные файлы можно хранить где угодно, но я рекомендую поместить их в безопасное хранилище. Затем GPMC копирует каждый GPO в домене и сохраняет копии как файлы в подпапках указанного пользователем каталога. После этого все готово для записи полученных каталогов и файлов на компакт-диск, ленту, другой безопасный сервер или в иное безопасное хранилище.
Взглянув на подкаталоги, автоматически генерируемые в процессе резервного копирования, можно заметить, что имена этих каталогов похожи на описанные выше GUID. Однако, что менее очевидно, эти комбинации каталогов и GUID не соответствуют GUID базового GPO и в действительности уникальны и не связаны с GUID объекта GPO. Благодаря этому различию можно делать резервные копии GPO, не опасаясь конфликтов с существующим подкаталогом. Все резервные копии можно сохранить в одном или в разных подкаталогах.
Восстановление GPO
Если GPO удален, испорчен или выведен из строя по другой причине и требуется восстановить объект с помощью резервной копии, сделать это можно в любое время, щелкнув правой кнопкой мыши на узле Group Policy Objects и выбрав пункт Manage Backups. В диалоговом окне Manage Backups (экран 2) следует выбрать объекты, которые предстоит восстановить.
Экран 2. Выбор GPO для восстановления в диалоговом окне GPMC Manage Backup |
Выбрав местоположение резервной копии GPO из раскрывающегося списка Backup location, необходимо щелкнуть на кнопке Browse. Если в одном каталоге хранится несколько копий одного или нескольких GPO, достаточно просто установить флажок Show only the latest version of each GPO, чтобы увидеть последний набор копий. В противном случае будут показаны все GPO, записанные в каталоге, вместе с информацией о времени создания резервных копий. Чтобы получить напоминание о параметрах, сохраненных внутри GPO, достаточно щелкнуть сначала на GPO, а затем на кнопке View Settings. Наконец, когда все подготовительные операции будут выполнены, следует выбрать GPO и щелкнуть на кнопке Restore. Если нужно удалить объекты из какого-то резервного набора, сделать это можно, щелкнув на кнопке Delete.
Копирование или перенос GPO
В зависимости от структуры организации иногда бывает удобно создавать объекты GPO не там, где они будут в итоге находиться. Например, все GPO можно генерировать в тестовом домене, подключенном и связанном с производственной сетью доверительными отношениями, или в лабораторном, полностью автономном и изолированном. После того как GPO будут полностью протестированы, их можно перенести в производственный домен. В обоих случаях перенести объекты GPO из тестового в производственный домен можно с помощью GPMC.
GPMC можно использовать для копирования GPO внутри домена или перемещения копии из одного домена в другой. Следует настроить GPMC на другое представление доменов; для этого требуется щелкнуть правой кнопкой мыши на узле Domains и выбрать пункт Show Domains. Затем нужно скопировать GPO, щелкнуть правой кнопкой мыши на этом GPO и выбрать пункт Copy. После этого достаточно щелкнуть правой кнопкой мыши на контейнере Group Policy Objects домена и выбрать пункт Paste, чтобы создать копию.
Перенести объекты в производственный домен GPO из автономной лаборатории несколько сложнее. Для этого следует задействовать функцию Import. Этапы миграции при использовании функции Import связаны с процедурой резервного копирования и восстановления. Для миграции GPO между доменами, расположенными в разных лесах, нужно выполнить следующие шаги.
- Подготовить резервную копию объектов GPO домена-источника.
- Создать новый GPO в целевом домене (или перезаписать существующий GPO).
- Щелкнуть правой кнопкой мыши на целевом GPO и выбрать функцию Import Settings. В результате активизируется мастер Import Settings (экран 3). С помощью «мастера» можно выбрать резервный набор и объект GPO для импорта.
Экран 3. Перенос GPO в новый домен с помощью Import Settings Wizard |
Мастер Import Settings позволяет создать резервную копию целевого GPO перед импортом в него GPO-источника. Резервная копия необходима, только если целевой GPO ранее претерпевал изменения.
Только что описанные этапы составляют базовую процедуру для копирования или переноса объекта GPO с использованием команды Import. Но если GPO, из которого предполагается импортировать параметры, содержит пути вида Universal Naming Convention (UNC) или группы безопасности, вероятно, придется прибегнуть к таблице миграции GPMC. Например, пути UNC используются в параметрах Group Policy Software Installation и Folder Redirection. Чтобы указать программы, подлежащие развертыванию, GPO обычно запускает файл Windows Installer (.msi) с путем UNC — например, Server1share. Но в целевом домене может не быть сервера с именем Server1. Ситуация еще более усложняется, если Server1 существует, но администратор не хочет, чтобы к нему обращались пользователи. Чтобы импортировать нужный GPO с корректными UNC и данными о группе безопасности, необходимо обработать функцию копирования и импорта с помощью таблицы миграции.
Экран 4. Выбор способа замены путей UNC при копировании GPO |
Таблица миграции служит для преобразования любых ссылок UNC из исходного домена в действительные ссылки в целевом домене. Мастер Import Settings автоматически предупреждает о путях UNC в домене-источнике и обеспечивает два способа для обработки путей UNC (экран 4). Первый способ, Copying them identically from the source (идентичное копирование из источника) — не самый лучший, потому что, как отмечалось выше, ссылки UNC или группы безопасности в целевом домене могут отсутствовать; таким образом, GPO вряд ли будет работоспособным после копирования в целевой домен. Поэтому предпочтительный способ — использовать таблицу миграции для преобразования в целевой GPO (Using this migration table to map them in the destination GPO). Чтобы построить первую таблицу миграции, показанную в окне Migrating References (экран 4), следует щелкнуть на кнопке New. В похожем на электронную таблицу диалоговом окне (экран 5) появляется редактор Migration Table Editor. Сначала можно внести в таблицу известную информацию. Поскольку данные импортируются из резервной копии, следует выбрать пункт Populate from Backup из меню Tools. Затем нужно выбрать GPO для миграции. В результате в столбец Source Name автоматически вносятся все ссылки UNC из указанного GPO. После этого достаточно ввести с клавиатуры в поле Destination Name новый путь UNC (или данные о группе безопасности) для каждого пути UNC (или группы безопасности), подлежащего переносу. На экране 5 видно, что в выбранные GPO входит путь UNC OLDServerSoftware. Но в целевом домене этот сервер отсутствует. Поэтому необходимо ввести подходящий путь для GPO, такой как NEWServerOurStuff, чтобы обеспечить корректность ссылок GPO в целевом домене.
Экран 5. Указание новых путей UNC для целевого GPO |
После того как будут введены новые имена назначения, следует воспользоваться функцией Validate in the Migration Table Editor меню Tools, чтобы проверить корректность этих имен. После проверки нужно выбрать пункт Save as из меню File, чтобы сохранить только что созданную таблицу миграции, а затем закрыть ее. На экране вновь появляется окно Migrating References. Теперь вновь следует установить флажок Using this migration table to map them in the destination GPO и выбрать таблицу миграции из раскрывающегося списка. Обычно выбирают самую последнюю таблицу миграции, хотя можно выбрать и одну из ранее созданных таблиц. Пользоваться существующими таблицами миграции удобно, когда приходится повторять одинаковые действия — например, при переносе GPO из одного домена в несколько других. Я также рекомендую установить флажок Use migration table exclusively..., чтобы перенос GPO всегда проходил с корректными ссылками в месте назначения.
Чем скорее, тем лучше
Администраторы доменов могут с успехом использовать GPMC для резервного копирования, восстановления и переноса GPO. Данная статья послужит руководством по применению консоли GPMC из состава SP1 для резервного копирования, восстановления и миграции GPO. Не стоит откладывать резервное копирование объектов GPO на завтра — лучше сделать это прямо сейчас!
Джереми Московиц (jeremym@moskowitzinc.com) — организатор сайта http://www.gpoanswers.com, общественного форума по групповым политикам. Имеет сертификат MCSE