我意识到可以通过多种方式备份GPO – 通过Powershell,通过组策略pipe理等等,但是在Windows中,不仅可以备份GPO本身,还可以备份与各自OU的链接? 这些工具是可以实现的,还是需要像系统状态备份那样的工作?
干杯!
OU链接存储在AD数据库中。 所以一个系统状态备份和AD恢复就可以完成这项工作。 每个容器都有一个名为gplink的属性。 所以,如果你使用该属性的ldifde转储,我想你可以稍后重新导入它。 我希望这个帮助。
到组策略对象的实际链接存储在组织单位,域或站点对象中的属性gpLink中。 它是一个单值的string属性,它保存了所有的gpo,用括号[]括起来的每个gpo对象进行分隔。
gPLink属性包含链接到容器的所有组策略容器的列表,以及每个列出的组策略容器的编号,该编号代表强制(以前称为“无替代”)和禁用选项设置。 该列表按优先级顺序从最低优先级GPO出现。
如果您想手动执行此操作,则可以对具有该属性(gpLink = *)的所有对象执行全局编录查询。 如果你把这个与gpmc备份的输出结合起来,你应该全部设置好。
$searcher.SearchRoot=[adsi]"GC://dc=domainname,dc=acme,dc=com" #$searcher.SearchScope="subtree" #if you have child domains $searcher.PageSize=1000 $searcher=[adsisearcher]"(gpLink=*)" $searcher.ClientTimeout=600 $ADResults = @() $results=$searcher.FindAll() foreach ($result in $results) { $tempObj = New-Object psObject $adProperties = $result.properties foreach ($propertyName in $adProperties.propertyNames) { if (@($adProperties.item($propertyName)).count -gt 1) { $tempObj | Add-Member -MemberType noteproperty -Name $propertyName -Value $adProperties.item($propertyName)} else { $tempObj | Add-Member -MemberType noteproperty -Name $propertyName -Value ($adProperties.item($propertyName) | Out-String -Width 4096).trim()} } # end foreach $propertyName $ADResults += $tempObj } # end foreach $result $ADResults | select distinguishedName, gpLink | Out-File results.txt -Width 4096 一些链接可能相当多。 如果可以在结果文件中find…,那意味着您需要比4096更大的输出缓冲区。
您也可能发现对设置了gpOptions属性的对象执行查询很有用。 gPOptions属性包含“阻止策略inheritance”设置。 它包含一个整数值,指示域或OU的阻止策略inheritance选项是启用(0)还是禁用(1)。
尝试使用Microsoft提供的“高级组策略pipe理”工具,如果您购买了软件保证许可证,则可以通过Desktop Optimization Pack“免费”使用该工具。
如果我没有记错,它会备份GPO链接信息,并为GPO提供版本控制,工作stream程控制和回收站。