Roman Milert - Fotolia

Ratgeber

So legen Sie Gruppenrichtlinien-Backups in Windows Server an

Gruppenrichtlinienobjekte stellen eine erhebliche Zeitinvestition und ein wichtiges Konfigurationsverwaltungsinstrument dar. Nutzen Sie diese Methoden, um sie zu sichern.

Damon Garn
von
Zuletzt aktualisiert:01 Okt. 2024

Die Gruppenrichtlinie ist das integrierte Konfigurationsmanagement-Tool von Microsoft für Active-Directory-Geräte (AD). Es besteht aus Tausenden von Einstellungen, die alles von der Sicherheit über die Softwarebereitstellung bis hin zu den Benutzeroberflächenoptionen steuern. Bei so vielen Einstellungen und Anpassungsmöglichkeiten ist es wichtig, Ihre Gruppenrichtlinien-Infrastruktur vor versehentlichem Verlust oder unbeabsichtigten Änderungen zu schützen.

Die Optimierung und Verwaltung von Gruppenrichtlinien kann viel Zeit in Anspruch nehmen, insbesondere in großen, verteilten Umgebungen mit verschiedenen Systemen, die unterschiedliche Rollen spielen.

Mit der Gruppenrichtlinie können Benutzer mehrere wichtige Funktionen ausführen. Beispiele dafür, was Sie mit Gruppenrichtlinien tun können, sind die folgenden:

  • Passwort-Richtlinie.
  • Desktop-Konfigurationen.
  • Zugriff auf die Systemsteuerung einschränken.
  • Deaktivieren von automatischen Treiber-Updates.
  • USB-Blockierung.
  • Softwareverwaltung.

Die Einstellungen werden in Sammlungen gespeichert, die als Gruppenrichtlinienobjekte (Group Policy Object, GPO) bezeichnet werden. GPOs können mit Active-Directory-Standorten, der Domäne und Organisationseinheiten (Organisational Units, OUs) verknüpft werden, was granulare und rollenspezifische Konfigurationen ermöglicht. Die sinnvolle Verwendung von NTFS-Berechtigungen ermöglicht eine weitere Kontrolle darüber, welche Geräte Einstellungen erhalten.

Abbildung 1: Unternehmen verfügen oft über zahlreiche Gruppenrichtlinienobjekte (Group Policy Object).
Abbildung 1: Unternehmen verfügen oft über zahlreiche Gruppenrichtlinienobjekte (Group Policy Object).

Das verteilte Design von AD trägt dazu bei, die Verfügbarkeit von Gruppenrichtlinien durch die Replikation von GPOs zwischen Domänencontrollern aufrechtzuerhalten, aber Administratoren sollten zusätzliche Schritte in Betracht ziehen, um sie zu schützen.

Backups – jegliche Backups – sind entscheidend. GPOs enthalten viele Einstellungen, mit denen Sie Ihre AD-Umgebung anpassen können, was für Ihr Team viele Stunden an Arbeit bedeutet. Die Gruppenrichtlinien stellen den Benutzern die Konfigurationen und Tools zur Verfügung, die sie für ihre Arbeit benötigen, und schränken sie vor Optionen ein, die ihnen im Weg stehen oder Support-Anfragen verursachen könnten. Es ist wichtig, die Gruppenrichtlinien zu schützen.

In diesem Tutorial wird erklärt, wie man in Windows Server Sicherungen von Gruppenrichtlinien erstellt. Am Ende werden Sie in der Lage sein, diesen wichtigen Teil Ihrer AD-Infrastruktur effektiv zu verwalten.

Sichern Sie alle Gruppenrichtlinienobjekte (GPO)

Der Hauptgrund für ein Backup von Daten ist das Disaster Recovery (DR). Das Design von AD umfasst DR durch die Replikation von Informationen über alle Domänencontroller. In Szenarien, in denen Sie die Gruppenrichtlinien unabhängig von der Wiederherstellung von AD wiederherstellen möchten, können separate Sicherungen der Gruppenrichtlinien jedoch sinnvoll sein.

Greifen Sie über die Group Policy Management Console (GPMC) auf die Backup-Funktionen für Gruppenrichtlinien zu. Wählen Sie den übergeordneten Ordner mit dem Namen Gruppenrichtlinienobjekte (Group Policy Objects), klicken Sie mit der rechten Maustaste und wählen Sie Back Up All (Alle sichern). Wählen Sie einen Speicherort für das Backup.

Achten Sie darauf, dass die Sicherungen auf einem anderen Laufwerk als die AD-Datenbank gespeichert werden. Ein Netzwerk- oder Cloud-Speicher ist sicherlich akzeptabel, wenn Sie Sicherheit und Integrität garantieren können. Geben Sie eine angemessene Beschreibung ein, die auch das Sicherungsdatum enthält. Ziehen Sie eine Namenskonvention für die Sicherungen in Betracht, um die Identifizierung zu vereinfachen.

Der Backup-Auftrag sollte schnell gehen – wahrscheinlich etwa eine Minute. Wie bei anderen Backup-Strategien auch, sollten Sie eine Kopie außerhalb des Unternehmens aufbewahren, um die Sicherheit zu erhöhen.

Abbildung 2: Mit dem Menüpunkt Back Up All (Alles sichern), werden alle Objekte in die Sicherung integriert.
Abbildung 2: Mit dem Menüpunkt Back Up All (Alles sichern), werden alle Objekte in die Sicherung integriert.

Abbildung 3: Der Admin bestimmt den Speicherort für die GPOs und fügt eine Beschreibung hinzu.
Abbildung 3: Der Admin bestimmt den Speicherort für die GPOs und fügt eine Beschreibung hinzu.

Abbildung 4: Eine weitere Oberfläche gibt einen Überblick über den Backup-Fortschritt.
Abbildung 4: Eine weitere Oberfläche gibt einen Überblick über den Backup-Fortschritt.

Wiederherstellung von Gruppenrichtlinienobjekten

Die Wiederherstellung von Gruppenrichtlinien ist ebenfalls sehr einfach. Klicken Sie mit der rechten Maustaste auf den Knoten Gruppenrichtlinienobjekte in der GPMC, und wählen Sie Manage Backups (Backups verwalten). Navigieren Sie zu dem Ordner, in dem Ihre Gruppenrichtlinien-Backups gespeichert sind, und wählen Sie das wiederherzustellende GPO aus. Klicken Sie auf die Schaltfläche Restore (Wiederherstellen), und beobachten Sie den Fortschrittsbalken. Der Wiederherstellungsprozess sollte schnell vonstatten gehen.

Bei der Wiederherstellung eines GPO werden die Einstellungen auf den Systemen, mit denen es verknüpft ist, nicht automatisch aktualisiert. Sie müssen einen anderen Weg finden, diese Systeme zu aktualisieren, wenn Sie die Einstellungen schnell benötigen. Andernfalls warten Sie die standardmäßigen zwei Stunden für die automatische Aktualisierung der Gruppenrichtlinien ab, und Sie sollten die wiederhergestellten Konfigurationen sehen.

Abbildung 5: Über den Menüpunkt Manage Backups (Backups Verwalten) lassen sich Wiederherstellungen anstoßen.
Abbildung 5: Über den Menüpunkt Manage Backups (Backups Verwalten) lassen sich Wiederherstellungen anstoßen.

Abbildung 5: Über den Menüpunkt Manage Backups (Backups Verwalten) lassen sich Wiederherstellungen anstoßen.

Abbildung 6: Das Manage-Backup-Interface gibt die Möglichkeit zum restore der GPOs.
Abbildung 6: Das Manage-Backup-Interface gibt die Möglichkeit zum restore der GPOs.

Abbildung 7: Über den Restore-Bildschirm lässt sich der Fortschritt des Backup-Prozesses verfolgen.
Abbildung 7: Über den Restore-Bildschirm lässt sich der Fortschritt des Backup-Prozesses verfolgen.

Über die Schnittstelle Manage Backups können Sie auch die spezifischen Gruppenrichtlinieneinstellungen für ein bestimmtes GPO anzeigen. Sie können die Sicherung auch löschen.

Backup bestimmter Gruppenrichtlinienobjekte

Eine weitere Option ist das Sichern einzelner Gruppenrichtlinienobjekte. Dieser Ansatz löst ein anderes Problem als DR. Sie bietet eine Rollback-Option für unvorhergesehene Ergebnisse.

Stellen Sie sich das folgende Szenario vor: Sie haben ein GPO zur Konfiguration der Workstations in der Vertriebsabteilung entwickelt. Es umfasst Desktop-Auswahlen (zum Beispiel Standardsymbole), Startmenüoptionen, Sicherheitskonfigurationen, Druckereinstellungen und andere für die Vertriebsrolle relevante Elemente. Sie haben einige Änderungen im Sinn, aber wenn diese nicht funktionieren, müssen Sie in der Lage sein, die Rechner wieder auf die aktuelle Konfiguration zurückzusetzen.

Sichern Sie dazu das vorhandene GPO, bevor Sie mit den Einstellungen beginnen. Wenn die neuen Konfigurationen nicht die erforderliche Schnittstelle bieten, stellen Sie das ursprüngliche GPO wieder her.

Um ein einzelnes GPO zu sichern, wählen Sie es über den Punkt Gruppenrichtlinienobjekte in der GPMC aus. Das Kontextmenü enthält die Option Back Up. Die verbleibende Schnittstelle ist ähnlich wie oben, wo Sie alle GPOs gesichert haben. Wählen Sie einen Speicherort und eine sinnvolle Beschreibung.

Die Abbildungen 8, 9 und 10 zeigen den Prozess anhand eines Treiberaktualisierungsblock-GPOs.

Abbildung 8: Mit einem Rechtsklick lässt sich eine GPO sichern, bevor größere Veränderungen daran vorgenommen werden.
Abbildung 8: Mit einem Rechtsklick lässt sich eine GPO sichern, bevor größere Veränderungen daran vorgenommen werden.

Abbildung 9: Für das Backup einer einzelnen GPO kann der Admin ebenso eine Backup-Ziel und eine Beschreibung festlegen.
Abbildung 9: Für das Backup einer einzelnen GPO kann der Admin ebenso eine Backup-Ziel und eine Beschreibung festlegen.

Abbildung 10: Für den Backup-Fortschritt einzelner GPOs steht ebenso ein Bildschrim zur Verfügung.
Abbildung 10: Für den Backup-Fortschritt einzelner GPOs steht ebenso ein Bildschrim zur Verfügung.

Verwenden Sie den gleichen Prozess wie oben beschrieben, um ein einzelnes GPO wiederherzustellen. Denken Sie daran, die Einstellungen zu aktualisieren.

Kopieren eines Gruppenrichtlinienobjekts (Group Policy Object)

Das Kopieren eines GPO ist zwar nicht dasselbe wie das Sichern, aber eine nützliche Funktion. Es ist praktisch, die Einstellungen in einem GPO schnell zu duplizieren, um sie für eine andere Site oder Organisational Units zu verwenden. Vielleicht nehmen Sie die oben erwähnte Konfiguration der Vertriebsoberfläche, passen sie an und wenden die Einstellungen dann auf die Systeme der Marketingabteilung an. Klicken Sie mit der rechten Maustaste auf das GPO, und wählen Sie Copy (Kopieren). 

Abbildung 11: Um eine GPO zu duplizieren, nutzt der Admin einen Rechtsklick, um zunächst die GPO und dann die Option Copy (Kopieren) auszuwählen.
Abbildung 11: Um eine GPO zu duplizieren, nutzt der Admin einen Rechtsklick, um zunächst die GPO und dann die Option Copy (Kopieren) auszuwählen.

Um das kopierte GPO in die Schnittstelle einzufügen, klicken Sie mit der rechten Maustaste auf den Knoten Gruppenrichtlinienobjekte, und wählen Sie Paste (Einfügen). Die Konsole fordert Sie auf, die Standard-NTFS-Berechtigungen für das GPO beizubehalten oder sie auf den Standardwert zu setzen. Wählen Sie eine Option aus, und klicken Sie auf OK. Es wird eine Erfolgsbestätigung angezeigt. Die Kopie wird in der Liste angezeigt. Benennen Sie sie einfach um und beginnen Sie, sie nach Bedarf zu ändern.

Abbildung 12: Für das Kopieren, wählt man den GPO-Node und fügt das duplizierte GPO ein.
Abbildung 12: Für das Kopieren, wählt man den GPO-Node und fügt das duplizierte GPO ein.

Abbildung 13: Der Administrator legt fest, ob die vorhandenen Berechtigungen für das GPO erhalten bleiben sollen.
Abbildung 13: Der Administrator legt fest, ob die vorhandenen Berechtigungen für das GPO erhalten bleiben sollen.

Abbildung 14: Auch der Status des Kopierprozesses lässt sich überwachen.
Abbildung 14: Auch der Status des Kopierprozesses lässt sich überwachen.

Abbildung 15: Die kopierte GPO kann umbenannt werden.
Abbildung 15: Die kopierte GPO kann umbenannt werden.

Sichern und Wiederherstellen von GPOs mit PowerShell

Es ist einfach, alle GPOs mit PowerShell zu sichern. Das entsprechende Cmdlet ist Backup-GPO. Wenn Sie den gesamten Satz sichern möchten, zum Beispiel für DR-Zwecke, verwenden Sie den Parameter -All und geben Sie einen Zielpfad an. Hier ist ein Beispiel:

backup-gpo -all -pfad C:\GPO-backups\
Abbildung 16: Für das Backup von Gruppenrichtlinienobjekten lässt sich auch PowerShell nutzen.
Abbildung 16: Für das Backup von Gruppenrichtlinienobjekten lässt sich auch PowerShell nutzen.

Sie können auch einzelne GPOs mit PowerShell sichern. In diesem Fall fügen Sie den -Name-Parameter hinzu, geben den GPO-Namen an und fügen den Pfad hinzu:

backup-gpo -name 'Dev Desktop Configurations' -path C:\GPO-backups\
Abbildung 17: Der PowerShell-Befehl für das Backup einer einzelnen GPO wird so ausgeführt.
Abbildung 17: Der PowerShell-Befehl für das Backup einer einzelnen GPO wird so ausgeführt.

Verwenden Sie eine ähnliche Syntax mit dem Cmdlet Restore-GPO, um das GPO wiederherzustellen.

Abbildung 18: Das Restore einer GPO mit PowerShell wird wie hier angezeigt angestoßen.
Abbildung 18: Das Restore einer GPO mit PowerShell wird wie hier angezeigt angestoßen.

Was ist mit System-Backups?

AD speichert die GPOs im Verzeichnis des System Volume (SYSVOL), das sich normalerweise auf dem Laufwerk C: des DCs befindet. Jede Standardsicherung, die diesen Speicherort erfasst, sichert die GPOs.

Wenn Sie beispielsweise das Standarddienstprogramm Windows Server Backup verwenden, um das Laufwerk C: des DCs zu sichern, haben Sie bereits ein Duplikat der GPOs. Der Unterschied besteht darin, dass ein systemweites Backup schwieriger zu handhaben ist, insbesondere wenn Sie ein einzelnes GPO sichern, bevor Sie Änderungen vornehmen. Das Backup-Tool des GPMC ist schneller und einfacher.

Abbildung 19: GPOs werden anhand von GPO-ID-Nummern im Ordner SYSVOL angezeigt.
Abbildung 19: GPOs werden anhand von GPO-ID-Nummern im Ordner SYSVOL angezeigt.

Die GPOs werden anhand ihrer GPO-ID angezeigt, was ihre Identifizierung im SYSVOL-Ordner erschwert. Verwenden Sie die Funktion Manage Backups im GPMC, um die GPOs zu unterscheiden.

Abbildung 20: Die GPO-Namen und GPO-IDs lassen sich über die Schnittstelle Manage Backup (Backup Verwalten).
Abbildung 20: Die GPO-Namen und GPO-IDs lassen sich über die Schnittstelle Manage Backup (Backup Verwalten).

Erfahren Sie mehr über Backup-Lösungen und Tools