■マイクロソフトが無償で提供しているグループ・ポリシー管理コンソール(GPMC)を使うと,Windows XP/2000/2003システムのグループ・ポリシー・オブジェクト(GPO)を簡単にバックアップできる。
■GPMCではさらに,あるサーバーで設定したGPOを,別のサーバーにコピーすることも可能である。
その際,「\\サーバー名\共有名」形式のUNC参照をコピー先のサーバー名に合わせて変換する機能もある。
(2005年2月号「Windowsテクノロジ徹底解説」より)

(Jeremy Moskowitz)

 


 Windowsシステムのバックアップと復旧の計画を立てるときは,グループ・ポリシー・オブジェクト(GPO)も含めて考える必要がある。マイクロソフトは,Windows Server 2003とWindows 2000 Server上のGPOを管理する「グループ・ポリシー管理コンソール」(GPMC)を提供している。これを使うとGPOのバックアップと復元が可能である。

 マイクロソフトは2004年6月にGPMCのアップデート版である,GPMC with SP1(Service Pack 1)を公開した。これは,Windows Server2003のライセンスがなくても,WindowsXP/2000/2003システム上のGPOのバックアップ,復元,コピー,移行ができる。GPMC with SP1は無償でダウンロード可能だ(該当サイト)。ただし,GPMC with SP1を利用するには,.NET Frameworkが必要である。

これまでは面倒だったGPOのバックアップ
 Active Directory(AD)とグループ・ポリシーができたばかりのころは,GPOをバックアップするためにNTBackupを使い,リストアをした場合はADのAuthoritative Restoreを実行するという使いづらい方法しかなかった。NTBackupはGPOだけでなく,システムの状態をすべてバックアップするため,非常に大きなハードディスクの空き容量を必要とした。

 GPOを間違って削除,変更,壊してしまった場合のAuthoritative Restoreはさらに複雑だった。まずNTBackupを実行するドメイン・コントローラ(DC)をオフラインにし,DCをディレクトリ・サービス復元モードで再起動してから,バックアップを復元する。それからAuthoritative Restoreを実行するが,このときに削除あるいは変更されたGPOの完全なDN(distinguished name)を知っている必要があった。

 DNは,GPOの分かりやすい名前(例:Security Settings for the Sales OU)とは全く違うものである。DNは複雑な文字列で,DN形式のGPOパスと,GPOのGUID(Globally Unique Identifier)が含まれている(例:cn={01710048-5F93-4F48-9DD2-A71C7486C431},cn=policies,cn=system,DC=corp,DC=com)。障害が発生する前にGPOのGUIDを把握していなければ修復は不可能であり,GPOの復元もできない。もし,GPOのGUIDを知らなかったら,これまではあきらめるしかなかった。

GPOのバックアップにGPMCを利用する
 ADを使いこなしているユーザーはGPOのバックアップと復元のためのもっとよいWindowsツールを待ち焦がれていた。マイクロソフトはWindows Server 2003をリリースしてまもなくGPMCを,そして今回GPMC with SP1をリリースして顧客の要望に応えた。

 GPMCは,Windows Server 2003またはWindows XPマシンで利用できる。GPMCをインストールしたら,コマンド・プロンプトまたは[スタート]メニューの[ファイル名を指定して実行]で「gpmc.msc」と入力してプログラムを起動し,[フォレスト]−[ドメイン]−[<ドメイン名>]−[グループポリシーオブジェクト]ツリーを開く。そこにはドメイン内のGPOのリストが一覧表示されている。


△ 図をクリックすると拡大されます
図1●グループ・ポリシー管理コンソールを使ってグループ・ポリシー・オブジェクトをバックアップする
 この時点では,次の2つのことが可能である。すべてのGPOをバックアップするか,個別のGPOをバックアップするかである。すべてのGPOをバックアップするには,[グループポリシーオブジェクト]ノードを右クリックして,[すべてバックアップ]のメニューを選択する(図1)。個別のGPOをバックアップするときは,バックアップしたいGPOを右クリックして,[バックアップ]のメニューを選択する。

 どちらの場合も,バックアップを格納するフォルダを入力するよう求められる。バックアップ・ファイルはどこにでも作れるが,安全な場所に格納することを勧める。


△ 図をクリックすると拡大されます
図2●グループ・ポリシー管理コンソールは,グループ・ポリシー・オブジェクトごとにバックアップを格納するサブフォルダを作成する
 バックアップは,指定したフォルダ内に,GPOごとにサブフォルダが作られ,その中にファイルとして格納される。バックアップ・ファイルは,必要に応じてCD-Rに保存したり,テープや別のファイル・サーバーにコピーしたりできる。

 GPOごとに作られるサブフォルダを見ると,その名前が既に紹介したGUIDにそっくりであることに気付くだろう(図2)。しかし,これらのフォルダ名は実際のGPOのGUIDとは対応せず,ユニークなものである。そのため既存のフォルダとの衝突を気にすることなくGPOをバックアップできる。すべてのバックアップを同じフォルダに格納することも,違うフォルダに格納することもできる。

GPMCでGPOを復元する


△ 図をクリックすると拡大されます
図3●グループ・ポリシー管理コンソールでバックアップしてあるグループ・ポリシー・オブジェクトを復元する
 バックアップしてあるGPOを復元するには,GPMCの画面左にある[グループポリシーオブジェクト]ノードを右クリックして,[バックアップの管理]メニューを選択する。すると,[バックアップの管理]ダイアログ・ボックスが表示されるので,復元したいGPOを選択する(図3)。

 復元したいGPOのバックアップを格納してある場所は,[バックアップの場所]コンボ・ボックスから選択するか,[参照]ボタンをクリックして指定する。同じフォルダ内に複数のGPOのバックアップを作成している場合は,[各GPOの最新バージョンのみ表示する]チェック・ボックスをチェックすると,直近にバックアップしたセットだけが表示される。通常は,指定したフォルダにあるすべてのGPOが保存した日時とともに表示される。GPO内に保存された設定を確認するには,GPOをクリックし,[設定の表示]ボタンをクリックする。  復元するには,GPOを選択して画面左下の[復元]ボタンをクリックする。GPOを特定のバックアップ・セットから削除したい場合は,[削除]ボタンをクリックする。