■マイクロソフトが無償で提供しているグループ・ポリシー管理コンソール(GPMC)を使うと,Windows XP/2000/2003システムのグループ・ポリシー・オブジェクト(GPO)を簡単にバックアップできる。
■GPMCではさらに,あるサーバーで設定したGPOを,別のサーバーにコピーすることも可能である。
その際,「\\サーバー名\共有名」形式のUNC参照をコピー先のサーバー名に合わせて変換する機能もある。
(2005年2月号「Windowsテクノロジ徹底解説」より)
Windowsシステムのバックアップと復旧の計画を立てるときは,グループ・ポリシー・オブジェクト(GPO)も含めて考える必要がある。マイクロソフトは,Windows Server 2003とWindows 2000 Server上のGPOを管理する「グループ・ポリシー管理コンソール」(GPMC)を提供している。これを使うとGPOのバックアップと復元が可能である。 マイクロソフトは2004年6月にGPMCのアップデート版である,GPMC with SP1(Service Pack 1)を公開した。これは,Windows Server2003のライセンスがなくても,WindowsXP/2000/2003システム上のGPOのバックアップ,復元,コピー,移行ができる。GPMC with SP1は無償でダウンロード可能だ(該当サイト)。ただし,GPMC with SP1を利用するには,.NET Frameworkが必要である。
これまでは面倒だったGPOのバックアップ GPOを間違って削除,変更,壊してしまった場合のAuthoritative Restoreはさらに複雑だった。まずNTBackupを実行するドメイン・コントローラ(DC)をオフラインにし,DCをディレクトリ・サービス復元モードで再起動してから,バックアップを復元する。それからAuthoritative Restoreを実行するが,このときに削除あるいは変更されたGPOの完全なDN(distinguished name)を知っている必要があった。 DNは,GPOの分かりやすい名前(例:Security Settings for the Sales OU)とは全く違うものである。DNは複雑な文字列で,DN形式のGPOパスと,GPOのGUID(Globally Unique Identifier)が含まれている(例:cn={01710048-5F93-4F48-9DD2-A71C7486C431},cn=policies,cn=system,DC=corp,DC=com)。障害が発生する前にGPOのGUIDを把握していなければ修復は不可能であり,GPOの復元もできない。もし,GPOのGUIDを知らなかったら,これまではあきらめるしかなかった。
GPOのバックアップにGPMCを利用する GPMCは,Windows Server 2003またはWindows XPマシンで利用できる。GPMCをインストールしたら,コマンド・プロンプトまたは[スタート]メニューの[ファイル名を指定して実行]で「gpmc.msc」と入力してプログラムを起動し,[フォレスト]−[ドメイン]−[<ドメイン名>]−[グループポリシーオブジェクト]ツリーを開く。そこにはドメイン内のGPOのリストが一覧表示されている。
どちらの場合も,バックアップを格納するフォルダを入力するよう求められる。バックアップ・ファイルはどこにでも作れるが,安全な場所に格納することを勧める。
GPOごとに作られるサブフォルダを見ると,その名前が既に紹介したGUIDにそっくりであることに気付くだろう(図2)。しかし,これらのフォルダ名は実際のGPOのGUIDとは対応せず,ユニークなものである。そのため既存のフォルダとの衝突を気にすることなくGPOをバックアップできる。すべてのバックアップを同じフォルダに格納することも,違うフォルダに格納することもできる。
GPMCでGPOを復元する
復元したいGPOのバックアップを格納してある場所は,[バックアップの場所]コンボ・ボックスから選択するか,[参照]ボタンをクリックして指定する。同じフォルダ内に複数のGPOのバックアップを作成している場合は,[各GPOの最新バージョンのみ表示する]チェック・ボックスをチェックすると,直近にバックアップしたセットだけが表示される。通常は,指定したフォルダにあるすべてのGPOが保存した日時とともに表示される。GPO内に保存された設定を確認するには,GPOをクリックし,[設定の表示]ボタンをクリックする。 復元するには,GPOを選択して画面左下の[復元]ボタンをクリックする。GPOを特定のバックアップ・セットから削除したい場合は,[削除]ボタンをクリックする。 |