PowerShell - Резервное копирование групповых политик Active Directory (GPO)

Операцию резервного копирования доменных объектов групповых политик (GPO) можно выполнить штатным способом с помощью консоли Group Policy Management (gpmc.msc), но если нам потребуется автоматизировать данный процесс, - можно использовать командлеты модуля GroupPolicy для PowerShell 2.0

Приведу пример скрипта, который выполняет резервное копирование GPO в том случае, если с момента последнего резервного копирования изменилось время модификации GPO (определение по наличию каталога с именем по отметке времени модификации):

# Блок переменных для резервного копирования GPO
# $BackupPath - Корневой каталог для сохранения GPO
# $GPONameMask - Маска имени GPO. "*" - для полного бэкапа
# $NearestDC - Контроллер домена на котором будут выполняться команды,
# если в качестве имени DC нужно указать имя текущего хоста , можно использовать значение
# [System.Net.Dns]::GetHostEntry([System.Net.Dns]::GetHostName()).HostName
#
$BackupPath = "\\FS\GPO-Backup$"
$GPONameMask = "KOM-*"
$NearestDC = "DC03.holding.com"
#
# Блок переменных для уведомлений по электронной почте в случае ошибок
# $gvEmailFrom – Email адрес отправителя
# $gvEmailTo – Email адрес получателя (например адрес группы рассылки для Администраторов AD)
# $gvSMTPServer – FQDN имя почтового сервера
#
$gvEmailFrom = "GPO-Backup@holding.com"
$gvEmailTo = "DST-GPO-Administrators@holding.com"
$gvSMTPServer = "Mail.holding.com"
#
# Блок отсылки уведомляющего письма об ошибках выполнения скрипта 
#
Trap {
If ($Error){
$vEmailSubj = "GPO Backup Error"
$vEmailBody = "Group Policy Backup Error on DC " + $NearestDC + "`n`nError : " + $Error
$vSMTP = New-Object Net.Mail.SMTPClient($gvSMTPServer)
$vSMTP.Send($gvEmailFrom, $gvEmailTo, $vEmailSubj, $vEmailBody) 
}
Break
} 
#
# Функция для создания структуры каталогов
#
Function Check-Folder ($Folder) {
      $CatExists = Test-Path -Path $Folder 
      If ($CatExists -eq $False) {New-Item $Folder -type directory}
}
#
# Блок процедуры резервного копирования GPO
#
Check-Folder $BackupPath | Out-Null
Import-Module GroupPolicy
$GPOs = Get-GPO -All -Server $NearestDC | Where-Object {$_.DisplayName -like $GPONameMask}
Foreach ($GPO in $GPOs) {
      $GPOFolder = $BackupPath + "\" + $GPO.Id
      Check-Folder $GPOFolder | Out-Null
      $FullPath = $GPOFolder + "\" + $GPO.ModificationTime.ToString("yyyy-MM-dd_HH-mm-ss")
      If (!(Test-Path -Path $FullPath)) {
            New-Item $FullPath -type directory | Out-Null
            Backup-GPO -Guid $GPO.Id -Path $FullPath -Server $NearestDC
            $ReportPath = $FullPath + "\report.html"
            Get-GPOReport -Guid $GPO.Id -Path $ReportPath -Server $NearestDC -ReportType HTML
      }                
}

Указанный скрипт загоняем в планировщик заданий, например на контроллере домена, и выполняем настолько часто, насколько этого требует ситуация.

Необходимо помнить то, что при создании резервной копии GPO не сохраняются WMI фильтры и политики IPSec, которые используются в этом GPO, а сохраняются лишь ссылки на них. Так же не сохраняется информация о привязке GPO к контейнерам/OU. Получить дополнительную информацию об этом можно из руководства Planning and Deploying Group Policy

Чтобы, в случае необходимости, можно было восстановить привязки GPO к контейнерам/OU, мы сможем воспользоваться информацией из отчета, который формируется после создания резервной копии.

А чтобы избежать возможных сложностей с резервным копированием и восстановлением WMI фильтров, рекомендую подумать об их замене на механизмы Group Policy Preferences (GPP).

Дополнительная информация:

• TechNet Library - Group Policy Planning and Deployment Guid
• blog.powershell.no - Backing up Group Policy Objects using Windows PowerShell
• Blog "Open a Socket!" >  Powershell 2.0 Script to Backup GPOs