この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。

はじめに

本記事では、本番環境のグループポリシーを検証用AD（Active Directory）サーバーに復元する方法についてご紹介したいと思います。

 

バックアップを取ったADサーバーにそのまま復元させる場合であれば、バックアップの管理から数クリックで簡単にできるのですが、別のADサーバーに復元させたい場合はやや面倒です。

基本的には空のGPO（グループポリシーオブジェクト）に対して一つずつインポートしていく必要があり、主な工程は以下2つとなります。

 

①本番環境のGPOと同じ名前を付けた空のGPOを先に生成しておく

②作成した空GPOに対して、バックアップファイルからそれぞれ対象のGPO設定をインポートする

 

今回、①の工程についてはリストを使ったループ処理を行うことで手動で1つずつ作成する手間を省きます。

 

以下バックアップの取得方法から順に紹介しておりますので、ご参考になれば幸いです。

 

 

本番環境で実施する手順

こちらはまず現行で稼働しているADサーバーで実施する手順になります。

 

1. バックアップの取得

1-1. ADサーバーにログインし、デスクトップに予めバックアップ保存用のフォルダを任意の名前で作成しておきます。

 

1-2.「グループポリシーの管理」コンソールを開き、ドメインの中にある「グループポリシーオブジェクト」を右クリック、「すべてバックアップ」を選択します。

 

1-3. バックアップの保存場所に1.1で作成したフォルダを指定し、必要に応じて説明を入力して「バックアップ」を押下します。

 

2. GPOの名前一覧を取得

2-1. PowerShellを起動し、以下コマンドを実行します。

(get-gpo -all).displayname

 

2-2. 表示されたGPO名を全てメモ帳に張り付け、 「GPO_name.txt」としてローカルの任意の場所に保存します。

※手順1でデスクトップに保存したバックアップフォルダについても、検証用ADサーバーに移せるようローカルに落としておくこと。

 

 

検証環境で実施する手順

ここからは検証用ADサーバーで実施する手順になります。

 

3. 空GPOの作成

3-1. 検証用ADサーバーにログインしたら、先ほど手順1,2で用意したバックアップフォルダとGPO_name.txtをデスクトップに配置しておきます。

 

3-2. PowerShellを起動し、以下コマンドを順に実行します。完了後に「グループポリシーの管理」コンソールを開いてGPOがリストの名前通りに作成できているか確認しておきましょう。

＃リストのある場所に移動

cd C:\Users\[ユーザー名]\Desktop

＃変数を設定、文字化けを防ぐためエンコーディング

$list=Get-Content GPO_name.txt -Encoding UTF8

＃foreachでループ処理を行う

foreach ($gpo in $list){ new-gpo -name $gpo }

※new-gpoコマンドが通らない場合は、「Import-Module GroupPolicy」を実行した後に再度foreach～を実行

 

4. 設定のインポート（＝GPO復元）

4-1. 「グループポリシーの管理」コンソールを開き、インポート先となるGPOを右クリックして「設定のインポート」を選択します。

 

4-2. 「設定のインポートウィザード」にて、「次へ」を押下します。

 

4-3. 現時点の検証機のバックアップが必要な場合はここで取得しておきます。問題なければそのまま「次へ」を押下します。

 

4-4. 手順3-1でデスクトップに用意しておいたバックアップフォルダを選択し、「次へ」を押下します。

 

4-5. インポート（復元）するGPOを選択し、「次へ」を押下します。

 

4-6.  バックアップがスキャンされ、結果が表示されます。

スキャン結果で、図【1】のようにセキュリティプリンシパル・UNCパス・ドメインローカルグループの参照を含んでいる場合、参照の転送方法を指定する必要があります。

図【2】のように参照を含まない場合、そのままインポートを続行できるので「次へ」を押下して手順4-8へ進んでください。

 

【1】-参照を含む場合

【2】-参照を含まない場合

 

4-7. 転送方法を以下の2つから選択し、「次へ」を押下します。（手順4-9の画面へ遷移）

①ソースと同一になるようにコピーする（…参照をそのまま残す場合に選択）
② この移行テーブルを使用して宛先GPOにマップする（…参照を変更する場合に選択）

 

4-8. 「完了」を押下すると、概要に表示されたバックアップGPOからインポートが実行されます。

 

4-9. インポートが完了し、[状態]の表示を確認したら「OK」を押下します。

 

4-10. 「グループポリシーの管理」コンソールに戻り、インポートが完了したGPOを選択して[設定]タブを開くと設定内容が反映されていることを確認できます。

手順4-1～4-9を繰り返し、他のGPOにも設定をインポートしていきます。

 

5. GPOをリンクする

5-1. 各GPOの適用対象となるオブジェクトで右クリックし、「既存のGPOのリンク」を選択します。

 

5-2. GPOを選択し、「OK」を押下します。

 

手順5-1と5-2を適用対象となるオブジェクトでそれぞれ実施して、GPOと結びつければ復元は完了となります。

 

 

おわりに

如何でしたでしょうか？

「検証用にADサーバーを作成したけどグループポリシーも再現したい！」という場合に、こちらの記事が少しでもお役に立てれば幸いです。