Gruppenrichtlinien Backup mit PowerShell – GPO sichern

In einem Active Directory Umfeld sind Gruppenrichtlinien, auch kurz GPO genannt, sehr wichtig. Mit diesen Gruppenrichtlinien steuert man Einstellungen auf Computer Ebene und auf Benutzer Ebene. Je nach dem wie groß das Umfeld ist, kann es eine große Anzahl an Gruppenrichtlinien geben. Deshalb kann ein Gruppenrichtlinien Backup wichtig sein, falls man Einstellungen tätigt, welche im Nachhinein nicht mehr nachvollzogen werden können. Wir zeigen wie man die GPO´s sichern kann mit PowerShell. Übrigens kann man auch Gruppenrichtlinien nicht anwenden lassen.

Warum ist ein Gruppenrichtlinien Backup wichtig und wie sichert man die GPO?

Eine tägliche Sicherung der Gruppenrichtlinien ist natürlich nicht sehr sinnvoll, da die GPO´s in der Regel sehr statisch sind. Sobald das Optimum der Einstellungen für Benutzer und Computer gefunden ist und konfiguriert wurde, ändert sich meist sehr wenig. Jedoch kann es sinnvoll sein ein Backup der Gruppenrichtlinien zu erstellen, wenn große Änderungen oder viele Anpassungen gemacht wurden. Um das zu erledigen, stehen zwei Optionen zur Auswahl:

  • Einzelne GPO sichern über den Gruppenrichtlinien-Editor
  • Alle Gruppenrichtlinien sichern mit einem PowerShell Script

Ich empfehle einmalig ein volles Backup der GPOs zu erstellen, wenn alle Einstellungen konfiguriert werden. Hier empfiehlt sich PowerShell. Man kann natürlich auch alle Gruppenrichtlinien einzeln sichern. Wenn man aber eine große Umgebung hat, sind 50-100 Richtlinien keine Seltenheit und daher sehr viel Aufwand.

Einzelne Gruppenrichtlinie sichern über den Gruppenrichtlinien-Editor

Einzelne Gruppenrichtlinien können ganz einfach über den Gruppenrichtlinien-Editor gesichert werden. Hier ist der Vorteil, dass keine PowerShell-Kenntnisse vorhanden sein müssen. Ich empfehle diese Vorgehensweise, wenn man essenzielle Änderungen an nur einer GPO durchgeführt hat. Um das GPO Backup erstellen zu können, muss folgende Vorgehensweise befolgt werden.

  1. Den Gruppenrichtlinien-Editor öffnen
  2. Reiter Gruppenrichtlinienobjekte öffnen
  3. Gewünschte Richtlinie wählen – Rechtsklick
  4. Back Up… oder Sichern… wählen

Nun muss nur noch der Speicherort gewählt werden und das Backup wurde erstellt.

Alle Gruppenrichtlinien sichern mit PowerShell

Ich empfehle aber den Einsatz von PowerShell. Hier ist man flexibler, welche Richtlinien man sichern möchte. Natürlich muss man die PowerShell auf dem Domain Controller starten, um Zugriff auf die Richtlinien zu erhalten.

  • Um ein komplettes Backup der GPOs zu erstellen, muss folgender Befehl ausgeführt werden:
    Get-GPO -All | Backup-GPO -Path C:\YourBackup\GPOs
Gruppenrichtlinien Backup PowerShell

Das ist der Grundbefehl für ein komplettes Backup. Das schöne an PowerShell ist aber, dass wir im Befehl sehr viele Parameter angeben können. Ich geben ein paar Beispiele.

  • Gruppenrichtlinien Backup, welche nach einem bestimmten Datum erstellt wurden:
    Get-GPO -All | where CreationTime -gt 15.09.2019 | Backup-GPO -Path C:\YourBackup\GPOs
  • Sichern der Richtlinien, welche einen bestimmten Namen haben
    Get-GPO -All | where DisplayName -like *OneDrive* | Backup-GPO -Path C:\YourBackup\GPOs
  • Sichern der Richtlinien, welche NICHT komplett deaktiviert sind
    Get-GPO -All | where GPOStatus -ne AllSettingsDisabled | Backup-GPO -Path C:\YourBackup\GPOs

Somit lassen sich die GPO´s filtern und gleichzeitig speichern.

Gruppenrichtlinien Backup wiederherstellen mit PowerShell

Haben wir ein Gruppenrichtlinien Backup erstellt, wurde der wichtigste Schritt erledigt. Tritt nun der Fall auf, dass etwas mit den Einstellungen nicht passt, müssen wir ein Backup wiederherstellen. Hier nutzt man in PowerShell das CMDLet Restore-GPO.

Restore-GPO -All -Path C:\YourBackup\GPOs

Hier muss man darauf achten, dass der Befehl alle GPO´s im angegebenen Ordner wiederherstellt. Mit diesem Befehl ist also ein Restore der Richtlinien sehr einfach zu erledigen.

Johannes Huber
 

In seiner Freizeit macht Johannes nichts lieber, als für ITnator Beiträge zu schreiben. Input bekommt er hierfür von Problemen in der IT Administration von Servern, Clients und vielen weiteren IT Komponenten.

Click Here to Leave a Comment Below 0 comments