虽然这和组策略对象并非直接相关,但管理员通常不会备份其组策略对象以便在遇到管理灾难时及时恢复。事实上,微软仅提供有限的组策略对象备份与恢复功能,这就是管理员常常忽略这些必备措施的原因。
最佳操作:所有管理员在操作组策略对象时需要参照如下操作:
备份每天的所有组策略对象。
生成组策略对象操作设置报表。
实施设置权限的组策略对象恢复方案。作为管理员,您可以使用微软VB语言提供的组策略管理控制台或者PowerShell指令恢复组策略对象。这些方法都可以在您要备份还原时表现出众。图1示例如何使用组策略管理控制台备份所有组策略对象。
图1. 组策略管理控制台备份所有组策略对象
生成组策略对象报表,这是您监测组策略对象设置时必不可少的一步。如果组策略对象设置更改,您无从知晓改动了什么,这就是您需要报表的原因。点击保存报表,将每一个组策略对象生成设置、许可等报表,详见图2。
图2. 收集每个组策略对象十分必要
生成的每个组策略对象报表, 您需要查看浏览,生成HTML格式的报表是一个不错的建议,这样所有管理员可以在安全站点查看到组策略对象。
(提示: ADAudit Plus 和 RecoveryManager Plus可以追踪所有针对组策略对象的变更。RecoveryManager Plus甚至可以恢复组策略对象的设置权限。)
最后恢复组策略对象设置 (无需恢复所有的组策略对象设置)是很少被重视的。微软不提供这项恢复功能,甚至是其高级组策略管理(AGPM) 工具。RecoveryManager Plus不仅具备随时段恢复组策略对象,而且可以精准恢复需要恢复的组策略对象。图3 示例 RecoveryManager Plus具体操作。
图3. RecoveryManager Plus设置方面的恢复组策略对象配置。
这样确保您不会在组策略对象操作时铸成大错。恢复组策略对象和其设置的操作对活动目录(AD)稳定性至关重要。
如果您想试用RecoveryManager Plus,请下载