Cómo hacer copia de seguridad manual de las directivas de grupo de un servidor con Windows Server 2008 y los servicios de Active Directory. Explicamos también cómo recuperar una directiva guardada. Utilizaremos la característica Administración de directivas de grupo.
- Requisitos para hacer copia de seguridad de directivas de grupo en Windows Server 2008.
- Hacer copia de seguridad de directivas de grupo.
- Restaurar una directiva de grupo a partir de una copia de seguridad previa.
Requisitos para hacer copia de seguridad de directivas de grupo en Windows Server 2008
A continuación comentamos los requisitos para poder hacer copias de seguridad y restauración de Directivas de Grupo en un dominio Windows Server.
Rol Active Directory en Windows Server
En primer lugar necesitaremos un dominio Windows Server con el rol de Active Directory. En los siguientes enlaces explicamos cómo montar un servidor Active Directory:
- Servicios de dominio de Active Directory Windows Server 2012 controlador dominio.
- Instalar Active Directory, promocionar controlador dominio, Windows Server 2008.
Característica Administración de directivas de grupo
También necesitaremos tener instalada la característica Administración de directivas de grupo. La Administración de directivas de grupo incluye la Consola de administración de directivas de grupo (GPMC), Microsoft Management Console, que permite administrar las directivas de grupo. La Consola de administración de directivas de grupo simplifica la administración de la directiva de grupo basada en dominio al proporcionar una sola experiencia de administración, edición y generación de informes de los aspectos centrales de la directiva de grupo. La Consola de administración de directivas de grupo incluye:
- Una interfaz de usuario que aumenta la facilidad de uso de la directiva de grupo.
- Copia de seguridad y restauración de los objetos de directiva de grupo (GPO).
- Importación y exportación, copiar y pegar filtros WMI (Instrumental de Administración de Windows).
- Administración simplificada de la seguridad relacionada con la directiva de grupo.
- Generación de informes HTML para la configuración de GPO y datos del Conjunto resultante de directivas (RSoP).
- Posibilidad de incluir comentarios basados en texto en los objetos de directiva de grupo y configuración de la directiva basada en el Registro.
- Vistas filtradas de la configuración de la directiva basada en el Registro en función de palabras clave en el título, el texto de Ayuda o los comentarios de la configuración de la directiva.
- Objetos de directiva de grupo de inicio: colecciones portátiles de la configuración de directiva basada en el Registro, que proporcionan puntos de inicio para los GPO.
- Otras extensiones de directiva de grupo adicionales que permiten administrar asignaciones de unidades, valores del Registro, usuarios y grupos locales, servicios, archivos y carpetas.
Para instalar esta característica será suficiente con acceder a «Administrador del servidor», que podemos encontrar en el Panel de control, en Herramientas administrativas:
Pulsaremos con el botón derecho del ratón sobre «Características» y elegiremos «Agregar características»:
Si no la tenemos instalada, marcaremos «Administración de directivas de grupo» y pulsaremos en «Instalar» (en nuestro caso, como ya la tenemos instalada, no nos da la opción de instalar, pero si no está instalada sí podemos hacerlo):
El proceso de instalación es automático y no requiere, normalmente, de reinicio del servidor. A partir de ahora ya podremos disponer de la herramienta Administración de directivas de grupo (Group Policy Management). El acceso directo para abrir la herramienta quedará en Panel de control, Herramientas administrativas, Administración de directivas de grupo:
Hacer copia de seguridad de directivas de grupo
Para hacer una copia de seguridad de una directiva de grupo manualmente, iniciaremos sesión en alguno de los servidores Windows Server que sea miembro del dominio y tenga instalada la característica «Administración de directivas de grupo» (como hemos indicando aquí). Accederemos a la herramienta anterior, desde el Panel de control, Herramientas administrativas, pulsaremos en «Administración de directivas de grupo» (Group Policy Management). Desplegaremos el Bosque (en nuestro caso proyectoa.local) y el dominio, en nuestro caso proyectoa.local. Nos mostrará los containers y las unidades organizativas (organization unit):
Nos desplazaremos a la parte inferior de la ventana anterior y desplegaremos el árbolo «Objetos de directiva de grupo» [1], pulsaremos con el botón derecho del ratón sobre la directiva de la que queramos hacer copia de seguridad, en nuestro caso «Directiva ProyectoA – Equipos de usuarios» [2]. En el menú emergente pulsaremos en «Hacer copia de seguridad…» [3]:
Elegiremos la unidad y carpeta destino de la copia de seguridad y en Descripción introduciremos un texto descriptivo para identificar la directiva, cuando tengamos varias:
En la ventana anterior, antes de hacer la copia de seguridad, nos avisa de que se pueden hacer copias de seguridad de varias directivas en la misma carpeta. También es importante mencionar que no se copiarán los filtros WMI que tengamos ni otras opciones de objetos independientes al Active Directory, como directivas IPsec. Y, por último, también recomienda que al destino de la copia de seguridad de las directivas sólo tengan acceso algunos usuarios administradores, dado que si se da acceso libre otros usuarios podrían modificar los ficheros de la directiva.
Una vez que tengamos todo claro pulsaremos en el botón «Hacer copia de seguridad» de la ventana anterior, nos mostrará el progreso de la copia y el resultado. Si nos indica «Correcto» la copia de seguridad de la directiva se habrá hecho correctamente. Pulsaremos «Aceptar»:
Explorando la carpeta destino podremos ver los ficheros creados por el asistente de copia de seguridad de directiva de grupo:
Vemos que crea una carpeta con el nombre del GUID del objeto de directiva de grupo y un fichero XML llamado manifest.xml. Dentro de la carpeta crea, a su vez, otras subcarpetas y ficheros XML:
Estos ficheros son modificables y, por lo tanto, se podría modificar la directiva antes de restaurar la copia de seguridad. Por ello se aconseja, como hemos comentado anteriormente, que a esta carpeta sólo tengan acceso los usuarios administradores.
La herramienta Administrador de directivas de grupo permite hacer backups de todas las directivas de grupo a la vez. Para ello será suficiente con pulsar con el botón derecho del ratón sobre «Objetos de directiva de grupo», en el menú emergente pulsaremos en «Hacer copia de seguridad de todos…»:
Realizará la copia de seguridad, a la carpeta elegida, de todas las directivas de grupo del dominio. Nos mostrará el resultado de copia de cada una de ellas, si alguna tiene algún error o warning nos lo mostrará:
Por ejemplo, un aviso típico: La entidad de seguridad […] referida en la extensión [eguridad] no se puede resolver, pero la tarea continuará. En el futuro, puede usar una tabla de migración para asignar o quitar esta entidad de seguridad. Detalles: no se efectuó ninguna asignación entre los nombres de cuenta y los identificadores de seguridad.
El aviso anterior suele ser debido a que hemos usado algún objeto (usuario, grupo de seguridad, etc.) en la directiva que NO existe en el dominio.
Restaurar una directiva de grupo a partir de una copia de seguridad previa
Para restaurar una directiva de grupo, a partir de una copia de seguridad previamente realizada (como hemos indicado aquí), tendremos varias opciones. O bien se recupera una directiva no existente (o existente y se reemplaza) o bien se recupera desde una directiva existente.
Recuperar directiva de copia de seguridad si no existe
Una de ellas es pulsar con el botón derecho del ratón sobre «» y en el menú emergente elegir «»
Nos mostrará las últimas copias de seguridad realizadas en la carpeta elegida, por defecto nos mostrará la última que hayamos usado. Antes de restaurar una copia, seleccionándola, podremos ver su configuración pulsando en «Ver configuración»:
Nos mostrará en el navegador web una página con las opciones de configuración que aplicará dicha directiva a los objetos a los que esté vinculada:
Para restaurar una copia de una directiva de grupo la seleccionaremos y pulsaremos en «Restaurar»:
Nos advertirá si realmente queremos restaurar la copia de seguridad, si estamos seguros pulsaremos «Aceptar». Si existe la directiva la reemplazará y si no existe la creará:
Nos indicará el progreso y el resultado de la restauración:
Recuperar directiva de copia de seguridad desde directiva existente (reemplazar)
La otra opción de recuperar una copia es hacerlo sobre una de las directivas existentes. Pulsando con el botón derecho del ratón sobre la directiva (que ha de existir) y seleccionando «Restaurar desde copia de seguridad…»:
Se iniciará el asistente para restaurar un objeto de directiva de grupo, pulsaremos «Siguiente»:
Elegiremos la carpeta donde hicimos la copia de seguridad, por defecto nos mostrará la última utilizada:
Nos mostrará, únicamente, las copias de seguridad que haya de la directiva seleccionada. Desde aquí podremos ver también su configuración (pulsando en «Ver configuración»). Para restaurarla pulsaremos en «Siguiente»:
El asistente nos mostrará un resumen con todas las opciones elegidas, si son correctas pulsaremos en «Finalizar» para realizar la restauración:
Como siempre, nos indicará el progreso y el resultado de la restauración:
