Hi! Hier ist wieder Florian, einer der deutschen MVPs mit einem Gastbetrag (*) zum Thema Gruppenrichtlinien. Diesmal würde ich hier gerne einige Randnotizen zur Group Policy Management Console (GPMC) veröffentlichen, die speziell das Sichern und Wiederherstellen betrifft.

Durch meine örtliche Nähe zu unserem südlichen Nachbarland der Schweiz, bekomme ich allerhand interessante Weisheiten nahegelegt, so etwa auch „ein ordentlicher Kerl hat stets sein Sackmesser dabei“ (wobei „Sackmesser“ hier als Taschenmesser übersetzt werden darf ;-) …). Wer so ein Sackmesser schon das ein oder andere mal verwendet hat, wird seinen Nutzen sicherlich zu schätzen wissen. Es bietet so ziemlich alles, was man fürs Überleben in der Wildnis braucht – oder zumindest ein Grundsatz an Werkzeugen, die man auf der Maiwanderung oder einem Vatertagsspaziergang gut gebrauchen kann. Ähnlich ist das mit der GPMC – sie ist sozusagen das Sackmesser für jeden GP-Administrator.

Das GP-Sackmesser hat neben vielen Annehmlichkeiten wie den Reitern für die Rechtedelegierung und dem HTML-Bericht auch eine Sicherungs- und Wiederherstellungsfunktion. Diese Sicherungs- und Wiederherstellungsfunktion erlaubt es, Gruppenrichtlinien als Ganzes zu speichern, und zu gegebenem Zeitpunkt (man hofft ja nie, dass dieser Fall eintritt) zurückzuspielen. Wie bei jeder guten Sicherung sollte, bevor man sich auf den Mechanismus verlässt, eine Probesicherung und -wiederherstellung durchgeführt werden – nicht zuletzt um auch das Handling zu testen und zu sehen, ob wirklich alle Daten erfolgreich zurückgespielt wurden.

Eine GPO besteht aus zwei Teilstücken. Ein Teilstück wird auf dem SYSVOL-Freigabebaum erstellt, während der zweite Teil ein Container im Verzeichnis, unter CN=Policies,CN=System,DC=domain,DC=tld ist. Beim Sichern einer GPO speichert die GPMC beide „Teile“ einer Richtlinie – sowohl die Daten aus dem SYSVOL als auch die Daten im Active Directory-Container sowie die zur Richtlinie gehörenden Daten wie Sicherheitseinstellungen oder Delegierung.

Leider gibt es auch einige Informationen, die zwar mit einer GPO in Verbindung stehen, jedoch nicht zu den gesicherten Daten gehören. Diese sollte man sich genau ansehen und gegebenenfalls zusätzlich sichern. Oder zumindest im Hinterkopf behalten, damit bei einem Restore einer GPO nicht kurzfristig weitere Brandherde gelöscht werden müssen. Zu den nicht mitgesicherten Informationen zählen beispielsweise die Verlinkungen der Richtlinien. Das GPMC-Backup sichert nicht mit, auf welchen OUs die Richtlinie verknüpft war – diese Information wird nämlich weder im SYSVOL noch im AD-Container der Richtlinie gespeichert, sondern im Attribut gpLink der verknüpften OU. Das Attribute gpLink enthält eine Auflistung aller Richtlinien, die mit der OU verlinkt wurden. Dabei ist die Liste entsprechend der Nummerierung, die in der GPMC zu sehen ist, aufgebaut.

Ähnlich geht es der Information, in der das GP-Attribut „Erzwungen“ gespeichert wird. „Erzwungen“ ist dafür verantwortlich, dass Einstellungen einer GPO nicht durch eine später abgearbeitete GPO überschrieben werden können. Administratoren können somit verhindern, dass beispielweise OU-Administratoren in eigenen GPOs identische Einstellungen konfigurieren, jedoch mit aufhebenden Konfigurationen. „Erzwungen“ wird ebenfalls nicht bei der Gruppenrichtlinie gespeichert, sondern mit der OU im Attribut gpOptions. Ist der Attributwert von gpOptions „1“, ist „Erzwungen“ aktiviert.

Wer WMI-Filter für die Verarbeitung seiner Gruppenrichtlinien einsetzt, sollte ebenfalls vorsichtig sein: WMI-Filter werden nicht als Ganzes mit Gruppenrichtlinien gespeichert, sondern ebenfalls in Active Directory als Objekt abgelegt: CN=<GUID>,CN=SOM,CN=WMIPolicy,CN=System,DC=domain,DC=tld. Zumindest die GUID des WMI-Filters mitgesichert, sodass beim Wiederherstellen einer GPO, sollte der WMI-Filter noch im System vorhanden sein, die Verlinkungen zwischen GPO und WMI-Filter erneut erstellt wird.

Möchte man Richtlinien sichern, die IPSec-Filter auf Zielmaschinen ausrollen, kann man sich am Verhalten von WMI-Filtern orientieren: auch IPSec-Filter werden nicht in der Gruppenrichtlinie gespeichert, sondern in CN=<Filterart><GUID>,CN=IP Security,CN=System,DC=domain,DC=tld, was bedeutet, dass IPSec-Filter mit einer Systemstatesicherung des Verzeichnisses gesichert und getrennt wiederhergestellt werden müssen.

Grundlegend gilt also, dass die GPMC alle Daten einer GPO sichert, die mit einer Gruppenrichtlinie in Active Directory und in der SYSVOL-Freigabe gespeichert werden. Andere Daten, die an speziellen Orten im Verzeichnis hinterlegt sind, werden nicht gesichert.

Eine Liste der Daten die im GPMC-Backup gesichert werden und welche nicht, listet der TechNet-Artikel „Backup using GPMC: Group Policy“, http://technet.microsoft.com/en-us/library/cc784474.aspx.

Um die nicht mit der gesicherten GPO Daten dokumentieren zu können und sie im Wiederherstellungsfall zurückkonfigurieren zu können, gibt es ein großartiges Werkzeug: die GPMC (unser Sackmesser)!

Unsere GPMC erstellt nämlich bei der GPO-Sicherung einen HTML-Bericht, den sie zusammen mit dem Backup als XML-Datei im Sicherungsordner als „gpreport.xml“ ablegt. Ruft man für die Wiederherstellung den Dialog „Sicherungen verwalten“ auf und wählt darin „Einstellungen anzeigen“ für eine gesicherte GPO, öffnet der Assistent den zur GPO gesicherten HTML-Bericht im Browser. Aus der XML-Datei wird ein HTML-Bericht generiert.

Bemerkenswert ist hierbei, dass ein zusätzlicher Abschnitt namens „Allgemein“ erstellt wird, der oberhalb der eigentlichen Computer- und Benutzereinstellungen angezeigt wird. Dieser Abschnitt ist, wählt man eine GPO in der GPMC aus, nicht im Reiter „Einstellungen“ zu sehen. Hinter „Allgemein“ verbergen sich alle wichtigen Metadaten der GPO – etwa die Verknüpfungen mit den OUs oder die Information, ob die Richtlinie als „Erzwungen“ konfiguriert war.

Wer einen HTML-Bericht seiner Gruppenrichtlinien manuell erstellen möchte, kann das auch über die Funktion „Bericht speichern“ tun. Auch hier wird der zusätzliche Abschnitt „Allgemein“ gesichert. Dieses Vorgehen kann vor allem dann nützlich sein, wenn man Änderungen an seinen Gruppenrichtlinien nachverfolgen oder die Einstellungen einer GPO zu einem bestimmten Zeitpunkt dokumentieren will.

Für Fans von Skripten, die ihre GPOs gerne automatisiert sichern und HTML-Berichte wie von Geisterhand erstellen lassen möchten, wird im „Scripts“-Ordner der GPMC für Windows XP eine Reihe von Beispielskripten mitgeliefert, die diese Arbeit automatisch erledigen können. GPO-Administratoren von Windows Vista oder Windows 7, die die GPMC per Remote Server Administration Tools (RSAT) installiert haben, können die Beispielskripts seperat herunterladen: http://www.microsoft.com/downloads/details.aspx?familyid=38c1a89b-a6d2-4f2a-a944-9236999aee65&displaylang=en&tm. Einzelne Richtlinien können etwa mit dem Skript „BackupGPO.wsf“ gesichert werden, während ein Bericht für eine GPO per „GetReportsForGPO.wsf“ erstellt werden kann.

Viel Spaß beim Sichern und bis zum nächsten Mal!

Cheers,
Florian

* Rechtlicher Hinweis: Bei den hier als "Gastbeitrag" markierten Artikeln handelt es sich um Blogs, die von nicht-Microsoft Mitarbeitern verfaßt wurden. Diese Beiträge geben ausschließlich die Meinung des jeweiligen Autors wieder und stimmen nicht unbedingt mit der Meinung von Microsoft überein. Microsoft macht sich diese Beiträge ausdrücklich nicht zu eigen. Eine Vorabkontrolle der Beiträge findet nicht statt. Dementsprechend kann Microsoft keine Verantwortung oder Gewähr für die Beiträge übernehmen.