Compartir a través de

Copia de seguridad, restauración, migración y copia de objetos de directivas de grupo

En este artículo, aprenderá a realizar copias de seguridad, restaurar, migrar y copiar objetos de directivas de grupo (GPO) existentes mediante la Consola de administración de directivas de grupo (GPMC). Estas funcionalidades son importantes para mantener las implementaciones de directivas de grupo a partir de un error o desastre. Le ayudan a no tener que volver a crear manualmente los GPO perdidos o dañados y, a continuación, repetir las fases de planificación, prueba e implantación. Parte de su plan continuo de operaciones de directivas de grupo debe incluir copias de seguridad periódicas de todos los GPO.

También puede copiar e importar GPO, tanto desde el mismo dominio como entre dominios. Puede usar GPMC para migrar un GPO existente, por ejemplo, de un dominio existente a un dominio recién implementado. Puede copiar GPO o importar la configuración de directivas de un GPO a otro GPO. La importación de GPO permite transferir la configuración de directivas de un GPO del que se ha realizado una copia de seguridad a un GPO existente, y resulta especialmente útil en situaciones en las que no existe una relación de confianza entre los dominios de origen y de destino. Si desea reutilizar los GPO existentes, la copia también le permite trasladar cómodamente los GPO de un entorno de producción a otro.

Copia de seguridad de GPO y visualización de copias de seguridad de GPO

La operación de copia de seguridad realiza una copia de seguridad de un GPO de producción en el sistema de archivos. La ubicación de la copia de seguridad puede ser cualquier carpeta a la que tenga acceso de escritura. Después de realizar la copia de seguridad de los GPO, debe utilizar la GPMC para visualizar y manipular el contenido de la carpeta de copia de seguridad, ya sea mediante la GPMC o mediante programación con un script. Una vez realizada la copia de seguridad de los GPO, use la GPMC para procesar los GPO archivados mediante las operaciones de importación y restauración.

Precaución

No interactúe con GPO archivados directamente a través del sistema de archivos.

Puede realizar copias de seguridad de varias instancias del mismo GPO en la misma ubicación porque GPMC identifica de forma exclusiva cada instancia de copia de seguridad. Este mecanismo permite elegir la instancia del GPO archivado con el que desea trabajar. Por ejemplo, puede elegir mostrar solo las copias de seguridad más recientes cuando vea el contenido de una carpeta de copias de seguridad a través de la GPMC.

Copia de seguridad de todos los GPO de un dominio

Para realizar una copia de seguridad de todos los GPO de un dominio, siga estos pasos:

  1. Para abrir la GPMC, seleccione Inicio, escriba Administración de directivas de grupo en el cuadro de búsqueda y, a continuación, seleccione Administración de directivas de grupo.

  2. En el árbol de la consola GPMC, expanda el bosque o dominio que contiene los GPO de los que desea realizar una copia de seguridad.

  3. Haga clic con el botón derecho en Objetos de directiva de grupo y, a continuación, seleccione Hacer copia de seguridad de todo.

  4. En el cuadro de diálogo Hacer copia de seguridad del objeto de directiva de grupo, escriba la ruta de acceso a la ubicación donde desea almacenar las copias de seguridad del GPO y escriba una descripción. Como alternativa, puede seleccionar Examinar, buscar la carpeta en la que desea almacenar las copias de seguridad del GPO y, a continuación, seleccionar Aceptar. Seleccione Copia de seguridad.

  5. Una vez finalizada la operación de copia de seguridad, se mostrará un resumen con el número del GPO de los que se ha realizado correctamente la copia de seguridad y los GPO de los que no se ha realizado. Seleccione OK para volver a la GPMC.

Copia de seguridad de un GPO específico

Para realizar una copia de seguridad de un GPO específico, siga estos pasos:

  1. En el árbol de consola de GPMC, expanda Objetos de directiva de grupo en el bosque o dominio que contiene el GPO del que desea realizar una copia de seguridad.

  2. Haga clic con el botón derecho en el GPO del que desea hacer una copia de seguridad y, a continuación, seleccione Copia de seguridad.

  3. En el cuadro de diálogo Hacer copia de seguridad del objeto de directiva de grupo, escriba la ruta de acceso a la ubicación donde desea almacenar las copias de seguridad del GPO y escriba una descripción. Como alternativa, puede seleccionar Examinar, buscar la carpeta en la que desea almacenar las copias de seguridad del GPO y, a continuación, seleccionar Aceptar. Seleccione Copia de seguridad.

  4. Una vez finalizada la operación de copia de seguridad, se mostrará un resumen con el número del GPO de los que se ha realizado correctamente la copia de seguridad y los GPO de los que no se ha realizado. Seleccione OK para volver a la GPMC.

Visualización de copias de seguridad de GPO

Para ver una lista de los GPO de copia de seguridad, realice los pasos siguientes:

  1. En el árbol de la consola GPMC, expanda el bosque o dominio que contiene los GPO de los que desea realizar una copia de seguridad.

  2. Haga clic con el botón derecho en Objetos de directiva de grupo y seleccione Administrar copias de seguridad.

  3. En el cuadro de diálogo Administrar copias de seguridad, escriba la ruta de acceso a la ubicación donde almacenó las copias de seguridad del GPO que desea ver. Como alternativa, puede seleccionar Examinar, buscar la carpeta que contiene las copias de seguridad del GPO y, a continuación, seleccionar Aceptar.

  4. Para especificar que solo se muestre la versión más reciente de los GPO en la lista GPO de los que se ha realizado una copia de seguridad, active la casilla Mostrar solo la versión más reciente de cada GPO . Seleccione Close (Cerrar).

Restauración de los GPO

También puede restaurar los GPO. Esta operación restaura un GPO del que se ha realizado una copia de seguridad en el mismo dominio desde el que se realizó. No se puede restaurar un GPO desde una copia de seguridad en un dominio diferente del dominio original del GPO. Para restaurar una versión anterior de un GPO existente, realice los pasos siguientes:

  1. En el árbol de consola de GPMC, expanda Objetos de directiva de grupo en el bosque o dominio que contiene los GPO que desea restaurar.

  2. Haga clic con el botón derecho en el GPO que desea restaurar en una versión anterior y, a continuación, seleccione Restaurar desde copia de seguridad.

  3. Seleccione Siguiente para empezar.

  4. Escriba la ruta de acceso a la ubicación donde se encuentran las copias de seguridad del GPO y, a continuación, seleccione Siguiente.

  5. Seleccione el GPO del que se ha realizado una copia de seguridad que desea restaurar y, a continuación, seleccione Siguiente.

  6. Seleccione Finalizar para restaurar el GPO.

Para restaurar un GPO eliminado, realice los pasos siguientes:

  1. En el árbol de consola GPMC, expanda el bosque o dominio que contiene el GPO que desea restaurar.

  2. Haga clic con el botón derecho en Objetos de directiva de grupo y, a continuación, seleccione Administrar copias de seguridad.

  3. En el cuadro de diálogo Administrar copias de seguridad , seleccione Examinar y busque el archivo que contiene los GPO de los que se ha realizado una copia de seguridad.

  4. En la lista GPO de los que se ha realizado una copia de seguridad, seleccione el GPO que desea restaurar y, a continuación, seleccione Restaurar.

  5. Cuando se le solicite que confirme la operación de restauración, seleccione Aceptar.

  6. Una vez completada la operación de restauración, un resumen indicará si la restauración se ha realizado correctamente. Seleccione Aceptar y, después, Cerrar.

Copia de GPO

La GPMC permite copiar los GPO, tanto en el mismo dominio como en todos los dominios, e importar la configuración de directiva de grupo de un GPO a otro. Realice estas operaciones como parte del proceso de ensayo antes de la implementación en el entorno de producción. Estas operaciones también son útiles para migrar los GPO de un entorno de producción a otro.

Aunque la colección de configuraciones de políticas que comprende un GPO es lógicamente una única entidad, los datos de un único GPO se almacenan en varias ubicaciones y en diversos formatos. Algunos datos se encuentran en Active Directory y otros se almacenan en la carpeta Sysvol de los controladores de dominio. Esto significa que no se pueden copiar los GPO copiando una carpeta de un equipo a otro.

Una operación de copia copia un GPO actual existente en el dominio de destino deseado. Siempre se crea un nuevo GPO como parte de este proceso. El dominio de destino puede ser cualquier dominio de confianza en el que tenga derecho a crear nuevos GPO. Agregue los bosques y dominios deseados en la GPMC y use la GPMC para copiar y pegar (o arrastrar y colocar) los GPO deseados de un dominio a otro. Para copiar un GPO, debe tener permiso para crear los GPO en el dominio de destino.

Al copiar un GPO, también puede copiar la lista de control de acceso discrecional (DACL) en el GPO, además de la configuración de directiva dentro del GPO. Esto resulta útil para garantizar que el nuevo GPO que se crea como parte de la operación de copia tenga las mismas opciones de filtrado de seguridad y delegación que el GPO original.

La importación de un GPO permite transferir la configuración de directiva de un GPO del que se ha realizado una copia de seguridad a un GPO existente. La importación de un GPO solo transfiere la configuración del GPO; no modifica el filtrado de seguridad ni los vínculos existentes en el GPO de destino. La importación de un GPO es útil para migrar los GPO en entornos que no son de confianza, ya que solo necesita acceso al GPO del que se ha realizado una copia de seguridad, no al GPO de producción. Dado que una operación de importación solo modifica la configuración de las directivas, los permisos de edición en el GPO de destino son suficientes para realizar la operación.

Al copiar o importar un GPO, puede especificar una tabla de migración. Si el GPO contiene entidades de seguridad o rutas de acceso UNC que puede ser necesario actualizar cuando se copien en el dominio de destino. Use el Editor de tablas de migración (MTE) para crear y editar tablas de migración. Las tablas de migración se describen en la sección siguiente, Uso de tablas de migración.

Para copiar un GPO, realice los pasos siguientes:

  1. En el árbol de consola de GPMC, expanda Objetos de directiva de grupo en el bosque y el dominio que contienen el GPO que desea copiar.

  2. Haga clic con el botón derecho en el GPO que desee copiar y, a continuación, seleccione Copiar.

  3. Realice una de las acciones siguientes:

    • Para colocar la copia del GPO en el mismo dominio que el GPO de origen, haga clic con el botón derecho en Objetos de directiva de grupo y, a continuación, seleccione Pegar.
    • Para colocar la copia del GPO en un dominio diferente (ya sea en el mismo bosque o en otro bosque), expanda el dominio de destino, haga clic con el botón derecho en Objetos de directiva de grupo y, a continuación, seleccione Pegar.
    • Si va a copiar dentro de un dominio, seleccione Usar los permisos predeterminados para los nuevos GPO o Conservar los permisos existentes y, a continuación, seleccione Aceptar.

  4. Si va a copiar a o desde otro dominio, siga las instrucciones del asistente que se abre y, a continuación, seleccione Finalizar.

Configuración de Import GPO

Para importar la configuración de directivas de un GPO del que se ha realizado una copia de seguridad a otro GPO, realice los pasos siguientes:

  1. En el árbol de consola de GPMC, expanda Objetos de directiva de grupo en el bosque y dominio que contiene el GPO en el que desea importar la configuración de directiva.

  2. Haga clic con el botón derecho del ratón en el GPO cuya configuración de directiva desee importar y, a continuación, seleccione Importar configuración.

  3. En el cuadro de diálogo Asistente para importar configuración, seleccione Siguiente para comenzar.

  4. Seleccione Siguiente u, opcionalmente, seleccione Copia de seguridad.

    1. Opcional: En el cuadro de diálogo Hacer copia de seguridad del objeto de directiva de grupo, escriba la ruta de acceso a la ubicación donde desea almacenar las copias de seguridad del GPO y escriba una descripción. Como alternativa, puede seleccionar Examinar, buscar la carpeta en la que desea almacenar las copias de seguridad del GPO y, a continuación, seleccionar Aceptar. Seleccione Copia de seguridad.

    2. Una vez finalizada la operación de copia de seguridad, se mostrará un resumen con el número del GPO de los que se ha realizado correctamente la copia de seguridad y los GPO de los que no se ha realizado. Seleccione Aceptar para volver al Asistente para la configuración de importación y, a continuación, seleccione Siguiente.

  5. Escriba la ruta de acceso a la ubicación donde se encuentran las copias de seguridad del GPO y, a continuación, seleccione Siguiente.

  6. Seleccione el GPO del que se ha realizado una copia de seguridad que desea importar y, a continuación, seleccione Siguiente.

  7. Revise los resultados del examen y, a continuación, seleccione Siguiente.

  8. Seleccione Finalizar para importar el GPO.

  9. Una vez completada la operación de importación, un resumen indicará si la importación se ha realizado correctamente. Seleccione Aceptar.

Tablas de migración

Dado que algunos datos de un GPO son específicos de un dominio y pueden no ser válidos si se copian directamente a otro dominio, GPMC proporciona tablas de migración. Una tabla de migración es una tabla sencilla que especifica una asignación entre un valor de origen y un valor de destino.

Una tabla de migración convierte, durante la operación de copia o importación, las referencias de un GPO en nuevas referencias que funcionan en el dominio de destino. Puede usar las tablas de migración para actualizar las entidades de seguridad y las rutas de acceso UNC a nuevos valores como parte de la operación de importación o copia. Las tablas de migración se almacenan con la extensión de nombre de archivo .migtable y son realmente archivos XML. No es necesario conocer XML para crear o editar tablas de migración; la GPMC proporciona el Editor de tablas de migración (MTE) para manipular tablas de migración.

Una tabla de migración consta de una o varias entradas de asignación. Cada entrada de asignación consta de un tipo de origen, una referencia de origen y una referencia de destino. Si especifica una tabla de migración al realizar una operación de importación o copia, cada referencia a la entrada de origen se reemplaza por la entrada de destino cuando la configuración de directiva se escribe en el GPO de destino. Antes de usar una tabla de migración, asegúrese de que las referencias de destino especificadas en la tabla de migración ya existan.

Los siguientes elementos pueden contener entidades de seguridad y se pueden modificar mediante una tabla de migración:

  • Configuración de directivas de seguridad de los siguientes tipos:

    • Asignación de derechos de usuario
    • Grupos restringidos
    • Servicios del sistema
    • Sistema de archivos
    • Registro

  • Configuración avanzada de la directiva de redirección de carpetas

  • El DACL del GPO, si decide conservarlo durante una operación de copia.

  • La DACL de los objetos de instalación de software, que solo se conserva si se especifica la opción de copiar la DACL del GPO.

Los siguientes elementos pueden contener rutas de acceso UNC, que puede ser necesario actualizar a nuevos valores como parte de la operación de importación o copia. Por ejemplo, es posible que los servidores del dominio original no sean accesibles desde el dominio al que se está migrando el GPO.

  • Configuración de la directiva de grupo de redirección de carpetas
  • Configuración de la directiva de grupo de instalación de software

Referencias a scripts (como los de inicio de sesión e inicio) que se almacenan fuera del GPO de origen. El script en sí no se copia como parte de la operación de copia o importación del GPO, a menos que el script esté almacenado dentro del GPO de origen.

Para crear una tabla de migración que asigne una ruta de acceso UNC de ejemplo, realice los pasos siguientes:

  1. En el árbol de consola GPMC, expanda Objetos de directiva de grupo en el bosque y el dominio.

  2. Haga clic con el botón derecho en Objetos de directiva de grupo y, a continuación, seleccione Abrir el editor de tablas de migración.

  3. En el menú, seleccione Herramientas y, a continuación , Rellenar desde GPO.

  4. En el cuadro de diálogo Seleccionar GPO, seleccione el GPO que contiene la ruta de acceso UNC que desea asignar y, a continuación, seleccione Aceptar.

  5. Escriba el nuevo valor de destino para la ruta de acceso UNC.

  6. En el menú, seleccione Archivo y, a continuación, Guardar como.

  7. Vaya a una ubicación que desee usar. Escriba un nombre para la tabla de migración y, a continuación, seleccione Guardar.

Para usar una tabla de migración durante una operación de copia o importación, realice los pasos siguientes:

  1. En el árbol de consola de GPMC, expanda Objetos de directiva de grupo en el bosque y dominio que contiene el GPO en el que desea importar la configuración de directiva.

  2. Haga clic con el botón derecho del ratón en el GPO cuya configuración de directiva desee importar y, a continuación, seleccione Importar configuración.

  3. En el cuadro de diálogo Asistente para importar configuración, seleccione Siguiente para comenzar.

  4. Seleccione Siguiente u, opcionalmente, seleccione Copia de seguridad.

    1. Opcional: En el cuadro de diálogo Hacer copia de seguridad del objeto de directiva de grupo, escriba la ruta de acceso a la ubicación donde desea almacenar las copias de seguridad del GPO y escriba una descripción. Como alternativa, puede seleccionar Examinar, buscar la carpeta en la que desea almacenar las copias de seguridad del GPO y, a continuación, seleccionar Aceptar. Seleccione Copia de seguridad.

    2. Una vez finalizada la operación de copia de seguridad, se mostrará un resumen con el número del GPO de los que se ha realizado correctamente la copia de seguridad y los GPO de los que no se ha realizado. Seleccione Aceptar para volver al Asistente para la configuración de importación y, a continuación, seleccione Siguiente.

  5. Escriba la ruta de acceso a la ubicación donde se encuentran las copias de seguridad del GPO y, a continuación, seleccione Siguiente.

  6. Seleccione el GPO del que se ha realizado una copia de seguridad que desea importar y, a continuación, seleccione Siguiente.

  7. Revise los resultados del examen y, a continuación, seleccione Siguiente.

  8. Seleccione Usar esta tabla de migración para asignarla en el GPO de destino y, a continuación, seleccione Examinar para buscar la tabla de migración que desee usar. Seleccione Siguiente.

  9. Seleccione Finalizar para importar el GPO.

  10. Una vez completada la operación de importación, un resumen indicará si la importación se ha realizado correctamente. Seleccione Aceptar.

Contenido relacionado