【Windows】GPO インポート・エクスポート手順

OS
スポンサーリンク

Active DirectoryにおけるGPO(グループポリシーオブジェクト)をバックアップして、インポートする手順です。
GPOのインポートが必要なパターンとしては、以下のようなパターンになるかと思います。

  • 検証用GPOをエクスポートして、本番用のGPOとしてインポートする
  • Active Directoryのドメインの移行などで既存のADから次期ADへGPOをインポートする

どちらにせよ、作成してあるGPOを別の場所に移動するような場合にこのような作業が発生すると思われます。
そのため、本手順では同一ドメイン内でバックアップから復元する方法と信頼関係が結ばれてないな別ドメインへGPOをエクスポート・インポートする手順の2種類のパターンを想定して手順を記載します。

期待する目標

本手順で期待する目標は、以下の通りです。

  • GPOのバックアップ(エクスポート)ができる
  • GPOをバックアップからリストア(復元)できる
  • GPOをインポートすることができる
  • リストアとインポートの違いについて理解できる

前提条件

本手順で使用する環境は以下の通りです。

【AD#1】

  • OS : Windows Serve 2022
  • CPU : 2vCPU
  • MEM : 4GB
  • DISK : 60GB
  • Domain : a.local

【AD#2】

  • OS : Windows Server 2022
  • CPU : 2vCPU
  • MEM : 4GB
  • DISK : 60GB
  • Domain : b.local

今回は、ドメイン間でのインポート・エクスポートを実施したいため、別ドメインのADを2台用意しました。
それぞれ信頼関係は結んでいないので、完全に別のADとなります。
また、前提としてAD#1の方には、テスト用のOUを作成し、GPOをリンクさせコンピュータの構成(Windows Updateの無効化)を設定しています。

同一ドメイン内のバックアップ・リストア

同一ドメイン内でのバックアップとリストアを実施していきます。

a.localのGPO
a.localのGPO

AD#1のグループポリシーです。
[Group_1]というOUを作成し、[GPO_1]と言う名前でGPOを作成し、OUとGPOをリンクさせています。

GPO設定内容
GPO設定内容

GPOの設定内容については、コンピュータの構成より、[自動更新を構成する]のポリシーを無効化しています。

b.localのGPO
b.localのGPO

一方、b.localのGPOについては、OUの作成はしているものの、GPOは作成していません。
この状態からインポート・エクスポートを実施していきます。

GPOのバックアップ

GPOの選択
GPOの選択

[グループポリシーの管理]-[フォレスト]-[ドメイン]-[<ドメイン名>]-[グループポリシーオブジェクト]よりエクスポートする対象のGPOを選択します。

GPOのバックアップ
GPOのバックアップ

エクスポートするGPOを右クリックし、[バックアップ]を押下します。

グループポリシーオブジェクトのバックアップ
グループポリシーオブジェクトのバックアップ

[グループポリシーオブジェクトのバックアップ]より、[参照]を押下します。

フォルダーの参照
フォルダーの参照

[フォルダーの参照]より、GPOをバックアップするフォルダを選択し、[OK]を押下します。

バックアップの実行
バックアップの実行

[グループポリシーのバックアップ]-[場所]より、バックアップの場所を確認し必要に応じて[説明]を入力し、[バックアップ]を押下します。

バックアップの完了
バックアップの完了

[バックアップ]より、[状態]を確認しバックアップが成功したら[OK]を押下します。

バックアップファイルの確認
バックアップファイルの確認

バックアップが完了したらバックアップ先を確認し、正常にファイルが出力されていることを確認します。
このファイルをコピーすることで、他のADへのGPOインポートができます。
以上でGPOのバックアップは完了です。

GPOを削除してみる

この作業は必要ないので飛ばしてもらって構いませんが、AD#1でGPOをバックアップしたので、元のGPOを削除したいと思います。

GPOの削除
GPOの削除

バックアップしたGPOを右クリックし[削除]を押下します。

削除の確認
削除の確認

[グループポリシーの管理]より、削除の確認が入るため[はい]を押下します。

削除後の確認
削除後の確認

[グループポリシーの管理]より、削除したGPOが存在しないことを確認します。
以上でGPOの削除は完了です。

GPOのリストア

前項でGPOを削除したので、バックアップからリストアしていきます。

バックアップの管理
バックアップの管理

[グループポリシーオブジェクト]を右クリックし、[バックアップの管理]を押下します。

バックアップから復元
バックアップから復元

[バックアップの管理]より、以下の設定を行います。

  • 場所 : バックアップを行ったパスを入力
  • GPOのバックアップ : バックアップしたGPOを選択

設定が完了したら[復元]を押下します。

復元の確認
復元の確認

復元を確認するポップアップが表示されるため、[OK]を押下します。

復元の完了
復元の完了

[復元]より、バックアップからの復元が成功したら[OK]を押下します。

復元後の確認
復元後の確認

バックアップからのリストアが完了したらリストアしたGPOが存在していることを確認します。

ポリシーの確認
ポリシーの確認

問題ないとは思いますが、念の為GPOのポリシー内容を確認し復元したGPOのポリシーが適用されているかを確認します。
今回は、Windows Updateの無効化のポリシーのみ入れているので、その部分を確認しました。

OUへのリンク

GPOをバックアップしてリストアは完了しましたが、これだけだとOUへのリンクはできていない状態となります。

OUへの未リンク
OUへの未リンク

バックアップではあくまでGPO単体のバックアップができます。
GPOとOUへのリンクについては、個別で対応する必要があります。

既存のGPOをリンク
既存のGPOをリンク

GPOをリンクするOUを右クリックし[既存のGPOをリンク]を押下します。

GPOの選択
GPOの選択

[GPOの選択]より、以下の設定を行います。

  • GPOを指定するドメイン : リンクをするドメインを選択
  • グループポリシーオブジェクト : リンクするGPOを選択

設定が完了したら[OK]を押下します。

OUへのリンク確認
OUへのリンク確認

該当のOUを確認しバックアップからリストアしたGPOがリンクされていることを確認します。
以上で、OUへのGPOのリンクは完了です。

別ドメインへのエクスポート・インポート

同一ドメイン内のバックアップとリストアは簡単にできました。
ただ、別のドメインなどにGPOを持ってくる場合は、手順が少し異なります。

b.localのGPO確認
b.localのGPO確認

前項までは、a.localドメインのGPOをバックアップし、リストアしました。
本項ではa.localドメインに存在していたGPOをb.localにインポートしたいと思います。
a.localでバックアップしたGPOのフォルダが必要となるので、あの手この手を使用してb.localのADに持ってきます。
また、現時点ではb.localにユーザが作成したGPOは存在していません。

新規GPOの作成
新規GPOの作成

[グループポリシーオブジェクト]を右クリックし[新規]を押下します。

新しいGPO
新しいGPO

[新しいGPO]より、GPOの名前を入力し[OK]を押下します。

GPO作成確認
GPO作成確認

[グループポリシーオブジェクト]より、作成したGPOが存在することを確認します。

設定のインポート
設定のインポート

作成したGPOを右クリック、[設定のインポート]を押下します。

設定のインポートウィザードの開始
設定のインポートウィザードの開始

[設定のインポートウィザードの開始]より、[次へ]を押下します。

GPOのバックアップ
GPOのバックアップ

[GPOのバックアップ]より[次へ]を押下します。

バックアップの場所
バックアップの場所

[バックアップの場所]より、[参照]を押下します。

バックアップフォルダの選択
バックアップフォルダの選択

[フォルダの選択]より、バックアップが存在するフォルダを選択します。

バックアップパスの確認
バックアップパスの確認

[バックアップフォルダ]より、GPOがバックアップされているパスが入力されていることを確認し[次へ

]を押下します。

バックアップフォルダの確認
バックアップフォルダの確認

[バックアップフォルダ]より、バックアップしたフォルダパスが入力されていることを確認し、[次へ]を押下します。

ソースGPO
ソースGPO

[ソースGPO]より、インポートするGPOを確認し、[次へ]を押下します。

バックアップをスキャン中
バックアップをスキャン中

[バックアップをスキャン中]より、バックアップのスキャンが進行するので完了するまで待機します。
スキャンが完了したら[次へ]を押下します。

設定のインポートウィザードの完了
設定のインポートウィザードの完了

[設定のインポートウィザードの完了]より、[要約]を確認し[完了]を押下します。

インポート
インポート

[インポート]よりインポートが成功したことを確認し[OK]を押下します。

インポート後の確認
インポート後の確認

GPOをインポートした後に、ポリシーを確認してポリシーが正常にインポートできているか確認します。
インポートしたGPOを右クリックし[編集]を押下します。

ポリシーの確認
ポリシーの確認

インポートしたポリシーの内容を確認します。
エクスポートしたポリシーではWindows Updateの無効化を無効に設定するポリシーのみ入れていたのですが、正常に引き継がれています。
以上で別ドメインへのGPOのインポートは完了です。

移行先OUへのリンク

移行先OUへのリンク
移行先OUへのリンク

バックアップからのリストアした場合と同様にGPOのインポートは完了しましたが、OUへのリンクはインポートできないので、OUへのリンクを設定していきます。

既存GPOへのリンク
既存GPOへのリンク

GPOをリンクしたいOUを右クリックし、[既存GPOへのリンク]を押下します。

GPOの選択
GPOの選択

[GPOの選択]より、ドメインとOUにリンクしたいGPOを選択し、[OK]を押下します。

OUへのリンク確認
OUへのリンク確認

OUを確認しGPOがリンクされていることを確認します。
以上で移行先OUへのリンク作成は完了です。

まとめ

今回は、Active Directoryのグループポリシーオブジェクトをエクスポートし、インポートする手順を解説しました。
基本の流れとして、同一のドメイン内であればバックアップ→リストアという流れで行けます。
別ドメインへのGPOを移行する際にはバックアップ→インポートという流れで作業を実施します。
どちらのパターンでも、GPOのバックアップとリストアはできるのですが、OUへのリンクは復元してくれないので、GPOをリストアやインポートした後には、必ずOUへのリンクを貼ってあげる必要があります。
OUへのリンクについては、事前に控えておくか、コマンドなどで取得できるようであれば、OUとのリンクについてもバックアップしておく必要はありそうです。

おまけ

本ブログではVMwareやWindows、Linuxのインストール手順等も公開しております。
インフラエンジニアとして有益な記事や無益なコンテンツも作成しておりますので、通勤時間や休憩時間、休日のスキマ時間等に合わせて読んでいただけると幸いです。
また、Youtubeで解説動画も鋭意作成中です。本ブログで記事にしているものも動画にしようと思っておりますので、よろしくお願いいたします。
willserverのnoteも開設したのでフォローお願いします。

スポンサーリンク

コメント

タイトルとURLをコピーしました