グループ ポリシー オブジェクトのバックアップ、復元、移行、コピー

この記事では、グループ ポリシー管理コンソール (GPMC) を使用して、既存のグループ ポリシー オブジェクト (GPO) をバックアップ、復元、移行、コピーする方法について説明します。 これらの機能は、グループ ポリシーの展開をエラーや障害から保護するために重要です。 これらは、紛失または破損した GPO を手動で再作成し、計画、テスト、展開の各フェーズを繰り返す必要を回避するのに役立ちます。 進行中のグループ ポリシー運用計画の一部には、すべての GPO の定期的なバックアップが含まれている必要があります。

また、GPO は、同じドメインとドメイン間の両方で、コピーおよびインポートできます。 GPMC を使用すると、既存の GPO、たとえば、既存のドメインから新しくデプロイされたドメインに移行できます。 GPO をコピーするか、ポリシー設定を 1 つの GPO から別の GPO にインポートできます。 GPO をインポートすると、バックアップされた GPO から既存の GPO にポリシー設定を転送でき、ソース ドメインと宛先ドメインの間に信頼関係が存在しない場合に特に便利です。 既存の GPO を再利用する場合は、コピーすることで、GPO を運用環境間で簡単に移動することもできます。

GPO のバックアップと GPO バックアップの表示

バックアップ操作により、運用 GPO がファイル システムにバックアップされます。 バックアップの場所には、書き込みアクセス権がある任意のフォルダーを指定できます。 GPO をバックアップした後、GPMC を使用して表示するか、GPMC を使用するかプログラム的にスクリプトを使用して、バックアップ フォルダの内容を表示する必要があります。 GPO がバックアップされたら、GPMC を使用して、インポート操作と復元操作を使用してアーカイブされた GPO を処理します。

注意事項

ファイル システムを介してアーカイブされた GPO を直接操作しないでください。

GPMC は各バックアップ インスタンスを一意に識別するため、同じ GPO の複数のインスタンスを同じ場所にバックアップできます。 このメカニズムを使用すると、作業するアーカイブ済み GPO のインスタンスを選択できます。 たとえば、GPMC を介してバックアップ フォルダーの内容を表示するときに、最新のバックアップのみを表示するように選択できます。

ドメイン内のすべての GPO をバックアップする

ドメイン内のすべての GPO をバックアップするには、次の手順を実行します。

1. GPMC を開き、[スタート] を選択したら、検索ボックスで [グループ ポリシー管理] と入力し、[グループ ポリシー管理] を選択します。

2. GPMC コンソール ツリーで、バックアップする GPO を含むフォレストまたはドメインを展開します。

3. [グループ ポリシー オブジェクト] を右クリックし、[すべてバックアップ] を選択します。

4. [グループ ポリシー オブジェクトをバックアップ] ダイアログ ボックスで、GPO バックアップを保存する場所へのパスを入力し、説明を入力します。 または、[参照] を選択し、GPO バックアップを格納するフォルダーを見つけて、[OK] を選択することもできます。 [バックアップ] を選択します。

5. バックアップ操作が完了すると、正常にバックアップされた GPO 数と、バックアップされなかった GPO 数が一覧表示されます。 GPMC に戻るには [OK] を選択します。

特定の GPO をバックアップする

特定の GPO をバックアップするには、次の手順を実行します。

1. GPMC コンソール ツリーで、フォレスト内のグループ ポリシー オブジェクトまたはバックアップする GPO を含むドメインを展開します。

2. バックアップする GPO を右クリックし、[バックアップ] を選択します。

3. [バックアップ グループ ポリシー オブジェクト] ダイアログ ボックスで、GPO バックアップを保管する場所へのパスと説明を入力します。 または、[参照] を選択し、GPO バックアップを格納するフォルダーを見つけて、[OK] を選択することもできます。 [バックアップ] を選択します。

4. バックアップ操作が完了すると、正常にバックアップされた GPO 数と、バックアップされなかった GPO 数が一覧表示されます。 GPMC に戻るには [OK] を選択します。

GPO バックアップを表示する

バックアップされた GPO の一覧を表示するには、次の手順を実行します。

1. GPMC コンソール ツリーで、バックアップする GPO を含むフォレストまたはドメインを展開します。

2. [グループ ポリシー オブジェクト ] を右クリックし、[バックアップの管理] を選択します。

3. [バックアップの管理] ダイアログ ボックスで、表示する GPO バックアップを保存した場所へのパスを入力します。 または、[参照] を選択し、GPO バックアップを含むフォルダーを見つけて、[OK] を選択することもできます。

4. [バックアップ済み GPO] リストに表示された GPO 最新バージョンのみを指定する場合は、[各 GPO の最新バージョンのみを表示する] チェックボックスをオンにします。 [閉じる] を選択します。

GPO の復元

GPO は復元することもできます。 この操作により、バックアップされた GPO は、バックアップ元と同じドメインで復元されます。 GPO をバックアップから GPO の元のドメインとは異なるドメインに復元することはできません。 既存の GPO の以前のバージョンを復元するには、次の手順を実行します。

1. GPMC コンソール ツリーで、復元する GPO を含むフォレストまたはドメインのグループ ポリシー オブジェクトを展開します。

2. 以前のバージョンに復元するGPO を右クリックし、[バックアップから復元] を選択します。

3. [次へ] を選択して開始します。

4. GPO バックアップがある場所へのパスを入力し、[次へ] を選択します。

5. 復元するバックアップ済み GPO を選択し、[次へ] を選択します。

6. GPO を復元するには、[完了] を選択します。

削除済み GPO を復元するには、次の手順を実行します。

1. GPMC コンソール ツリーで、復元する GPO を含むフォレストまたはドメインを展開します。

2. [グループ ポリシー オブジェクト ] を右クリックし、[バックアップの管理] を選択します。

3. [バックアップの管理] ダイアログ ボックスで、[参照] を選択し、バックアップされた GPO を含むファイルを見つけます。

4. [バックアップされた GPO] ボックスの一覧で、復元する GPO を選択し、[復元] を選択します。

5. 復元操作の確認を求められたら、[OK] を選択します。

6. 復元操作が完了すると、復元が成功したかどうかを示す概要が表示されます。 [OK] を選んでから、[閉じる] を選びます。

GPO をコピー

GPMC を使用すると、GPO を同じドメイン内またはドメイン間でコピーでき、グループ ポリシー設定を GPO 間でインポートできます。 運用環境にデプロイする前に、ステージング プロセスの一環としてこれらの操作を実行します。 これらの操作は、1 つの運用環境から別の運用環境に GPO を移行する場合にも役立ちます。

GPO を構成するポリシー設定のコレクションは論理的には 1 つのエンティティですが、1 つの GPO のデータは複数の場所とさまざまな形式で格納されます。 一部のデータは Active Directory に含まれており、他のデータはドメイン コントローラーの Sysvol フォルダーに格納されます。 つまり、あるコンピューターから別のコンピューターにフォルダーをコピーして GPO をコピーすることはできません。

コピー操作により、既存ので最新の GPO が目的のコピー先ドメインにコピーされます。 新しい GPO は、常にこのプロセスの一部として作成されます。 コピー先のドメインとして、新しい GPO の作成権限を持つ任意の信頼できるドメインを選ぶことができます。 目的のフォレストとドメインを GPMC に追加して、GPMC を使用して目的の GPO をあるドメインから別のドメインにコピーして貼り付けます(またはドラッグ アンド ドロップ)。 GPO をコピーするには、コピー先ドメインで GPO を作成する権限が必要です。

GPO をコピーするときに、GPO 内のポリシー設定に加えて、GPO の随意アクセス制御リスト (DACL) をコピーすることもできます。 これは、コピー操作の一部として作成された新しい GPO に、元の GPO と同じセキュリティ フィルターと委任オプションがあることを確認するのに役立ちます。

GPO をインポートすると、バックアップされた GPO から既存の GPO にポリシー設定を転送できます。 GPO をインポートすると、GPO 設定のみが転送されます。コピー先 GPO の既存のセキュリティ フィルターまたはリンクは変更されません。 GPO のインポートは、運用 GPO ではなく、バックアップされた GPO にのみアクセスする必要があるため、信頼されていない環境間で GPO を移行する場合に便利です。 インポート操作ではポリシー設定のみが変更されるため、操作を実行するには、コピー先 GPO の編集権限で十分です。

GPO をコピーまたはインポートするときに、移行テーブルを指定できます。 GPO にセキュリティ プリンシパルまたは UNC パスが含まれている場合は、対象ドメインにコピーするときに更新する必要がある場合があります。 Migration Table Editor (MTE) を使用して、移行テーブルを作成および編集します。 移行テーブルについては、次のセクション「移行テーブルの使用」で説明します。

GPO をコピーするには、次の手順を実行します。

1. GPMC コンソール ツリーで、コピーする GPO を含むフォレストとドメインの [グループ ポリシー オブジェクト] を展開します。

2. コピーする GPO を右クリックし、[コピー]を選択します。

3. 次のいずれかの操作を行います。

   • GPO のコピーを同じドメインにソース GPO として配置するには、[グループ ポリシー オブジェクト] を右クリックし、[貼り付け] を選択します。
   • GPO のコピーを異なるドメインに配置するには (同じフォレストまたは別のフォレストのいずれか)、コピー先ドメインを展開して、[グループ ポリシー オブジェクト] を右クリックし、[貼り付け] を選択します。
   • ドメイン内でコピーするには、[新しい GPO のデフォルト権限を使用] または [既存の権限を維持] のいずれかを選択して、[OK] を選択します。

4. 別のドメイン間でコピーする場合は、開いたウィザードの指示に従って、[完了] を選択します。

GPO 設定のインポート

バックアップ済み GPO からべつの GPO にポリシー設定をインポートするには、次の手順を実行します。

1. GPMC コンソール ツリーで、ポリシー設定をインポートするフォレストまたはドメイン内の [グループ ポリシー オブジェクト] を展開します。

2. ポリシー設定をインポートする GPO を右クリックし、[インポート設定] を選択します。

3. [インポート設定ウィザード] ダイアログ ボックスで、[次へ] を選択して作業を開始します。

4. [次へ] を選択するか、必要に応じて [バックアップ] を選択します。

   1. オプション:[バックアップ グループ ポリシー オブジェクト] ダイアログ ボックスで、GPO バックアップを保管する場所へのパスと説明を入力します。 または、[参照] を選択し、GPO バックアップを格納するフォルダーを見つけて、[OK] を選択することもできます。 [バックアップ] を選択します。

   2. バックアップ操作が完了すると、正常にバックアップされた GPO 数と、バックアップされなかった GPO 数が一覧表示されます。 [OK] を選択して[設定のインポート ウィザード] に戻り、[次へ] を選択します。

5. GPO バックアップがある場所へのパスを入力し、[次へ] を選択します。

6. インポートするバックアップ済み GPO を選択し、[次へ] を選択します。

7. スキャン結果を確認し、[次へ] を選択します。

8. [完了] を選択して GPO をインポートします。

9. インポート操作が完了すると、インポートが成功したかどうかを示す概要が表示されます。 [OK] を選択します。

移行テーブル

GPO 内の一部のデータはドメイン固有であり、別のドメインに直接コピーすると無効になる場合があります。GPMC は移行テーブルを提供します。 移行テーブルは、ソース値と移行先の値の間のマッピングを指定する単純なテーブルです。

移行テーブルは、コピーまたはインポート操作中に、GPO 内の参照を、対象ドメインで動作する新しい参照に変換します。 移行テーブルを使用すると、インポートまたはコピー操作の一環として、セキュリティ プリンシパルと UNC パスを新しい値に更新できます。 移行テーブルはファイル名拡張子 .migtable と共に格納され、実際には XML ファイルです。 移行テーブルを作成または編集するために XML を知る必要はありません。GPMC には、移行テーブルを操作するための Migration Table Editor (MTE) が用意されています。

移行テーブルは、1 つ以上のマッピング エントリで構成されます。 各マッピング エントリは、ソースの種類、ソース参照、および変換先の参照で構成されます。 インポートまたはコピー操作の実行時に移行テーブルを指定した場合、ポリシー設定が移行先 GPO に書き込まれると、ソース エントリへの各参照が移行先エントリに置き換えられます。 移行テーブルを使用する前に、移行テーブルで指定された宛先参照が既に存在していることを確認します。

次の項目にはセキュリティ プリンシパルを含めることができます。また、移行テーブルを使用して変更することもできます。

• 次の種類のセキュリティ ポリシー設定:

  • ユーザー権利の割り当て
  • 制限されたグループ
  • システム サービス
  • ファイル システム
  • レジストリ

• フォルダー リダイレクト ポリシーの詳細設定

• GPO DACL (コピー操作中に保持することを選択した場合)

• ソフトウェア インストール オブジェクトの DACL。GPO DACL をコピーするオプションが指定されている場合にのみ保持されます

次の項目には UNC パスを含めることができます。これは、インポートまたはコピー操作の一環として新しい値に更新する必要がある場合があります。 たとえば、元もドメインは、GPO 移行先ドメインからアクセスできない場合があります。

• フォルダー リダイレクト グループ ポリシーの設定
• ソフトウェア インストール グループ ポリシー設定

ソース GPO の外部に格納されているスクリプト (ログオン スクリプトやスタートアップ スクリプトなど) への参照。 スクリプト自体は、ソース GPO 内に保存されていない限り、GPO のコピーまたはインポート操作の一部としてコピーされません。

UNC パスの例をマップする移行テーブルを作成するには、次の手順を実行します。

1. GPMC コンソール ツリーで、フォレストまたはドメイン内の [グループ ポリシー オブジェクト] を展開します。

2. [グループ ポリシー オブジェクト] を右クリックし、[Migration Tables Editor を開く] を選択します。

3. メニューから [ツール] を選択し、[GPO から追加] を選択します。

4. [GPO を選択] ダイアログ ボックスで、マップする UNC パスを含む GPO を選択し、[OK] を選択します。

5. UNC パスの新しい宛先値を入力します。

6. メニューで [ファイル] > [名前を付けて保存] の順に選択します。

7. 使用する場所を参照します。 移行テーブルの名前を入力し、[保存] を選択します。

コピーまたはインポート操作中に移行テーブルを使用するには、次の手順を実行します。

1. GPMC コンソール ツリーで、ポリシー設定をインポートするフォレストまたはドメイン内の [グループ ポリシー オブジェクト] を展開します。

2. ポリシー設定をインポートする GPO を右クリックし、[インポート設定] を選択します。

3. [インポート設定ウィザード] ダイアログ ボックスで、[次へ] を選択して作業を開始します。

4. [次へ] を選択するか、必要に応じて [バックアップ] を選択します。

   1. オプション:[バックアップ グループ ポリシー オブジェクト] ダイアログ ボックスで、GPO バックアップを保管する場所へのパスと説明を入力します。 または、[参照] を選択し、GPO バックアップを格納するフォルダーを見つけて、[OK] を選択することもできます。 [バックアップ] を選択します。

   2. バックアップ操作が完了すると、正常にバックアップされた GPO 数と、バックアップされなかった GPO 数が一覧表示されます。 [OK] を選択して[設定のインポート ウィザード] に戻り、[次へ] を選択します。

5. GPO バックアップがある場所へのパスを入力し、[次へ] を選択します。

6. インポートするバックアップ済み GPO を選択し、[次へ] を選択します。

7. スキャン結果を確認し、[次へ] を選択します。

8. [この移行テーブルを使用して移行先 GPO にマップする] を選択し、[参照] を選択して、使用する移行テーブルを見つけます。 [次へ] を選択します。

9. [完了] を選択して GPO をインポートします。

10. インポート操作が完了すると、インポートが成功したかどうかを示す概要が表示されます。 [OK] を選択します。

関連するコンテンツ

• グループ ポリシーの処理
• グループ ポリシーのモデリングとグループ ポリシーの結果
• グループ ポリシー管理コンソール (GPMC)