Резервное копирование и восстановление GPO
Для удобства выполнения различных задач по работе с настройками групповых политик (синхронизация между доменами, дублирование с внесением незначительных изменений, автоматизация и т. п.) подкоманда samba-tool gpo предоставляет инструменты для экспорта и импорта объектов GPO, включая возможность генерализации сущностей, используемых в GPO, и их выгрузки в формате XML для редактирования и последующей загрузки.
Создание резервной копии GPO
Для создания резервной копии (экспорта) объекта GPO в домене Эллес используется следующий формат вызова:
samba-tool gpo backup <gpo> [options]
В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.
Для генерализации GPO, например, с целью переноса соответствующей политики в другой домен могут использоваться параметры --generalize и --entities:
samba-tool gpo backup --generalize --entities=<output path>
Генерализации подлежат следующие типы сущностей:
-
пользовательские идентификаторы (SID, имена пользователей);
-
ACL (SDDL);
-
UNC-пути к ресурсам для совместного использования.
Пример вывода:
<!ENTITY SAMBA__NETWORK_PATH__82419dafed126a07d6b96c66fc943735__ "\\realm.com"> <!ENTITY SAMBA__NETWORK_PATH__0484cd41ded45a0728333a9c5e5ef619__ "\\test"> <!ENTITY SAMBA____SDDL_ACL____4ce8277be3f630300cbcf80a80e21cf4__ "D:PAR(A;CI;KA;;;BA)(A;CIIO;KA;;;CO)(A;CI;KR;;;S-1-0-0)"> <!ENTITY SAMBA____USER_ID_____d0970f5a1e19cb803f916c203d5c39c4__ "*S-1-5-21-3075996733-1131693954-1131023892-501"> <!ENTITY SAMBA____USER_ID_____7b7bc2512ee1fedcd76bdc68926d4f7b__ "Guest">
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта; -
--tmpdir=TMPDIR— временный каталог для копирования файлов; -
--generalize— выполнить генерализацию используемых в GPO сущностей (по умолчанию данный режим выгрузки отключен); -
--entities=OUTPUTPATH— путь для сохранения файла с экспортированными сущностями в XML.
Примеры
Пример экспорта GPO с генерализацией сущностей:
sudo samba-tool gpo backup --tmpdir=/tmp/gpo/computer/\{38A4873E-6286-4BF1-8630-2EA2D3BCBD19\} \
--generalize \
--entities=/tmp/gpo/computer/{38A4873E-6286-4BF1-8630-2EA2D3BCBD19}.ent \
{38A4873E-6286-4BF1-8630-2EA2D3BCBD19} \
-H ldap://dc1.elles.inno.tech \
-U Administrator
Password for [ELLES\Administrator]:
GPO copied to /tmp/gpo/computer/{38A4873E-6286-4BF1-8630-2EA2D3BCBD19}
Attempting to generalize XML entities:
Entities successfully written to tmp/gpo/computer/{38A4873E-6286-4BF1-8630-2EA2D3BCBD19}.ent
Восстановление GPO из резервной копии
Для восстановления (импорта) объекта GPO в домене Эллес используется следующий формат вызова:
samba-tool gpo restore <displayname> <backup location> [options]
При вызове подкоманды необходимо указать отображаемое имя для нового объекта GPO (displayname) и путь к файлам, полученным в результате экспорта GPO (backup location).
Если при экспорте GPO использовалась генерализации сущностей, соответствующий файл может быть указан с помощью параметра --entities.
Чтобы сохранить исходный файл GPT.INI и указанный в нем номер версии, может быть передан параметр --restore-metadata.
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта; -
--tmpdir=TMPDIR— временный каталог для копирования файлов; -
--entities=INPUTPATH— путь к файлу с экспортированными сущностями в XML; -
--restore-metadata— сохранить исходный файл GPT.INI и указанный в нем номер версии.
Примеры
Пример импорта GPO с генерализацией сущностей:
samba-tool gpo restore 'New Policy' \
/tmp/gpo/computer/policy/\{38A4873E-6286-4BF1-8630-2EA2D3BCBD19\}/ \
-U Administrator
Password for [ELLES\Administrator]:
Using temporary directory /tmp/tmp5j1zfags (use --tmpdir to change)
GPO 'New Policy' created as {1C18AE5F-AC1C-4B4F-8E24-4F17ECFB2AF2}
Using temporary directory /tmp/tmpo2nu9cnm (use --tmpdir to change)