系统还原点如果您在安装不良驱动程序,更新或应用程序后遇到意外的系统文件或注册表问题,则可以简单地恢复到以前的Windows OS状态。您可以使用还原点来恢复注册表,系统文件,驱动程序和已安装软件的状态,以创建还原点的日期。尽管系统还原点基于音量阴影副本,但从检查点还原时,用户的配置文件并未覆盖。我们将在本指南中查看系统管理员如何在Windows 10和11中使用还原点。
了解更多:
内容:
Windows 10和11中的还原点功能基于系统保护服务,默认情况下是禁用的。您可以检查Windows中特定驱动器是否启用具有还原点的系统保护:
- 运行命令
systempropertiesprotection - 这系统保护经典系统属性的标签将打开;
- 在这种情况下,为系统驱动器(C::::::::启用了保护,并为所有其他驱动器禁用;
- 选择驱动器,然后单击配置按钮;
- 在这里,您可以启用或禁用驱动器保护,更改可用于存储还原点的最大磁盘尺寸,并删除所有还原点。
您可以使用GPO启用系统保护。配置以下组策略选项:
您可以使用PowerShell来为特定驱动器启用系统保护:
Enable-ComputerRestore -drive "c:"
创建,列出和删除Windows上的系统还原点
默认情况下,Windows会在安装或卸载更新,驱动程序或应用程序时自动创建恢复点。
要立即创建还原点,请单击创造按钮,输入该点的描述。
另外,您可以手动从PowerShell提示中创建一个还原点:
Checkpoint-Computer -description "Checkpoint before update video driver" -RestorePointType "APPLICATION_INSTALL"
默认情况下,创建了一个类型application_install的还原点。您可以将以下值用于RestorePointType参数:
- modify_settings
- device_driver_install
- application_install
- application_uninstall
- cancelled_operation
列表可用还原点:
Get-ComputerRestorePoint|ft -AutoSize
默认情况下,系统保护允许您每24小时仅创建一个还原点。如果您尝试创建一个新的,您将获得一个错误:
WARNING: A new system restore point cannot be created because one has already been created within the past 1440 minutes.
为了更频繁地创建还原点,您必须修改SystemRestorePointCreationFquencyDWORD注册表参数HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSystemRestorereg键。默认参数值是1440(24小时)。将价值更改为0禁用限制创建恢复点的频率。
还原点并不是Windows功能齐全的备份工具,也不是替代的。您可以使用内置的Windows映像备份到外部媒体系统图像备份工具:
wbAdmin start backup -backupTarget:U: -include:C: -allCritical -quiet
Windows还原点是基于影子副本(检查点)VSS服务制作的卷。当您创建还原点时,VSS告诉所有应用程序以符合一致的状态并暂时中止其活动。然后,它创建了整个卷的一致性状态的快照。
还原点图像文件存储在每个驱动器根部的隐藏系统卷信息文件夹中。屏幕截图显示了创建的每个还原点的阴影复制文件。如您所见,它们可以达到数十万千兆字节的大小。
列出创建阴影副本的驱动器(卷):
vssadmin list shadowstorage
在此示例中,在驱动器C上有检查点:占用该空间的6%(摘要最多可占据驱动容量的10%)。
您可以使用命令更改用于影子副本的最大尺寸:
vssadmin resize shadowstorage /on=c: /for=c: /maxsize=50GB
或者:
vssadmin resize shadowstorage /on=c: /for=c: /maxsize=15%
列出了指定卷的可用阴影副本:
vssadmin list shadows /for=c:
您可以通过其阴影复制ID删除特定的检查点:
vssadmin delete shadows /Shadow={xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
使用以下命令删除最古老的影子副本:
vssadmin delete shadows /for=C: /oldest
删除所有还原点:
vssadmin delete shadows /all
要删除旧还原点,您也可以使用内置磁盘清理工具(cleanmgr.exe)。去更多选项选项卡并单击清理在系统还原和阴影副本部分中。
从系统还原点恢复窗口或单个文件
为了从先前创建的还原点恢复操作系统状态,您可以使用rstrui.exe工具。
- 运行工具;
- 选择要回去窗口的先前还原点
- 比较在线Windows映像中的应用程序,服务和驱动程序的列表与Restore Point的列表(单击扫描受影响的程序);
- 点击下一个- >结束;
- Windows将将系统状态滚动到先前的影子副本(需要重新启动)。
您可以使用PowerShell从还原点还原窗口。获取还原点ID:
Get-ComputerRestorePoint
从指定的还原点还原窗口:
Restore-Computer -RestorePoint 21
检查还原是否成功:
Get-ComputerRestorePoint -LastStatus
如上所述,回到先前的还原点不会覆盖用户的文件。但是它们仍在影子副本中可用(因为拍摄了整个卷的检查点)。这意味着您可以手动从音量阴影副本中恢复任何文件。
要在影子副本中查看文件,您可以使用免费Shadowcopyview工具 (https://www.nirsoft.net/utils/shadow_copy_view.html)。浏览所需的影子副本(按创建日期进行排序),查找文件的先前版本(文件夹),然后将其还原到光盘上的特定位置(将选定的文件复制到…)。
实际上,这种从还原点恢复个人文件的方法在Windows 10 22H2上无法使用,因为恢复时文件会损坏(部分填充零)。
为了解决此问题,您可以使用命令:
wmic shadowcopy call create Volume="C:"
您将能够在离线模式下恢复Windows的状态。将计算机引入Windows Re恢复环境并选择系统还原从菜单中。将提示您选择先前创建的还原点之一。
从先前创建的还原点还原域成员计算机后,通常还需要修复与域的信任关系:
Test-ComputerSecureChannel –Repair
在Windows Server上,您应该使用Windows Server备份(WSB)组件的内置功能作为对还原点的模拟。这是因为Windows Server OSS中没有系统保护服务。