如何在 Windows 10/11 上创建、删除和管理系统还原点

系统还原点如果您在安装错误的驱动程序、更新或应用程序后遇到意外的系统文件或注册表问题，它是一个简单的工具，可用于恢复到以前的 Windows 操作系统状态。您可以使用还原点将注册表、系统文件、驱动程序和已安装软件的状态恢复到创建还原点的日期。尽管系统还原点基于卷影副本，但从检查点还原时不会覆盖用户的配置文件。在本指南中，我们将了解系统管理员如何在 Windows 10 和 11 中使用还原点。

内容：

• 如何在 Windows 上启用系统保护
• 在 Windows 上创建、列出和删除系统还原点
• 从系统还原点恢复 Windows 或单个文件

Windows 10 和 11 中的还原点功能基于系统保护服务，该服务默认处于禁用状态。您可以检查 Windows 中的特定驱动器是否启用了带有还原点的系统保护：

1. 运行命令systempropertiesprotection
2. 这系统保护经典系统属性小程序的选项卡将打开；
3. 在这种情况下，对系统驱动器 (C:) 启用保护，对所有其他驱动器禁用保护；
4. 选择驱动器并单击配置按钮;
5. 您可以在此处启用或禁用驱动器保护、更改可用于存储还原点的最大磁盘大小以及删除所有还原点。
   

您可以使用 GPO 启用系统保护。配置以下组策略选项：

您可以使用 PowerShell 为特定驱动器启用系统保护：

Enable-ComputerRestore -drive "c:"

在 Windows 上创建、列出和删除系统还原点

默认情况下，Windows 在安装或卸载更新、驱动程序或应用程序时自动创建还原点。

要立即创建还原点，请单击创造按钮，然后输入该点的描述。

此外，您还可以通过 PowerShell 提示符手动创建还原点：

Checkpoint-Computer -description "Checkpoint before update video driver" -RestorePointType "APPLICATION_INSTALL"

默认情况下，会创建 APPLICATION_INSTALL 类型的还原点。您可以对 RestorePointType 参数使用以下值：

• 修改设置
• 设备驱动程序安装
• 应用程序_安装
• 应用程序_卸载
• 已取消_操作

列出可用的还原点：

Get-ComputerRestorePoint|ft -AutoSize

默认情况下，系统保护仅允许您每 24 小时创建一个还原点。如果您尝试创建一个新的，您将收到错误消息：

WARNING: A new system restore point cannot be created because one has already been created within the past 1440 minutes.

要更频繁地创建还原点，您必须修改系统还原点创建频率DWORD 注册表参数下HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSystemRestore注册键。默认参数值为1440（24 小时）。将值更改为0禁用对创建还原点的频率的限制。

还原点不是 Windows 的全功能备份工具，也不能替代它。您可以使用内置的功能将 Windows 映像备份到外部媒体系统映像备份工具：

wbAdmin start backup -backupTarget:U: -include:C: -allCritical -quiet

Windows 还原点基于卷影副本VSS 服务创建的卷的（检查点）。当您创建还原点时，VSS 会通知所有应用程序进入一致状态并暂时挂起其活动。然后，它创建整个卷的一致性状态的快照。

还原点映像文件存储在位于每个驱动器根部的隐藏 System Volume Information 文件夹中。该屏幕截图显示了创建的每个还原点的卷影副本文件。正如您所看到的，它们的大小可以达到数十甚至数百 GB。

列出已创建卷影副本的驱动器（卷）：

vssadmin list shadowstorage

在此示例中，驱动器 C: 上有检查点，占用 6% 的空间（摘要最多可占用驱动器容量的 10%）。

您可以使用以下命令更改卷影副本可用的最大大小：

vssadmin resize shadowstorage /on=c: /for=c: /maxsize=50GB

或者：

vssadmin resize shadowstorage /on=c: /for=c: /maxsize=15%

列出指定卷的可用卷影副本：

vssadmin list shadows /for=c:

您可以通过卷影副本 ID 删除特定检查点：

vssadmin delete shadows /Shadow={xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}

使用以下命令删除最旧的卷影副本：

vssadmin delete shadows /for=C: /oldest

删除所有还原点：

vssadmin delete shadows /all

要删除旧的还原点，您还可以使用内置的磁盘清理工具（cleanmgr.exe）。前往更多选择选项卡并单击清理在系统还原和卷影副本部分。

从系统还原点恢复 Windows 或单个文件

要从以前创建的还原点还原操作系统状态，您可以使用rstrui.exe工具。

1. 运行该工具；
2. 选择要将 Windows 回滚到的上一个还原点
3. 将在线 Windows 映像中的应用程序、服务和驱动程序列表与还原点处的列表进行比较（单击扫描受影响的程序）；
4. 点击下一个->结束;
5. Windows 会将系统状态回滚到之前的卷影副本（需要重新启动）。
   

您可以使用 PowerShell 从还原点还原 Windows。获取还原点 ID：

Get-ComputerRestorePoint

从指定还原点还原 Windows：

Restore-Computer -RestorePoint 21

检查恢复是否成功：

Get-ComputerRestorePoint -LastStatus

如上所述，回滚到以前的还原点不会覆盖用户的文件。但它们仍然可以在卷影副本中使用（因为已获取整个卷的检查点）。这意味着您可以从卷影副本手动恢复任何文件。

要查看卷影副本中的文件，您可以使用免费的卷影复制视图工具 （https://www.nirsoft.net/utils/shadow_copy_view.html）。浏览所需的卷影副本（按创建日期排序），找到该文件（文件夹）的先前版本，并将其恢复到光盘上的特定位置（将选定的文件复制到...）。

实际上，这种从还原点还原个人文件的方法在 Windows 10 22H2 上不起作用，因为还原时文件将被损坏（部分用零填充）。

要解决此问题，您可以配置文件历史记录或使用任务计划程序作业来使用以下命令制作卷影副本：

建议阅读：如何在 Windows 10 中删除系统还原点

wmic shadowcopy call create Volume="C:"

您将能够在离线模式下恢复 Windows 的状态。将计算机启动到 Windows RE 恢复环境并选择系统恢复从菜单中。系统将提示您选择之前创建的还原点之一。

从以前创建的还原点还原域成员计算机后，您通常还需要修复与域的信任关系：

Test-ComputerSecureChannel –Repair

在 Windows Server 上，您应该使用 Windows Server Backup (WSB) 组件的内置功能来模拟还原点。这是因为Windows Server操作系统中没有系统保护服务。