如何在 Windows 10/11 上創建、刪除和管理系統還原點

系統還原點如果您在安裝錯誤的驅動程序、更新或應用程序後遇到意外的系統文件或註冊表問題，它是一個簡單的工具，可用於恢復到以前的 Windows 操作系統狀態。您可以使用還原點將註冊表、系統文件、驅動程序和已安裝軟件的狀態恢復到創建還原點的日期。儘管系統還原點基於卷影副本，但從檢查點還原時不會覆蓋用戶的配置文件。在本指南中，我們將了解系統管理員如何在 Windows 10 和 11 中使用還原點。

內容：

• 如何在 Windows 上啟用系統保護
• 在 Windows 上創建、列出和刪除系統還原點
• 從系統還原點恢復 Windows 或單個文件

Windows 10 和 11 中的還原點功能基於系統保護服務，該服務默認處於禁用狀態。您可以檢查 Windows 中的特定驅動器是否啟用了帶有還原點的系統保護：

1. 運行命令systempropertiesprotection
2. 這系統保護經典系統屬性小程序的選項卡將打開；
3. 在這種情況下，對系統驅動器 (C:) 啟用保護，對所有其他驅動器禁用保護；
4. 選擇驅動器並單擊配置按鈕;
5. 您可以在此處啟用或禁用驅動器保護、更改可用於存儲還原點的最大磁盤大小以及刪除所有還原點。
   

您可以使用 GPO 啟用系統保護。配置以下組策略選項：

您可以使用 PowerShell 為特定驅動器啟用系統保護：

Enable-ComputerRestore -drive "c:"

在 Windows 上創建、列出和刪除系統還原點

默認情況下，Windows 在安裝或卸載更新、驅動程序或應用程序時自動創建還原點。

要立即創建還原點，請單擊創造按鈕，然後輸入該點的描述。

此外，您還可以通過 PowerShell 提示符手動創建還原點：

Checkpoint-Computer -description "Checkpoint before update video driver" -RestorePointType "APPLICATION_INSTALL"

默認情況下，會創建 APPLICATION_INSTALL 類型的還原點。您可以對 RestorePointType 參數使用以下值：

• 修改設置
• 設備驅動程序安裝
• 應用程序_安裝
• 應用程序_卸載
• 已取消_操作

列出可用的還原點：

Get-ComputerRestorePoint|ft -AutoSize

默認情況下，系統保護僅允許您每 24 小時創建一個還原點。如果您嘗試創建一個新的，您將收到錯誤消息：

WARNING: A new system restore point cannot be created because one has already been created within the past 1440 minutes.

要更頻繁地創建還原點，您必須修改系統還原點創建頻率DWORD 註冊表參數下HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSystemRestore註冊鍵。默認參數值為1440（24 小時）。將值更改為0禁用對創建還原點的頻率的限制。

還原點不是 Windows 的全功能備份工具，也不能替代它。您可以使用內置的功能將 Windows 映像備份到外部媒體系統映像備份工具：

wbAdmin start backup -backupTarget:U: -include:C: -allCritical -quiet

Windows 還原點基於卷影副本VSS 服務創建的捲的（檢查點）。當您創建還原點時，VSS 會通知所有應用程序進入一致狀態並暫時掛起其活動。然後，它創建整個卷的一致性狀態的快照。

還原點映像文件存儲在位於每個驅動器根部的隱藏 System Volume Information 文件夾中。該屏幕截圖顯示了創建的每個還原點的捲影副本文件。正如您所看到的，它們的大小可以達到數十甚至數百 GB。

列出已創建卷影副本的驅動器（卷）：

vssadmin list shadowstorage

在此示例中，驅動器 C: 上有檢查點，佔用 6% 的空間（摘要最多可佔用驅動器容量的 10%）。

您可以使用以下命令更改卷影副本可用的最大大小：

vssadmin resize shadowstorage /on=c: /for=c: /maxsize=50GB

或者：

vssadmin resize shadowstorage /on=c: /for=c: /maxsize=15%

列出指定卷的可用卷影副本：

vssadmin list shadows /for=c:

您可以通過卷影副本 ID 刪除特定檢查點：

vssadmin delete shadows /Shadow={xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}

使用以下命令刪除最舊的捲影副本：

vssadmin delete shadows /for=C: /oldest

刪除所有還原點：

vssadmin delete shadows /all

要刪除舊的還原點，您還可以使用內置的磁盤清理工具（cleanmgr.exe）。前往更多選擇選項卡並單擊清理在系統還原和卷影副本部分。

從系統還原點恢復 Windows 或單個文件

要從以前創建的還原點還原操作系統狀態，您可以使用rstrui.exe工具。

1. 運行該工具；
2. 選擇要將 Windows 回滾到的上一個還原點
3. 將在線 Windows 映像中的應用程序、服務和驅動程序列表與還原點處的列表進行比較（單擊掃描受影響的程序）；
4. 點擊下一個->結束;
5. Windows 會將系統狀態回滾到之前的捲影副本（需要重新啟動）。
   

您可以使用 PowerShell 從還原點還原 Windows。獲取還原點 ID：

Get-ComputerRestorePoint

從指定還原點還原 Windows：

Restore-Computer -RestorePoint 21

檢查恢復是否成功：

Get-ComputerRestorePoint -LastStatus

如上所述，回滾到以前的還原點不會覆蓋用戶的文件。但它們仍然可以在卷影副本中使用（因為已獲取整個卷的檢查點）。這意味著您可以從卷影副本手動恢復任何文件。

要查看卷影副本中的文件，您可以使用免費的卷影複製視圖工具 （https://www.nirsoft.net/utils/shadow_copy_view.html）。瀏覽所需的捲影副本（按創建日期排序），找到該文件（文件夾）的先前版本，並將其恢復到光盤上的特定位置（將選定的文件複製到...）。

實際上，這種從還原點還原個人文件的方法在 Windows 10 22H2 上不起作用，因為還原時文件將被損壞（部分用零填充）。

要解決此問題，您可以配置文件歷史記錄或使用任務計劃程序作業來使用以下命令製作卷影副本：

建議閱讀：如何在 Windows 10 中刪除系統還原點

wmic shadowcopy call create Volume="C:"

您將能夠在離線模式下恢復 Windows 的狀態。將計算機啟動到 Windows RE 恢復環境並選擇系統恢復從菜單中。系統將提示您選擇之前創建的還原點之一。

從以前創建的還原點還原域成員計算機後，您通常還需要修復與域的信任關係：

Test-ComputerSecureChannel –Repair

在 Windows Server 上，您應該使用 Windows Server Backup (WSB) 組件的內置功能來模擬還原點。這是因為Windows Server操作系統中沒有系統保護服務。