Перенос групповых политик между доменами | Windows для системных администраторов

Перенос групповых политик между доменами

В этой статье мы покажем как можно с минимальными усилиями перенести объекты групповых политик из одного домена в другой. Вопрос миграции доменных политик возник в рамках одной из задач миграции данных и пользователей из одного домена (на базе Windows Server 2008 R2) в новый «чистый» домен на базе Windows Server 2012. В общем-то, версия доменов и схем принципиального значения не имеет, главное, чтобы в обоих доменах использовалась свежая версия консоли управления групповыми политиками (GPMC).

В первую очередь в домене-источнике создадим копию текущих групповых политик с помощью консоли GPMC. Для этого запустите консоль gpmc.msc, перейдите в раздел Group Policy Objects и в контекстном меню выберите пункт Backup Up All.

Примечание. Резервное копирование GPO по сути представляет собой копирование в альтернативный каталог содержимого SYSVOL: “%systemroot%\SYSVOL\domain\Policies”

Резевное копирование группвых политик

Укажите каталог, в который необходимо сохранить резервную копию всех GPO (в нашем примере это S:\Backup\), краткое описание копии и нажмите кнопку Back Up. Каталог для сохранения резервной копии GPO

В появившемся окне отображается процесс выполнения резервного копирования. Убедимся, что он выполнен без ошибок.

Лог резевного копирования GPO

В каталоге с резервной копией должны появится несколько каталогов, соответствующих содержимому доменного каталога с политиками (\\domain.ru\SYSVOL\domain\Policies).

Копия каталога sysvol

Следующий этап – импорт политик в домен-приемник. Но прежде, чем приступить к переносу, нужно избавиться в старых политиках о любых упоминаниях или ссылок на ресурсы исходного домена (ссылки на домен, его объекты, SID-ы и пр.), исправив их на значения нового домена. Для этого нам понадобится утилита Migration Table Editor, которая входит в состав консоли GPMC.

В новом домене откройте консоль GPMC, перейдите на уровень Group Policy Objects. В контекстном меню выберите пункт Open Migration Table Editor (утилиту можно запустить вручную, находится она тут: C:\Windows\System32\mtedit.exe).

Open Migration Table Editor

В открывшемся окне утилиты Migration Table Editor выберите пункт меню Tools -> Populate from Backup.

Утилита mtedit - заполнить поля из бэкапа

Укажите путь к каталогу с резервной копией объектов GPO первичного домена. Выберите список политик, которые нужно обработать (в нашем случае все) и нажмите ОК.

Выбор политик, содержащихся в резевной копии GPO домена

В открывшейся табличке отобразится список всех нестандартных атрибутов групповых политик первичного домена. Наша задача – найти любые упоминания старого домена или его ресурсов: UNC пути, доменные группы и учетные записи, имена ПК и серверов, SID – ы и т.д. и заменить их данные, соответствующие новому домену.

Файл соответствий имен / объектов в двух доменах

После того, как вся проверка будет окончена, сохраните результаты в специальный файл с расширением .migtable (файл имеет xml формат). Итак, у нас получился –файл соответствуй между различными объектами и именами двух доменов.

Что же, подготовительные операции завершены и мы переходим непосредственно к импорту старых политик в новый домен. Для этого в консоли GPMC создайте новый пустой объект групповой политики с именем, аналогичному имени политики в старом домене. Щелкните по ней ПКМ и в меню выберите пункт Import Settings.

Импорт GPO из старого домена

Укажите путь к каталогу с резервной копией политик первого домена и выберите политику, настройки которой нужно импортировать.

Выберите политику, которую нужно импортировать

В окне Migrating References выберите опцию Using this migration table to map them in the destination GPO, и укажите путь к ранее созданному файлу .migtable. Нажмите Next, после чего должен осуществится процесс импорта настроек старой политики в новую по правилам, указанным в файле миграции.

Укажите map файл с раширением migtable, содержащий соответствия имен и объектов в двух доменах

Таким же способом нужно перенести все оставшиеся политики. Осталось привязать перенесенные политики к нужным OU, предварительно протестировав их работу на тестовых пользователях/компьютерах.

Еще записи по теме: Group Policy
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.24MB/0.00104 sec