В этой статье мы покажем как можно с минимальными усилиями перенести объекты групповых политик из одного домена в другой. Вопрос миграции доменных политик возник в рамках одной из задач миграции данных и пользователей из одного домена (на базе Windows Server 2008 R2) в новый «чистый» домен на базе Windows Server 2012. В общем-то, версия доменов и схем принципиального значения не имеет, главное, чтобы в обоих доменах использовалась свежая версия консоли управления групповыми политиками (GPMC).
В первую очередь в домене-источнике создадим копию текущих групповых политик с помощью консоли GPMC. Для этого запустите консоль gpmc.msc, перейдите в раздел Group Policy Objects и в контекстном меню выберите пункт Backup Up All.
Укажите каталог, в который необходимо сохранить резервную копию всех GPO (в нашем примере это S:\Backup\), краткое описание копии и нажмите кнопку Back Up.
В появившемся окне отображается процесс выполнения резервного копирования. Убедимся, что он выполнен без ошибок.
В каталоге с резервной копией должны появится несколько каталогов, соответствующих содержимому доменного каталога с политиками (\\domain.ru\SYSVOL\domain\Policies).
Следующий этап – импорт политик в домен-приемник. Но прежде, чем приступить к переносу, нужно избавиться в старых политиках о любых упоминаниях или ссылок на ресурсы исходного домена (ссылки на домен, его объекты, SID-ы и пр.), исправив их на значения нового домена. Для этого нам понадобится утилита Migration Table Editor, которая входит в состав консоли GPMC.
В новом домене откройте консоль GPMC, перейдите на уровень Group Policy Objects. В контекстном меню выберите пункт Open Migration Table Editor (утилиту можно запустить вручную, находится она тут: C:\Windows\System32\mtedit.exe).
В открывшемся окне утилиты Migration Table Editor выберите пункт меню Tools -> Populate from Backup.
Укажите путь к каталогу с резервной копией объектов GPO первичного домена. Выберите список политик, которые нужно обработать (в нашем случае все) и нажмите ОК.
В открывшейся табличке отобразится список всех нестандартных атрибутов групповых политик первичного домена. Наша задача – найти любые упоминания старого домена или его ресурсов: UNC пути, доменные группы и учетные записи, имена ПК и серверов, SID – ы и т.д. и заменить их данные, соответствующие новому домену.
После того, как вся проверка будет окончена, сохраните результаты в специальный файл с расширением .migtable (файл имеет xml формат). Итак, у нас получился –файл соответствуй между различными объектами и именами двух доменов.
Что же, подготовительные операции завершены и мы переходим непосредственно к импорту старых политик в новый домен. Для этого в консоли GPMC создайте новый пустой объект групповой политики с именем, аналогичному имени политики в старом домене. Щелкните по ней ПКМ и в меню выберите пункт Import Settings.
Укажите путь к каталогу с резервной копией политик первого домена и выберите политику, настройки которой нужно импортировать.
В окне Migrating References выберите опцию Using this migration table to map them in the destination GPO, и укажите путь к ранее созданному файлу .migtable. Нажмите Next, после чего должен осуществится процесс импорта настроек старой политики в новую по правилам, указанным в файле миграции.
Таким же способом нужно перенести все оставшиеся политики. Осталось привязать перенесенные политики к нужным OU, предварительно протестировав их работу на тестовых пользователях/компьютерах.