У цій статті ми покажемо як можна з мінімальними зусиллями перенести об’єкти групових політик з одного домену в інший. Питання міграції доменних політик виник в рамках однієї із завдань міграції даних і користувачів з одного домену (на базі Windows Server 2008 R2) в новий «чистий» домен на базі Windows Server 2012. Загалом-то, версія доменів і схем принципового значення не має , головне, щоб в обох доменах використовувалася свіжа версія консолі управління груповими політиками (GPMC).

В першу чергу в домені-джерелі створимо копію поточних групових політик за допомогою консолі GPMC. Для цього запустіть консоль gpmc.msc, Перейдіть в розділ Group Policy Objects і в контекстному меню виберіть пункт Резервне копіювання всіх.

Примітка. Резервне копіювання GPO по суті являє собою копіювання в альтернативний каталог вмісту SYSVOL: “% systemroot% SYSVOL domain Policies”

Резервних копіювання группвих політик

Вкажіть каталог, в який необхідно зберегти резервну копію всіх GPO (в нашому прикладі це S: Backup ), короткий опис копії і натисніть кнопку Резервне копіювання. Каталог для збереження резервної копії GPO

У вікні відображається процес виконання резервного копіювання. Переконаємося, що він виконаний без помилок.

Лог резервних копіювання GPO

У каталозі з резервною копією повинні з’явиться кілька каталогів, відповідних вмісту доменного каталогу з політиками (\ domain.ru SYSVOL domain Policies).

Копія каталогу sysvol

Наступний етап – імпорт політик в домен-приймач. Але перш, ніж приступити до переносу, потрібно позбутися в старих політиках про будь-яких згадках або посилань на ресурси вихідного домену (посилання на домен, його об’єкти, SID-и та ін.), Виправивши їх на значення нового домену. Для цього нам знадобиться утиліта Редактор таблиці міграції, Яка входить до складу консолі GPMC.

У новому домені відкрийте консоль GPMC, перейдіть на рівень Group Policy Objects. У контекстному меню виберіть пункт Відкрийте редактор таблиці міграції (Утиліту можна запустити вручну, знаходиться вона тут: C: Windows System32 mtedit.exe).

Відкрийте редактор таблиці міграції

У вікні утиліти Migration Table Editor виберіть пункт меню Інструменти -> Заповнювати з резервної копії.

Утиліта mtedit - заповнити поля з резервної копії

Вкажіть шлях до каталогу з резервною копією об’єктів GPO первинного домену. Виберіть список політик, які потрібно обробити (в нашому випадку все) і натисніть ОК.

Вибір політик, що містяться в резервних копії GPO домену

У відкрилася табличці відобразиться список усіх нестандартних атрибутів групових політик первинного домену. Наше завдання – знайти будь-які згадки старого домену або його ресурсів: UNC шляху, доменні групи і облікові записи, імена ПК і серверів, SID – и і т.д. і замінити їх дані, що відповідають новому домену.

Файл відповідностей імен / об'єктів в двох доменах

Після того, як вся перевірка буде закінчена, збережіть результати в спеціальний файл з розширенням .міг (Файл має xml формат). Отже, у нас вийшов -файл відповідай між різними об’єктами і іменами двох доменів.

Що ж, підготовчі операції завершені і ми переходимо безпосередньо до імпорту старих політик в новий домен. Для цього в консолі GPMC створіть новий порожній об’єкт групової політики з ім’ям, аналогічним імені політики в старому домені. Клацніть по ній ПКМ і в меню виберіть пункт Параметри імпорту.

Імпорт GPO зі старого домену

Вкажіть шлях до каталогу з резервною копією політик першого домену і виберіть політику, настройки якої потрібно імпортувати.

Виберіть політику, яку потрібно імпортувати

У вікні Міграція посилань виберіть опцію Використання цієї таблиці міграції для їх відображення у цільовому об’єкті групової політики, І вкажіть шлях до раніше створеного файлу .migtable. Натисніть Next, після чого повинен здійсниться процес імпорту налаштувань старої політики в нову за правилами, зазначеним у файлі міграції.

Вкажіть map файл з розширенням migtable, що містить відповідності імен та об'єктів в двох доменах

Таким же способом потрібно перенести всі залишилися політики. Залишилося прив’язати перенесені політики до потрібних OU, попередньо протестувавши їх роботу на тестових користувачів / комп’ютерах.

Leave a Reply

Your email address will not be published. Required fields are marked *