Перенос групповых политик между доменами

В этой статье мы покажем как можно с минимальными усилиями перенести объекты групповых политик из одного домена в другой. Вопрос миграции доменных политик возник в рамках одной из задач миграции данных и пользователей из одного домена (на базе Windows Server 2008 R2) в новый «чистый» домен на базе Windows Server 2012. В общем-то, версия доменов и схем принципиального значения не имеет, главное, чтобы в обоих доменах использовалась свежая версия консоли управления групповыми политиками ( GPMC ).

В первую очередь в домене-источнике создадим копию текущих групповых политик с помощью консоли GPMC. Для этого запустите консоль gpmc. msc , перейдите в раздел Group Policy Objects и в контекстном меню выберите пункт Backup Up All .

Укажите каталог, в который необходимо сохранить резервную копию всех GPO (в нашем примере это S:Backup), краткое описание копии и нажмите кнопку Back Up .

В появившемся окне отображается процесс выполнения резервного копирования. Убедимся, что он выполнен без ошибок.

В каталоге с резервной копией должны появится несколько каталогов, соответствующих содержимому доменного каталога с политиками (\domain.ruSYSVOLdomainPolicies).

Следующий этап – импорт политик в домен-приемник. Но прежде, чем приступить к переносу, нужно избавиться в старых политиках о любых упоминаниях или ссылок на ресурсы исходного домена (ссылки на домен, его объекты, SID-ы и пр.), исправив их на значения нового домена. Для этого нам понадобится утилита Migration Table Editor , которая входит в состав консоли GPMC.

В новом домене откройте консоль GPMC, перейдите на уровень Group Policy Objects. В контекстном меню выберите пункт Open Migration Table Editor (утилиту можно запустить вручную, находится она тут: C:WindowsSystem32 mtedit.exe ).

В открывшемся окне утилиты Migration Table Editor выберите пункт меню Tools -> Populate from Backup .

Укажите путь к каталогу с резервной копией объектов GPO первичного домена. Выберите список политик, которые нужно обработать (в нашем случае все) и нажмите ОК.

В открывшейся табличке отобразится список всех нестандартных атрибутов групповых политик первичного домена. Наша задача – найти любые упоминания старого домена или его ресурсов: UNC пути, доменные группы и учетные записи, имена ПК и серверов, SID – ы и т.д. и заменить их данные, соответствующие новому домену.

После того, как вся проверка будет окончена, сохраните результаты в специальный файл с расширением .migtable (файл имеет xml формат). Итак, у нас получился –файл соответствуй между различными объектами и именами двух доменов.

Что же, подготовительные операции завершены и мы переходим непосредственно к импорту старых политик в новый домен. Для этого в консоли GPMC создайте новый пустой объект групповой политики с именем, аналогичному имени политики в старом домене. Щелкните по ней ПКМ и в меню выберите пункт Import Settings .

Укажите путь к каталогу с резервной копией политик первого домена и выберите политику, настройки которой нужно импортировать.

В окне Migrating References выберите опцию Using this migration table to map them in the destination GPO , и укажите путь к ранее созданному файлу .migtable. Нажмите Next, после чего должен осуществится процесс импорта настроек старой политики в новую по правилам, указанным в файле миграции.

Таким же способом нужно перенести все оставшиеся политики. Осталось привязать перенесенные политики к нужным OU, предварительно протестировав их работу на тестовых пользователях/компьютерах.