通常情況下我們見(jiàn)過(guò)用戶(hù)，計(jì)算機(jī)，共享的跨林跨域遷移，那么組策略是否也支持遷移呢，答案是可以的，本文我們將詳細(xì)探討組策略遷移的場(chǎng)景與實(shí)踐

成都創(chuàng)新互聯(lián)公司是一家專(zhuān)注于成都網(wǎng)站制作、成都網(wǎng)站建設(shè)與策劃設(shè)計(jì),固始網(wǎng)站建設(shè)哪家好?成都創(chuàng)新互聯(lián)公司做網(wǎng)站,專(zhuān)注于網(wǎng)站建設(shè)十多年,網(wǎng)設(shè)計(jì)領(lǐng)域的專(zhuān)業(yè)建站公司;建站業(yè)務(wù)涵蓋:固始等地區(qū)。固始做網(wǎng)站價(jià)格咨詢(xún):13518219792

組策略遷移可能的場(chǎng)景

1. 測(cè)試環(huán)境到生產(chǎn)環(huán)境，企業(yè)針對(duì)于生產(chǎn)環(huán)境和測(cè)試環(huán)境分別部署了兩套不同林環(huán)境的AD域，為了確保安全，并沒(méi)有在兩個(gè)域之間建立信任，現(xiàn)在需要將測(cè)試環(huán)境已經(jīng)測(cè)試成功的組策略應(yīng)用到生產(chǎn)環(huán)境，或反向。

2. 父子域架構(gòu)，企業(yè)新部署了一個(gè)子域，由于組策略是域級(jí)別的數(shù)據(jù)，因此子域不會(huì)得到父域的組策略，但是子域沒(méi)有專(zhuān)業(yè)的IT人員，希望能夠復(fù)用總部的組策略設(shè)置

3. 成熟的組策略，林內(nèi)樹(shù)間的遷移復(fù)用，林信任的遷移復(fù)用，跨林不信任的遷移復(fù)用

組策略遷移需要在GPMC組策略管理工具中完成，對(duì)于組策略遷移有兩個(gè)可選方法

1. 組策略復(fù)制：適用于林內(nèi)樹(shù)間，父子域之間，林信任的組策略遷移，不支持遷移到?jīng)]有信任的域，遷移時(shí)需要來(lái)源目標(biāo)域控制器在線聯(lián)機(jī)，在復(fù)制操作期間創(chuàng)建的新GPO將獲得一個(gè)新的全局唯一標(biāo)識(shí)符（GUID）并取消鏈接，對(duì)于組策略對(duì)象的權(quán)限設(shè)置可以保留

2. 組策略備份：適用于林內(nèi)樹(shù)間，父子域之間，林信任，無(wú)信任環(huán)境的組策略遷移，備份內(nèi)容包括GPO(GUID），GPO設(shè)置，GPO上的自主訪問(wèn)控制列表（DACL）,WMI過(guò)濾器鏈接（如果有），但不是過(guò)濾器本身,指向IP安全策略的鏈接（如果有），GPO設(shè)置的XML報(bào)告，可以在GPMC中以HTML格式查看，備份時(shí)的日期和時(shí)間戳，用戶(hù)提供的備份說(shuō)明，備份會(huì)生成備份文件，需拷貝至目標(biāo)域控導(dǎo)入。

 

組策略遷移關(guān)鍵概念-遷移表

 

在執(zhí)行組策略跨林遷移時(shí)我們會(huì)遇見(jiàn)一個(gè)問(wèn)題，組策略里面可能設(shè)置了當(dāng)前域用戶(hù)或組的安全主體，設(shè)置了當(dāng)前域內(nèi)的共享路徑映射，但是到了目標(biāo)域里面沒(méi)有這些用戶(hù)和共享路徑，如果不使用遷移表，遷移之后我們需要手動(dòng)一個(gè)一個(gè)去改，而遷移表可以幫助我們?cè)趫?zhí)行導(dǎo)入前，完成映射，例如測(cè)試域組策略里面所有測(cè)試安全組替換為生產(chǎn)安全組，所有測(cè)試環(huán)境組策略共享路徑替換為生產(chǎn)環(huán)境路徑，確保遷移過(guò)去組策略直接生效，在小環(huán)境中可能體現(xiàn)不出多大價(jià)值，但是如果組策略里面存在很多安全設(shè)置和共享設(shè)置，遷移表在遷移的時(shí)候就可以幫我們省不少事。

 

組策略復(fù)制，直接在向?qū)е型瓿刹襟E，不需要將組策略導(dǎo)出到文件系統(tǒng)，組策略備份會(huì)由組策略導(dǎo)入步驟相對(duì)應(yīng)，我們會(huì)在新的環(huán)境里面導(dǎo)入組策略備份文件，包括所有備份的內(nèi)容，不論是復(fù)制過(guò)程或是導(dǎo)入過(guò)程，都支持選擇遷移表，以便在遷移過(guò)程自動(dòng)幫我們完成，用戶(hù)/組/計(jì)算機(jī)等安全主體以及共享路徑，在新環(huán)境里面不同名稱(chēng)的映射。

 

實(shí)驗(yàn)環(huán)境介紹

 

當(dāng)前環(huán)境有一套測(cè)試域oa.com，一套生產(chǎn)域zq.com，兩個(gè)域沒(méi)有信任關(guān)系，是獨(dú)立的兩個(gè)森林，現(xiàn)需要將組策略導(dǎo)入到生產(chǎn)環(huán)境，并在過(guò)程中完成不同安全對(duì)象的映射，當(dāng)前測(cè)試環(huán)境使用OU DEP，里面有三個(gè)用戶(hù)，一個(gè)組，Jason和Mike加入VIP組，創(chuàng)建組策略dev，設(shè)置測(cè)試環(huán)境共享路徑，設(shè)置安全策略

 

 

 

跨林組策略遷移流程

 

1. 編寫(xiě)遷移表映射

2. 備份源組策略

3. 復(fù)制組策略備份文件及遷移表至目標(biāo)域

4. 目標(biāo)域目標(biāo)OU創(chuàng)建空白組策略

5. 導(dǎo)入組策略備份文件，遷移表

 

OK，接下來(lái)就是看看遷移表的時(shí)候了，這是個(gè)老古董了，沒(méi)記錯(cuò)應(yīng)該是2003時(shí)代的產(chǎn)物，支持GUI界面遷移表編輯器，也支持CMD管理，打開(kāi)GPMC-組策略對(duì)象-打開(kāi)遷移表編輯器

可以在備份完成組策略再編輯遷移表，也可以先編輯好遷移表，最終遷移表文件+組策略備份需一起在目標(biāo)域環(huán)境導(dǎo)入，遷移表編輯器有一個(gè)很實(shí)用的功能，打開(kāi)工具下拉菜單，可見(jiàn)從GPO填充

在GPO填充界面，我們選擇需要遷移的組策略，遷移表會(huì)幫我們自動(dòng)去掃描該組策略里面涉及到的域內(nèi)特有的用戶(hù)/組/計(jì)算機(jī)等安全主體設(shè)置，否則我們需自己一個(gè)個(gè)填寫(xiě)，如果勾選上下方的，掃描過(guò)程中，包括來(lái)自GPO上DACL的安全主體，則我們對(duì)于組策略對(duì)象的安全設(shè)置也會(huì)被掃描出來(lái)

掃描完成后，我們將本域的安全主體，映射為目標(biāo)域的安全主體，以確保遷移之后可以正常使用，對(duì)不正確的源類(lèi)型進(jìn)行修改，對(duì)于組策略中未掃描到的共享路徑或安全主體進(jìn)行補(bǔ)充

確認(rèn)所有要在生產(chǎn)環(huán)境映射的信息修改完成后，點(diǎn)擊文件，另存為，保存遷移表文件

點(diǎn)擊組策略對(duì)象，選擇dev，右鍵點(diǎn)擊備份

備份完成后復(fù)制備份文件及遷移表文件至目標(biāo)域控

來(lái)到生產(chǎn)域OU，創(chuàng)建一個(gè)新GPO

在組策略對(duì)象容器選擇新建的組策略，右鍵點(diǎn)擊導(dǎo)入設(shè)置，選擇復(fù)制過(guò)來(lái)的組策略備份文件目錄

點(diǎn)擊下一步，導(dǎo)入向?qū)z測(cè)到組策略里面存在對(duì)于源域安全對(duì)象和共享路徑引用，詢(xún)問(wèn)對(duì)于引用如何處理，可以選擇從源完全復(fù)制，由于我們是跨林沒(méi)有信任，因此源引用肯定是無(wú)效的，所以我們選擇使用遷移表映射，選擇遷移表文件

下面有個(gè)獨(dú)占選項(xiàng)，該選項(xiàng)主要是為了防止誤導(dǎo)入，將錯(cuò)誤的遷移表映射給組策略，這里我們確認(rèn)是正確的遷移表，所以不用勾選。

點(diǎn)擊下一步開(kāi)始執(zhí)行導(dǎo)入，這里為什么選擇導(dǎo)入，而不是備份相對(duì)應(yīng)的還原，因?yàn)榻M策略的還原功能無(wú)法識(shí)別其它機(jī)器的備份文件，僅支持還原本服務(wù)器的備份

導(dǎo)入完成打開(kāi)組策略驗(yàn)證，所有安全對(duì)象引用，以及文件共享路徑，都已經(jīng)跨林映射過(guò)來(lái)

 

實(shí)驗(yàn)2.當(dāng)前林根域oa.com，兼并公司gate.com域樹(shù)，兩個(gè)域建立域樹(shù)信任，被兼并的公司希望能夠直接復(fù)用總部的組策略設(shè)置，當(dāng)前林根域環(huán)境使用OU DEP，里面有三個(gè)用戶(hù)，一個(gè)組，Jason和Mike加入VIP組，創(chuàng)建組策略O(shè)PS，設(shè)置測(cè)試環(huán)境共享路徑腳本執(zhí)行，設(shè)置組策略對(duì)象安全列表

 

 跨域遷移組策略流程

 

1. 編寫(xiě)遷移表

2. 在源組策略管理器添加顯示目標(biāo)信任域(來(lái)源目標(biāo)必須在線)

3. 復(fù)制所選組策略

4. 在目標(biāo)信任域組策略對(duì)象容器下點(diǎn)擊粘貼

5. 觸發(fā)跨域復(fù)制向?qū)?，選擇權(quán)限復(fù)制模型，映射遷移表

6. 手動(dòng)鏈接復(fù)制過(guò)來(lái)的GPO至目標(biāo)OU

    

參照跨林遷移步驟設(shè)置遷移表

 

在源域組策略管理器中，點(diǎn)擊域，右鍵選擇顯示域，勾選顯示目標(biāo)信任域

由于這次是存在信任的域關(guān)系，我們直接在源域中，右鍵點(diǎn)擊組策略對(duì)象，選擇復(fù)制

 

切換到目標(biāo)信任域組策略對(duì)象，右鍵點(diǎn)擊粘貼

一定要在這里粘貼，才能喚醒跨域復(fù)制組策略向?qū)В?/p>

這一步非常重要，大多數(shù)網(wǎng)上博客都不會(huì)提到這一點(diǎn)，如果勾選新GPO使用默認(rèn)權(quán)限，那么源域組策略對(duì)象的安全權(quán)限，將不會(huì)被遷移到目標(biāo)域，GPO復(fù)制到新域?qū)⑹褂萌掳踩珯?quán)限，即便是遷移表掃描出來(lái)，配置了映射，也不會(huì)生效，如果希望將源GPO安全設(shè)定，原樣復(fù)制給目標(biāo)信任域，或希望將源域GPO安全設(shè)定里面的安全主體使用遷移表映射給目標(biāo)信任域，則這里必須勾選下面選項(xiàng)才會(huì)生效。經(jīng)過(guò)老王的實(shí)際測(cè)試，遷移映射組策略安全權(quán)限設(shè)定，僅在林內(nèi)域間信任環(huán)境生效，遷移表可以把安全主體映射到組策略對(duì)象權(quán)限列表，跨林或不信任域，組策略對(duì)象權(quán)限列表映射均失效，需手動(dòng)重新設(shè)置。

點(diǎn)擊下一步，跨域復(fù)制組策略向?qū)?，檢測(cè)到源組策略存在安全主體與共享路徑

詢(xún)問(wèn)要原樣復(fù)制，或是使用遷移表完成映射，選擇配置好的遷移表文件，可以直接在源主機(jī)完成此操作，并使用源主機(jī)本地遷移表文件

點(diǎn)擊下一步完成開(kāi)始復(fù)制

復(fù)制成功后可見(jiàn)組策略安全權(quán)限列表，組策略?xún)?nèi)容設(shè)置全部完成映射

 

確認(rèn)無(wú)誤后手動(dòng)將組策略對(duì)象鏈接到目標(biāo)OU，因?yàn)槲覀儚?fù)制是直接復(fù)制到組策略對(duì)象，并非復(fù)制到OU，這是與導(dǎo)入的區(qū)別

 

提示：不論是使用復(fù)制或是導(dǎo)入，均不支持WMI篩選器的遷移，如果需要大量WMI篩選器的遷移，或希望使用Powershell處理組策略遷移，請(qǐng)參考博客

WMI篩選器遷移腳本

 

下一步博客計(jì)劃：自從2017年寫(xiě)WSFC博客來(lái)，老王認(rèn)識(shí)了很多朋友，被很多朋友認(rèn)可，倍感榮幸，傳達(dá)的技術(shù)幫助博友們解決實(shí)際問(wèn)題，倍感高興，下一步老王WSFC博客還會(huì)繼續(xù)寫(xiě)，但是目前基本上能寫(xiě)的WSFC博客都寫(xiě)了，一旦遇見(jiàn)好課題一定第一時(shí)間分享給大家，同時(shí)2019即將發(fā)布，如果看到一些我覺(jué)得實(shí)用新穎的好技術(shù)，會(huì)寫(xiě)博客出來(lái)與大家分享，對(duì)于看到的老的企業(yè)級(jí)技術(shù)，但國(guó)內(nèi)少有人提及的我也會(huì)寫(xiě)?；旧现饕图性谶@三塊內(nèi)容，如果WSFC系列長(zhǎng)時(shí)間沒(méi)有找到課題，老王可能年底或者明年準(zhǔn)備一下會(huì)開(kāi)啟一個(gè)新的系列博客，目前計(jì)劃是MDOP或者SCO+SCSM+SCOM深入應(yīng)用，不管是選擇那個(gè)老王都會(huì)保持WSFC系列的水準(zhǔn)。

網(wǎng)頁(yè)題目：組策略跨林跨域遷移
網(wǎng)頁(yè)URL：http://chinadenli.net/article38/jhhhsp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站排名、軟件開(kāi)發(fā)、全網(wǎng)營(yíng)銷(xiāo)推廣、網(wǎng)站收錄、品牌網(wǎng)站建設(shè)、外貿(mào)網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)