Как перенести групповые политики на новый контроллер домена

Обновлено и опубликовано Опубликовано:

Перенос групповых политик может понадобиться в случае создания нового домена в новом лесу или при разделении компании. Так или иначе, процесс выполняется в несколько этапов:

По сути, мы делаем бэкап политик и восстанавливаем его на другом сервере. Для данной инструкции объекты GPO экспортировались с Windows Server 2016 и импортировались в Windows Server 2019. Однако, принцип резервирования/восстановления не менялся давно, и инструкция подойдет для версий 2008 и 2012.

1. Архивирование объектов групповой политики

Открываем консоль управления групповыми политиками на сервере (команда gpmc.msc), с которого будем их переносить. Переходим в раздел Объекты групповой политики - кликаем по ним правой кнопкой мыши - выбираем Архивировать все...:

Архивирование групповых политик

Выбираем расположение для групповых политик (желательно, в отдельно созданную папку, так как в ней будут созданы каталоги политик):

Указываем расположение для архива групповых политик

... и нажимаем Архивировать.

Также мы можем выполнить команду в powershell:

Backup-Gpo -All -Path "C:\Users\Администратор\Downloads\GPO"

Дожидаемся окончания процесса и кликаем по OK. В папке выгрузки мы должны увидеть каталоги политик:

Выгруженные политики в папке

Переносим папку с выгруженными политиками на новый контроллер домена.

2. Создание файла таблиц миграции

На данном шаге мы исправим нестандартные настройки политик, которые характерны для старого домена.

Открываем на новом сервере консоль управления групповыми политиками - кликаем правой кнопкой по Объекты групповой политики - Открыть редактор таблиц миграции:

Открываем редактор таблиц миграции

В открывшемся окне кликаем по Сервис - Заполнить из резервной копии:

Выгруженные политики в папке

Выбираем папку, в которой находятся выгруженные объекты политик, выделяем все политики, ставим обе галочки внизу окна:

Выбираем выгруженные политики

... и нажимаем OK.

Откроется список уникальных настроен для старого домена — наша задача найти все, что не имеет отношения к новому домену и исправить это, например:

Редактируем настройки от старого домена

* обратите внимание, что в данном примере мы отредактировали домен на new.dmosk.local и UNC-путь для new-dc. Также мы оставили нетронутым старый домен old.dmosk.local — это сделано для примера.

После того, как настройки внесены, кликаем по Файл - Сохранить как:

Редактируем настройки от старого домена

Выбираем путь для сохранения файла с расширением .migtable.

3. Импорт групповых политик

Настройки для политик импортируются по одной. Массовой загрузки не предусмотрено.

В консоли управления политиками создаем первый объект:

Создание новой групповой политики

Для удобства, желательно дать такое же название политики, как на первом контроллере:

Название для новой политики

Кликаем правой кнопкой по созданной политики - Импорт параметров...:

Кликаем по политике правой кнопкой - Импорт параметров

В открывшемся окне кликаем Далее - еще раз Далее - выбираем папку с архивом:

Выбор папки с резервными архивами GPO

... и Далее. В списке политик выбираем нужную, которую хотим восстановить:

Выбор политики для которой будем восстанавливать настройки

Ставим галочку Показывать только последние версии объекта групповой политики:

Ставим галочку Показывать только последние версии объекта групповой политики

Нажимаем Далее - еще раз Далее - если для восстанавливаемой политики будут найдены индивидуальные настройки, система предложит восстановить все как есть или воспользоваться файлом импорта — выбираем файл, который создавали на шаге 2:

Применяем файл таблиц миграции

Далее и Готово.

Повторяем действия для каждого объекта групповой политики.

4. Применение политик

И так, политики мы создали и восстановили настройки. Но пока они находятся в общем контейнере и не применяются к пользователям или компьютерам. Необходимо их определить для организационных юнитов, сайтов или доменов.

В консоли управления групповыми политиками кликаем правой кнопкой мыши на нужном объекте, скажем, организационном юните - Связать существующий объект групповой политики:

Связываем существующую политику с организационным юнитом

В открывшемся списке выбираем одну или несколько политик - OK. Готово.

# Серверы # Active Directory
Дмитрий Моск — частный мастер
Была ли полезна вам эта инструкция?

Да            Нет