Как перенести групповые политики на новый контроллер домена
Перенос групповых политик может понадобиться в случае создания нового домена в новом лесу или при разделении компании. Так или иначе, процесс выполняется в несколько этапов:
Архивирование объектов групповой политики
Создание файла таблиц миграции
Импорт групповых политик
Применение политик
По сути, мы делаем бэкап политик и восстанавливаем его на другом сервере. Для данной инструкции объекты GPO экспортировались с Windows Server 2016 и импортировались в Windows Server 2019. Однако, принцип резервирования/восстановления не менялся давно, и инструкция подойдет для версий 2008 и 2012.
1. Архивирование объектов групповой политики
Открываем консоль управления групповыми политиками на сервере (команда gpmc.msc), с которого будем их переносить. Переходим в раздел Объекты групповой политики - кликаем по ним правой кнопкой мыши - выбираем Архивировать все...:
Выбираем расположение для групповых политик (желательно, в отдельно созданную папку, так как в ней будут созданы каталоги политик):
... и нажимаем Архивировать.
Также мы можем выполнить команду в powershell:
Backup-Gpo -All -Path "C:\Users\Администратор\Downloads\GPO"
Дожидаемся окончания процесса и кликаем по OK. В папке выгрузки мы должны увидеть каталоги политик:
Переносим папку с выгруженными политиками на новый контроллер домена.
2. Создание файла таблиц миграции
На данном шаге мы исправим нестандартные настройки политик, которые характерны для старого домена.
Открываем на новом сервере консоль управления групповыми политиками - кликаем правой кнопкой по Объекты групповой политики - Открыть редактор таблиц миграции:
В открывшемся окне кликаем по Сервис - Заполнить из резервной копии:
Выбираем папку, в которой находятся выгруженные объекты политик, выделяем все политики, ставим обе галочки внизу окна:
... и нажимаем OK.
Откроется список уникальных настроен для старого домена — наша задача найти все, что не имеет отношения к новому домену и исправить это, например:
* обратите внимание, что в данном примере мы отредактировали домен на new.dmosk.local и UNC-путь для new-dc. Также мы оставили нетронутым старый домен old.dmosk.local — это сделано для примера.
После того, как настройки внесены, кликаем по Файл - Сохранить как:
Выбираем путь для сохранения файла с расширением .migtable.
3. Импорт групповых политик
Настройки для политик импортируются по одной. Массовой загрузки не предусмотрено.
В консоли управления политиками создаем первый объект:
Для удобства, желательно дать такое же название политики, как на первом контроллере:
Кликаем правой кнопкой по созданной политики - Импорт параметров...:
В открывшемся окне кликаем Далее - еще раз Далее - выбираем папку с архивом:
... и Далее. В списке политик выбираем нужную, которую хотим восстановить:
Ставим галочку Показывать только последние версии объекта групповой политики:
Нажимаем Далее - еще раз Далее - если для восстанавливаемой политики будут найдены индивидуальные настройки, система предложит восстановить все как есть или воспользоваться файлом импорта — выбираем файл, который создавали на шаге 2:
Далее и Готово.
Повторяем действия для каждого объекта групповой политики.
4. Применение политик
И так, политики мы создали и восстановили настройки. Но пока они находятся в общем контейнере и не применяются к пользователям или компьютерам. Необходимо их определить для организационных юнитов, сайтов или доменов.
В консоли управления групповыми политиками кликаем правой кнопкой мыши на нужном объекте, скажем, организационном юните - Связать существующий объект групповой политики:
В открывшемся списке выбираем одну или несколько политик - OK. Готово.