通常情况下我们见过用户,计算机,共享的跨林跨域迁移,那么组策略是否也支持迁移呢,答案是可以的,本文我们将详细探讨组策略迁移的场景与实践
组策略迁移可能的场景
测试环境到生产环境,企业针对于生产环境和测试环境分别部署了两套不同林环境的AD域,为了确保安全,并没有在两个域之间建立信任,现在需要将测试环境已经测试成功的组策略应用到生产环境,或反向。
父子域架构,企业新部署了一个子域,由于组策略是域级别的数据,因此子域不会得到父域的组策略,但是子域没有专业的IT人员,希望能够复用总部的组策略设置
成熟的组策略,林内树间的迁移复用,林信任的迁移复用,跨林不信任的迁移复用
组策略迁移需要在GPMC组策略管理工具中完成,对于组策略迁移有两个可选方法
组策略复制:适用于林内树间,父子域之间,林信任的组策略迁移,不支持迁移到没有信任的域,迁移时需要来源目标域控制器在线联机,在复制操作期间创建的新GPO将获得一个新的全局唯一标识符(GUID)并取消链接,对于组策略对象的权限设置可以保留
组策略备份:适用于林内树间,父子域之间,林信任,无信任环境的组策略迁移,备份内容包括GPO(GUID),GPO设置,GPO上的自主访问控制列表(DACL),WMI过滤器链接(如果有),但不是过滤器本身,指向IP安全策略的链接(如果有),GPO设置的XML报告,可以在GPMC中以HTML格式查看,备份时的日期和时间戳,用户提供的备份说明
组策略迁移关键概念-迁移表
在执行组策略跨林迁移时我们会遇见一个问题,组策略里面可能设置了当前域用户或组的安全主体,设置了当前域内的共享路径映射,但是到了目标域里面没有这些用户和共享路径,如果不使用迁移表,迁移之后我们需要手动一个一个去改,而迁移表可以帮助我们在执行导入前,完成映射,例如测试域组策略里面所有测试安全组替换为生产安全组,所有测试环境组策略共享路径替换为生产环境路径,在小环境中可能体现不出多大价值,但是如果组策略里面存在很多安全设置和共享设置,迁移表在迁移的时候就可以帮我们省不少事。
组策略复制,直接在向导中完成步骤,不需要将组策略导出到文件系统,组策略备份会由组策略导入步骤相对应,我们会在新的环境里面导入组策略备份文件,包括所有备份的内容,不论是复制过程或是导入过程,都支持选择迁移表,以便在迁移过程自动帮我们完成,用户/组/计算机等安全主体以及共享路径,在新环境里面不同名称的映射。
实验环境介绍
当前环境有一套测试域oa.com,一套生产域zq.com,两个域没有信任关系,是独立的两个森林,现需要将组策略导入到生产环境,并在过程中完成不同安全对象的映射,当前测试环境使用OU DEP,里面有三个用户,一个组,Jason和Mike加入VIP组,创建组策略dev,设置测试环境共享路径,设置安全策略
跨林组策略迁移流程
编写迁移表映射
备份源组策略
复制组策略备份文件及迁移表至目标域
目标域目标OU创建空白组策略
导入组策略备份文件,迁移表
OK,接下来就是看看迁移表的时候了,这是个老古董了,没记错应该是2003时代的产物,支持GUI界面迁移表编辑器,也支持CMD管理,打开GPMC-组策略对象-打开迁移表编辑器
可以在备份完成组策略再编辑迁移表,也可以先编辑好迁移表,最终迁移表文件+组策略备份需一起在目标域环境导入,迁移表编辑器有一个很实用的功能,打开工具下拉菜单,可见从GPO填充
在GPO填充界面,我们选择需要迁移的组策略,迁移表会帮我们自动去扫描该组策略里面涉及到的域内特有的用户/组/计算机等安全主体设置,否则我们需自己一个个填写,如果勾选上下方的,扫描过程中,包括来自GPO上DACL的安全主体,则我们对于组策略对象的安全设置也会被扫描出来
扫描完成后,我们将本域的安全主体,修改为目标域的安全主体,已确保迁移之后可以正常使用,对于未扫描到的共享路径或安全主体进行补充
确认所有要在生产环境映射的信息修改完成后,点击文件,另存为,保存迁移表文件
点击组策略对象,选择dev,右键点击备份
来到生产域OU,创建一个新GPO
点击组策略对象,选择新建组策略,右键点击导入设置,选择复制过来的组策略备份文件目录
点击下一步,导入向导检测到组策略里面存在对于源域安全对象和共享路径引用,询问对于引用如何处理,可以选择从源完全复制,由于我们是跨林没有信任,因此源引用肯定是无效的,所以我们选择使用迁移表映射,选择迁移表文件
下面有个独占选项,该选项主要是为了防止误导入,将错误的迁移表映射给组策略,这里我们确认是正确的迁移表,所以不用勾选。
点击下一步开始执行导入,这里为什么选择导入,而不是备份相对应的还原,因为组策略的还原功能无法识别其它机器的备份文件,仅支持还原本服务器的备份
导入完成打开组策略验证,所有安全对象引用,以及文件共享路径,都已经跨林映射过来
实验2.当前林根域oa.com,兼并公司gate.com域树,两个域建立域树信任,被兼并的公司希望能够直接复用总部的组策略设置,当前林根域环境使用OU DEP,里面有三个用户,一个组,Jason和Mike加入VIP组,创建组策略OPS,设置测试环境共享路径脚本执行,设置组策略对象安全列表
跨域迁移组策略流程
编写迁移表
在源组策略管理器添加显示目标信任域(来源目标必须在线)
复制所选组策略
在目标信任域组策略对象容器下点击粘贴
触发跨域复制向导,选择权限复制模型,映射迁移表
手动链接复制过来的GPO至目标OU
参照跨林迁移步骤设置迁移表
在源域组策略管理器中,点击域,右键选择显示域,勾选显示目标信任域
由于这次是存在信任的域关系,我们直接在源域中,右键点击组策略对象,选择复制
切换到目标信任域组策略对象,右键点击粘贴
一定要在这里粘贴,才能唤醒跨域复制组策略向导!
这一步非常重要,大多数网上博客都不会提到这一点,如果勾选新GPO使用默认权限,那么源域组策略对象的安全权限,将不会被迁移到目标域,GPO复制到新域将使用全新安全权限,即便是迁移表扫描出来,配置了映射,也不会生效,如果希望将源GPO安全设定,原样复制给目标信任域,或希望将源域GPO安全设定里面的安全主体使用迁移表映射给目标信任域,则这里必须勾选下面选项才会生效。经过老王的实际测试,迁移映射组策略安全权限设定,仅在林内域间信任环境生效,迁移表可以把安全主体映射到组策略对象权限列表,跨林或不信任域,组策略对象权限列表映射均失效,需手动重新设置。
点击下一步,跨域复制组策略向导,检测到源组策略存在安全主体与共享路径
询问要原样复制,或是使用迁移表完成映射,选择配置好的迁移表文件,可以直接在源主机完成此操作,并使用源主机本地迁移表文件
点击下一步完成开始复制
复制成功后可见组策略安全权限列表,组策略内容设置全部完成映射
确认无误后手动将组策略对象链接到目标OU,因为我们复制是直接复制到组策略对象,并且复制到OU,这是与导入的区别
提示:不论是使用复制或是导入,均不支持WMI筛选器的迁移,如果需要大量WMI筛选器的迁移,或希望使用Powershell处理组策略迁移,请参考博客