組策略跨林跨域遷移-創(chuàng)新互聯(lián)

通常情況下我們見過用戶，計(jì)算機(jī)，共享的跨林跨域遷移，那么組策略是否也支持遷移呢，答案是可以的，本文我們將詳細(xì)探討組策略遷移的場(chǎng)景與實(shí)踐

網(wǎng)站建設(shè)哪家好，找創(chuàng)新互聯(lián)公司！專注于網(wǎng)頁設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、微信小程序開發(fā)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了張家界免費(fèi)建站歡迎大家使用！

組策略遷移可能的場(chǎng)景

1. 測(cè)試環(huán)境到生產(chǎn)環(huán)境，企業(yè)針對(duì)于生產(chǎn)環(huán)境和測(cè)試環(huán)境分別部署了兩套不同林環(huán)境的AD域，為了確保安全，并沒有在兩個(gè)域之間建立信任，現(xiàn)在需要將測(cè)試環(huán)境已經(jīng)測(cè)試成功的組策略應(yīng)用到生產(chǎn)環(huán)境，或反向。

2. 父子域架構(gòu)，企業(yè)新部署了一個(gè)子域，由于組策略是域級(jí)別的數(shù)據(jù)，因此子域不會(huì)得到父域的組策略，但是子域沒有專業(yè)的IT人員，希望能夠復(fù)用總部的組策略設(shè)置

3. 成熟的組策略，林內(nèi)樹間的遷移復(fù)用，林信任的遷移復(fù)用，跨林不信任的遷移復(fù)用

組策略遷移需要在GPMC組策略管理工具中完成，對(duì)于組策略遷移有兩個(gè)可選方法

1. 組策略復(fù)制：適用于林內(nèi)樹間，父子域之間，林信任的組策略遷移，不支持遷移到?jīng)]有信任的域，遷移時(shí)需要來源目標(biāo)域控制器在線聯(lián)機(jī)，在復(fù)制操作期間創(chuàng)建的新GPO將獲得一個(gè)新的全局唯一標(biāo)識(shí)符（GUID）并取消鏈接，對(duì)于組策略對(duì)象的權(quán)限設(shè)置可以保留

2. 組策略備份：適用于林內(nèi)樹間，父子域之間，林信任，無信任環(huán)境的組策略遷移，備份內(nèi)容包括GPO(GUID），GPO設(shè)置，GPO上的自主訪問控制列表（DACL）,WMI過濾器鏈接（如果有），但不是過濾器本身,指向IP安全策略的鏈接（如果有），GPO設(shè)置的XML報(bào)告，可以在GPMC中以HTML格式查看，備份時(shí)的日期和時(shí)間戳，用戶提供的備份說明，備份會(huì)生成備份文件，需拷貝至目標(biāo)域控導(dǎo)入。

組策略遷移關(guān)鍵概念-遷移表

在執(zhí)行組策略跨林遷移時(shí)我們會(huì)遇見一個(gè)問題，組策略里面可能設(shè)置了當(dāng)前域用戶或組的安全主體，設(shè)置了當(dāng)前域內(nèi)的共享路徑映射，但是到了目標(biāo)域里面沒有這些用戶和共享路徑，如果不使用遷移表，遷移之后我們需要手動(dòng)一個(gè)一個(gè)去改，而遷移表可以幫助我們?cè)趫?zhí)行導(dǎo)入前，完成映射，例如測(cè)試域組策略里面所有測(cè)試安全組替換為生產(chǎn)安全組，所有測(cè)試環(huán)境組策略共享路徑替換為生產(chǎn)環(huán)境路徑，確保遷移過去組策略直接生效，在小環(huán)境中可能體現(xiàn)不出多大價(jià)值，但是如果組策略里面存在很多安全設(shè)置和共享設(shè)置，遷移表在遷移的時(shí)候就可以幫我們省不少事。

組策略復(fù)制，直接在向?qū)е型瓿刹襟E，不需要將組策略導(dǎo)出到文件系統(tǒng)，組策略備份會(huì)由組策略導(dǎo)入步驟相對(duì)應(yīng)，我們會(huì)在新的環(huán)境里面導(dǎo)入組策略備份文件，包括所有備份的內(nèi)容，不論是復(fù)制過程或是導(dǎo)入過程，都支持選擇遷移表，以便在遷移過程自動(dòng)幫我們完成，用戶/組/計(jì)算機(jī)等安全主體以及共享路徑，在新環(huán)境里面不同名稱的映射。

實(shí)驗(yàn)環(huán)境介紹

當(dāng)前環(huán)境有一套測(cè)試域oa.com，一套生產(chǎn)域zq.com，兩個(gè)域沒有信任關(guān)系，是獨(dú)立的兩個(gè)森林，現(xiàn)需要將組策略導(dǎo)入到生產(chǎn)環(huán)境，并在過程中完成不同安全對(duì)象的映射，當(dāng)前測(cè)試環(huán)境使用OU DEP，里面有三個(gè)用戶，一個(gè)組，Jason和Mike加入VIP組，創(chuàng)建組策略dev，設(shè)置測(cè)試環(huán)境共享路徑，設(shè)置安全策略

跨林組策略遷移流程

1. 編寫遷移表映射

2. 備份源組策略

3. 復(fù)制組策略備份文件及遷移表至目標(biāo)域

4. 目標(biāo)域目標(biāo)OU創(chuàng)建空白組策略

5. 導(dǎo)入組策略備份文件，遷移表

OK，接下來就是看看遷移表的時(shí)候了，這是個(gè)老古董了，沒記錯(cuò)應(yīng)該是2003時(shí)代的產(chǎn)物，支持GUI界面遷移表編輯器，也支持CMD管理，打開GPMC-組策略對(duì)象-打開遷移表編輯器

可以在備份完成組策略再編輯遷移表，也可以先編輯好遷移表，最終遷移表文件+組策略備份需一起在目標(biāo)域環(huán)境導(dǎo)入，遷移表編輯器有一個(gè)很實(shí)用的功能，打開工具下拉菜單，可見從GPO填充

在GPO填充界面，我們選擇需要遷移的組策略，遷移表會(huì)幫我們自動(dòng)去掃描該組策略里面涉及到的域內(nèi)特有的用戶/組/計(jì)算機(jī)等安全主體設(shè)置，否則我們需自己一個(gè)個(gè)填寫，如果勾選上下方的，掃描過程中，包括來自GPO上DACL的安全主體，則我們對(duì)于組策略對(duì)象的安全設(shè)置也會(huì)被掃描出來

掃描完成后，我們將本域的安全主體，映射為目標(biāo)域的安全主體，以確保遷移之后可以正常使用，對(duì)不正確的源類型進(jìn)行修改，對(duì)于組策略中未掃描到的共享路徑或安全主體進(jìn)行補(bǔ)充

確認(rèn)所有要在生產(chǎn)環(huán)境映射的信息修改完成后，點(diǎn)擊文件，另存為，保存遷移表文件

點(diǎn)擊組策略對(duì)象，選擇dev，右鍵點(diǎn)擊備份

備份完成后復(fù)制備份文件及遷移表文件至目標(biāo)域控

來到生產(chǎn)域OU，創(chuàng)建一個(gè)新GPO

在組策略對(duì)象容器選擇新建的組策略，右鍵點(diǎn)擊導(dǎo)入設(shè)置，選擇復(fù)制過來的組策略備份文件目錄

點(diǎn)擊下一步，導(dǎo)入向?qū)z測(cè)到組策略里面存在對(duì)于源域安全對(duì)象和共享路徑引用，詢問對(duì)于引用如何處理，可以選擇從源完全復(fù)制，由于我們是跨林沒有信任，因此源引用肯定是無效的，所以我們選擇使用遷移表映射，選擇遷移表文件

下面有個(gè)獨(dú)占選項(xiàng)，該選項(xiàng)主要是為了防止誤導(dǎo)入，將錯(cuò)誤的遷移表映射給組策略，這里我們確認(rèn)是正確的遷移表，所以不用勾選。

點(diǎn)擊下一步開始執(zhí)行導(dǎo)入，這里為什么選擇導(dǎo)入，而不是備份相對(duì)應(yīng)的還原，因?yàn)榻M策略的還原功能無法識(shí)別其它機(jī)器的備份文件，僅支持還原本服務(wù)器的備份

導(dǎo)入完成打開組策略驗(yàn)證，所有安全對(duì)象引用，以及文件共享路徑，都已經(jīng)跨林映射過來

實(shí)驗(yàn)2.當(dāng)前林根域oa.com，兼并公司gate.com域樹，兩個(gè)域建立域樹信任，被兼并的公司希望能夠直接復(fù)用總部的組策略設(shè)置，當(dāng)前林根域環(huán)境使用OU DEP，里面有三個(gè)用戶，一個(gè)組，Jason和Mike加入VIP組，創(chuàng)建組策略O(shè)PS，設(shè)置測(cè)試環(huán)境共享路徑腳本執(zhí)行，設(shè)置組策略對(duì)象安全列表

 跨域遷移組策略流程

1. 編寫遷移表

2. 在源組策略管理器添加顯示目標(biāo)信任域(來源目標(biāo)必須在線)

3. 復(fù)制所選組策略

4. 在目標(biāo)信任域組策略對(duì)象容器下點(diǎn)擊粘貼

5. 觸發(fā)跨域復(fù)制向?qū)Вx擇權(quán)限復(fù)制模型，映射遷移表

6. 手動(dòng)鏈接復(fù)制過來的GPO至目標(biāo)OU

參照跨林遷移步驟設(shè)置遷移表

在源域組策略管理器中，點(diǎn)擊域，右鍵選擇顯示域，勾選顯示目標(biāo)信任域

由于這次是存在信任的域關(guān)系，我們直接在源域中，右鍵點(diǎn)擊組策略對(duì)象，選擇復(fù)制

切換到目標(biāo)信任域組策略對(duì)象，右鍵點(diǎn)擊粘貼

一定要在這里粘貼，才能喚醒跨域復(fù)制組策略向?qū)В?/p>

這一步非常重要，大多數(shù)網(wǎng)上博客都不會(huì)提到這一點(diǎn)，如果勾選新GPO使用默認(rèn)權(quán)限，那么源域組策略對(duì)象的安全權(quán)限，將不會(huì)被遷移到目標(biāo)域，GPO復(fù)制到新域?qū)⑹褂萌掳踩珯?quán)限，即便是遷移表掃描出來，配置了映射，也不會(huì)生效，如果希望將源GPO安全設(shè)定，原樣復(fù)制給目標(biāo)信任域，或希望將源域GPO安全設(shè)定里面的安全主體使用遷移表映射給目標(biāo)信任域，則這里必須勾選下面選項(xiàng)才會(huì)生效。經(jīng)過老王的實(shí)際測(cè)試，遷移映射組策略安全權(quán)限設(shè)定，僅在林內(nèi)域間信任環(huán)境生效，遷移表可以把安全主體映射到組策略對(duì)象權(quán)限列表，跨林或不信任域，組策略對(duì)象權(quán)限列表映射均失效，需手動(dòng)重新設(shè)置。

點(diǎn)擊下一步，跨域復(fù)制組策略向?qū)?，檢測(cè)到源組策略存在安全主體與共享路徑

詢問要原樣復(fù)制，或是使用遷移表完成映射，選擇配置好的遷移表文件，可以直接在源主機(jī)完成此操作，并使用源主機(jī)本地遷移表文件

點(diǎn)擊下一步完成開始復(fù)制

復(fù)制成功后可見組策略安全權(quán)限列表，組策略內(nèi)容設(shè)置全部完成映射

確認(rèn)無誤后手動(dòng)將組策略對(duì)象鏈接到目標(biāo)OU，因?yàn)槲覀儚?fù)制是直接復(fù)制到組策略對(duì)象，并非復(fù)制到OU，這是與導(dǎo)入的區(qū)別

提示：不論是使用復(fù)制或是導(dǎo)入，均不支持WMI篩選器的遷移，如果需要大量WMI篩選器的遷移，或希望使用Powershell處理組策略遷移，請(qǐng)參考博客

WMI篩選器遷移腳本

下一步博客計(jì)劃：自從2017年寫WSFC博客來，老王認(rèn)識(shí)了很多朋友，被很多朋友認(rèn)可，倍感榮幸，傳達(dá)的技術(shù)幫助博友們解決實(shí)際問題，倍感高興，下一步老王WSFC博客還會(huì)繼續(xù)寫，但是目前基本上能寫的WSFC博客都寫了，一旦遇見好課題一定第一時(shí)間分享給大家，同時(shí)2019即將發(fā)布，如果看到一些我覺得實(shí)用新穎的好技術(shù)，會(huì)寫博客出來與大家分享，對(duì)于看到的老的企業(yè)級(jí)技術(shù)，但國內(nèi)少有人提及的我也會(huì)寫。基本上主要就集中在這三塊內(nèi)容，如果WSFC系列長(zhǎng)時(shí)間沒有找到課題，老王可能年底或者明年準(zhǔn)備一下會(huì)開啟一個(gè)新的系列博客，目前計(jì)劃是MDOP或者SCO+SCSM+SCOM深入應(yīng)用，不管是選擇那個(gè)老王都會(huì)保持WSFC系列的水準(zhǔn)。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

新聞標(biāo)題：組策略跨林跨域遷移-創(chuàng)新互聯(lián)
標(biāo)題來源：http://bm7419.com/article44/diohhe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站制作、關(guān)鍵詞優(yōu)化、網(wǎng)站導(dǎo)航、網(wǎng)站排名、App開發(fā)、自適應(yīng)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)