組策略跨林跨域遷移

通常情況下我們見過用戶，計算機，共享的跨林跨域遷移，那么組策略是否也支持遷移呢，答案是可以的，本文我們將詳細探討組策略遷移的場景與實踐

組策略遷移可能的場景

1. 測試環境到生產環境，企業針對于生產環境和測試環境分別部署了兩套不同林環境的AD域，為了確保安全，并沒有在兩個域之間建立信任，現在需要將測試環境已經測試成功的組策略應用到生產環境，或反向。

2. 父子域架構，企業新部署了一個子域，由于組策略是域級別的數據，因此子域不會得到父域的組策略，但是子域沒有專業的IT人員，希望能夠復用總部的組策略設置

3. 成熟的組策略，林內樹間的遷移復用，林信任的遷移復用，跨林不信任的遷移復用

組策略遷移需要在GPMC組策略管理工具中完成，對于組策略遷移有兩個可選方法

1. 組策略復制：適用于林內樹間，父子域之間，林信任的組策略遷移，不支持遷移到沒有信任的域，遷移時需要來源目標域控制器在線聯機，在復制操作期間創建的新GPO將獲得一個新的全局唯一標識符（GUID）并取消鏈接，對于組策略對象的權限設置可以保留

2. 組策略備份：適用于林內樹間，父子域之間，林信任，無信任環境的組策略遷移，備份內容包括GPO(GUID），GPO設置，GPO上的自主訪問控制列表（DACL）,WMI過濾器鏈接（如果有），但不是過濾器本身,指向IP安全策略的鏈接（如果有），GPO設置的XML報告，可以在GPMC中以HTML格式查看，備份時的日期和時間戳，用戶提供的備份說明，備份會生成備份文件，需拷貝至目標域控導入。

組策略遷移關鍵概念-遷移表

在執行組策略跨林遷移時我們會遇見一個問題，組策略里面可能設置了當前域用戶或組的安全主體，設置了當前域內的共享路徑映射，但是到了目標域里面沒有這些用戶和共享路徑，如果不使用遷移表，遷移之后我們需要手動一個一個去改，而遷移表可以幫助我們在執行導入前，完成映射，例如測試域組策略里面所有測試安全組替換為生產安全組，所有測試環境組策略共享路徑替換為生產環境路徑，確保遷移過去組策略直接生效，在小環境中可能體現不出多大價值，但是如果組策略里面存在很多安全設置和共享設置，遷移表在遷移的時候就可以幫我們省不少事。

組策略復制，直接在向導中完成步驟，不需要將組策略導出到文件系統，組策略備份會由組策略導入步驟相對應，我們會在新的環境里面導入組策略備份文件，包括所有備份的內容，不論是復制過程或是導入過程，都支持選擇遷移表，以便在遷移過程自動幫我們完成，用戶/組/計算機等安全主體以及共享路徑，在新環境里面不同名稱的映射。

實驗環境介紹

當前環境有一套測試域oa.com，一套生產域zq.com，兩個域沒有信任關系，是獨立的兩個森林，現需要將組策略導入到生產環境，并在過程中完成不同安全對象的映射，當前測試環境使用OU DEP，里面有三個用戶，一個組，Jason和Mike加入VIP組，創建組策略dev，設置測試環境共享路徑，設置安全策略

跨林組策略遷移流程

1. 編寫遷移表映射

2. 備份源組策略

3. 復制組策略備份文件及遷移表至目標域

4. 目標域目標OU創建空白組策略

5. 導入組策略備份文件，遷移表

OK，接下來就是看看遷移表的時候了，這是個老古董了，沒記錯應該是2003時代的產物，支持GUI界面遷移表編輯器，也支持CMD管理，打開GPMC-組策略對象-打開遷移表編輯器

可以在備份完成組策略再編輯遷移表，也可以先編輯好遷移表，最終遷移表文件+組策略備份需一起在目標域環境導入，遷移表編輯器有一個很實用的功能，打開工具下拉菜單，可見從GPO填充

在GPO填充界面，我們選擇需要遷移的組策略，遷移表會幫我們自動去掃描該組策略里面涉及到的域內特有的用戶/組/計算機等安全主體設置，否則我們需自己一個個填寫，如果勾選上下方的，掃描過程中，包括來自GPO上DACL的安全主體，則我們對于組策略對象的安全設置也會被掃描出來

掃描完成后，我們將本域的安全主體，映射為目標域的安全主體，以確保遷移之后可以正常使用，對不正確的源類型進行修改，對于組策略中未掃描到的共享路徑或安全主體進行補充

確認所有要在生產環境映射的信息修改完成后，點擊文件，另存為，保存遷移表文件

點擊組策略對象，選擇dev，右鍵點擊備份

備份完成后復制備份文件及遷移表文件至目標域控

來到生產域OU，創建一個新GPO

在組策略對象容器選擇新建的組策略，右鍵點擊導入設置，選擇復制過來的組策略備份文件目錄

點擊下一步，導入向導檢測到組策略里面存在對于源域安全對象和共享路徑引用，詢問對于引用如何處理，可以選擇從源完全復制，由于我們是跨林沒有信任，因此源引用肯定是無效的，所以我們選擇使用遷移表映射，選擇遷移表文件

下面有個獨占選項，該選項主要是為了防止誤導入，將錯誤的遷移表映射給組策略，這里我們確認是正確的遷移表，所以不用勾選。

點擊下一步開始執行導入，這里為什么選擇導入，而不是備份相對應的還原，因為組策略的還原功能無法識別其它機器的備份文件，僅支持還原本服務器的備份

導入完成打開組策略驗證，所有安全對象引用，以及文件共享路徑，都已經跨林映射過來

實驗2.當前林根域oa.com，兼并公司gate.com域樹，兩個域建立域樹信任，被兼并的公司希望能夠直接復用總部的組策略設置，當前林根域環境使用OU DEP，里面有三個用戶，一個組，Jason和Mike加入VIP組，創建組策略OPS，設置測試環境共享路徑腳本執行，設置組策略對象安全列表

 跨域遷移組策略流程

1. 編寫遷移表

2. 在源組策略管理器添加顯示目標信任域(來源目標必須在線)

3. 復制所選組策略

4. 在目標信任域組策略對象容器下點擊粘貼

5. 觸發跨域復制向導，選擇權限復制模型，映射遷移表

6. 手動鏈接復制過來的GPO至目標OU

    

參照跨林遷移步驟設置遷移表

在源域組策略管理器中，點擊域，右鍵選擇顯示域，勾選顯示目標信任域

由于這次是存在信任的域關系，我們直接在源域中，右鍵點擊組策略對象，選擇復制

切換到目標信任域組策略對象，右鍵點擊粘貼

一定要在這里粘貼，才能喚醒跨域復制組策略向導！

這一步非常重要，大多數網上博客都不會提到這一點，如果勾選新GPO使用默認權限，那么源域組策略對象的安全權限，將不會被遷移到目標域，GPO復制到新域將使用全新安全權限，即便是遷移表掃描出來，配置了映射，也不會生效，如果希望將源GPO安全設定，原樣復制給目標信任域，或希望將源域GPO安全設定里面的安全主體使用遷移表映射給目標信任域，則這里必須勾選下面選項才會生效。經過老王的實際測試，遷移映射組策略安全權限設定，僅在林內域間信任環境生效，遷移表可以把安全主體映射到組策略對象權限列表，跨林或不信任域，組策略對象權限列表映射均失效，需手動重新設置。

點擊下一步，跨域復制組策略向導，檢測到源組策略存在安全主體與共享路徑

詢問要原樣復制，或是使用遷移表完成映射，選擇配置好的遷移表文件，可以直接在源主機完成此操作，并使用源主機本地遷移表文件

點擊下一步完成開始復制

復制成功后可見組策略安全權限列表，組策略內容設置全部完成映射

確認無誤后手動將組策略對象鏈接到目標OU，因為我們復制是直接復制到組策略對象，并非復制到OU，這是與導入的區別

提示：不論是使用復制或是導入，均不支持WMI篩選器的遷移，如果需要大量WMI篩選器的遷移，或希望使用Powershell處理組策略遷移，請參考博客

WMI篩選器遷移腳本

下一步博客計劃：自從2017年寫WSFC博客來，老王認識了很多朋友，被很多朋友認可，倍感榮幸，傳達的技術幫助博友們解決實際問題，倍感高興，下一步老王WSFC博客還會繼續寫，但是目前基本上能寫的WSFC博客都寫了，一旦遇見好課題一定第一時間分享給大家，同時2019即將發布，如果看到一些我覺得實用新穎的好技術，會寫博客出來與大家分享，對于看到的老的企業級技術，但國內少有人提及的我也會寫。基本上主要就集中在這三塊內容，如果WSFC系列長時間沒有找到課題，老王可能年底或者明年準備一下會開啟一個新的系列博客，目前計劃是MDOP或者SCO+SCSM+SCOM深入應用，不管是選擇那個老王都會保持WSFC系列的水準。