Как сделать копию GPO политики
Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org. В прошлый раз мы с вами подробно рассмотрели, как создается загрузочная флешка с Windows 10 1903, который вышел буквально несколько дней назад. Сегодня я вновь вернусь к теме групповых политик, а именно мы рассмотрим, как сделать копию объекта GPO, со всеми настройками и параметрами, применяемыми к объектам Active Directory. Уверен, что начинающим падаванам, это окажется полезно.
Постановка задачи
Для каких целей вам может потребоваться с клонировать один объект групповой политики в вашем домене:
- Вы хотите иметь копию оригинальной политики перед внесением значимых изменений, эффект от которых вам сложно просчитать и оценить, и чтобы можно было всегда отказаться от новой GPO и вернуть старую, рабочую.
- В вашей GPO много настроек, которые вы хотели бы сохранить для новой групповой политики, но с небольшими изменениями. Чтобы не делать рутинную, дополнительную работу вы можете быстро и удобно скопировать нужную GPO, для дальнейшей работы с ней.
Методы клонирования объекта групповой политики
Существует несколько методов, позволяющих вам произвести полное копирование GPO:
- Через оснастку управление групповыми политиками GPMC
- Это использование моего любимого сильного языка, PowerShell
Открываем оснастку "Управление групповой политикой (gpmc.msc)". Находим нужный объект GPO который вам необходимо скопировать. В моем примере, это будет "Управление UIPI".
Посмотрим на вкладке "Параметры", что делает данная политика. Я ее использовал для отключения User Interface Privilege Isolation.
Далее переходим в контейнер "Объекты групповой политики", который содержит все ваши объекты GPO присутствующие в данном домене Active Directory. Щелкаем правым кликом по нужному и из контекстного меню выбираем пункт "Копировать".
Вот вы нажали скопировать и ничего не произошло, на мой взгляд, что Microsoft сделала очень не очевидно, что нужно делать дальше, особенно если вы делаете, это впервые. Парадокс заключается в том, что скопировать объект GPO вы можете только в контейнере "Объекты групповой политики" и нигде более. Вот почему бы сразу сюда не вставлять? Чтобы вы могли теперь создать скопированный объект GPO, кликните правым кликом по данному контейнеру и из контекстного меню выберите "Вставить".
У вас появится дополнительное окно с выбором действий "Копирование объекта групповой политики":
- Использовать разрешения по умолчанию для новых объектов групповой политики
- Сохранить существующие разрешения
Если хотите создать полный клон, то выбираем второй пункт, если хотите под шаманить список доступа к объекту, то выбираем первый вариант. Далее появится окно со статусом и прогрессом копирования, дожидаемся успешного окончания операции.
В итоге у вас появится новый объект GPO. у которого в начале названия будет слово "Копия". Обратите внимание, что все разрешения я сохранил, это видно по списку в фильтре безопасности и примененному WMI фильтру. Так же стоит отметить, что у новой политики, будет новый GUID, можете проверить на вкладке "Сведения".
Для вашего удобства советую вам переименовать новую политику, через клавишу F2 или контекстное меню.
Теперь посмотрим на сколько удобнее, это сделать через PowerShell. Для начала откройте PowerShell от имени администратора. Первым делом я вам предлагаю посмотреть вашу текущую политику, для этого есть командлет Get-GPO и вот такая конструкция.
Убедившись, как называется объект GPO и удостоверившись, что он вообще есть мы приступаем к его копированию. Для этого воспользуемся командлетом Gopy-GPO (https://docs.microsoft.com/en-us/powershell/module/grouppolicy/copy-gpo?view=win10-ps)
- SourceName - Имя копируемой политики
- TargetName - Имя новой политики
- -CopyAcl - Копирует все разрешения на политику GPO.
Теперь сделав просмотр новой политики, я вижу, что были скопированы права и WMI фильтры.
Так же вы можете проводить копирование между доменами. Между исходным доменом и доменом назначения должны существовать доверительные отношения.
Для переименовывания политики, через PowerShell можно применить командлет Rename-GPO.
На этом у меня все и надеюсь, что вам было интересно и полезно получить новые знания. С вами был Иван Семин, автор и создатель IT блога Pyatilistnik.org.
Популярные Похожие записи:
Не открывается объект групповой политики gpedit.msc- Управление Google диском в домене Active Directory
- LAPS не удалось создать приемлемый новый пароль
- Ошибка The number of connections to this computer is limited
- Теневое подключение RDP (Shadow), секреты и настройка
- Get-ADGroup: Управление группами Active Directory
Здравствуйте! У вас есть на сайте статья как перенести пользователей с одного домена на другой с сохранением настроек?
Вы имеет в виду по миграции между доменами, чтобы человек переехав в другой домен мог проходить там авторизацию и работать дальше за своим компьютером?
да
Иван Семин:
28.05.2019 в 23:11
Вы имеет в виду по миграции между доменами, чтобы человек переехав в другой домен мог проходить там авторизацию и работать дальше за своим компьютером?
Да, чтобы потом еще можно было перекатать эл.ящики с данными этих пользователей на сервере exchange
Можно ли переместить gpo windows server на windows 10
Смотря, что вы под этим понимаете, если настройки, то чисто гипотетически да, так как это просто XML файл