1
GPOs mit Zielgruppenadressierung auf AD-User migrieren
Hallo Leute,
ich habe hier ein kleines Problem bei dem ich dringend Hilfe benötige.
Wir haben eine alte Win 2K3 Domäne die wir bald auf Win 2k16 migrieren werden.
Bislang benutzen wir fast keine GPOs (nur Kennwortrichtlinien) und stattdessen noch die altertümliche LOGON-BATCH die nun aufgelöst wird und alles per GPO erledigt werden soll.
So, ich habe eine autarke Testdomain (Test1.local) erstellt und dort in vielen Stunden und Tagen und Wochen diverse GPOs erstellt die zufriedenstellend funktionieren.
Diese Testdomain hat alle Sicherheitsgruppen die wir in der echten Domäne auch haben (natürlich mit eigener SID, anders geht es ja auch gar nicht).
Jetzt spiele ich die ganze Migration durch und habe mir deswegen eine weitere autarke Testdomain (Test2.local) erstellt (was dann meine Zieldomain, also das was ich dann in echt haben will, darstellen soll).
Die Migration klappt auch ganz gut und das Übertragen der GPOs von einer Domain in die Andere ebenfalls (Test1.local -> Test2.local) funktioniert ebenfalls ganz gut.
Ich habe da sogar mehrere Ansätze durchgespielt wie z.B.
a) die PowerShell-Scripte von einem Ashley McGlone ("Three Steps to Migrate Group Policy Between Active Directory Domains or Forests Using PowerShell") und
b) die von MS bereitgestellten PowerShell-Scripte aus der Sammlung "GPMC Sample Scripts" (davon vor allem CreateXMLFromEnvironment und CreateEnviromentFromXML).
Beide übertragen die GPOs mitsamt der Sicherheitsfilterungen sofern die Migrationstabellen stimmen.
Bei der Zielgruppenadressierung funktionieren beide jedoch gar nicht! Diese übertragen die Usernamen UND die ursprünglichen SIDs, was ja dann gar nicht klappen kann da die USer bzw. Sicherheitsgruppen abweichende bzw. neue SIDs haben.
So, meine Frage an euch ist jetzt folgende:
Wie kann ich GPOs mitsamt der sicherheitsgruppen-Zeilgruppenadressierung richtig übertragen?
Die Administratoren erstellen GPOs sicherlich immer erst in einer Testumgebung zum testen bevor diese dann übertragen wird. Ich denke da müsste es dann eine Lösung für das Problem bereits geben, oder irre ich mich da?
P.S.
Im weiten Internet habe ich die Information bekommen das ich statt des 'Pickers' bei der Ziegruppenadressierung->Sicherheitsgruppe Variablen verwenden sollte.
Also in der Quelldomain (Test1.local) statt einer Sicherheitsgruppe "Firma.local\Gruppe1" über die F3-Taste die Variable %LogonDomain% auszuwählen und den Gruppennamen ranzuhängen. Also so: "%LogonDomain%\Gruppe1". In beiden Domänen ist natürlich 'Gruppe1' enthalten.
Hat leider auch nicht geklappt.
ich habe hier ein kleines Problem bei dem ich dringend Hilfe benötige.
Wir haben eine alte Win 2K3 Domäne die wir bald auf Win 2k16 migrieren werden.
Bislang benutzen wir fast keine GPOs (nur Kennwortrichtlinien) und stattdessen noch die altertümliche LOGON-BATCH die nun aufgelöst wird und alles per GPO erledigt werden soll.
So, ich habe eine autarke Testdomain (Test1.local) erstellt und dort in vielen Stunden und Tagen und Wochen diverse GPOs erstellt die zufriedenstellend funktionieren.
Diese Testdomain hat alle Sicherheitsgruppen die wir in der echten Domäne auch haben (natürlich mit eigener SID, anders geht es ja auch gar nicht).
Jetzt spiele ich die ganze Migration durch und habe mir deswegen eine weitere autarke Testdomain (Test2.local) erstellt (was dann meine Zieldomain, also das was ich dann in echt haben will, darstellen soll).
Die Migration klappt auch ganz gut und das Übertragen der GPOs von einer Domain in die Andere ebenfalls (Test1.local -> Test2.local) funktioniert ebenfalls ganz gut.
Ich habe da sogar mehrere Ansätze durchgespielt wie z.B.
a) die PowerShell-Scripte von einem Ashley McGlone ("Three Steps to Migrate Group Policy Between Active Directory Domains or Forests Using PowerShell") und
b) die von MS bereitgestellten PowerShell-Scripte aus der Sammlung "GPMC Sample Scripts" (davon vor allem CreateXMLFromEnvironment und CreateEnviromentFromXML).
Beide übertragen die GPOs mitsamt der Sicherheitsfilterungen sofern die Migrationstabellen stimmen.
Bei der Zielgruppenadressierung funktionieren beide jedoch gar nicht! Diese übertragen die Usernamen UND die ursprünglichen SIDs, was ja dann gar nicht klappen kann da die USer bzw. Sicherheitsgruppen abweichende bzw. neue SIDs haben.
So, meine Frage an euch ist jetzt folgende:
Wie kann ich GPOs mitsamt der sicherheitsgruppen-Zeilgruppenadressierung richtig übertragen?
Die Administratoren erstellen GPOs sicherlich immer erst in einer Testumgebung zum testen bevor diese dann übertragen wird. Ich denke da müsste es dann eine Lösung für das Problem bereits geben, oder irre ich mich da?
P.S.
Im weiten Internet habe ich die Information bekommen das ich statt des 'Pickers' bei der Ziegruppenadressierung->Sicherheitsgruppe Variablen verwenden sollte.
Also in der Quelldomain (Test1.local) statt einer Sicherheitsgruppe "Firma.local\Gruppe1" über die F3-Taste die Variable %LogonDomain% auszuwählen und den Gruppennamen ranzuhängen. Also so: "%LogonDomain%\Gruppe1". In beiden Domänen ist natürlich 'Gruppe1' enthalten.
Hat leider auch nicht geklappt.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 502237
Url: https://administrator.de/contentid/502237
Printed on: May 10, 2024 at 00:05 o'clock
1 Comment
Arbeitet niemand hier in Testumgebungen und transferiert die GPOs, u.a. mit Zielgruppenadressierung auf Sicherheitsgruppenbasis (Standard?), in die Produktiv-Umgebung?
