Введение
Из предыдущих статей данного цикла, вы уже научились эффективно управлять групповыми политиками средствами оснастки «Управление групповой политики», а именно узнали о назначении и принципе действия групповых политик, связях объектов групповых политик, приоритетов и делегировании объектов групповых политик. Также для эффективного выполнения административных задач и для того, чтобы свести к минимуму временные затраты на исправление негативного результата применения новых политик после перемещения пользователя вы научились применять функционал моделирования групповых политик. Помимо этого было рассказано о компоненте, который можно назвать «братом-близнецом» моделирования групповых политик, а именно о результирующей групповой политике, которая собирает групповые политики, обрабатывает все данные и сохраняет всю информацию в базе данных CIMOM через инструментарий управления Windows (WMI), непосредственно на локальном компьютере. Кроме того, вы научились пользоваться таким великолепным функционалом, как архивация групповой политики, которая позволяет вам не только защитить развернутые вами объекты групповых политик, а также архивировать их с целью миграции или импорта в другие домены или леса Active Directory. Всех этих знаний больше чем достаточно для полноценного управления настройками и параметрами безопасности ваших клиентских компьютеров и серверов, для того чтобы максимально упростить их администрирование. Но в том случае, если захотите импортировать объекты групповой политики из одного домена в другой, вам следует воспользоваться функционалом редактора таблиц миграции, который предназначен для облегчения процесса редактирования и развертывания таблиц миграции, и поставляется совместно с оснасткой управления групповыми политиками. При миграции объектов групповой политики из одного домена в другой вы можете столкнуться с трудностями, которые могут быть связаны с тем, что некоторая информация в объекте групповой политики на самом деле принадлежит тому домену, которому принадлежит объект групповой политики. В связи с этим использование идентичных параметров на домене, в который мигрирует новый объект групповой политики, считается нежелательным, так как в этом объекте может быть указана информация, которая ссылается на принципалов безопасности из другого домена. В этом случае целесообразно использовать таблицы миграции, которые предназначены для копирования и импорта объектов групповой политики из одного домена в другой в тех случаях, когда объекты содержат определенные сведения о домене, которые необходимо обновить во время копирования или импорта. К таким объектам относятся ссылки на пользователей, компьютеры и группы безопасности, включая пути UNC из исходного объекта групповой политики в новые значения конечного объекта. Если посмотреть на принципалов безопасности, которые передаются по доменам подробнее, то к ним можно отнести пользователей, группы и компьютеры, которые имеют ссылки в объекте групповой политики, в таблице управления доступом для любых настроек установки программного обеспечения объекта групповой политики, а также в таблице управления доступом объекта групповой политики. Принципалы безопасности могут содержать такие элементы, как группы с ограниченным доступом, системные службы, файловая система, реестр Windows, а также политики назначения прав пользователя.
По сути, таблица миграции – это файл, который состоит из одной или нескольких записей сопоставлений, состоящих из типа и имени исходного объекта, а также имени объекта назначения. Если во время импорта или копирования объекта групповой политики будет указана таблица миграции, то во время записи параметров конечного объекта групповой политики, каждая ссылка исходной записи будет заменена записью объекта назначения. Таблицы миграций сохраняются в XML-файлах с расширением .migtable. Создавать, редактировать и удалять таблицы миграции вы можете при помощи удобного пользовательского интерфейса утилиты «Редактор таблиц миграций», утилиты командной строки Mtedit.exe, а также при помощи любого доступного XML-редактора.
Содержимое файла таблицы миграции
Каждая таблица миграции, может включать в себя одну или несколько записей сопоставлений, причем, как было указано в предыдущем разделе, каждая запись сопоставления обязана содержать такие три вида данных, как имя исходного объекта, тип исходного объекта, а также имя объекта назначения. Рассмотрим отдельно каждый из этих видов данных:
- Имя исходного объекта. В этом разделе содержатся сведения, которые включают точное имя принципала безопасности, относящегося к домену с исходным объектом групповой политики. Вы можете указать такие элементы, как пользователя, локальную группу в домене, глобальную группу, универсальную группу, компьютер, путь UNC, идентификатор безопасности SID или произвольный текст. Если вы вводите имя источника вручную, то вы должны ввести точно имя, которое соответствует одному из следующих форматов:
- User Principal Name (UPN): domainuser@domainname.com;
- SAM: domainname\domainuser;
- DNS: domainname.com\domainuser;
- SID: S-1-5-21-3252370472-1227776530-4161870084-500;
- Произвольный текст: domainuser.
Если вы сомневаетесь в правильности написания имени исходного объекта, в редакторе таблиц миграции, вы можете нажать правой кнопкой мыши на ячейке с именем исходного объекта, выбрать из контекстного меню команду «Обзор» и, в диалоговом окне выбора пользователя, компьютера или группы с уже знакомым для вас интерфейсом, выбрать требуемый принципал безопасности;
- Тип исходного объекта. В данном разделе вы можете указать тип объекта, выбрав нужный тип из раскрывающегося списка. Из списка вы можете выбрать такие типы исходного объекта, как пользователь, локальную группу в домене, глобальную группу, универсальную группу, компьютер, путь UNC, идентификатор безопасности SID или произвольный текст, причем тип исходного объекта проставляется автоматически в том случае, если для поиска принципала безопасности использовали команду «Обзор»;
- Имя объекта назначения. В текущем разделе вы можете определить имя пользователя, группу, компьютер или UNC путь исходного объекта групповой политики, которое должно обрабатываться при переходе к конечному домену групповой политики. Вы можете копировать принципал безопасности без изменений, что равносильно отсутствию исходного значения в таблице миграции; удалить пользователя, компьютер или группу из объекта групповой политики не указав никакого значения; сопоставлять данные по соответствующим именам, что не используется совместно с UNC путями; а также явно указать значение, что позволяет заменить исходное значение точным значением, указанным пользователем.
Использование редактора таблиц миграции
Утилита «Редактор таблиц миграции» считается наиболее удобным методом создания, изменения и сохранения таблиц миграций, так как представляет собой утилиту с простым и понятным пользовательским интерфейсом. Для того чтобы открыть созданный ранее файл таблицы миграции, вам достаточно лишь выполнить двойной щелчок на XML-файле таблицы миграции, после чего откроется утилита «Редактор таблицы миграции». А для того чтобы открыть данную утилиту, выполните следующие действия:
- Откройте оснастку «Управление групповой политикой»;
- 2В дереве консоли разверните узел «Домены» или узел «Объекты групповой политики», щелкните на одном из этих объектов правой кнопкой мыши и из контекстного меню выберите команду «Открыть редактор таблицы миграции».
Окно утилиты «Редактор таблицы миграции» вы можете увидеть на следующей иллюстрации:
Увеличить рисунок
Рис. 1. Окно утилиты «Редактор таблицы миграции»
Как было уже указано выше, для добавления принципалов безопасности вы можете воспользоваться командой «Обзор», которая вызывается из контекстного меню для разделов «Имя исходного объекта» и «Имя объекта назначения». Помимо этого, соответствующие текстовые поля разделов вы можете редактировать при помощи команд «Вырезать», «Копировать» и «Вставить» контекстного меню или вводя текст вручную. В том случае, если вы добавляли значение в разделе «Имя исходного объекта» не воспользовавшись командой «Обзор», значение раздела «Тип исходного объекта» автоматически не заполняется и вам нужно выбрать тип объекта при помощи раскрывающегося меню. Редактор таблицы миграции позволяет вам создавать корректные XML-файлы при помощи автоматической проверки синтаксиса. Помимо этого до окончательного сохранения создаваемой вами таблицы миграции вы можете проверить таблицу миграции на наличие ошибок. Для этого выберите команду «Проверить таблицу» из меню «Сервис». Диалоговое окно результатов проверки таблицы миграции отображено ниже:
Рис. 2. Диалоговое окно «Результаты проверки»
Кроме всех перечисленных выше действий, вы также можете заполнять таблицу миграции в автоматическом режиме при помощи сканирования объектов групповой политики или их архивных копий для извлечения всех ссылок на участников безопасности и внесения их в таблицу в качестве записей исходных имен. Для этого вы можете воспользоваться командами «Заполнить из объекта групповой политики» или «Заполнить из архивной копии» меню «Сервис», причем значением имени объекта назначения для каждого ресурса будет выступать «Соответствует с исходным объектом», а значением типа исходного объекта будет «Текст или ИД безопасности». Диалоговые окна заполнения таблицы миграции изображены ниже:
Увеличить рисунок
Рис. 3. Диалоговые окна «Выбор объекта групповой политики» и «Выберите архив»
Использование утилиты командной строки Mtedit.exe
Наряду с утилитой «Редактор таблиц миграции» вы можете использовать функционал утилиты командной строки Mtedit.exe, который также позволяет создавать таблицы миграции. В применении данная утилита очень проста, так как для ее использования вам нужно задать имя таблицы миграции, которую требуется открыть в редакторе, а после имени обязательные параметры. Для данной утилиты доступны только четыре параметра, которые описаны ниже:
- /Domain. Данный параметр задает домены, которые будут использованы при выборе параметра «Заполнить из объекта групповой политики», где домен должен быть указан в формате DNS;
- /DC. Текущий параметр задает контроллер домена, используемый для указанного домена в формате DNS или NetBIOS. В том случае, если вы не укажите данный параметр, то будет использоваться любой контроллер домена;
- /Forest. Этот параметр дает задание редактору таблиц миграции использовать все домены в указанном лесу для заполнения списка доменов в диалоговом окне «Выбор объекта групповой политики» параметра «Заполнить из объекта групповой политики», которое указывается как DNS-имя корневого домена леса в выбранном лесу;
- /DisableTrustChecking. Используя этот параметр, вы можете запретить доступ к доменам, с которыми установлены двусторонние отношения доверия.
Результат использования данной утилиты изображен ниже:
Увеличить рисунок
Рис. 4. Использование утилиты Mtedit.exe
Создание таблицы миграции вручную
Как уже говорилось ранее в этой статье, помимо указанных выше способов создания таблиц миграции, вы можете создавать таблицы миграции вручную, используя любой редактор, позволяющий сохранять файлы в формате XML. Если вы все-таки решили создавать таблицу миграции в ручном режиме, то, прежде всего, вам нужно объявить пространство имен для того, чтобы созданную таблицу миграции можно было использовать на конечном домене. Пространство имен объявляется следующим образом:
<?xml version="1.0" encoding="utf-16"? >
<MigrationTable xmlns="http://www.microsoft.com/GroupPolicy/GPOOperations/MigrationTable">
После этого вам нужно в таблицу миграции добавить типы данных, для чего используются следующие элементы:
<Mapping>
<Type>Тип</Type>
<Source>Источник</Source>
<Destination>конечная_точка</Destination>
</Mapping>
Где элемент Mapping объявляет новый объект таблицы миграции, элемент Type указывает тип исходного объекта, элемент Source определяет имя исходного объекта, а при помощи элемента Destination указывается имя объекта назначения.
Заключение
В этой статье вы узнали об очередном компоненте, позволяющем эффективно управлять групповыми политиками в организации – о таблицах миграции. Были рассмотрены: утилита «Редактор таблиц миграции», которая позволяет создавать таблицы миграции при помощи удобного пользовательского интерфейса, утилита командной строки Mtedit.exe, а также создание XML-файлов, содержащих таблицы миграции в ручном режиме при помощи любой программы, позволяющей сохранять документы в формате XML.