Copie ou migration des GPO

dans un lab, complètement offline et isolé. Ensuite, une fois les GPO complètement testés et prêts, vous pourrez les faire migrer dans votre domaine de production. Dans les deux cas, GPMC vous aidera à faire passer les GPO du test à la production.

GPMC permet de copier un GPO à l’intérieur d’un domaine ou entre deux domaines. Vous devrez ordonner à GPMC de changer la vue de manière à afficher les domaines disponibles. Pour cela, faites un clic droit sur le noeud Domains et sélectionnez Show Domains. Ensuite, pour copier un GPO, faites un clic droit sur ce GPO et sélectionnez Copy. Puis, faites un clic droit dans le conteneur Group Policy Objects du domaine et sélectionnez Paste pour créer une copie.

Il est un peu plus ardu de faire migrer des GPO vers votre domaine de production à partir d’un lab offline. Il faut alors recourir à la fonction Import de GPMC. Les étapes de migration que vous suivez lors de l’utilisation de la fonction Import sont associées à la procédure de sauvegarde et de restauration. Pour faire migrer un GPO entre des domaines qui se trouvent dans des forêts différentes, procédez ainsi :

• Faites une copie de sauvegarde des GPO du domaine source.
• Créez un nouveau GPO dans le domaine cible (ou choisissez d’écraser un GPO existant).
• Faites un clic droit sur le GPO cible et sélectionnez Import Settings. Cette manoeuvre démarre le Import Settings Wizard qu’illustre la figure 3. Le wizard permet de sélectionner un jeu de sauvegarde et de choisir un GPO à partir duquel s’effectuera l’importation.

Le Import Settings Wizard vous permet de sauvegarder le GPO cible avant d’y importer le GPO source. Il ne faut sauvegarder le GPO cible que quand il vient juste d’être créé.

Les étapes que je viens de couvrir constituent la procédure de base pour copier ou faire migrer un GPO au moyen de la commande Import. Toutefois, si le GPO à partir duquel vous voulez importer des paramètres contient des groupes de sécurité ou des chemins UNC (Universal Naming Convention), il vous faudra probablement utiliser la fonction table de migration GPMC. Par exemple, les fonctions Group Policy Software Installation and Folder Redirection Settings utilisent des noms de chemins d’accès UNC. Pour spécifier correctement le logiciel à distribuer, le GPO lance en principe un fichier Windows Installer (.msi) qui se trouve dans le chemin UNC – par exemple, \\Server\share. Cependant, il est possible qu’il n’existe pas dans le domaine cible un serveur nommé Server1. Ou, pis encore, Server1 existe mais vous ne voulez pas que vos utilisateurs s’en servent. Pour être certains d’importer le bon GPO avec les bonnes références UNC et groupe de sécurité, il vous faudra traiter votre fonction Copy and Import de migration avec une table de migration.

La table de migration vous permet de convertir n’importe quelle référence UNC provenant du domaine source en références valides dans le domaine cible. Le Import Settings Wizard vous alerte de la présence de chemins UNC dans le domaine source et présente deux possibilités pour traiter les noms de chemins d’accès UNC, comme le montre la figure 4. La première proposition, Copying them identically from the source, n’est pas un choix judicieux parce que, comme je l’ai dit plus haut, les références UNC ou groupe de sécurité dans le domaine source n’existent pas forcément dans le domaine cible. Par conséquent, le GPO ne fonctionnera pas une fois copié dans le domaine cible. C’est pourquoi le second choix est préférable, Using this migration table to map them in the destination GPO.

Pour créer votre première table de migration, dans la fenêtre Migrating References que montre la figure 4, cliquez sur New. Vous obtenez le Migration Table Editor, la boîte de dialogue de style tableur que montre la figure 5. Vous pouvez commencer à remplir la table avec les informations que vous connaissez. Comme vous importez à partir d’une sauvegarde, sélectionnez Tools, Populate from Backup. Ensuite, sélectionnez le GPO concerné par la migration. Cette manoeuvre peuple la colonne Source Name avec toutes les références UNC dans le GPO que vous avez indiqué. Ensuite, tapez simplement un nouveau chemin UNC (ou référence groupe de sécurité) dans le champ Destination Name pour chaque chemin d’UNC (ou groupe de sécurité) soumis à migration. Dans la figure 5, on voit que le GPO sélectionné inclut le nom de chemin d’accès UNC \\OLDServer\Software. Or, dans le domaine cible, ce serveur n’existe pas. Par conséquent, vous devez entrer le nom de chemin d’accès approprié pour le GPO, comme \\NEWServer\ OurStuff, pour garantir que le GPO aura les références correctes dans le domaine cible.

Après avoir entré les nouveaux noms de destination, sélectionnez Tools Validate dans le Migration Table Editor pour confirmer que tous les noms de destination sont valides. S’ils le sont, sélectionnez File, Save as, pour sauvegarder la table de migration que vous venez de créer puis fermez-la. La fenêtre Migrating References apparaît à nouveau. Sélectionnez une nouvelle fois l’option Using this migration table to map them in the destination GPO et dans la liste déroulante ainsi obtenue, sélectionnez la table de migration à utiliser. En principe, ce sera la table de migration que vous venez de créer, même si vous pouvez parfaitement en choisir une créée précédemment. Il est commode d’utiliser une table de migration existante quand vous répétez les mêmes actions : par exemple, transférer le même GPO d’un domaine dans plusieurs autres domaines. Je conseille aussi de cocher la case Use migration table exclusively… pour être certain de toujours faire migrer les GPO avec des références de destination valides ;