Copier un GPO dans un domaine est simple et direct parce que les utilisateurs, les ordinateurs, les groupes, et les chemins UNC auxquels un GPO fait référence sont à la disposition des deux SOM: source et destination. Copier des GPO entre des domaines dans une forêt - et surtout entre
Tables de migration
des
domaines dans des forêts différentes –
est plus compliqué que de copier des
GPO dans un domaine, parce que les
chemins UNC pour la redirection des
dossiers ou l’installation du logiciel et
les principes de sécurité (groupes locaux
de domaine, par exemple) référencés
dans les paramètres du GPO
source pourraient ne pas être mis à la
disposition du domaine cible. Comme
les principes de sécurité sont référencés
dans le GPO comme un SID, si
vous les copiez directement vers un
domaine cible qui n’a pas accès à eux,
ils apparaissent comme des SID non
résolus. Non seulement le GPO défectueux
ne fonctionnera pas comme
prévu, mais il engendrera des erreurs
SceCli et Userenv répétées dans le
journal des événements Application du
domaine.
Pour corriger ce problème, créez
une association un à un des principes
de sécurité et des chemins UNC spécifiques
au domaine du GPO avec les
contreparties du domaine de destination.
Ainsi, si vous avez un groupe local
de domaines nommé Test GPO Admins
dans votre domaine TEST, quand vous
copiez le GPO dans le domaine de production
(PROD), il vous faut déterminer
quel groupe vous devez référencer
dans le domaine PROD au lieu de Test
GPO Admins. Le groupe Test GPO
Admins n’existe pas dans le domaine
PROD, et la création d’un groupe avec
le même nom ne fonctionnera pas
parce que l’identificateur que le GPO
utilise – SID de Test GPO Admins – est
différent dans le domaine de production.
Cependant, si vous créez une
table qui associe TEST\Test GPO
Admins à PROD\GPO Admins, GPMC
remplacera SID de TEST\Test GPO
Admins dans le GPO par SID de
PROD\GPO Admins et le GPO fonctionnera
correctement dans son domaine
de destination.
Microsoft appelle ce mapping une
table de migration. L’application associée
aux tables de migration est le MTE
(migration table editor) mtedit.exe. Le
MTE fait partie des opérations Copy et
Import, aussi quand le système détecte
des principes de sécurité ou des chemins
UNC, la possibilité de lancer le
MTE apparaît dans le wizard. Vous pouvez
aussi lancer le MTE en faisant un
clic droit sur le conteneur de GPO dans
le panneau scope et en sélectionnant
Open Migration Table Editor.
Téléchargez cette ressource
Microsoft 365 : 5 erreurs de sécurité
A l’heure où les données des solutions Microsoft 365 sont devenues indispensables au bon fonctionnement de l’entreprise, êtes-vous certain de pouvoir compter sur votre plan de sécurité des données et de sauvegarde des identités ? Découvrez le Top 5 des erreurs à ne pas commettre et les meilleures pratiques recommandées par les Experts DIB France.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Architecture de données ouverte : un levier essentiel pour maximiser les bénéfices de l’IA générative
- Les DRH repensent leurs priorités en 4 étapes
- Patch Tuesday Septembre 2024
- L’ambivalence des plateformes d’observabilités : entre similitudes et divergences
- Profils & Rémunérations des responsables cybersécurité
