Faala galera, 100%?!

Você já fez algum tipo de migração? Qualquer um, migração de AD, de Banco de Dados, de casa, de cidade…creio que sim, certo? Você concorda que qualquer migração, independente da situação e área deve ser muito bem planejada e auxiliada por ferramentas confiáveis, ou corremos o risco de ter retrabalho e até mesmo sério problemas?

Pensa comigo, você vai mudar de endereço, coincidentemente, o nome da rua é o mesmo, mas a cidade é diferente. Você, por relapso, não se preocupou em atualizar o bendito nome da cidade em suas contas. Um mês depois….cadê as contas?!

Fazendo um paralelo com o que gostamos de falar, que é de tecnologia, vamos considerar a migração das Políticas de Grupo, as famosas GPOs. Por demanda interna um novo domínio foi criado e você não quer de forma alguma perder as GPOs que criou e configurou com tanto zelo….é nesse ponto que a palavra “migrar” invade sua mente! Uma pergunta maior surge: “Como fazer de forma confiável”?

Ai é onde esse artigo fará sentido pra você! A ideia aqui é apresentar as formas de realizar uma migração de GPO bem sucedida entre domínios. Let’s rock!

O processo de backup e importação (pode chamar de restore também) foi comentado nestes artigos aqui e aqui (se ainda não leu, de uma atenção antes de prosseguir neste artigo). Em teoria, basta realizar o backup de um lado e restaurar no outro, o grande lance e problemas acontecem quando não levamos em conta que podem e vão existir configurações que fazem referencia a fonte. O que quero dizer é o seguinte. Imagine que tenha criado uma GPO com grupos restritos no Domínio “X”, contendo 2 usuários. Fez o backup desta política e importou no Domino “Y”…ao tentar aplicar a GPO viu que nada funciona. E agora, como resolver?! A resposta é simples, a importação levou a referencias do Domínio “X” para o Domínio “Y”, sendo assim, não vai rolar.

O processo correto envolve uma ferramenta chamada “Migration Table”. Como o nome propõe é uma tabela que auxilia na migração de GPOs entre domínios. O que ela basicamente faz é te alertar sobre as políticas que referenciam um domínio, e te dar opção de ajustar as informações para o novo domínio. Funciona como um “DE > PARA”, famoso nos bancos. Relax, vou mostrar figurinha pra ficar menos abstrato.

Reparem que do lado direito eu tenho as configurações da GPO que fazem referencia a um domínio, e do lado esquerdo qual será o novo valor destas configurações. Com esse tipo de ajuste, dificilmente teremos problemas pós migração. Um detalhe importantíssimo, infelizmente a Migration Table não lê as políticas configurar em “Preferencias”, então, atenção redobrada nesse ponto.

Ok, já sei o que fazer pra evitar confusão, e agora, como migrar!? Really simple! Temos duas opções:

Vamos entender as opções de uso.

Copiar e Colar (sim, é verdade)

Se eu tenho comunicação entre florestas e/ou domínios envolvidos, eu posso simplesmente realizar um copiar e colar. Vale lembrar que pra isso é necessário ter também as permissões adequadas. O processo é bem tranquilo, aqui no meu lab tenho duas florestas com relação de confiança configurada. Veja como é tranquilo:

Adicionei as duas florestas a minha console do GPMC pra facilitar, naveguei até Group Policy Objects, botão direito na Politica que quero copia e “Copy”.

Agora falta o colar…navegue até Group Policy Objects da floresta destino e clique com o botão direito para selecionar “Paste”.

Logo depois de clicar será exibida a tela de “Cross-Domain Copying”. Clique em next.

Você será questionado se deseja manter as propriedades de segurança da GPO uma nova GPO ou deixar como estavam na fonte. Se souber o que está fazendo, selecione a segunda opção, do contrario, use as configs default. Na próxima tela o sistema lê a GPO e informa se existe ou não referencias a outros domínios. No nosso é intencional, veja que é informado que a GPO fonte possui referencias de outro domain. Clique em next

Nesta próxima tela determinamos se queremos realizar os ajustes antes da migração ser concluída ou se preferimos deixar o circo pegar fogo da sem alterações. A opção que temos para ajuste é utilizando as Migration Tables, selecione a segunda opção e clique em “New” para iniciar uma nova Tabela de Migração. Após isso carregue a GPO que quer ajustar indo em Tools > Populate from GPO. Na tela para selecionar a GPO determine o domínio origem e selecione na GPO que copiou, no meu caso usei a “_ADM01” como teste”.

Agora vai rolar o “DE > PARA” que comentei anteriormente. Será necessário informar quais os  users, UNCs e demais configs que a tabela informar, no domínio destino. No meu caso tenho Grupos Restritos apenas configurado para teste. Os usuarios e grupos tem o mesmo nome em ambos os domínios, só precisei alterar o “@dominio”.

Após os devidos ajustes clique em Tools e logo depois em “Validate”. Se as modificações estiverem OK você receberá mensagem de êxito.

Clique em File e salve a tabela e feche-a. Veja que o caminho para foi automaticamente preenchido apontando para a tabela que criamos, clique em next e logo após em “Finish”. Se tudo ocorrer bem, verá e mensagem de sucesso na cópia.

Backup e Importação

Basta seguir os passos que comento aqui e aqui. Quando for realizar a importação o sistema informará que existe ajustes a serem feitos, o processo com a Migration Table é o mesmo.

Validando a Migração

Depois de tudo checado, podemos validar se a GPO realmente está com as informações corretas…no meu caso, ficou 100%!

Repare que, como eu comentei anteriormente, a Migration Table não faz a checagem das configurações da aba Preferencia (GPP). Aqui podemos ver um mapeamento de pasta para o “SRV-AD-01” server que não existe no domínio “ADATUM.LOCAL” apenas no “NATHAN.INT”.

That’s it!! Siga esses passos e terá sucesso e tranquilidade em suas migrações de GPO!

Grande abraço!

PS: Se inscreve ai…\,,/