none
AD Migration OU + GPO soucis de liaison RRS feed

  • Discussion générale

  • Bonjour,

    Je suis en pleine migration interforêt et j'ai un soucis au niveau de l'importation des GPO.

    J'ai suivi différentes procédures sur le net qui expliquent :

    1. export sur forêt source des OU avec ldifde -m -f exportOU.csv -d "OU=OUexport,DC=domaine,DC=local" -r "objectCategory=organizationalUnit"
    2. remplacement dans le .csv du domaine source par domaine de destination.
    3. import sur forêt destination avec Ldifde -i -f "exportOU.csv" => Cela aura pour effet d'importer les OU avec leur paramétrage et la liaison avec les GPO
    4. sauvegarde des GPO via la fonction prévu dans GPMC (soit sur une GPO soit sauvegarder tout)
    5. Copie ou partage du dossier de sauvegarde vers l'autre forêt
    6. Sur l'AD de destination utiliser si besoin la table de migration (pour moi par besoin car approbation de fôret, tous les groupes et utilisateurs de la forêt distante peuvent être résolus).
    7. Créer une GPO vide sur l'AD de destination puis importer dessus les paramètres depuis la sauvegarde et si besoin appliquer la table de migration.

    Problème : L'ID unique de la GPO sur l'AD de destination a changé. Du coup la liaison est cassée. Dans GPMC sur une OU où la GPO est censée être appliquée, au lieu de voir le nom de la GPO je vois "introuvable".

    Du coup je risque d'avoir à relier toutes les GPO sur toutes les OUs migrées ce qui représente un travail assez considérable.

    Y a t'il moyen d'importer les GPO de l'ancienne forêt en gardant l'ID unique de la GPO ?

    Y a t'il une autre méthode de migration qui résolverait mon problème ?

    Merci d'avance.


    jeudi 27 août 2015 12:31

Toutes les réponses

  • Bonjour,

    Il existe un outil pour la migration qui s'appelle ADMT, vous pouvez retrouver un article à propos de ce dernier sur le site d'un MVP. Il y a également beaucoup de ressources sur le sujet de migration interforêt.

    En revanche je ne sais pas s'il est possible d'utiliser cet outil en cours de migration ou bien seulement pour les GPO. Il existe également la possibilité de créer une table de migration.

    Cordialement,

    Emile


    Votez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.

    vendredi 28 août 2015 10:40
  • 6 => la table de migration n'a pas de lien avec l'approbation. C'est une table qui permet de faire correspondre un nom d'objet dans l'ancien domaine avec celui du nouveau lors d'un export / Import. 

    Voir copier / coller : 

    https://technet.microsoft.com/fr-fr/library/Cc733107.aspx 

    De mémoire le copier coller ne crée pas les liens de stratégies de groupe.

    A voir aussi

    https://technet.microsoft.com/fr-fr/library/Cc754682.aspx?f=255&MSPPError=-2147217396

    vendredi 28 août 2015 13:20
    Modérateur
  • merci pour vos réponses.

    @Emile : J'utilise ADMT ce n'est pas le problème. ADMT permet de migrer les utilisateurs, groupes et ordinateurs/serveurs.

    Idem pour la table de migration. Comme le dit justement Mr Barth elle sert à transposer des paramètres de a GPO qui font références à l'ancien domaine vers ceux qui les remplacent dans le nouveau.

    En somme : Si une GPO était une boite et ses paramètre le contenu, la table de migration permet de modifier/ajuster le contenu, mais pas de conserver la boite elle même. Or moi j'ai besoin de garder la boite, peu importe le contenu.

    Quand on migre un PC, lorsque l'utilisateur va se reconnecter il va falloir que son PC soit paramétré identiquement. (paramètres proxy par exemple... restrictions diverses...).

    Pour cela on clone les OU de l'AD avec ldifde et il faudrait pouvoir y relier les GPO. Tous les articles que je trouves parlent de lier à la main. Oui mais bon quand on a 500 GPO et 1000 OU...

    Cela doit pourtant exister car ldifde clone l'ou avec les paramètres de liens GPO. Sur le nouveau domaine on voit bien sur l'OU importée qu'une GPO est appliquée avec un certain ID, mais cet ID n'existe pas car lorsqu'on fait un copier/coller comme dit Mr Barth l'ID est changé (il correspond à la nouvelle GPO). En fait quand on copie/colle on crée une nouvelle GPO et les paramètres sont importés automatiquement dedans.

    J'ai vérifié, l'id de la GPO a bien changé.

    Aïe n'y a t'il pas une solution pour prévoir la migration de GPO de forêt dans les grandes infrastructures ?

    Je vais orienter mes recherches plutôt côté powershell sait on jamais. Si j'ai des infos je les posterais ici.

    merci d'avance pour ceux qui pourront m'aider dans cette aventure.

    vendredi 28 août 2015 15:43
  • Bonjour, shinobitom,

    Le thread est-il toujours actuel?
    Je vous remercie par avance de votre retour.

    Cordialement,
    Teodora


    Votez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.

    lundi 7 septembre 2015 11:32