Создание второго леса Active Directory на основе заранее созданной конфигурации.

Я рассматриваю возможность использования конфигурации двойного леса, где второй домен (лес) будет защищенной версией первого домена с односторонним доверием. И мне интересно, есть ли способ избежать двойной работы при создании второго леса.

У меня есть свобода работы с пустой карточкой, поэтому нет проблем с сервисами, старыми стандартами и т. д. Но мне хотелось бы переместить как можно больше элементов конфигурации (укрепляющие объекты групповой политики, начальные объекты групповой политики, список пользователей) и изменить их так, чтобы более строгие требования во втором лесу.

Варианты, которые мне известны на данный момент:

  1. Создайте дополнительный DC, отключите его от сети. Переименуйте лес и подключите его обратно, используя одностороннее доверие. Вероятно, это лучший вариант, учитывая мою ситуацию с карт-бланшем (я могу установить любые проблемные сервисы после клонирования). а) Есть ли какие-либо дополнительные приемы, помимо контрольного списка в разделе «Как работает переименование домена» на сайте Learn.microsoft? б) Есть ли контрольный список встроенных служб WS2022, которые не будут работать после такой операции?
  2. Создать новый домен. Миграция пользователей и объектов групповой политики. Что я упускаю в таком процессе?
  3. Клонировать DC — неприменимо (невозможно клонировать DC без высокого риска)

Целью такого действия было бы избавить меня от двойной работы по усилению защиты и начальной настройке объектов групповой политики, которые будут одинаковыми в обоих доменах. Я хотел бы создать их один раз, а затем клонировать, чтобы избежать каких-либо упущений.

  1. Есть ли способ массового редактирования объектов групповой политики во время миграции или существующих? Идеальным вариантом было бы экспортировать их в CSV или аналогичный файл, массово отредактировать и импортировать в новый домен. Базовый интерфейс объекта групповой политики действительно неудобен для массовой работы, поскольку вам приходится щелкать каждый объект групповой политики, а затем просматривать все параметры.

0 ответов

Другие вопросы по тегам