В настоящее время я автоматизирую создание нашего корпоративного контроллера домена и его конфигурацию в случае сбоя SAN и т. Д. Я могу создать сервер, установить необходимые роли, создать полную структуру ou, пользователей и группы безопасности и т. Д. Все простые команды PowerShell и немного логика.
Однако я заблокирован по групповой политике. Я протестировал, создав резервную копию существующего простого объекта групповой политики, который предоставляет пользователю определенное разрешение. Пытался восстановить резервную копию на новом идентичном контроллере домена. Не сработает. Создан пустой объект групповой политики и импортированы настройки. Не удается разрешить личность.
Любые идеи?
Это не очень надежная стратегия восстановления. Вы не можете просто воссоздать то же самое именование и ожидать, что все будет работать. Каждый объект в AD имеет идентификатор безопасности (SID). Создание множества объектов с одинаковыми именами может выглядеть для вас одинаково, но для AD они все совершенно разные, потому что идентификаторы безопасности будут отличаться.
Вам следует найти правильный способ резервного копирования и восстановления Active Directory, это просто не так.
Вы можете создавать резервные копии GPO с помощью GPMC и восстанавливать их с помощью GPMC. Я запутался ... вы пытались вручную скопировать GPO из папки / файла? Как сказал Грэм, вы не должны возиться с созданием идентичных DC в домене на случай, если один из них «выйдет из строя», не предприняв надлежащих шагов.
По следующей ссылке есть все необходимое для резервного копирования и восстановления объектов групповой политики в 2012 году.
http://technet.microsoft.com/en-us/library/cc754760.aspx
Также похоже, что вы используете только один DC и надеетесь на методы аварийного восстановления для этого DC. Вам гораздо лучше запустить как минимум 2 DC, и тогда вы не будете проходить через этот беспорядок или все ручные шаги / сценарии, которые, как вы надеетесь, достигнут вашего состояния DR.