我目前正在自动创建我们的企业域控制器及其配置,以防出现 SAN 故障等。我可以创建服务器,安装必要的角色,创建完整的 ou 结构、用户和安全组等。所有简单的 powershell 命令和一点逻辑。
但是我在组策略上被阻止了。我通过备份现有的简单组策略对象进行了测试,该对象授予用户特定权限。尝试在新的相同域控制器上恢复备份。行不通。创建了空的组策略对象并导入了设置。无法解析身份。
有任何想法吗?
答案1
这不是一个非常合理的恢复策略。您不能简单地重新创建相同的命名并期望一切正常。AD 中的每个对象都有一个安全标识符 (SID)。创建大量具有相同名称的对象对您来说可能看起来相同,但对于 AD 来说,它们完全不同,因为 SID 会有所不同。
您应该研究备份和恢复 Active Directory 的正确方法,这根本不是完成它的方法。
答案2
您可以使用 GPMC 备份 GPO,也可以使用 GPMC 恢复它们。我很困惑...您是否尝试从文件夹/文件角度手动复制 GPO?就像 Graeme 所说的那样,您不应该在没有采取正确步骤的情况下在域中创建相同的 DC,以防万一“失败”。
以下链接包含备份和恢复 2012 年 GPO 所需的一切。
http://technet.microsoft.com/en-us/library/cc754760.aspx
听起来您只运行一个 DC,并希望为该 DC 提供 DR 方法。最好至少运行 2 个 DC,这样您就不会遇到这种混乱,也不会遇到您希望实现 DR 状态的所有手动步骤/脚本。