オンプレミスADサーバーから AWS Managed Microsoft AD への移行 (グループポリシー編)

記事タイトルとURLをコピーする

こんにちは、クラウドインテグレーション2部 技術1課 宮形 です。

前回BLOGでは、Active Directory 移行ツールキット (以下 ADMT) と パスワードエクスポートサービス (以下 PES) を用いて オンプレミス Microsoft Active Directory サーバー (以下ADサーバー) から、AWS Managed Microsoft AD (以下 Managed MSAD) へ、ユーザーアカウントとコンピュータを移行することを検証しました。

blog.serverworks.co.jp

この記事のまとめでは、ADMTとPESのみではグループポリシーが移行できない点を課題としていました。 AWS公式ドキュメントや他ネット上で検索しても、意外と情報がみつかりません。本BLOGでは オンプレミスADサーバーから、Managed MSAD へのグループポリシーの移行を検証しましたので、ご紹介いたします。

参考にした情報

下記 Microsoft 公式サイト にある「Copy a Group Policy Object」を用いて、移行元ドメインから移行先ドメインへのグループポリシーオブジェクト (以下 GPO) のコピーを検証しました。

Back Up, Restore, Import, and Copy Group Policy Objects | Microsoft Docs

To create a copy of the GPO in a different domain, double-click the destination domain, then drag and drop the GPO you want to copy to Group Policy Objects. Answer all the questions in the cross-domain copying wizard that appears, and then click Finish.

結果的には、Managed MSAD を利用する場合でも、特に問題なくグループポリシーを移行することができました。

移行手順

下記2つのGPO、コンピューター用GPOとユーザー用GPOを移行する想定とします。

  • [コンピューターの構成] - [ポリシー] - [管理用テンプレート] - [Windows コンポーネント] - [Windows PowerShell]
    • [スクリプトの実行を有効にする]:有効 (ローカル スクリプトおよびリモートの署名済みスクリプトを許可する)
  • [ユーザーの構成] - [ポリシー] - [管理用テンプレート] - [コントロールパネル] - [個人用設定]
    • [デスクトップの背景を変更できないようにする]:有効

下記のように、移行元ドメインでグループポリシーが適用されたコンピューターとユーザーでは、PowerShellの実行モードが RemoteSigned にされており、デスクトップ壁紙が変更できなくなっています。この設定を移行先 Managed MSAD のドメインに再現します。

移行先ドメインの「Managed MSAD 管理用サーバー」に移行元ドメインと移行先ドメイン両方の管理者権限を有するユーザーでサインインします。この環境については、前回ブログ をご参照ください。

「管理ツール」-「グループポリシーの管理」を起動します。左ツリーの「グループポリシーの管理」を右クリックして「フォレストの追加」を押下します。

「フォレストの追加」のウインドウが表示されます。移行元ドメイン名を入力(本例では miyagata.local)して「OK」します。 「グループポリシーの管理」で、移行先ドメインと移行元ドメインの両方が別フォレストとして表示され、設定できるようになります。

移行元ドメインのGPOを選択して右クリック「コピー」します。続けて、移行先ドメインの「グループポリシーオブジェクト」を選択し右クリック「貼り付け」します。

「GPOのドメインを超えたコピー ウィザード」が開始しますので、画面を進めます。

「アクセス許可の設定」では、「既定のアクセス許可を新しい GPO に使用する」とします。

「元のGPOのスキャン」の画面となります。「スキャン結果」に何もエラーがなければ「次へ」を選択します。

「要約」の画面となります。「完了」を選択すると、GPOのコピーが行われます。「...成功しました。」が表示されます。

移行先ドメインの「グループポリシー オブジェクト」の配下に、移行元GPOがコピーされていることを確認します。WMIフィルターを使っている場合は移行されないので、必要あれば手動で再設定します。

OUへのリンクも移行されないので、適切なタイミングでOUへのGPOの割り当てを行います。

移行先ドメインのコンピューターやユーザーに、移行元と同じグループポリシーの設定が適用されたことを確認します。 PowerShellの実行モードと、デスクトップ壁紙の変更は無事設定されました。

移行テーブルの利用

GPOにUNCパスを含んだ設定が検出されると、コピー ウィザードの「スキャンの結果」で通知がおこなれて、「参照の移行」という画面へ推移します。例えば、ログオンスクリプトの保管場所のUNCパス(¥¥サーバー名¥xxxx)等です。移行先ドメインでは使えなくなるUNCパスの場合は修正が必要ですが、「移行テーブル」という機能で対応できます。

「移行テーブル」の設定ファイルを事前用意してある場合は参照しますが、このウィザード中で新しく作ることもできます。「新規」を選択します。

「移行テーブル エディター」が表示されます。本例では、ログオンスクリプトを保管しているUNCパスを修正します。

今ほど作成して保存した移行テーブル設定ファイルが表示されます。「次へ」を選択します。

あとは同じ手順でウィザードを完了します。移行先ドメインのGPOで、無事ログオンスクリプトのUNCパスが変更されたことを確認します。

まとめ

今回の検証により、Managed MSAD へグループポリシーの過去資産を移行することができることがわかりました。

移行元ドメインでグループポリシーテンプレートを追加していた場合は、admx、adml ファイルを移行先ドメインにもコピーして利用可能な状態にしておきましょう。

オンプレミスADサーバーから、ユーザーアカウント、コンピューター、グループポリシーが移行できれば、多くの AWS への Active Directory 移行シナリオの要件は達成することが出来ると思います。

実際の環境では、OU や GPO が複雑に設定されているケースもあると思われますので、PowerShell 等のCLIの活用も検討するとよいでしょう。

本BLOGが皆様のクラウド移行の参考になれば幸いです。

宮形純平(執筆記事の一覧)

クラウドインテグレーション部 技術1課

好きなお酒は缶チューハイと本格焼酎