Прекъснах много копия и прекарах безсънни нощи, мигрирайки с помощта на полезния инструмент за миграция на Active Directory (ADMT), но най-големите затруднения за мен бяха проблемите с използването на SID история при миграция към различни домейни. Тази публикация е кратка бележка за мен как работи SID History..
Какво е SID история
Историята на SID е атрибут на обект в Active Directory, който съхранява стария идентификатор за сигурност (SID), най-често използван за различни видове миграции. Така че, представете си ситуацията: имате два домейна, стар и нов и трябва да преместите потребителите в новия домейн, но така че новите акаунти в новия домейн да запазят достъп до старите си папки и файлове. Това е необходимо, за да се намали сложността и "нервността" на процеса на миграция, така че администраторът да не трябва да преназначава разрешения на мрежови балове, папки, приложения и т.н. За да можете да използвате SID история, трябва да деактивирате SID филтриране и да активирате SID история и доверителни отношения между двата домейна.
За да активирате „История на SID на доверие“, използвайте следната команда:
netdom доверие winitpro.ru / домейн:microsoft.com / enableSIDhistory: да
Какво е SID филтриране
SID филтрирането е мярка за сигурност, която е предназначена да защити новата ви среда от потенциален нападател, който би могъл да проникне от стар домейн. Въпреки че може да мислите, че старият домейн не представлява заплаха след миграцията, тъй като не е необходим, аз, предвид моя опит с миграции, мога да кажа, че в повечето случаи старият домейн остава активен за известен (понякога дълъг) период от време, но цялата административна работа с него (инсталиране на актуализации и корекции, контрол на достъпа и анализ на дневника) се свежда до минимален набор от работа или изобщо. Това създава потенциално опасна среда, в която нападател може да използва уязвимости и да пробие в стария домейн.
Поради тази причина SID филтрирането е добра, но не и задължителна функция, която напълно блокира използването на SID History, което е толкова важно при миграцията. Следващата команда ви позволява да деактивирате SID филтриране:
Netdom доверие winitpro.ru/ домейн: microsoft.com/ карантина: Не / потребителD: winitpro_admin/ passwordD: adminpa $$