Zlomil sem ogromno kopij in preživel neprespane noči, ko sem sel s pomočjo pripomočka Active Directory Migration Tools (ADMT), vendar so mi največje težave predstavljale težave pri uporabi zgodovine SID pri migraciji na različne domene. Ta objava je kratka opomba o tem, kako deluje zgodovina SID..
Kaj je zgodovina SID
Zgodovina SID je atribut predmeta v Active Directoryu, ki hrani stari varnostni identifikator (SID), ki se najpogosteje uporablja za različne vrste selitev. Predstavljajte si torej situacijo: imate dve domeni, staro in novo, in uporabnike morate premakniti na novo domeno, vendar tako, da novi računi v novi domeni ohranijo dostop do svojih starih map in datotek. To je potrebno za zmanjšanje zahtevnosti in "nervoze" procesa migracije, tako da skrbniku ni treba dodeliti dovoljenj omrežnim kroglicam, mapam, aplikacijam itd. Če želite uporabljati zgodovino SID, morate onemogočiti SID filtriranje in aktivirati zgodovino SID in zaupanja med obema domenoma.
Če želite omogočiti "Zgodovino SID na zaupanju", uporabite naslednji ukaz:
netdom zaupanje winitpro.ru / domena:microsoft.com / enableSIDhistory: da
Kaj je SID filtriranje
SID filtriranje je varnostni ukrep, ki je zasnovan za zaščito vašega novega okolja pred potencialnim napadalcem, ki bi se lahko vdrl iz stare domene. Čeprav si morda mislite, da stara domena po migraciji ne predstavlja nevarnosti, saj ni potrebna, glede na izkušnje s selitvami lahko rečem, da v večini primerov stara domena ostane aktivna nekaj (včasih dolga) obdobja, vendar vsa administrativna dela se z njo (namestitev posodobitev in popravkov, nadzor dostopa in analiza dnevnikov) zmanjša na minimalen nabor dela ali pa sploh ne. To ustvari potencialno nevarno okolje, v katerem bi napadalec lahko izkoristil ranljivosti in prodrl v staro domeno.
Zaradi tega je SID filtriranje dobra, vendar ne obvezna funkcija, ki popolnoma blokira uporabo zgodovine SID, ki je tako pomembna pri selitvi. Naslednji ukaz omogoča onemogočanje filtriranja SID:
Netdom zaupanje winitpro.ru/ domena: microsoft.com/ karantena: Ne / uporabnikD: winitpro_admin/ gesloD: adminpa $$
