Zerwałem wiele kopii i spędziłem bezsenne noce na migracji przy użyciu narzędzia do migracji Active Directory (ADMT), jednak największe trudności dla mnie stanowiły problemy z używaniem historii SID podczas migracji do różnych domen. Ten post jest dla mnie krótką notatką o tym, jak działa SID History..
Co to jest historia SID
Historia SID to atrybut obiektu w usłudze Active Directory, który przechowuje stary identyfikator zabezpieczeń (SID), najczęściej używany do różnych rodzajów migracji. Wyobraź sobie więc sytuację: masz dwie domeny, starą i nową, i musisz przenieść użytkowników do nowej domeny, ale aby nowe konta w nowej domenie zachowały dostęp do swoich starych folderów i plików. Jest to konieczne w celu zmniejszenia złożoności i „nerwowości” procesu migracji, aby administrator nie musiał ponownie przypisywać uprawnień do kulek sieciowych, folderów, aplikacji itp. Aby móc korzystać z historii SID, musisz wyłączyć Filtrowanie SID i aktywować Historię SID oraz relacje zaufania między dwiema domenami.
Aby włączyć „Historię SID na zaufaniu”, użyj następującego polecenia:
zaufanie w sieci winitpro.ru / domain:microsoft.com / enableSIDhistory: tak
Co to jest filtrowanie SID
Filtrowanie SID to środek bezpieczeństwa zaprojektowany w celu ochrony nowego środowiska przed potencjalnym atakującym, który mógłby przeniknąć ze starej domeny. Chociaż możesz pomyśleć, że stara domena nie stanowi zagrożenia po migracji, ponieważ nie jest potrzebna, ja, biorąc pod uwagę moje doświadczenie związane z migracją, mogę powiedzieć, że w większości przypadków stara domena pozostaje aktywna przez pewien (czasem długi) okres, ale całą pracę administracyjną dzięki niemu (instalowanie aktualizacji i poprawek, kontrola dostępu i analiza logów) zostaje zredukowane do minimum lub wcale. Tworzy to potencjalnie niebezpieczne środowisko, w którym osoba atakująca może wykorzystać luki i włamać się do starej domeny.
Z tego powodu Filtrowanie SID jest dobrą, ale nie obowiązkową funkcją, która całkowicie blokuje korzystanie z Historii SID, co jest tak ważne podczas migracji. Następujące polecenie umożliwia wyłączenie filtrowania SID:
Zaufanie do sieci winitpro.ru/ domain: microsoft.com/ kwarantanna: Nie / userD: winitpro_admin/ passwordD: adminpa $$
