Zlomil jsem spoustu kopií a strávil bezesné noci migrací pomocí nástroje ADMT (Active Directory Migration Tools), největší problémy však pro mě byly problémy s používáním historie SID při migraci do různých domén. Tento příspěvek je pro mě krátkou poznámkou o tom, jak funguje historie SID..
Co je historie SID
Historie SID je atributem objektu ve službě Active Directory, který ukládá starý identifikátor zabezpečení (SID), který se nejčastěji používá pro různé typy migrací. Představte si tedy situaci: máte dvě domény, starou a novou, a musíte přesunout uživatele do nové domény, ale tak, aby si nové účty v nové doméně zachovaly přístup ke svým starým složkám a souborům. To je nezbytné, aby se snížila složitost a „nervozita“ procesu migrace, takže správce nemusí přidělovat oprávnění síťovým míčkům, složkám, aplikacím atd. Abyste mohli používat historii SID, musíte vypnout filtrování SID a aktivovat historii SID a vztahy důvěryhodnosti mezi dvěma doménami.
Chcete-li povolit „Historie SID na důvěryhodnosti“, použijte následující příkaz:
důvěra netdomů winitpro.ru / doména:microsoft.com / enableSIDhistory: ano
Co je filtrování SID
Filtrování SID je bezpečnostní opatření, které je navrženo tak, aby chránilo vaše nové prostředí před potenciálním útočníkem, který by mohl infiltrovat ze staré domény. I když si můžete myslet, že stará doména po migraci nepředstavuje hrozbu, protože to není nutné, mohu vzhledem ke své zkušenosti s migrací říci, že ve většině případů stará doména zůstává po určitou dobu (někdy dlouhou) aktivní, ale veškerá administrativní práce s tím (instalace aktualizací a oprav, kontrola přístupu a analýza protokolů) je snížena na minimální sadu práce nebo vůbec. To vytváří potenciálně nebezpečné prostředí, ve kterém by útočník mohl zneužít zranitelnosti a proniknout do staré domény.
Z tohoto důvodu je filtrování SID dobrá, ale není povinná funkce, která zcela blokuje použití historie SID, což je při migraci tak důležité. Následující příkaz umožňuje zakázat filtrování SID:
Důvěra Netdomu winitpro.ru/ doména: microsoft.com/ karanténa: Ne / uživatelD: winitpro_admin/ passwordD: adminpa $$