Polomio sam puno primjeraka i proveo besane noći migrirajući pomoću uslužnog programa Active Directory Migration Tools (ADMT), međutim, najveće poteškoće za mene bili su problemi s korištenjem SID povijesti prilikom migracije na različite domene. Ovaj je post kratka napomena za sebe kako funkcionira SID povijest..
Što je SID povijest
Povijest SID-a je atribut objekta u Active Directoryu koji pohranjuje stari sigurnosni identifikator (SID), koji se najčešće koristi za razne vrste migracija. Dakle, zamislite situaciju: imate dvije domene, staru i novu, i korisnike morate premjestiti na novu domenu, ali tako da novi računi u novoj domeni zadržavaju pristup svojim starim mapama i datotekama. To je potrebno kako bi se smanjila složenost i "nervoza" procesa migracije, tako da administrator ne mora dodijeliti dopuštenja mrežnim kuglicama, mapama, aplikacijama itd. Da biste mogli koristiti SID povijest, morate onemogućiti SID filtriranje i aktivirati SID povijest i povjerljive odnose između dvije domene.
Da biste omogućili "SID povijest na povjerenju", koristite sljedeću naredbu:
neto povjerenje winitpro.ru / domena:microsoft.com / enableSIDhistory: da
Što je SID filtriranje
SID filtriranje je mjera sigurnosti koja je osmišljena kako bi zaštitila vaše novo okruženje od potencijalnog napadača koji bi mogao ući u staru domenu. Iako biste mogli pomisliti da stara domena nakon migracije ne predstavlja prijetnju, jer nije potrebna, ja, s obzirom na svoje iskustvo migracije, mogu reći da u većini slučajeva stara domena ostaje aktivna neko (ponekad i dugo) razdoblje, ali sav administrativni posao s njom (instaliranje ažuriranja i zakrpa, kontrola pristupa i analiza dnevnika) svodi se na minimalan skup posla ili uopće ne postoji. To stvara potencijalno nesigurno okruženje u kojem napadač može iskoristiti ranjivosti i provaliti u staru domenu.
Iz tog razloga je SID filtriranje dobra, ali ne i obvezna značajka koja u potpunosti blokira upotrebu SID povijesti, što je tako važno prilikom migracije. Sljedeća naredba omogućuje vam da onemogućite SID filtriranje:
Netdom povjerenje winitpro.ru/ domena: microsoft.com/ karantena: Ne / korisnikD: winitpro_admin/ passwordD: adminpa $$