Zlomil som veľa kópií a strávil bezsenné noci migráciou pomocou nástroja ADMT (Active Directory Migration Tools), najväčšie problémy však pre mňa boli problémy s použitím histórie SID pri migrácii do rôznych domén. Tento príspevok je pre mňa krátkou poznámkou o tom, ako funguje história SID..
Čo je história SID
História SID je atribút objektu v službe Active Directory, v ktorom je uložený starý identifikátor zabezpečenia (SID), ktorý sa najčastejšie používa na rôzne typy migrácií. Predstavte si teda túto situáciu: máte dve domény, starú a novú, a musíte presunúť používateľov do novej domény, ale nové účty v novej doméne si tak zachovajú prístup k svojim starým zložkám a súborom. Je to nevyhnutné na zníženie zložitosti a „nervozity“ procesu migrácie, aby správca nemusel znova prideľovať povolenia sieťovým guľom, zložkám, aplikáciám atď. Ak chcete používať históriu SID, musíte vypnúť filtrovanie SID a aktivovať históriu SID a vzťahy dôveryhodnosti medzi dvoma doménami..
Ak chcete povoliť „História SID na dôveryhodnosti“, použite nasledujúci príkaz:
dôvera siete winitpro.ru / doména:microsoft.com / enableSIDhistory: áno
Čo je filtrovanie SID
Filtrovanie SID je bezpečnostné opatrenie, ktoré je určené na ochranu vášho nového prostredia pred potenciálnym útočníkom, ktorý by mohol preniknúť zo starej domény. Aj keď si môžete myslieť, že stará doména po migrácii nepredstavuje hrozbu, pretože to nie je potrebné, vzhľadom na svoje skúsenosti s migráciou môžem povedať, že vo väčšine prípadov stará doména zostane aktívna určitý čas (niekedy aj dlhý), ale všetka administratívna práca (inštalácia aktualizácií a opráv, kontrola prístupu a analýza protokolov) sa zredukuje na minimálnu množinu prác alebo vôbec. Vytvára sa tým potenciálne nebezpečné prostredie, v ktorom by útočník mohol zneužívať zraniteľné miesta a preniknúť do starej domény.
Z tohto dôvodu je filtrovanie SID dobrá, ale nie povinná funkcia, ktorá úplne blokuje používanie histórie SID, čo je pri migrácii také dôležité. Nasledujúci príkaz umožňuje zakázať filtrovanie SID:
Dôvera siete Netdom winitpro.ru/ doména: microsoft.com/ karanténa: Nie / užívateľD: winitpro_admin/ hesloD: adminpa $$