Чимало вже копій зламав і безсонних ночей провів, здійснюючи міграції за допомогою утиліти Active Directory Migration Tools (ADMT), проте найбільші труднощі у мене викликали проблеми використання SID history при міграціях в різні домени. Цей пост - невелика замітка для самого себе про те, як працює SID History.
Що таке SID History
SID History - це атрибут об'єкта в Active Directory, який зберігає старий Security IDentifier (SID), найбільш часто застосовується при різного роду міграцій. Отже, уявіть ситуацію: у вас є два домена старий і новий, і вам потрібно перемістити користувачів в новий домен, але так, щоб нові учеткі в новому домені зберегли доступ до їх старим папок і файлів. Це необхідно для того, щоб зменшити трудомісткість і "нервозність" процесу міграції, щоб адміністратору не довелося переназначать дозволу на мережеві кулі, папки, додатки і т.д. Щоб мати можливість використовувати SID history, вам необхідно відключити фільтрацію SID (SID Filtering) і активувати SID History і довірчі відносини між двома доменами.
Щоб включити "SID History on a trust", скористайтеся командою
netdom trust winitpro.ru / Domain:microsoft.com / EnableSIDhistory: yes
Що таке SID Filtering
SID Filtering - цей захід безпеки, яка покликана захистити ваше нове оточення від потенційного зловмисника, який може проникнути з старого домену. Хоча ви можете подумати, що старий домен після міграції не несе загрози, так як не потрібен, я, з огляду на мій досвід міграцій, можу сказати, що в більшості випадків старий домен залишається активним ще деякий (іноді тривалий) період часу, але вся адміністративна робота з ним (установка оновлень і патчів, управління доступом і аналіз логів) зводиться до мінімального набору робіт або не ведеться совсе. Це і створює потенційно небезпечну середу, уразливими в якій може скористатися зловмисник і проникнути в старий домен.
Саме з цієї причини SID Filtering - це непогана, але не обов'язкова функція, яка повністю блокує використання SID History, яка так важлива при здійсненні міграції. Наступна команда дозволяє відключити SID Filtering:
Netdom trust winitpro.ru/ Domain: microsoft.com/ Quarantine: No / userD: winitpro_admin/ PasswordD: adminpa $$
