Чимало вже копій зламав і безсонних ночей провів, здійснюючи міграції за допомогою утиліти Active Directory Migration Tools (ADMT), проте найбільші труднощі у мене викликали проблеми використання SID history при міграціях в різні домени. Цей пост – невелика замітка для самого себе про те, як працює SID History.

Що таке SID History

SID History – це атрибут об’єкта в Active Directory, який зберігає старий Security IDentifier (SID), найбільш часто застосовується при різного роду міграцій. Отже, уявіть ситуацію: у вас є два домена старий і новий, і вам потрібно перемістити користувачів в новий домен, але так, щоб нові учеткі в новому домені зберегли доступ до їх старим папок і файлів. Це необхідно для того, щоб зменшити трудомісткість і «нервозність» процесу міграції, щоб адміністратору не довелося переназначать дозволу на мережеві кулі, папки, додатки і т.д. Щоб мати можливість використовувати SID history, вам необхідно відключити фільтрацію SID (SID Filtering) і активувати SID History і довірчі відносини між двома доменами.
Історія SID.  Міграція між доменами AD

Щоб включити «SID History on a trust», скористайтеся командою

довіра до мережі winitpro.ru / домен:microsoft.com / enableSIDhistory: так

Що таке SID Filtering

SID Filtering – цей захід безпеки, яка покликана захистити ваше нове оточення від потенційного зловмисника, який може проникнути з старого домену. Хоча ви можете подумати, що старий домен після міграції не несе загрози, так як не потрібен, я, з огляду на мій досвід міграцій, можу сказати, що в більшості випадків старий домен залишається активним ще деякий (іноді тривалий) період часу, але вся адміністративна робота з ним (установка оновлень і патчів, управління доступом і аналіз логів) зводиться до мінімального набору робіт або не ведеться совсе. Це і створює потенційно небезпечну середу, уразливими в якій може скористатися зловмисник і проникнути в старий домен.

Саме з цієї причини SID Filtering – це непогана, але не обов’язкова функція, яка повністю блокує використання SID History, яка так важлива при здійсненні міграції. Наступна команда дозволяє відключити SID Filtering:

Довіра до Netdom winitpro.ru / домен: microsoft.com / карантин: Ні / користувачD: winitpro_admin / passwordD: adminpa $$

Leave a Reply

Your email address will not be published. Required fields are marked *