Включение/отключение SID History | Windows для системных администраторов

Включение/отключение SID History

Немало уже копий сломал и бессонных ночей провел, осуществляя миграции при помощи утилиты Active Directory Migration Tools (ADMT), однако наибольшие затруднения у меня вызывали проблемы использования SID history  при миграциях в разные домены. Этот пост – небольшая заметка для самого себя о том, как работает SID History.

Что такое SID History

SID History – это атрибут объекта в Active Directory, который хранит старый Security IDentifier(SID), наиболее часто применяется при различного рода миграций. Итак, представьте ситуацию:  у вас есть два домена старый и новый, и вам нужно переместить пользователей в новый домен, но так, чтобы новые учетки в новом домене сохранили доступ к их старым папкам и файлам. Это необходимо для того, чтобы уменьшить трудоемкость и «нервозность» процесса миграции, чтобы администратору не пришлось переназначать разрешения на сетевые шары, папки, приложения и т.д. Чтобы иметь возможность использовать SID history, вам необходимо отключить фильтрацию SID (SID Filtering ) и активировать SID History и доверительные отношения между двумя доменами.
SID history. Миграция между доменами AD

Чтобы включить «SID History on a trust», воспользуйтесь следующей командой:

netdom trust winitpro.ru /domain:microsoft.com /enableSIDhistory:yes

Что такое SID Filtering

SID Filtering  — эта мера безопасности, которая призвана защитить ваше новое окружение от потенциального злоумышленника, который может проникнуть из старого домена. Хотя вы можете подумать, что старый домен после миграции не несет угрозы, так как не нужен, я, учитывая мой опыт миграций, могу сказать, что в большинстве случаев старый домен остается активным еще некоторый (иногда длительный) период времени, но вся административная работа с ним (установка обновлений и патчей, управление доступом и анализ логов) сводится к минимальному набору работ или не ведется совсе. Это и создает потенциально небезопасную среду, уязвимостями в которой  может воспользоваться злоумышленник и проникнуть в старый домен.

Именно по этой причине SID Filtering – это неплохая, но не обязательная функция, которая полностью блокирует использование SID History, которая так важна при осуществлении миграции.  Следующая команда позволяет отключить SID Filtering:

Netdom trust winitpro.ru /domain: microsoft.com /quarantine:No /userD: winitpro_admin /passwordD: adminpa$$

Еще записи по теме: Active Directory
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Есть 1 комментарий

Оставить комментарий
  1. Андрей | 07.10.2014

    Спасибо, большое за ваши посты.
    При прочтении данной памятки появился вопрос: «А как собственно переместить пользователей?» (Windows Server 2012 Std)
    В 2008 R2 и ранее я так понимаю люди пользовались утилитой ADMT.
    В 2012 появился компонент «Средства миграции Windows Server». С помощью этой компоненты можно мигрировать но только через файловый импорт.
    Возникает вопрос, а можно ли как нибудь реплицировать всех пользователей из одного домена в другой? Доверие между доменами есть.

    Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.24MB/0.00101 sec