Active Directory Migration Betraktninger (del 5)

Innledning

De tre første artiklene i denne serien beskrevet noen av de generelle betraktninger om Active Directory restruktureringsprosjekter. Artiklene beskrev også noen av de begrensningene som er involvert når du bruker ADMT å utføre skog eller domene migrasjoner eller konsolideringer. Så i fjerde artikkelen begynte vi å diskutere noen konkrete spørsmål knyttet til bruk av ADMT selv. Disse problemene er ting du må være oppmerksom på under planleggingen av migrasjon /konsolidering prosjektet. De siste artiklene i denne serien.

Migrasjon og skjema modifikasjoner

Store bedrifter noen ganger modifisere vil fortsette denne diskusjonen, og vil omfatte ulike tips og feller forbundet med å bruke ADMT for Active Directory Migreringer /konsolideringer deres Active Directory-skjemaer ved å utvide den med tillegg av tilpassede attributter. Dette gjøres av ulike grunner, se denne linken for en generell beskrivelse av hva som er involvert. Se også denne gamle artikkelen fra TechNet Magazine som har en god innledende forklaring på hva som skjer med skjemaet når du forlenge den. En av de viktigste deler av informasjonen som finnes i skjemaet er objektet (OID), en tallrekke som 1.2.840.113556.1.5.9 som identifiserer en bruker classSchema objekt i Active Directory. Utvide Active Directory-skjemaet ved å legge til egendefinerte attributter i utgangspunktet betyr at du definere nye deler av OID navnerom.

La oss si at du ønsker å migrere Active Directory-objekter fra en kilde skog som har hatt sin schema forlenges av tillegg av tilpassede attributter til et mål skog. Du starter ved å utvide skjemaet for målet skogen med de samme egendefinerte attributter. Du kan deretter opprette en tillit mellom de to skoger, satt opp ADMT i målet skogen, og migrere Active Directory-objekter fra den gamle skogen til den nye. Virker det?

Dessverre ble jeg fortalt av en kollega at de tilpassede attributtene ikke vil bli overført til den nye skogen. Alt annet blir migrert riktig, men ikke den tilpassede attributter. Dette synes å være en begrensning på hvor ADMT er utformet, så hvis dette er din situasjon så må du kanskje bruke en tredjeparts Active Directory Migration Tool for å utføre din migrasjon vellykket. Jeg skal snakke om noen av de tredjepartsverktøy tilgjengelig i siste artikkelen i denne serien.

Migrering uten truster

Når du bruker ADMT å overføre brukere eller andre Active Directory-objekter fra ett skog til en annen, må du opprette en tillit mellom kilden og målet skoger. Dette er vanligvis ikke et problem siden de fleste interskog vandringer skje fordi ett selskap kjøper eller fusjonerer med et annet selskap. Men i noen tilfeller skape en tillit ikke kan være aktuelt. For eksempel la oss si din gamle contoso skogen kjører Windows Server 2008, og du ønsker å gjøre følgende for å oppgradere din skog:

Er dette mulig? Ja, men det er kjedelig og det er flere måter du kan nærme seg det. For eksempel kan du bruke User State Migration Tool (USMT) for å migrere brukerprofildata fra de gamle brukerkontoene til de nye brukerkontoer. Du må sørge imidlertid at tilgangskontrollister (ACL) på brukerens PC er endret tilsvarende for de nye brukerkontoer. I dette tilfellet vil du ikke bruke ADMT i det hele tatt, bare USMT.

Eller du kan opprette en SID kartlegging fil som kartlegger SID av kilden domenet til SID av målet domene og fylle filen med gamle og nye brukerkontonavn og krybbedød. Innlegget med tittelen "Opprette en SID Mapping fil med Windows Powershell" på utplassering Guys bloggen kan være til hjelp her. Også se igjen Ashley McGlone s blogginnlegg på SID historie som jeg nevnte tidligere i del 4 av denne serien. Spesielt bør du sjekke ut Ashleys innlegg som går i detalj om hvordan du kan bruke en SID tilordningsfilen å oversette filsystemet ACL. Det vil sannsynligvis ikke ville være vanskelig å script etableringen av et slikt SID kartlegging fil, og når du har laget det du kunne bruke den til å oversette profildata og innstillinger og deres ACL på brukernes PCer. Ett tips om re-ACLing filsystemet på PCene: ikke bruk Subinacl.exe verktøyet, det var en som ikke støttes verktøyet fra Windows Server 2003 Resource Kit. Bruk Icacls.exe i stedet, som kan erstatte SID ved å inkludere /erstatning parameter.

Det er også et eksempel Windows Powershell script i skriptsenteret Repository på Microsoft TechNet som kan være til hjelp i denne situasjonen. Manuset ble opprettet for å hjelpe sine skaperen løse problemer med ødelagte SID som følge av en stor migreringsprosjekt. Mens målet om manuset er å kopiere ObjectSID av brukere kilden domenet til en sidHistory verdi i målet domene, kan du sannsynligvis endre det slik at du kan kopiere SID fra hverandre gamle brukerkontoen i din gamle domenet til den tilsvarende ny brukerkonto i det nye domenet.

En ytterligere tilnærming for PCer som kjører Windows Vista eller nyere, er å bruke den nye Windows Management Instrumentation (WMI) tilbyder Win32_UserProfile. I gamle dager (circa Windows Server 2003) kan du bruke et gratis verktøy som heter Moveuser.exe fra Windows Server 2003 Resource Kit til å flytte brukerkontoer, men dette verktøyet fungerer ikke på Windows Vista, se denne linken. For mer informasjon om Win32_UserProfile WMI-leverandøren, se denne linken som inkluderer en eksempelskript for hvordan du kan automatisere prosessen med å migrere brukerprofilen informasjon uten å bruke enten ADMT eller USMT. Det er enda en oppdatert versjon av dette skriptet som fungerer mer som et kommandolinjeverktøy som du kanskje ønsker å sjekke ut. Og du kan sannsynligvis bruke ChangeOwner metoden i Win32_UserProfile klassen for å endre gamle SID til den nye SID for hver brukerprofil du migrerer, se denne linken. Men det er enklest om du kan ganske enkelt opprette en tillit mellom de to skogene slik at du kan bruke ADMT. Anmeldelser

Previous:På tide å si farvel til Windows Server 2003 - Forberedelse for Migration (del 3)

Next Page:Arbeide med ønsket tilstand Configuration Feature (del 4)