2 домена, между ними трасты и т.д. Подразумевается, что к моменту миграции файлового сервера все пользователи уже переведены в новый домен. Рекомендация Майкрасофт, да и опыт, подсказывают, что перенос серверов - в последнюю очередь. Соответственно на момент перевода пользователей необходимо учесть изменения - если доступ к ресурсу осуществляется не через SID (Sharepoint, Project, 1C и пр.). В случае, если права на ресурсы были выданы через встроенные группы Domain admins, Domain Users, которые как известно не переносятся, необходимы дополнительные манипуляции, которые рассмотрю в другой заметке.
По этому же сценарию могут быть перенесены другие сервера, к примеру терминальный.
Исправление прав
Первым пунктом идёт исправление прав на папки, файлы, шары, принтеры. Точнее не исправление, а добавление к существующим разрешениям аналогичных из целевого домена.
Открываем утилиту ADMT, выбираем пункт Security Translation. Выбираем исходный и целевой домены, указываем что компьютеры выберем вручную, выбираем необходимый сервер(а). Следующим шагом идёт выбор объектов к миграции, указываем следующие пункты:
в следующем пункте выбрав Add. Т.е. при текущих настройках утилита добавит к существующим правам соответствующие, из нового домена. Из соображений обеспечения отказоустойчивости изменение прав в режиме Replace нам недоступно. Проходим по мастеру далее, после нажатия кнопки Finfish откроется окно Agent Dialog, в котором необходимо выбрать пункт Run pre-check & agent operation. Запускаем, ждём выполнения. В зависимости от размеров хранилища операция может занять довольно продолжительное время. В моём случае: запускал задачу на ночь - во время данной операции доступ к ресурсам не прерывается.
После выполнения - внимательно изучаем логи. Вручную просматриваем права на файлы, папки, шары.
Миграция сервера
В утилите ADMT запускается пункт Computer Migration Wizard. Первые шаги мастера выбираем, как и в прошлом пункте. Указываем подразделение, куда в целевом домене будет помещён сервер. В шаге выбора объектов миграции указываем пункты User Profiles и Local groups, так же в режиме Add. (в данном случае - это перестраховка, на случай форсмажора). На следующем шаге указываем количество минут до перезагрузки. Проходим по мастеру далее, оставляя параметры по-умолчанию. После нажатия кнопки Finish, появится диалог Агента, как и прошлом пункте. Указываем Run pre-check & agent. Во время выполнения компьютер будет перезагружен.
Перед началом вышеописанной процедуры, убедитесь, что вы имеете доступ из под локальной учётной записи на сервер: учётная запись включена, вы знаете пароль.Внимательно изучаем логфайл. После загрузки, сервер будет уже в новом домене, ресурсы должны быть доступны пользователям.
Очистка прав
Сервер переведён в целевой домен, доступ есть. Но в ACL листах остались вхождения прав из исходного домена. Пока между доменами есть доверительные отношения - права будет раскрыты, после отмены трастов: превратятся в набор SIDов. Исправляем
Запускаем ADMT, выбираем пункт Security Tranlstion. Проходим шаги мастера, указывая всё как в прошлых пунктах. В выборе объектов миграции указываем
(на самом деле в документации явного ответа на данный вопрос не нашёл. Возможно помимо указанных пунктов необходимо выбирать другой набор. В данном случае указываю как это делалось мной). В следующем шаге выбираем пункт Remove. Следующие шаги указываем как и в пункте "Исправление прав".
После данной процедуры в ACL листах ресурсов не должны оставаться права, указанные для групп и пользователей из исходного домена.
Не грех напомнить, что данную процедуру лучше протестировать в виртуальном окружении, либо тестовом полигоне.
на первой картинке должна стоять первая галочка, иначе никакого смысла от дальнейших процедур нет
ОтветитьУдалить