Az SID előzmények engedélyezése / letiltása

Nagyon sok példányt törött és álmatlan éjszakákat töltöttem az Active Directory áttelepítési eszközök (ADMT) segédprogrammal való migrációval, ám a legnagyobb nehézségeket számomra az SID-előzmények használatával kapcsolatos problémák jelentették, amikor a különböző tartományokra költözött. Ez a bejegyzés rövid megjegyzés az ön számára az SID History működéséről..

Mi az SID története?

Az SID előzményei egy olyan objektum attribútuma az Active Directoryban, amely tárolja a régi biztonsági azonosítót (SID), amelyet leggyakrabban különféle típusú áttelepítésekhez használnak. Tehát, képzelje el a helyzetet: két domain van, a régi és az új, és a felhasználókat át kell helyeznie az új domainbe, de úgy, hogy az új domain új fiókjai megőrizzék a hozzáférést a régi mappákhoz és fájlokhoz. Ez az áttelepítési folyamat bonyolultságának és "idegességének" csökkentése érdekében szükséges, hogy az adminisztrátornak ne kelljen újra engedélyeznie a hálózati labdákat, mappákat, alkalmazásokat stb. Az SID előzmények használatához le kell tiltania az SID szűrést, és aktiválnia kell az SID előzményeket és a két domain közötti bizalmi kapcsolatokat..

Az "SID előzmények bizalmon történő" engedélyezéséhez használja a következő parancsot:

netdom bizalom winitpro.ru / domain:microsoft.com / enableSIDhistory: igen

Mi az SID-szűrés?

Az SID-szűrés egy olyan biztonsági intézkedés, amelyet arra terveztek, hogy megvédje új környezetét egy potenciális támadóktól, akik behatolhatnak egy régi domainbe. Bár azt gondolhatja, hogy a régi domain nem jelent veszélyt a migráció után, mivel erre nincs szükség, a migrációval kapcsolatos tapasztalataim alapján azt mondhatom, hogy a régi domain a legtöbb esetben bizonyos (néha hosszú) ideig aktív marad, ám az összes adminisztratív munka vele együtt (frissítések és javítások telepítése, hozzáférés-vezérlés és naplóelemzés) minimális munkakészletre csökken, vagy egyáltalán nem. Ez egy potenciálisan nem biztonságos környezetet teremt, amelyben a támadó kihasználhatja a sebezhetőségeket és betörhet a régi tartományba.

Ez az oka annak, hogy az SID-szűrés jó, de nem kötelező szolgáltatás, amely teljesen blokkolja az SID-előzmények használatát, ami annyira fontos az áttelepítésnél. A következő parancs lehetővé teszi az SID-szűrés letiltását:

Netdom bizalom winitpro.ru/ domain: microsoft.com/ karantén: Nem / felhasználóD: winitpro_admin/ jelszóD: adminpa $$