Active Directory-Domänenmigrationen vereinfacht

Der Quellserver "WIN2K8R2" ist ein Domänencontroller der Domäne "DomainA.Com". Der Zielserver "WIN2K19" ist ein Domänencontroller der "DomäneB.Com". Die beiden Domänen befinden sich in zwei unterschiedlichen Forests. CopyRight2 und das Password Synchronization Add-on, sind auf dem Zielsystem installiert, um die Konten von der Quelle zu kopieren (Pull-Konfiguration). Es gibt keine Vertrauensstellung zwischen Quell- und Zieldomäne.

Es gibt 3 OUs namens "IT", "Marketing" und "Sales" im Quell-Active Directory. Diese drei OUs und alle darin enthaltenen Benutzer (inkl. Passwörter), Gruppen, Kontakte, Verteilerlisten und OUs sollen in drei gleichnamige OUs migriert werden, die sich in der OU "Sys-Manage" direkt unterhalb des Stammverzeichnisses des Ziel-Active Directory befinden.

Wenn neuere Windows-Versionen verwendet werden sollen oder wenn es auf dem Quell- oder einem dritten Computer ausgeführt werden soll, können die gleichen Einstellungen wie in diesem Video verwendet werden.

Job Typ
User and Group Migration

Name and Description Seite
Name: Domain Migration

Source and Destination Seite
Source computer: WIN2K8R2
Destination computer: WIN2K19

User and Group Migration Seite
Specific accounts: Die OUs der "IT", "Marketing" und "Sales" Abteilungen, inklusive aller dort befindlichen Benutzern, Gruppen, Kontakten und Verteilerlisten.

Filter Seite
User accounts: Aktiviert (Add/Update)
Local groups: Aktiviert (Add/Update)
Global groups: Aktiviert (Add/Update)
Contacts: Aktiviert (Add/Update)

Settings Seite
Migrate user passwords: Aktiviert
Local group memberships: Aktiviert (Add/Remove)
Global group memberships: Aktiviert (Add/Remove)
Local group members: Aktiviert (Add/Remove)
Global group members: Aktiviert (Add/Remove)
Do not migrate any accounts indirectly that are not selected: Aktiviert

Active Directory Options Seite
Migrate OU & container structure: LDAP://OU=Sys-Manage,DC=DOMAINE,DC=COM
Local group memberships: Aktiviert (Add/Remove)
Global group memberships: Aktiviert (Add/Remove)

Scripting Seite
Es wird das gleiche Skript verwendet für "Transform users" und "Transform contacts":

if InStr(Source("mail"), "@ext.sys-manage.com") then
 Destination("mail")=Replace(Source("mail"),"@ext.sys-manage.com","@ext.target.com")
end if
if InStr(Source("mail"), "@sys-manage.com") then
 Destination("mail")=Replace(Source("mail"),"@sys-manage.com","@target.com")
end if

CopyRight2 unterstützt Migrationen mit sidHistory, bei denen den Zielkonten (Benutzer oder Gruppen) temporär zusätzlich die SIDs die sie in der Quell-Domäne hatten hinzugefügt werden, um den Zugriff auf Ressourcen zu gewähren, in deren Berechtigungen auf diese SIDs aus der Quelldomäne verwiesen wird. Die Verwendung der sidHistory-Funktion ermöglicht es, die Konten- von der Ressourcenmigration zu trennen, allerdings auf Kosten einer höheren Komplexität. Nach der Migration der Benutzer- und Gruppenkonten müssten Sie eine sidHistory-Bereinigung durchführen, bei der die alten SIDs, die die Konten in der Quelldomäne hatten, durch die SIDs ersetzt werden, die die Konten in der Zieldomäne erhalten haben. Sobald alle SIDs ersetzt wurden, in der Regel in den NTFS- und Freigabeebenen-Berechtigungen, kann das Active Directory-Feld sidHistory gelöscht werden und die Migration ist abgeschlossen. Es gibt einige Windows Voraussetzungen, die erfüllt werden müssen, wenn Sie eine sidHistory-Migration durchführen möchten. Bitte lesen Sie das CopyRight2-Benutzerhandbuch für weitere Informationen zu diesen Anforderungen.

In diesem Beispiel wird sidHistory nicht verwendet, um den Prozess zu vereinfachen. Sie können entweder eine nachträgliche Datenmigration durchführen, bei der die SIDs automatisch ersetzt werden, während die Daten und Berechtigungen ins Ziel kopiert werden, oder für den Fall, dass die Daten nicht verschoben werden sollen, können Sie einen Job vom Typ "Security & Attributes" verwenden, um die SIDs in Berechtigungen zu ersetzen ohne das die Daten bewegt werden. Diese Methode hat keine zusätzlichen Anforderungen und ist weniger Komplex als eine Migration mit sidHistory.

Dieses Beispiel zeigt eine Interforest-Migration. CopyRight2 unterstützt auch Intraforest-Migrationen (Quell- und Zieldomäne im selben Forest). In diesem Fall muss sidHistory verwendet werden und die Konten werden zwischen den beiden Domänen verschoben und nicht kopiert. Nachdem ein Konto verschoben wurde, bekommt es automatisch die SID des ursprünglichen Quellkontos zu seinem sidHistory-Feld hinzugefügt, was den Zugriff auf die ursprünglich zugängliche Ressource ermöglicht.Im Falle einer Intraforest-Migration ist es nicht möglich, das Konto mit dem ursprünglichen samAccountName zu kopieren, da der samAccountName innerhalb des Forests eindeutig sein muss.