Saya telah memecahkan banyak salinan dan menghabiskan malam tanpa tidur untuk bermigrasi menggunakan utilitas Active Directory Migration Tools (ADMT), namun, kesulitan terbesar bagi saya adalah masalah dalam menggunakan riwayat SID saat bermigrasi ke domain yang berbeda. Posting ini adalah catatan singkat untuk saya sendiri tentang cara kerja SID History..
Apa itu Sejarah SID
SID History adalah atribut dari objek di Active Directory yang menyimpan Security IDentifier (SID) lama, yang paling sering digunakan untuk berbagai jenis migrasi. Jadi, bayangkan situasinya: Anda memiliki dua domain, lama dan baru, dan Anda perlu memindahkan pengguna ke domain baru, tetapi agar akun baru di domain baru tetap memiliki akses ke folder dan file lama mereka. Ini diperlukan untuk mengurangi kerumitan dan "kegugupan" dari proses migrasi, sehingga administrator tidak perlu menetapkan kembali izin untuk bola jaringan, folder, aplikasi, dll. Agar dapat menggunakan riwayat SID, Anda perlu menonaktifkan Pemfilteran SID dan mengaktifkan SID History dan mempercayai hubungan antara kedua domain.
Untuk mengaktifkan "SID History on a trust", gunakan perintah berikut:
kepercayaan netdom winitpro.ru / domain:microsoft.com / enableSIDhistory: yes
Apa itu SID Filtering
Penyaringan SID adalah tindakan keamanan yang dirancang untuk melindungi lingkungan baru Anda dari penyerang potensial yang dapat menyusup dari domain lama. Meskipun Anda mungkin berpikir bahwa domain lama tidak menimbulkan ancaman setelah migrasi, karena tidak diperlukan, saya, mengingat pengalaman migrasi saya, saya dapat mengatakan bahwa dalam kebanyakan kasus domain lama tetap aktif untuk beberapa periode waktu (kadang-kadang panjang), tetapi semua pekerjaan administratif dengan itu (menginstal pembaruan dan tambalan, kontrol akses dan analisis log) dikurangi menjadi set minimal pekerjaan atau tidak sama sekali. Ini menciptakan lingkungan yang berpotensi tidak aman di mana penyerang dapat mengeksploitasi kerentanan dan masuk ke domain lama.
Karena alasan inilah SID Filtering adalah fitur yang baik, tetapi tidak wajib yang sepenuhnya memblokir penggunaan SID History, yang sangat penting ketika bermigrasi. Perintah berikut memungkinkan Anda untuk menonaktifkan Penyaringan SID:
Kepercayaan netdom winitpro.ru/ domain: microsoft.com/ karantina: Tidak / userD: winitpro_admin/ passwordD: adminpa $$
