Миграция данных между доменами
В процессе внедрения и эксплуатации продукта «Служба каталогов "Эллес"» может возникать необходимость в переносе данных между доменами (например, в результате организационных изменений).
Возможны следующие варианты миграции:
-
миграция данных между доменами Active Directory и Эллес;
-
миграция данных между доменами Samba и Эллес;
-
миграция данных между доменами Эллес.
В текущей версии продукта миграция данных и объектов каталога между доменами выполняется с помощью инструмента Microsoft Active Directory Migration Tool (ADMT). В последующем он будет заменен инструментом собственной разработки.
Схема миграции данных между доменами Active Directory и Эллес
В общем случае процесс миграции состоит из следующих шагов (Рис. 1):
-
Создание домена Эллес.
-
Ввод контроллера домена под управлением ОС Windows Server в домен Эллес.
-
Установка на введенном контроллере домена инструмента Microsoft Active Directory Migration Tool (ADMT).
-
Миграция данных и объектов из домена Microsoft AD DS на контроллер домена с ОС Windows Server в домене Эллес с помощью инструмента ADMT.
-
Репликация полученных данных на контроллеры домена под управлением Эллес.
-
Вывод контроллера домена с ОС Windows Server из домена Эллес.
Различия в миграции объектов внутри одного леса и между лесами
В процессе миграции должны учитываться следующие различия в процессе миграции объектов между доменами, входящими в один лес, и между доменами, принадлежащими различным лесам:
-
Когда объект перемещается между доменами в рамках одного леса, он удаляется из исходного домена и воссоздается в целевом домене.
-
В случае переноса объектов между доменами, принадлежащими разным лесам:
-
данные объекты сохраняются в обоих доменах;
-
пользователю предоставляется возможность выбрать статус, который определяет, как объекты будут существовать в исходном и целевом доменах;
-
пользователю предоставляется возможность выбрать, какие атрибуты не будут перенесены в новый лес.
-
Возможности ADMT
Инструмент ADMT позволяет мигрировать учетные записи пользователей, групп и компьютеров между доменами внутри леса и между лесами.
При миграции объектов ADMT:
-
обеспечивает перенос уникального идентификатора безопасности (SID), чтобы сохранить доступ объектов к ресурсам;
-
поддерживает миграцию учетных записей с сохранением паролей пользователей, что обеспечивает бесперебойный доступ к данным и ресурсам;
-
обновляет разрешения и права доступа к ресурсам, чтобы сохранить контроль над данными и обеспечить безопасность информации.
Инструмент позволяет автоматизировать процессы миграции с помощью скриптов и планировщика задач, что упрощает выполнение сложных операций.
Перед миграцией может быть проведена предварительная проверка, чтобы убедиться, что все параметры настроены правильно.
Основные сценарии миграции данных между доменами
Процесс миграции разбивается на несколько сценариев, реализующих перенос различных типов объектов.
Каждый сценарий включает следующие действия:
-
Выбор домена-источника и целевого домена.
-
Выбор объектов для миграции в домене-источнике.
-
Определение подразделения или контейнера для миграции в целевом домене.
-
Определение параметров (например, настройка параметров пароля для учетных записей в целевом домене, выбор категорий объектов для преобразования безопасности) и принципа миграции (например, выбор принципа перехода учетной записи).
-
Выполнение процесса миграции.
-
Управление конфликтами (например, выбор атрибутов, которые должны быть исключены из миграции).
-
Проверка и тестирование в целевом домене.
Миграция данных между доменами предусматривает следующие базовые сценарии:
-
перенос учетных записей;
Учетные записи для миграции выбираются в домене-источнике с помощью фильтров или загрузкой из файла.
Перед миграцией пользователь:
-
выбирает подразделение или контейнер в целевом домене, куда будут перемещены учетные записи пользователей;
-
настраивает параметры пароля для учетных записей в целевом домене;
-
выбирает принцип перехода учетной записи;
-
определяет, отключать ли исходные учетные записи;
-
указывает необходимость переноса SID из исходного домена в целевой.
-
-
перенос групп;
Группы для миграции выбираются в домене-источнике с помощью фильтров или загрузкой из файла.
Перед миграцией пользователь:
-
выбирает подразделение или контейнер в целевом домене, куда будут перемещены группы;
-
задает параметры перемещения:
-
необходимость копирования прав пользователей;
-
необходимость переноса участников;
-
необходимость обновления ранее перенесенных объектов;
-
необходимость исправления членства участников в группе;
-
-
необходимость переноса SID;
-
выбирает атрибуты группы, которые не будут переноситься при миграции в целевой домен.
-
-
перенос компьютеров;
Компьютеры для миграции выбираются в домене-источнике с помощью фильтров или загрузкой из файла.
Перед миграцией пользователь:
-
выбирает контейнер в целевом домене, куда будут перемещены компьютеры;
-
выбирает категории объектов для преобразования безопасности;
-
выбирает принцип преобразования безопасности;
-
выбирает атрибуты для исключения из миграции.
-
-
преобразование безопасности;
Процедура предусматривает добавление SID целевого пользователя в список контроля доступа (ACL) к тем ресурсам, к которым он имел доступ до момента миграции. Для модификации SID в ACL и системных списках контроля доступа (SACL) перенесенных объектов может использоваться встроенный в ADMT мастер преобразования служб.
Объекты для преобразования выбираются в домене-источнике с помощью фильтров или загрузкой из файла.
Перед миграцией пользователь:
-
выбирает категории объектов для преобразования безопасности;
-
выбирает принцип преобразования безопасности.
-
-
перенос паролей.
Объекты для переноса паролей выбираются в домене-источнике с помощью фильтров или загрузкой из файла.
Перед миграцией пользователь выбирает контроллер домена, на котором запущена служба экспорта паролей (Password Export Server, PES).