率这篇文章

Active Directory组

现在我们已经准备好了开始迁移的两个AD环境,并安装了所有必需的工具,让我们开始移动物体。为了确保在用户迁移到目标域之前,我们有适当的安全结构,在迁移任何用户对象之前,我们将处理Active Directory组。

所以,什么是广告组?这些组织如何控制安全结构?为什么它们是广告模式的重要组成部分?

Active Directory组基本上是用户帐户的集合单元,电脑账户,以及其他团体,使之更易于管理。使用组而不是单个用户有助于简化网络维护和管理。想想一个在一周内多次添加/修改/删除用户的环境。每个用户都有一个他们需要(控制)访问的资源列表。管理对一长串资源(文件野兔、打印机,服务器等)对于成百上千的用户来说,没有安全组将是一场噩梦。

Active Directory中有两种类型的组:

  • 分配组用于创建电子邮件分发列表。这些组只能与电子邮件应用程序(如Exchange Server)一起用于向用户集合发送电子邮件。通讯组未启用安全性,这意味着它们不能列在自由访问控制列表(DACLs)中。
  • 安全组用于为共享资源分配权限。
    • 安全组还支持启用邮件的功能,使您能够将安全组用作分发组。虽然这增加了一些混乱和复杂性,在某些情况下,它可以帮助减少组的数量。

使用安全组,你可以:

  • 为Active Directory中的安全组分配用户权限。
  • 为资源的安全组分配权限。

就像分布团体,安全组可以用作电子邮件实体。向组发送电子邮件会将邮件发送给组中的所有成员。

组作用域

组的特征是一个范围,该范围确定组在域树或林中应用的程度。组的作用域定义了在何处可以授予组权限。以下三个组作用域由Active Directory定义:

  • 通用
  • 全球
  • 域的地方

注:除了这三个范围外,中的默认组内装式容器具有本地内建的组范围。不能更改此组范围和组类型。

下表列出了三个组范围,以及关于安全组的每个范围的更多信息。

范围 可能的成员 空间的转换 可以授予权限 可能的成员
通用 来自同一林中任何域的帐户来自同一林中任何域的全局组来自同一林中任何域的其他通用组 如果组不包含任何其他通用组,则可以将本地作用域转换为全局作用域 在同一林或信任林中的任何域上 同一林域中的其他通用组同一林中的本地组或信任同一林中计算机上的林本地组或信任林
全球 来自同一域的帐户来自同一域的其他全局组 如果组不是任何其他全局组的成员,则可以转换为通用作用域 在同一个林中的任何域上,或信任域或林 来自同一林中任何域的通用组来自同一域域的其他全局组来自同一林中任何域的本地组,或来自任何信任域
域的地方 来自任何域或来自任何域的任何可信域全局组的帐户,或来自同一林中任何域的任何可信域通用组的帐户,或来自相同域帐户的其他域本地组的帐户,全球集团,以及来自其他林和外部域的通用组 如果组不包含任何其他域本地组,可以转换为通用范围吗 在同一个域中 在相同域中计算机上来自相同域本地组的其他域本地组,排除具有已知SID的内置组

有关活动目录组的更多信息:

https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-directory-security-groups

AD组帐户迁移

普遍的,可以使用ADMT工具迁移全局和域本地组。每种群体类型都有不同的成员规则,每一组都有不同的用途。这将影响组从源迁移到目标域的顺序。首先迁移所有通用组和全局组,然后迁移域本地组。

执行用户帐户迁移时,将用户帐户添加到目标域中的相关组(如果已经存在)。

ADMT迁移安全组有一些限制:

  • 两个组不能以相同的名称存在于同一个域中。
  • 无法迁移诸如域管理员或域用户之类的内置组。
  • 对于(在prem上)通讯组,您可以考虑将组转换为仅云组(O365)。这提供了从源域和目标域添加用户的功能。
  • 启用邮件的安全组只能存在一次,因为它们必须是唯一的,并且复制到Office365。这可能会在迁移时间方面带来挑战。为了解决这个问题,所有生产用户迁移后,来自现有已启用邮件的安全组和通讯组的电子邮件功能将在源域中禁用,并在目标域中的相应组上启用。
    • 随着大爆炸的迁移,所有用户同时迁移,在迁移用户的同时,可以在新域中启用启用邮件启用的安全组。
    • 通过分阶段迁移,用户迁移到更小的组中,在新域中启用此功能之前,迁移的用户将无法接收发送到安全组的电子邮件。

迁移流程:

  • 使用ADMT迁移帐户登录到ADMT服务器。
  • 使用组帐户迁移向导并执行下表中的步骤。
目标域 行动
域选择 ,在下拉列表,选择或键入源域。在域控制器下拉列表,键入或选择域控制器的名称,或选择任何域控制器.目标,在下拉列表,选择或键入目标域。在域控制器下拉列表,键入或选择域控制器的名称,或选择任何域控制器,然后点击接下来.
群体选择 点击从域中选择组,然后点击接下来.在群体选择页面,点击添加要选择要迁移的源域中的组,点击好啊,然后点击接下来.
组织单位选择 在目标域中找到要移动全局组的容器,然后点击好啊.
组选项 点击将组SID迁移到目标域.确保没有选择所有其他选项。
用户帐户 键入用户名,密码,以及源域中管理帐户(ADMT帐户)的域。
冲突管理 点击如果在目标域中检测到冲突,不要迁移源对象.(这样做是为了确保从源域迁移组不会影响目标域中具有相同名称的任何组。)然而,在分阶段方法期间不选择此选项很有用,该方法允许您在每个阶段之前复制可能对组权限所做的任何更改。
  • 当向导运行完毕时,单击查看日志,并检查迁移日志中的任何错误。
  • 打开Active Directory用户和计算机管理单元,然后定位目标OU。验证组是否存在于目标域OU中。

系列:

第1部分。介绍和高级迁移方法
第2部分。为SID历史记录和可接受域配置源和目标域
第3部分。安装和配置ADMT工具和密码导出服务器
第4部分。组迁移
第5部分。用户迁移
第6部分。安全性转换向导–本地配置文件和最终用户体验需要考虑的事项

类别:
Azure基础设施Azure平台交换办公室365
标签:

留下答复