Перемещение против клонирования
Учетные записи пользователей, групп, служб и компьютеров, называемые также участниками безопасности (security principals), обновляются от службы каталога SAM Windows NT 4 Server к Active Directory. Это обновление выполняется двумя способами: учетные записи могут быть или перемещены, или клонированы. При перемещении объекта первоначальный участник безопасности в исходном домене удаляется. Перемещение объекта - это деструктивный процесс, исходные объекты домена, необходимые для восстановления в случае сбоя, не сохраняются. Клонирование — это процесс создания нового, идентичного участника безопасности в целевом домене, основанном на объекте исходного домена. Предпочтительным методом передачи участников безопасности в чистый лес Windows Server 2003 является клонирование. Перемещение участников безопасности, как правило, производится при переходе между двумя лесами Windows Server 2003 или между лесом Windows 2000 и лесом Windows Server 2003.
Сценарий перехода, связанный с обновлением и последующей реструктуризацией, приведен в разделе «Обновление и реструктуризация» в этой главе.
Практический опыт. Понимание атрибута SID-History
Как учетные записи пользователей поддерживают доступ к принтерам и общим папкам, когда вы переносите учетные записи пользователя из одного домена в другой?
Рассмотрим пример. Во время реструктуризации домена вы переносите пакет учетных записей пользователей из домена Windows NT 4 в домен Windows Server 2003. После завершения переноса вы инструктируете пользователей, как входить в новый домен и сбрасывать свои пароли. Допустим, пользователь X успешно входит на целевой домен, а затем пытается обратиться к существующей ранее общей папке файлового сервера, на котором выполняется система Windows NT 4 Server, с которой он работал в течение нескольких месяцев. Сможет ли пользователь X обратиться к этой папке?
Да, и это возможно благодаря атрибуту SID-History.
SID-History является атрибутом участников безопасности Active Directory, который используется для хранения старых идентификаторов защиты (SID) объекта. Если пользователь X имел в домене Windows NT 4 идентификатор SID, равный S-1-5-21-2127521184-1604012920-18879275 27-324294, то такое же значение появится в поле атрибута SID-History для созданного объекта учетной записи Windows Server 2003. При перемещении группы из домена Windows NT 4 в домен Active Directory SID домена Windows NT 4 сохраняется в атрибуте SID-History данной группы. При перемещении пользователей и групп учетные записи пользователя автоматически назначаются членами групп, перенесенных в домен Windows Server 2003. Это значит, что права доступа, назначенные для группы в домене Windows NT 4, сохраняются в процессе перехода. Новый SID, сгенерированный целевым контроллером домена, помещается в атрибут SID перемещенной учетной записи.
Каким образом сохраняется доступ к ресурсам? Когда пользователь X пытается обратиться к общей папке, расположенной на файловом сервере Windows NT 4, подсистема защиты проверяет его лексему доступа, чтобы удостовериться в наличии необходимых разрешений на доступ к папке. Лексема доступа содержит не только SID пользователя X и SID всех групп, к которым он принадлежит, но и все входы SID-History самого пользователя и учетных записей его групп. Если найдено соответствие между дискреционным списком управления доступом (DACL -discretionary access control list) на дескрипторе защиты папки и предыдущим SID (теперь включенным в лексему доступа с помощью атрибута SID-History), то выдается разрешение на доступ к папке.
Как много из всего этого должен знать конечный пользователь? Ничего. Как много должны знать вы, как системный администратор? Вам следует знать все. Доступ к ресурсам — это наиболее проблемная область переноса учетных записей пользователя. Понимая то, как поддерживаются разрешения после перехода, вы как администратор можете эффективно решать проблемы, возникающие при доступе к ресурсам. В процессе перехода вам, возможно, придется дополнительно поработать для гарантии того, что поле SID-History заполнено. Вы узнаете больше при исследовании утилиты Active Directory Migration Tool (Инструмент перехода к Active Directory, ADMT).
Как работает атрибут SID-History в сценарии обновления домена? Ответ: он не работает. При обновлении домена поддерживаются SID учетных записей групп и пользователей. Пользователь X сможет нормально обращаться к ресурсам. Как SID-History работает в сценарии обновления с последующей реструктуризацией? Ответ: так же, как в сценарии с простым обновлением домена, т.е. доступ к ресурсам сохраняется за счет поддержки первоначального SID объекта в атрибуте SID-History. Единственное различие состоит в том, что Active Directory требует, чтобы идентификаторы SID появлялись в лесу только один раз, включая оба поля: SID и SID-History. В результате в сценарии обновления с последующей реструктуризацией участники безопасности должны быть перенесены, а не клонированы.
