Windows_Server_2003活动目录迁移.pptVIP

AD迁移 一些相关的基本概念 SID基本概念 访问控制列表 用户配置文件 ADMT的需求 ADMT的最佳实践 SID基本概念 特定安全主体的唯一标识符 变长数据结构 层次化结构 RID 主机 移动 RID 分配 删除 RID SID示例 -S-R-I-SA-SA-SA S代表SID R代表当前版本(1) I代表48位授权机构，唯一命名空间 SA代表下级授权机构（RID） NT Authority命名空间（I=0x000005） 在Windows中创建的所有安全主体 管理员：S-1-5-21-xxx-xxx-xxx-500 来宾：S-1-5-21-xxx-xxx-xxx-500 World Authority命名空间（I=0x000001） Everyone：S-1-1-0 访问控制列表 随机访问控制列表(DACL) 识别安全的主体那些是允许的或不允许的访问和那一个级别是被允许访问或是被拒绝的 系统访问控制列表（SACL） 控制怎样的对象访问是被审核的 访问控制项 用户配置文件 保存用户的个人数据，并仅限该用户访问，包括 用户文档 桌面配置 快捷方式 开始菜单 用户登录系统后产生 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList 迁移可能带来的问题 用户迁移后SID必然发生改变 原有的访问控制列表对于新SID失效 不能访问原有的资源 用户Right失效 用户组成员关系可能失效 更大的问题：用户配置文件发生改变 桌面丢失 保存的账户和密码丢失 缓存数据丢失 最终问题主要还是人难搞 域迁移类型 森林内 森林内迁移是指在同一个森林内，Windows 2000或Windows 2003之间移动安全标识和资源的过程 森林内迁移具有破坏性 账户的GUID不变，对于profile迁移可能带来优势 森林间 森林间迁移是指从一个域 (NT 4 或 Windows 200x) 到另一个Windows 200X域复制安全标识和资源的过程 对象被克隆而不是删除 (非破坏性的) 增量的 (安全的) 迁移 封闭集的问题 9 什么是封闭集? 在迁移资源过程中，其所属的集合关系可能丢失 两类封闭集： 用户和所属的全局组 资源和域本地组 ADMT如何解决封闭集的问题 迁移用户之前先迁移组 域全局组转换成通用组 域本地组必须手动更改为通用组 sIDHistory 什么是sIDHistory? SID筛选 理解安全威胁 如果在传出外部信任未使用SID筛选，那么在受信任域中具有管理凭证的恶意用户可能会探测来自信任域的网络身份验证请求，从而获取对信任域中资源具有完全访问权限的用户的SID信息 获得SID信息后，可以将该信息伪造在自身域的某个账户的SIDHistor中 SID筛选如何工作 验证来自受信任域中的安全主体创建的传入身份验证请求是否包含受信任域中的安全主体SID 禁止了SIDHistory对资源的访问 使用Netdom禁用SID筛选 SIDHistory是一个过渡工具 删除SIDHistor，重新应用资源的访问权限 准备源域和目标域 提升源域和目标域的模式 创建源域和目标域信任关系 在源域中创建一个与目标域同名的本地域组（NetBIOSDomainName$$$） 在源域的PDC仿真角色服务器上打开TCP/IP客户端支持 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA，修改TcpipClientSupport为1 双方DC开启审核功能 在目标域上关闭SID筛选 在目标域GC角色上安装ADMT 在目标域中创建密码导出密钥文件 在源域中安装密码导出服务（PES），并导入目标域创建的密钥文件 权限要求 执行迁移工作的账户要求： 源域的域管理员 有在目标域创建对象的权限 有在目标域执行系统操作的权限 如何实现 在源域中创建一个账户 在源域中将这个账户添加到Domain Admins组 在目标域中将该账户添加到准备安装ADMT的DC服务器的Builtin\Administrators组中 在目标域安装ADMT的DC服务器上用该账户登录 ADMT向导 Use the Test migration settings and migrate later option to run a wizard without making changes 使用ADMT的最佳实践 在迁移期间对源域和目标域DC定期进行备份 在迁移前进行测试迁移 在生产环境迁移对象前，先在测试环境中测试迁移方案 定制恢复计划，确保恢复计划在迁移期间可用 解密通过EFS加密的文件 确保迁移过程中源域和目标域的时间同步，否则Kerbe