Active Directory (AD): 企业网络用户管理的重要性及 AD 迁移方法
Windows Active Directory(AD)是 Microsoft 的专有目录服务。Active Directory 是一种分层结构,它将数据和信息作为对象存储在相应的网络上。
Windows Active Directory (AD) 包含各种对象,例如用户、计算机、组、应用程序、打印机等设备等。打印机或计算机等对象被定义为资源。同时,用户或组被定义为安全主体。
Active Directory(AD)进一步允许网络管理员控制和管理各种权限、应用策略并允许 AD 用户访问相应的网络资源。
AD DS 是 Active Directory 域服务,是 Windows Server 操作系统的一部分。它负责提供存储目录数据的方法。
域控制器(DC)是一个运行 AD DS 的服务器,通过处理来自计算机域中用户的身份验证请求。除了 Active Directory,其它还用他类型的身份管理系统。
对于企业来讲,AD 的重要性是什么?
AD 在组织基础设施中的作用如下:
- AD 通过 AD DS 集中用户管理和身份验证。
- 它不仅可以进行身份管理,还可以控制对文件、应用程序和设备等资源的访问。
- 此外,它还简化了整个环境中的 IT 管理和策略实施。
- 它支持跨网络安全的信息共享。
- 此外,它构成了组织安全协议的支柱。
- AD 还促进了可扩展性和高效的资源分配。
Windows Active Directory (AD) 不仅增强了组织的整体安全性,还允许管理员和最终用户控制和管理各种权限、应用组策略并允许 AD 用户访问相应的网络资源,从而简化了他们的生活。
什么是 Active Directory 迁移
Active Directory 迁移是将 AD 对象从一个 AD 环境或域迁移、重新定位或重新组织到另一个 AD 环境或域的过程,包括各种 AD 对象,例如用户、计算机、组、共享文件夹和其他资源。
Active Directory 迁移的类型
执行 Active Directory 迁移通常是为了升级 Active Directory 版本、合并 AD 林/域、重组组织设置或迁移到云平台。迁移可确保用户访问和服务的无缝连续性,同时保持数据完整性。因此,根据方案,可以有几种类型的 AD 迁移,如下所述。
场景 1. AD 到 AD 的迁移
- 林间迁移 – 在两个独立林之间执行 AD 对象的迁移。
- 林内迁移 – 在同一林但不同域之间迁移 AD 对象。
- 跨域迁移 – 在相同或不同林中的域之间移动广告对象。
场景 2. AD 到 Microsoft Entra ID 的迁移
- 混合迁移 – 使用工具执行从本地 AD 到 Entra ID 的迁移。
- 仅限云迁移 – 将所有 AD 对象和协议完全迁移到 Entra ID。
- 联合身份验证迁移:在 AD 和 Microsoft Entra ID 之间配置和实施用于 SSO(单点登录)的联合身份验证。
但是,这是一个相当复杂的过程,因为它是一个集中式用户和身份管理系统,一个小错误就可能导致业务停机和用户数据无法访问。因此,以不妨碍业务连续性的方式计划和执行整个活动至关重要。
因为,AD 迁移对于业务连续性和增长至关重要,但它也很棘手。由于其复杂性和所涉及的风险,它需要仔细规划。按时完成对于保持平稳运行,同时确保安全性和用户生产力至关重要。
如何使用 ADMT 执行迁移?
- 在您的系统上下载并启动 ADMT 工具。使用适当的凭据登录。
- 导航到“作”并选择“用户帐户迁移向导”。单击“下一步”继续。
- 选择源和目标 Active Directory 域,然后单击“下一步”继续。
- 选择“从域中选择用户”功能。
- 单击以下对话框中的“添加”,选择计划迁移的用户,然后单击“确定”。注意:不遵守先决条件可能会触发错误消息:“无法与密码导出服务器建立会话。访问被拒绝。
- 确认主窗口中列出的用户帐户,然后单击“下一步”。
- 选择目标组织单位 (OU),然后单击“下一步”。
- 仔细查看所有迁移详细信息,然后单击“完成”。等待迁移过程完成。
- 验证目标域,确保目标 AD 用户迁移成功。
与使用可靠的自动化迁移软件相比,使用 ADMT 有一些缺点:
- 配置和使用的复杂性,特别是对于没有经验的用户。
- 资源密集型,尤其是在处理大量数据时。
- 由于 SID、信任和架构差异而导致的林间迁移挑战。
- 依赖于足够的权限才能成功作。
- 迁移过程中非标准对象或属性的潜在问题。
- 由于安全策略的原因,密码迁移面临障碍。
- 某些 Active Directory 功能可能无法无缝迁移。
- 缺乏内置的回滚机制,需要手动反转步骤。
- 对最新作系统的有限支持。
- 某些功能可能依赖于其他 Microsoft 服务或工具。
使用 AD 到 AD 的自动化工具,是执行迁移的最可靠方法
由于 ADMT 有各种限制,选择专业的 AD 迁移软件是安全可靠及便捷的方法。此类软件允许将用户、计算机、打印机、组和共享联系人的迁移以 AD 域为目标。
同时移动所有用户对象
在迁移过程中保持所有不同用户属性不变。复制每个常规、地址、帐户、电话、组织、远程控制、远程桌面服务、COM+、成员、拨入、环境和会话。
为所有用户设置单个默认密码
在用户对象迁移期间,管理员会为所有用户帐户分配一个通用的临时默认密码。可以在 Entra 环境中快速无误地创建或合并 AD 用户。临时密码不会存储在任何位置,并且在迁移后用户首次登录云后过期。
传输 AD 计算机设备属性
迁移所有各种 AD 计算机属性,例如常规信息、作系统数据、成员详细信息、委派、位置、管理者等。在云平台上安全地构建相同计算机对象的一对一副本,停机时间几乎为零。
本地和云之间的高效映射
允许管理员从源 AD 域和目标 Entra ID 自动获取所需的对象,例如用户、组和计算机。用户可以并排查看源对象和目标对象的树状图,并就如何实现 AD 到 Entra 的过渡进行详细比较。
简化的序列设置,易于使用
无需深入的技术知识即可轻松部署并完成密集的迁移过程。在工具中获取必要的警报和信息。
将组迁移到 Microsoft Entra ID
将组对象从本地 Active Directory 迁移到 Microsoft Entra ID。支持多组迁移。组织可以通过安全高效地跨两个平台转移组成员身份,无缝采用混合或云优先策略。
迁移后场景的灵活选项
在主要迁移后提供额外的支持:
- 失败重试:使用此功能,管理员可以对在首次运行期间未到达预期目标的项目再次重试迁移。
- 运行 Delta:此迁移后功能会聚合在第一轮迁移期间/之后在 AD 中生效的所有对象/属性,并将它们发送到 Entra ID。
高级用户配置文件管理
获取用于管理迁移的用户信息的专用配置文件选项卡。能够更新基本用户属性,包括名字和姓氏修改、电子邮件地址更新和电话号码管理。
多个计算机对象重新启动选项
提供对迁移到 Entra ID 后计算机重启的精细控制,允许管理员在“在最终用户处计划”选项(启用用户启动的重启)或“强制重启”选项(用于立即重启和策略实施)之间进行选择。
排除属性和无效对象删除
通过提供 CSV 文件模板来排除预迁移对象的特定属性。