Главная > Миграция Active Directory, Миграция Exchange > Миграция Active Directory (и Exchange). Скрипты, заметки

Миграция Active Directory (и Exchange). Скрипты, заметки

Предисловие
В последнее время достаточно активно занимался вопросами миграции Active Directory и появились некоторые наработки, в основном в виде скриптов, которыми хотел бы поделиться и другие материалы, найденные в сети.
Данный пост будет пополняться\изменяться.

Полезности

  • скрипт «Исправление членства в группах безопасности для мигрировавших пользователей»

FixGroupMembershipForMigratedUsers.ps1

Это PowerShell Script для исправления членства в группах для мигрировавших пользователей, имеющих «хвост» в Foreign Security Principals.

Скрипт сделан для случая, когда пользователь из исходного леса\домена добавляется в группу в целевом лесу\домене, а затем сам мигрирует в целевой лес\домен и ему необходимо восстановить членство в группе в целевом лесу (инструмент Active Directory Migration Tool (ADMT) в этом случае не помогает, т.к. группа либо не проходила процедуру миграции или не содержала на момент своей миграции этого пользователя и соответственно ADMT ничего про это членство не знает, чтобы его фиксить).

Скрипт производит поиск «пересечения» Users и Foreign Security Principals (FSP) в домене, затем определяет членство в группах для отобранных FSP и интерактивно предлагает администратору добавить пользователей (из списка «пересечения») домена в эти группы безопасности.
По-умолчанию скрипт выполняется в режиме только чтения, ведет лог.

Он использует командлеты для работы с Active Directory из состава операционной системы Windows Server 2008 R2 (тестировалось только на Windows Server 2008 R2).
Запускать его следует с правами Domain Admin в целевом домене.

Текст скрипта обильно усыпан комментариями, поясняющими логику его работы.

  • Обоснование требования прав администратора в исходном домене

Если Заказчик требует от Вас обоснования выдачи вам прав администратора домена в исходном домене и требования прав Domain Admins в документации ADMT ему недостаточно, то вот ещё одно, уже из документации на Active Directory Domain Services с портала MSDN:
Функция DsAddSidHistory из набора функций DC ADDS, мигрирующая SID, требует административных привилегий (параметр SrcDomainCreds) в исходном домене и право «Migrate SID History» в целевом домене.

(Спасибо Александру Станкевичу за данный материал)

  •  Exch: скрипт «Очистка кэша псевдонимов и автоматического завершения в Outlook»

ClearNicnameAndAutompleteOutlookCache.zip

Это cmd-скрипт, реализующий задачу очистки кэша псевдонимов и автоматического завершения в Outlook 2002-2010. Подробнее об очистке этого кэша — http://support.microsoft.com/kb/287623/ru

  •  Exch: ссылки

— Exchange 2010 Cross-Forest Mailbox Moves — http://blogs.technet.com/b/schadinio/archive/2010/08/11/exchange-2010-cross-forest-mailbox-moves.aspx
— GUI Interface for Exchange 2003 to Exchange 2010 Cross Forest Move Mailbox — http://gallery.technet.microsoft.com/ScriptCenter/c1a9e5b1-4e48-4659-8d9c-2ab8f7a01e60/
— Cross Forest Migration Guide – Exchange 2003 to Exchange 2010 — http://careexchange.in/cross-forest-migration-guide-exchange-2003-to-exchange-2010/

 

ADMT

Условия использования данных материалов

  •  предоставляется «как есть»;
  • техническая поддержка работы скриптов, показанных методов и приёмов в видеоматериалах не предоставляется;
  • замечания, комментарии, предложения — приветствуются;
Реклама
  1. 12.09.2012 в 18:28

    С коллегой Александром Станкевичем недавно задумались о теме для нашего нового ИТ-трёпа. Была озвучена тема про миграцию Active Directory (2003,2008(R2)) и Exchange Server (2003,2010).
    Уважаемые читатели блога, на сколько интересна эта тема? Если она достаточно востребована, мы может быть соберемся и запишем таки демо по данной теме.

  2. Konstantin K/
    17.09.2012 в 22:00

    миграция да интересна. Сейчас стало много вопросов о переносе пользователей между доменами, многие уходят в разные компании, которые объединены в один лес. ну там свои заморочки. перенести саму учетку, потом ящик, потом восстановить членство в группах. Хочу вот это все в связке с FIM сделать, как раз начал его изучать

  3. 01.10.2012 в 05:12

    На следующем экране User Account Migration Wizard (см. экран 5 ) можно определить другие параметры учетной записи пользователя, в том числе два важных групповых параметра. Следует выбрать первый параметр (Migrate associated user groups), чтобы перенести, наряду с учетными записями пользователей, выбранные группы исходного домена, которые не были определены в целевом домене. Необходимо также выбрать сопутствующий подпараметр (Update previously migrated objects), тем самым мы поставим ADMT в известность, что после создания новой группы для первого перенесенного пользователя, члена данной группы, необходимо обновлять эту группу, а не создавать новую в процессе миграции остальных ее пользователей. ADMT автоматически сохраняет членство пользователей в специализированных группах; если переносятся и SID, то все полномочия остаются неизменными.

    • 14.10.2012 в 13:04

      Скрипт для случая, когда группа не проходит процедуру миграции (создавалась изначально в целевом лесу) или ранее проходила миграцию, но после этого мигрировавший пользователь включался в группу не в исходном, а в целевом домене. (ADMT тут не поможет)
      З.Ы.: А, понял, этот коммент про группы — ответ для Константина 😉

  4. 01.04.2013 в 00:15

    Обновлено. Добавлены ссылки на замечательное видео по Cross-Forest миграции Active Directory, Exchange Server.

  5. 05.06.2013 в 23:43

    Обновлено. Добавлена заметка «Обоснование требования прав администратора в исходном домене»

  6. 10.01.2014 в 11:28

    Обновлено. Добавлены ссылки на статьи по Cross Forest миграции Exchange Server 2003->2010. (Спасибо за ссылки Вячеславу Гмир)

  7. 03.06.2014 в 21:55

    ADMT 3.2 and PES 3.1 installation errors on Windows Server 2012
    http://support.microsoft.com/kb/2753560/en

  8. 04.06.2014 в 02:40

    ADMT 3.2 seems to set the audit directory access value to no auditing.
    http://social.technet.microsoft.com/Forums/windowsserver/en-US/9698a341-bbb1-49ac-80f5-d39549b85684/admt-32-seems-to-set-the-audit-directory-access-value-to-no-auditing?forum=winserverMigration&prof=required

    When I’m running an admt migration and select «enable sid history» I get a popup :

    Auditing is currently not enabled on the target domain. Would you like to enable auditing?If not, SID migration will be disabled.
    Yes / No / Cancel

    I was able to resolve this finally by going to advanced auditing policies and enable auditing for all the options under account management. ..

  9. андрей
    21.12.2015 в 17:40

    Добрый день.
    Попробовал воспользоваться FixGroupMembershipForMigratedUsers.ps1 , к сожалению скрипт сам выполнился, но никаких изменений не произошло.
    Это может быть связанос тем что скрипт рбыл подготовлен для 2008 а я его исполнял на версии 2012?

    • 21.12.2015 в 17:49

      По-умолчанию скрипт выполняется в режиме только чтения, ведет лог.

      • андрей
        21.12.2015 в 18:12

        запускал с ключом
        FixGroupMembershipForMigratedUsers.ps1 yes
        в логе есть строка — список пользователей и групп в которые они были добавлены, так вот пользователь есть а adusergroupsamaccountname и adusergroupsid пустые, по идее должны быть указана группа и ее sid

  10. Рахматулло
    04.07.2016 в 13:24

    Добрый день.
    Ссылка на скрипт Exch: скрипт «Очистка кэша псевдонимов и автоматического завершения в Outlook» ведёт на другой скрипт по фиксации групп.

  1. No trackbacks yet.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: