de-DEen-US
Sprache
Search
× Search
Sonntag, 26. September 2021

Windows Active Directory auf UCS Migration

Erfahren Sie, wie Sie mit CopyRight2 AD Benutzer, Gruppen, Kontakte & OUs von Windows®-Domänencontrollern auf Univention Corporate Server (UCS) migrieren.

Windows Active Directory auf UCS Migration

Dieses Video zeigt eine Active Directory-Migration mit CopyRight2 von einer Windows 2019-Domäne auf Univention Corporate Server (UCS). Sie sehen wie Sie einen UCS Active Directory-kompatiblen Domain Controller einrichten und dann einen CopyRight2-Kopierjob konfigurieren, um die Active Directory-Objekte von der Quell- in die Zieldomäne zu migrieren.

Sie können die UCS-Images von der folgenden URL herunterladen: https://www.univention.com/downloads/download-ucs/

Im Gegensatz zu Microsofts ADMT benötigt CopyRight2 keine Vertrauensstellung zwischen den beiden Domänen, weder zu installierende Agenten noch eine SQL-Server-Instanz. Da es sidHistory-lose Migrationen unterstützt, sind damit keine Sicherheitsrisiken verbunden und es müssen keine der Anforderungen von ADMT erfüllt werden.

Der Einfachheit halber wird in diesem Video davon ausgegangen, dass das Konto, mit dem die Migration durchgeführt wird, in beiden Domänen das gleiche Passwort hat (sog. Pass-Through-Authentifizierung), da sonst die GUI eine Authentifizierung verlangen würde.

Video

Umgebung

Der Quellserver "WIN2K19" ist ein Domänencontroller der Domäne "DomainE.Com". Das Zielsystem "UCS-6999" ist ein Domänencontroller der Domäne "Acme.Com". Beiden Domänen befinden sich in zwei unterschiedlichen Forests. CopyRight2 wurde zuvor auf dem Quellsystem installiert, um die Konten auf das Ziel zu kopieren (Push-Konfiguration). Es ist keine Vertrauensstellung zwischen den beiden Domänen definiert.

Es gibt 3 OUs namens "Support", "Marketing" und "Sales" im Quell-Active Directory. Diese drei OUs und alle darin enthaltenen Benutzer, Gruppen, Kontakte, Verteilerlisten und OUs sollen in drei gleichnamige OUs migriert werden, die sich direkt unter dem Stamm des Ziel-Active Directory befinden.

Wenn die Quelldomäne unter einer anderen Windows-Version läuft, können die gleichen Einstellungen verwendet werden.

Einstellungen

Job Typ
User and Group Migration

Name and Description Seite
Name: Active Directory Migration

Source and Destination Seite
Source computer: WIN2K19
Destination computer: UCS-6999

User and Group Migration Seite
Specific accounts: Die OUs der "Support", "Marketing" und "Sales" Abteilungen, inklusive aller enthaltenen Benutzer, Gruppen, Kontakte und Verteilerlisten.

Filter Seite
User accounts: Aktiviert (Add/Update)
Local groups: Aktiviert (Add/Update)
Global groups: Aktiviert (Add/Update)
Contacts: Aktiviert (Add/Update)

Settings Seite
Migrate user passwords: Deaktiviert
Local group memberships: Aktiviert (Add/Remove)
Global group memberships: Aktiviert (Add/Remove)
Local group members: Aktiviert (Add/Remove)
Global group members: Aktiviert (Add/Remove)
Do not migrate any accounts indirectly that are not selected: Aktiviert

Active Directory Options Seite
Migrate OU & container structure: LDAP://DC=Acme,DC=Com
Local group memberships: Aktiviert (Add/Remove)
Global group memberships: Aktiviert (Add/Remove)

Notes

CopyRight2 unterstützt Migrationen mit sidHistory, bei denen den Zielkonten (Benutzer oder Gruppen) temporär zusätzlich die SIDs die sie in der Quell-Domäne hatten hinzugefügt werden, um den Zugriff auf Ressourcen zu gewähren, in deren Berechtigungen auf diese SIDs aus der Quelldomäne verwiesen wird. Die Verwendung der sidHistory-Funktion ermöglicht es, die Konten- von der Ressourcenmigration zu trennen, allerdings auf Kosten einer höheren Komplexität. Nach der Migration der Benutzer- und Gruppenkonten müssten Sie eine sidHistory-Bereinigung durchführen, bei der die alten SIDs, die die Konten in der Quelldomäne hatten, durch die SIDs ersetzt werden, die die Konten in der Zieldomäne erhalten haben. Sobald alle SIDs ersetzt wurden, in der Regel in den NTFS- und Freigabeebenen-Berechtigungen, kann das Active Directory-Feld sidHistory gelöscht werden und die Migration ist abgeschlossen. Es gibt einige Windows Voraussetzungen, die erfüllt werden müssen, wenn Sie eine sidHistory-Migration durchführen möchten. Bitte lesen Sie das CopyRight2-Benutzerhandbuch für weitere Informationen zu diesen Anforderungen.

In diesem Beispiel wird sidHistory nicht verwendet, um den Prozess zu vereinfachen. Sie können entweder eine nachträgliche Datenmigration durchführen, bei der die SIDs automatisch ersetzt werden, während die Daten und Berechtigungen ins Ziel kopiert werden, oder für den Fall, dass die Daten nicht verschoben werden sollen, können Sie einen Job vom Typ "Security & Attributes" verwenden, um die SIDs in Berechtigungen zu ersetzen ohne das die Daten bewegt werden. Diese Methode hat keine zusätzlichen Anforderungen und ist weniger Komplex als eine Migration mit sidHistory.

Dieses Beispiel zeigt eine Interforest-Migration. CopyRight2 unterstützt auch Intraforest-Migrationen (Quell- und Zieldomäne im selben Forest). In diesem Fall muss sidHistory verwendet werden und die Konten werden zwischen den beiden Domänen verschoben und nicht kopiert. Nachdem ein Konto verschoben wurde, bekommt es automatisch die SID des ursprünglichen Quellkontos zu seinem sidHistory-Feld hinzugefügt, was den Zugriff auf die ursprünglich zugängliche Ressource ermöglicht.Im Falle einer Intraforest-Migration ist es nicht möglich, das Konto mit dem ursprünglichen samAccountName zu kopieren, da der samAccountName innerhalb des Forests eindeutig sein muss.

NutzungsbedingungenDatenschutzerklärungCopyright © Sys-Manage, 1998-2021. All Rights Reserved.
Zurück nach oben