[ Pobierz całość w formacie PDF ]
.To pozwoli pozby� si� grup lokalnych domeny,dost�pnych w tej domenie, przed przeniesieniem serwera do domeny g�ównej, comog�oby stanowi� problem, gdyby grupy te s�u�y�y do przydzielania uprawnie�(jak wspomniano w kroku 5: �Przeniesienie grup lokalnych domen zasobów dodomeny g�ównej�).Dlaczego prawa dost�pu s� zachowywane w ten sposóbFirmy u�ywaj�ce modelu domeny g�ównej zwykle tworz� w domenach zasobów jedyniegrupy lokalne, a nie grupy globalne lub konta u�ytkowników.Firmy te nast�pnieprzydzielaj� uprawnienia do zasobów w domenach drugiego poziomu na jeden lubwi�cej z poni�szych sposobów:Do grup globalnych z domeny g�ównej.Do grup lokalnych tworzonych w serwerach cz�onkowskich domeny zasobów.Do grupy lokalnych domeny tworzonych w PDC i BDC domeny zasobów.Gdy domena zasobów jest rozwi�zywana do postaci OU w by�ej domenie g�ównej,identyfikatory SID u�ytkowników i grup utworzonych w domenie zasobów przestaj�by� wa�ne.Stanowi to problem, je�li przydzielali�my prawa dost�pu do gruplokalnych domeny w samej domenie zasobów � lecz nie je�li u�ywane by�y doprzydzia�u uprawnie� grupy lokalne w serwerach cz�onkowskich domeny zasobów,poniewa� te grupy s� przenoszone razem z serwerami (patrz Krok 4:�Przeniesienie wystawców zabezpiecze� i serwerów cz�onkowskich do domenyg�ównej�), przez co identyfikatory SID pozostaj� wa�ne.Wobec tego, gdy domena zasobów jest w��czana do domeny g�ównej, uprawnieniaprzydzielone wed�ug dwóch pierwszych pozycji z powy�szej listy zostaj�automatycznie zachowane.Uprawnienia przydzielone do grup lokalnych domenyzasobów nie s� zachowywane automatycznie, lecz mo�na je zachowa� za pomoc�prostego przepisu z�o�onego z siedmiu kroków, przedstawionego w tympodrozdziale.Je�li do grup lokalnych domeny przydzielone s� uprawnienia, mo�na pos�u�y� si�Active Directory w celu skopiowania wystawców zabezpiecze� � takich, jak grupylokalne domeny zasobów � z jednej domeny do drugiej (krok 5.).Wystawcazabezpiecze� przeniesiony do innej domeny posiada dwa SID: jeden ze starejdomeny (zapisany w sIDhistory), a drugi z nowej domeny.Nale�y troch� �posprz�ta� listy ACL (do czego zwykle s�u�y SIDWalker) zidentyfikatorów SID wskazuj�cych na domen� zasobów po jej usuni�ciu.Dobre radyInne typy domen podrz�dnych ni� napotkane w modelu domeny g�ównej nale�y zwija�do domeny nadrz�dnej w sposób bardzo podobny do opisanego w powy�szejprocedurze.Warto te� trzyma� si� porad ukrytych w siedmiu krokach opisanych wtym podrozdziale.Je�li chcemy scali� lub zrestrukturyzowa� posiadane domeny,musimy dok�adnie ustali�, jak przeprowadzi� restrukturyzacj� w stosunku doobiektów domeny (np.serwerów, grup, u�ytkowników i uprawnie�).Abyprzeprowadzi� te ustalenia, trzeba zna� detale traktowania wystawcówzabezpiecze� przy przenoszeniu serwerów mi�dzy domenami Active Directory, orazmo�liwo�ci (i braki) poszczególnych narz�dzi Microsoftu s�u��cych do migracji.Dlaczego grupy lokalne w DC wymagaj� specjalnego traktowaniaTrzeba bardzo uwa�a�, przenosz�c wszelkie DC zawieraj�ce grupy lokalne, z uwagina wyra�ne ró�nice w semantyce grup lokalnych zdefiniowanych w serwerachcz�onkowskich i zdefiniowanych w BDC lub PDC:Grupy lokalne w serwerach cz�onkowskich � pozostaj� lokalne; istniej� tylko wbazie danych SAM serwera cz�onkowskiego i nie podlegaj� migracji do ActiveDirectory.Grupy lokalne domeny w kontrolerach PDC i BDC � przy tworzeniu grupy lokalnejdomeny w BDC, czynno�� ta zostaje wykonana zdalnie w PDC i replikowana zpowrotem do wszystkich BDC (poniewa� BDC dysponuj� baz� danych SAM tylko doodczytu) [ Pobierz całość w formacie PDF ]