Aceasta este o postare generală care nu caută o soluție tehnică la o problemă precisă. Vreau doar să-i avertizez pe colegii din industrie. Cariera mea s-a concentrat pe AD de 20 de ani. Nișa exactă pe care mă concentrez este proiectele de migrații și consolidare.În prezent lucrez la o organizație în care migrez 4 domenii într-unul mai mare. Nu am avut niciun capăt de probleme. Am avut de-a face cu o serie de provocări timp de 6 luni consecutive. Nu am mai văzut așa ceva până acum.
Se pare că în 2021, metodele încercate și de încredere (metode vechi de 15 ani) pentru migrarea de la un domeniu la altul nu reușesc la etapa de migrare (traducere) a profilului utilizatorului. Dacă sunteți familiarizat cu instrumente precum ADMT sau Quest Migration Manager pentru AD, veți fi familiarizat cu vrăjitorul/agentul de traducere de securitate a cărui sarcină este să cerceteze fiecare ACL din fiecare fișier/dosar pentru a vă asigura că principalul de securitate al domeniului TARGET este adăugat și li se acordă permisiuni identice principalului de securitate al domeniului SOURCE. Ei bine, se pare că în cea mai recentă versiune Windows 10 (și probabil mai multe înainte), există fișiere/foldere pentru care instrumentul de traducere de securitate pur și simplu nu este capabil să modifice securitatea. Acestea sunt legate în principal de folderele de profil Office365 Apps. Rezultatul este că utilizatorii dvs. ajung cu profiluri care fie s-au tradus pe jumătate, fie sunt complet corupte. Aplicațiile Office 365 nu se lansează corect, ceea ce înseamnă că trebuie să reconfigurați fiecare aplicație Office pentru toți utilizatorii afectați. Ceva pe care doriți să îl evitați dacă aveți mii de migrat.
Pe lângă toate acestea, TPM (Trust Platform Module), identitatea dvs. onprem și identitatea dvs. în cloud se combină împreună pentru a crea un strat de securitate care nu poate fi tradus de securitate prin instrumentele tradiționale de migrare. Practic, se blochează scoateți orice alt cont de utilizator de a accesa datele de profil ale aplicațiilor O365, chiar dacă acel cont are drepturi depline asupra folderelor profile\AppData.
Nu este 100% consecvent, dar peste 500 de migrări de profil l-am văzut în 75-80% din timp (ar putea fi specific pentru aplicația build/Office). Singura cale de ieșire din această situație este de a oferi utilizatorilor un profil nou-nouț.Deci, oameni buni, data viitoare când efectuați o migrare de domeniu cu traducere de securitate a profilului și ceva nu merge bine, nu sunteți doar voi! Sute de oameni raportează această problemă fără o direcție clară din partea Microsoft. Quest dă vina pe problemele „de mediu”. Cred că dezvoltatorii New Age de la Microsoft au pierdut orice concept de migrare a domeniilor. Ei construiesc modele de securitate fără să se gândească la menținerea profilului de utilizator „portabil”. Un profil de utilizator a fost întotdeauna ceva pe care îl puteți atribui unui nou cont de utilizator, dar nu mai este?
De asemenea, un punct de remarcat este că MS ADMT nu acceptă oficial Windows 10 sau Windows Server 2016/2019.
