Это общий пост, не направленный на техническое решение конкретной проблемы. Я просто хочу предупредить коллег по отрасли. Моя карьера сосредоточена на AD в течение 20 лет. Конкретная ниша, на которой я концентрируюсь, — это проекты миграции и консолидации.В настоящее время я работаю в организации, где я переношу 4 домена в один больший. У нас не было конца проблемам. Я имел дело с множеством проблем в течение 6 месяцев подряд. Я никогда не видел ничего подобного раньше.
Похоже, что в 2021 году проверенные и надежные (15-летние методы) миграции с одного домена на другой терпят неудачу на этапе переноса (перевода) профиля пользователя. Если вы знакомы с такими инструментами, как ADMT или Quest Migration Manager для AD, вы будете знакомы с мастером/агентом преобразования безопасности, чья работа заключается в просмотре каждого ACL для каждого файла/папки, чтобы гарантировать, что субъект безопасности целевого домена добавляется и получает идентичные разрешения для участника безопасности домена SOURCE. Что ж, похоже, что в последнем выпуске Windows 10 (и, возможно, в нескольких до этого) есть файлы/папки, для которых инструмент перевода безопасности просто не может изменить безопасность. В основном они связаны с папками профилей приложений Office365. В результате ваши пользователи получают профили, которые либо переведены наполовину, либо полностью повреждены. Приложения Office 365 не запускаются правильно, что означает, что вам необходимо перенастроить каждое отдельное приложение Office для всех затронутых пользователей. То, чего вы хотите избежать, если вам нужно мигрировать тысячи.
В дополнение ко всему этому, TPM (Trust Platform Module), ваша локальная и облачная идентификация объединяются вместе, чтобы создать уровень безопасности, который не может быть преобразован в безопасность с помощью традиционных инструментов миграции. В основном они запираются из любой другой учетной записи пользователя от доступа к данным вашего профиля приложений O365, даже если эта учетная запись имеет полные права на папки profile\AppData.
Это не 100% согласованность, но более 500 миграций профилей, которые я видел в 75-80% случаев (может быть, зависит от сборки/приложения Office). Единственный выход из этой ситуации — дать пользователям совершенно новый профиль.Итак, ребята, в следующий раз, когда вы будете выполнять миграцию домена с переводом безопасности профиля, и что-то пойдет не так, это не только у вас! Сотни людей сообщают об этой проблеме без каких-либо четких указаний от Microsoft. Quest обвиняют «экологические» проблемы. Я думаю, что Microsoft New Age Developers потеряли всю концепцию миграции доменов. Они строят модели безопасности, не задумываясь о том, чтобы профиль пользователя оставался «портативным». Профиль пользователя всегда можно было присвоить новой учетной записи пользователя, но не сейчас?
Следует также отметить, что MS ADMT официально не поддерживает Windows 10 или Windows Server 2016/2019 в этом отношении.
