AD域整合的注意事項

AD域環境是微軟整個產品體系中很是重要的一個系統，是大部分微軟應用的基礎。在某些狀況下因爲公司規劃緣由或併購，會須要作AD域的遷移整合工做，或是兩個AD域跨林進行資源訪問。

 

這部分因爲微軟官方有比較詳細的資料說明和實施步驟，因此本文就再也不對此進行詳細描述，僅對實施AD整合過程當中一些比較容易遇到的問題進行說明，豐富你們對此場景的瞭解。

 

 跨林訪問的受權方式

 

背景

最近筆者實施了一個域整合的項目，因爲客戶公司併購，須要將用戶和組所有從之前所在的A域所有遷移到新的B域（使用微軟ADMT遷移工具），可是因爲一些其餘緣由，用戶須要逐步遷移，而且持續時間會很是長，大約1年（帳戶組會提早所有進行遷移）。

 

在此期間將會有一部分用戶仍然使用舊環境A域的帳號繼續使用，一部分已經遷移的用戶則使用遷移到新環境B域的帳號使用。

 

在此場景下，須要考慮在這個新舊環境都有用戶，而且文件服務器資源都還在舊域A域的狀況下如何規劃用戶的受權問題。

 

受權問題

文件服務器通常爲了方便管理都會對組進行受權，因此本文主要討論對組受權的場景，也就是B域用戶訪問A域文件服務器的受權場景。單獨的用戶受權的場景比較簡單，本文不作討論。

 

根據AD中用戶訪問資源的工做機制，咱們能夠了解到，當用戶訪問文件服務器資源時，會首先和資源所在的域控進行身份認證，確認用戶帳戶是否有權限。對組受權則是會查看用戶帳戶信息的隸屬組信息進行判斷。

 

若是用戶帳戶屬性信息中，所屬的組恰好在資源的權限中也有一樣的組，則按設置的權限的進行訪問。

 

根據上述的工做原理，咱們能夠得出結論，若是須要受權只須要在A域的文件服務器上對共享資源授予須要的組的權限，而後再到B域中將用戶加入到對應的組中便可。（A域全部組都已經使用ADMT帶SID History跨林遷移到B域）

 

可是在筆者實際測試的中，發現並和咱們設想的不同，部分用戶加入到了B域對應的組成員中並無獲取到對應的權限，而是須要將用戶在A域也加入到一樣的組成員方纔會有效果。反覆測試都是如此。

 

問題緣由

通過詳細的測試分析，發現其實這個問題很是簡單，也並不是咱們理解的工做有問題，而是咱們忽略了遷移的組的類型的問題。

 

由於組有本地域組、全局組、通用組幾個類型，根據組的類型的定義，不一樣類型的組固然會有不通的狀況。如下就將測試結果直接分享給讀者：

經過上表能夠看出，因爲不一樣類型組的做用域範圍不同，只有全局組和通用組的類型是以用戶本身所在域的權限爲準，本地域組只能以資源所在域的權限爲準。

 

遷移後用戶沒法登入

 

背景

同前面描述的項目中在完成用戶遷移後，發現有部分用戶沒法登錄，登錄提示：

During a logon attempt, the user's security context accumulated too many security IDs

 

問題分析解決

經過錯誤描述能夠直接比較快找到線索，微軟官方文檔描述：

 

Windows系統包含一個限制，限制用戶的安全訪問令牌不能超過1,000個安全標識符（SID）。當用戶驗證訪問權限以與服務器創建新會話時，該用戶不能是該域中超過1,000個組的成員，若是超出此限制，則拒絕訪問服務器

 

參考連接：

https://support.microsoft.com/en-us/help/275266/error-message-during-a-logon-attempt-the-user-s-security-context-accum

 

以此筆者檢查環境並回憶項目實施過程，果真發現沒法登錄的用戶都隸屬於大量的組的組成員。

 

雖然項目實施的某個國際大公司的AD環境，確實AD中有創建很是多的組，但仍是比較難達到1000的限制。

 

最後筆者發現主因是本次項目過程當中AD用戶和組遷移進行了兩次，而每次都會要進行帶SID History進行遷移，因此每一個用戶的所屬組的數量就都「乘3」了。那些原本就所屬組較多的用戶在遷移2次後也就達到1000的限制。

 

找到了緣由，解決辦法也就很簡單了，對這些沒法登錄的用戶進行整理，將它從不須要的組中剔除，下降到1000個隸屬組之下便可。

 

其餘注意問題

 

• 使用ADMT進行AD用戶遷移時，若是林內遷移，那麼用戶帳戶是移動的方式，完成遷移後源域的用戶帳戶將消失；若是是跨林遷移的方式，那麼用戶帳戶是複製的方式，源域的用戶帳戶仍然將會保留。

 

• 使用ADMT遷移用戶能夠在多個域中遷移屢次，只要是帶SID History便可保留在源域的權限。

 

• 使用ADMT進行遷移時須要配置禁用SID 篩選功能，測試發現若是在Windows Server 2016中文版環境下禁用SID 篩選命令沒有效果，而英文版本則能夠正常運行。中文版的解決方法能夠是下載英文語言包，將系統語言所有調整爲英文語言則能夠正常執行。

 

做者：範bo'w