Миграция объектов между доменами Active Directory

2015-11-11, 01:00 / Argon

В этой статье я расскажу о том, как правильно организовать процесс миграции пользователей и ресурсов между доменами Active Directory без прерывания доступа. В статье будут рассмотрены:

  • общий подход к миграции
  • как работает SID History
  • сценарии миграции и подход к администрированию для каждого из них

Для понимания изложенного в данной статье материала требуется понимание предыдущей статьи — Построение ролевой модели в Active Directory.

Содержание

  • Общий подход к миграции
  • Сценарии миграции объектов Active Directory
    • Сценарий 0 — исходное состояние
    • Сценарий 1.1 — миграция пользователей в целевой домен
    • Сценарий 1.2 — создание новых пользователей в целевом домене
    • Сценарий 2.1 — развёртывание ресурсов в целевом домене
    • Сценарий 2.2 — развёртывание ресурсов в исходном домене
    • Сценарий 2.3 — миграция ресурсов в целевой домен
    • Сценарий 3 — все пользователи и ресурсы мигрированы
  • Заключение
  • Полезные ссылки

Прочитать остальную часть записи »

Построение ролевой модели в Active Directory

2015-09-01, 21:00 / Argon

В проектах по Active Directory я регулярно сталкиваюсь с задачами и вопросами от заказчиков, для которых требуется понимание двух тесно связанных между собой тем:

  • как грамотно организовать доступ к ресурсам с помощью групп
  • как организовать процесс миграции учетных записей и ресурсов без прерывания доступа

Эти аспекты работы Active Directory Domain Services критически важны для удобной, безопасной и предсказуемой работы AD в конфигурациях, состоящих более чем из одного домена.

В этой статье я расскажу:

  • как работают разные типы групп
  • как правильно организовать доступ к ресурсам

Статья ещё в процессе написания. Буду рад вашим комментариям!

В следующей статье Миграция объектов между доменами Active Directory будут рассмотрены вопросы организации миграции пользователей и ресурсов в другой домен без прерывания доступа:

  • общий подход к миграции
  • как работает SID History
  • сценарии миграции и подход к администрированию для каждого из них

Содержание

  • Разрешения на ресурсы
  • Типы групп в Active Directory
    • Чем вызваны эти отличия
  • Построение ролевой модели
    • Группы доступа (к ресурсу)
    • Ролевые группы (пользователей)
  • AGULP

Прочитать остальную часть записи »

Предложения по улучшению Тинькофф Банка

2015-03-22, 15:30 / Argon

Мне настолько надоело ругаться со своим Ситибанком и решать самые банальные вопросы неделями, что к альтернативным банкам я присматривался уже давно. Мне довелось увидеть ролик о новом интернет-банке Тинькофф, и я был весьма впечатлён. Решил попробовать этот банк на своей шкуре. Ну что сказать, Тинкфофф Банк пока держит впечатление лучшего из банков, которыми мне доводилось пользоваться.

Однако, к лучшим предъявляются самые высокие требования… В данном посте я сформулирую свои предложения по улучшениям, которые могли бы сделать этот банк для меня идеальными. Особенно приятно, что банк читает мои предложения и быстро на них отвечает. Я размещаю свои предложения здесь публично с целью ссылаться на них в соцсетях и в других источниках.

Прочитать остальную часть записи »

Подключение Windows Azure IaaS к локальной сети

2012-07-28, 01:00 / Argon

На внутренней конференции Microsoft из уст самого Марка Руссиновича я узнал, что в составе облачного сервиса Windows Azure наконец-то появился полноценный IaaS (инфраструктура как сервис), который называется Virtual Machines and Virtual Networks.

Ранее в составе Windows Azure предлагался PaaS, который я не воспринимал всерьёз: список предлагаемых сервисов был скуден, а сами сервисы были настолько ограничены, что подходили для создания инфраструктуры небольшой компании с нуля. Я скептически смотрел на возможность создания серьёзных гибридных решений, в которых существующая зрелая on-prem инфраструктура предприятия интегрировалась с облачной.

Теперь же я полон энтузиазма! Windows Azure IaaS — это полноценные виртуальные машины и сети, предоставляемые как облачный сервис и размещённые в датацентрах Microsoft. Если подключить облачную виртуальную сеть к локальной сети предприятия, и развернуть в облаке новые сервера (или мигрировать существующие), это будет работать так же, как в удалённом филиале.

В процессе знакомства с Windows Azure IaaS я встретил несколько неочевидных вещей, о которых хочу рассказать.

Прочитать остальную часть записи »

Обнаружена закладка в протоколе Kerberos реализации Microsoft

2012-04-01, 20:50 / Argon

Есть у меня коллега, который админит очень большую сеть. В силу бессмысленных и беспощадных причин в этой сети присутствуют машины под управлением Windows 98, на которых выполняются ВНЕЗАПНО критичные приложения.

Что характерно, машины с Win 98 используют аутентификацию в домене Active Directory. Кое-как всё работало, пока не стали обновлять контроллеры домена до Windows Server 2008 R2.

Прочитать остальную часть записи »

Выбор имени домена Active Directory

2012-03-30, 01:00 / Argon

Более полугода прошло с выпуска моей последней серьёзной статьи О пустых корневых доменах в Active Directory. Пришла весна, и с ней — обостренное желание родить фундаментальный материал, отвечающий на вопрос, который вроде бы очевиден, но при этом критически важен при проектировании: какое же имя дать домену Active Directory, чтобы потом не было мучительно больно?

В этой статье я постараюсь провести вас от самых худших вариантов имени домена Active Directory к самому, по моему мнению, лучшему варианту, попутно указав на преодолеваемые грабли.

Содержание:

Прочитать остальную часть записи »

Доступ к Lync Mobility из внутренних сетей WiFi

2012-03-29, 16:45 / Argon

В предыдущей заметке я описал способ подключения мобильных клиентов Lync к веб-службам, использующим SSL-сертификат, к которому устройство изначально не имеет доверия.

Однако действия по установке сертификата корневого CA на каждое устройство могут быть не удобны в масштабах большого предприятия. Выход из ситуации один: веб-службы Lync должны использовать публичный SSL сертификат, выпущенный CA из списка рекомендованных.

Задача осложняется тем, что Lync использует как внутренние пути к веб службам (на front end), так и внешние (на reverse proxy). Естественно, устанавливать публичный сертификат на внутренние веб-службы только для обеспечения совместимости с Lync Mobility не очень хочется.

Прочитать остальную часть записи »

Как совместить RD Gateway и Outlook Anywhere

2012-03-22, 18:15 / Argon

Представим ситуацию:

  • Имеется один публичный SSL-сертификат на имя autodiscover.lab.argon.pro без списка альтернативных имён (SAN)
  • Имеется только один свободный публичный IP-адрес
  • Стоит задача при данных ограничениях опубликовать в интернете Remote Desktop Gateway и Exchange 2010 Outlook Anywhere

Прочитать остальную часть записи »

О национальной дискриминации телефонных номеров в Lync

2012-03-13, 11:40 / Argon

В данной заметке я покажу, как различается отображение телефонных номеров в контактах Lync для номеров с кодом +1 и для всех остальных, и как сильно все остальные страдают от этого.

Прочитать остальную часть записи »

Lync 2010 Mobility

2012-01-16, 03:00 / Argon

В данной заметке я расскажу, с какими интересными особенностями мне пришлось встретиться при неспешном развертывании Lync Mobility в своей тестовой среде.

Прочитать остальную часть записи »