[ Pobierz całość w formacie PDF ]
.Wobec tego, gdy domena zasobów jest w³¹czana do domeny g³Ã³wnej, uprawnieniaprzydzielone wed³ug dwóch pierwszych pozycji z powy¿szej listy zostaj¹automatycznie zachowane.Uprawnienia przydzielone do grup lokalnych domenyzasobów nie s¹ zachowywane automatycznie, lecz mo¿na je zachowaæ za pomoc¹prostego przepisu z³o¿onego z siedmiu kroków, przedstawionego w tympodrozdziale.Jeœli do grup lokalnych domeny przydzielone s¹ uprawnienia, mo¿na pos³u¿yæ siêActive Directory w celu skopiowania wystawców zabezpieczeñ — takich, jak grupylokalne domeny zasobów — z jednej domeny do drugiej (krok 5.).Wystawcazabezpieczeñ przeniesiony do innej domeny posiada dwa SID: jeden ze starejdomeny (zapisany w sIDhistory), a drugi z nowej domeny.Nale¿y trochê „posprz¹taæ” listy ACL (do czego zwykle s³u¿y SIDWalker) zidentyfikatorów SID wskazuj¹cych na domenê zasobów po jej usuniêciu.Dobre radyInne typy domen podrzêdnych ni¿ napotkane w modelu domeny g³Ã³wnej nale¿y zwijaædo domeny nadrzêdnej w sposób bardzo podobny do opisanego w powy¿szejprocedurze.Warto te¿ trzymaæ siê porad ukrytych w siedmiu krokach opisanych wtym podrozdziale.Jeœli chcemy scaliæ lub zrestrukturyzowaæ posiadane domeny,musimy dok³adnie ustaliæ, jak przeprowadziæ restrukturyzacjê w stosunku doobiektów domeny (np.serwerów, grup, u¿ytkowników i uprawnieñ).Abyprzeprowadziæ te ustalenia, trzeba znaæ detale traktowania wystawcówzabezpieczeñ przy przenoszeniu serwerów miêdzy domenami Active Directory, orazmo¿liwoœci (i braki) poszczególnych narzêdzi Microsoftu s³u¿¹cych do migracji.Dlaczego grupy lokalne w DC wymagaj¹ specjalnego traktowaniaTrzeba bardzo uwa¿aæ, przenosz¹c wszelkie DC zawieraj¹ce grupy lokalne, z uwagina wyraŸne ró¿nice w semantyce grup lokalnych zdefiniowanych w serwerachcz³onkowskich i zdefiniowanych w BDC lub PDC:Grupy lokalne w serwerach cz³onkowskich — pozostaj¹ lokalne; istniej¹ tylko wbazie danych SAM serwera cz³onkowskiego i nie podlegaj¹ migracji do ActiveDirectory.Grupy lokalne domeny w kontrolerach PDC i BDC — przy tworzeniu grupy lokalnejdomeny w BDC, czynnoœæ ta zostaje wykonana zdalnie w PDC i replikowana zpowrotem do wszystkich BDC (poniewa¿ BDC dysponuj¹ baz¹ danych SAM tylko doodczytu).Choæ wiêc te grupy lokalne domeny wygl¹daj¹ identyczne jak grupylokalne w serwerze cz³onkowskim, w istocie istniej¹ w PDC i wszystkich BDC(dlatego te¿ bardziej poprawnie powinny byæ nazywane grupami lokalnymi domeny anie grupami lokalnymi).Gdyby przenieœæ by³y BDC lub PDC do Active Directory w taki sam sposób, jakserwer cz³onkowski, proces migracji utworzy nowy obiekt grupy lokalnej domeny wActive Directory dla ka¿dej z grup lokalnych domeny u¿ywanych w tej domenie.Ztego powodu nale¿y zawsze degradowaæ kontrolery BDC przeznaczone doprzeniesienia do innej domeny.WskazówkaMicrosoft nie wspiera Support Tools (podobnie jak ¿adnych narzêdzi ResourceKit), dlatego nale¿y przywykn¹æ do sprawdzania, czy nie zosta³y opublikowanenowe wersje narzêdzi.Najwa¿niejsze wskazówkiProszê przejrzeæ pytania z tabeli 22.1; planuj¹c migracjê z Windows NT Serverdo Windows 2000 Server nale¿y umieæ udzieliæ na nie szczegó³owej odpowiedzi.Wykonanie faktycznej modernizacjiPo zakoñczeniu wszystkich opisanych w tym rozdziale zadañ zwi¹zanych zplanowaniem, Czytelnik powinien byæ gotowy do przetestowania i wykonaniafaktycznej migracji do Windows 2000 Server.I jak zapewne ka¿dy zda³ ju¿ sobiesprawê, planowanie przenosin z domen Windows NT Server do Active Directory niejest ³atwe.Jednak¿e po zdobyciu obszernej wiedzy o pojêciach Active Directoryi wa¿nych fazach tworzenia udanego planu migracji, zadanie powinno okazaæ siêraczej proste.Lecz proszê nie zapominaæ mantry, dziêki której faktyczna migracja bêdziebezproblemowa: Planowanie, planowanie i jeszcze raz planowanie.I proszê iœæ doprzodu pojedynczymi krokami.Nale¿y ca³kowicie przejœæ na Windows 2000 Server(w przypadku migracji w miejsce) i wyczyœciæ przydzia³y uprawnieñ (w metodzieczystej kartki) przed podjêciem wszelkich prób scalania domen, integracjiaplikacji serwerowych lub bardziej zaawansowanych zadañ.Postêpuj¹c krok zakrokiem, praca bêdzie o wiele ³atwiejsza do opanowania dla wszystkichzaanga¿owanych osób, a lokalizacja problemów bêdzie o wiele ³atwiejsza (a wnajbardziej pesymistycznym scenariuszu, mo¿liwe bêdzie przywróceniepoprzedniego œrodowiska).Tabela 22.1Problemy do rozwi¹zania przy migracji do Windows 2000ZadaniePytania do wziêcia pod uwagêWstêpne planowanie migracjiCzy istniej¹ca struktura domen zosta³a poznana?Czy zosta³ opracowany plan przywracania?Czy zosta³o zaprojektowane pocz¹tkowe drzewo domen lub las Active Directory?Czy zosta³a zaprojektowana topologia lokacji?Czy zosta³a ustalona kolejnoœæ modernizacji domen?Czy ustalono, kiedy przejœæ w tryb macierzysty?Czy zosta³ okreœlony (i przetestowany) sposób obs³ugi aplikacji serwerowych wzwi¹zku z modernizacj¹ do Active Directory>Planowanie migracjiCzy zosta³o ustalone, czy trzeba dokonaæ migracji miêdzy lasami i (lub)wewn¹trz lasu?Czy zosta³ ustalony sposób migracji (w miejsce lub metod¹ czystej kartki)?Czy zosta³y wybrane narzêdzia, które pos³u¿¹ do migracji?Migracja w miejsceCzy wszystkie komputery NT (serwery i klienty) w domenie dzia³aj¹ ju¿ pod NT 4?Czy zosta³a ustalona strategia migracji dla kontrolerów PDC i BDC?Restrukturyzacja domenCzy ustalono, jak¹ strukturê maj¹ mieæ grupy?Czy ustalono, czy potrzebna jest restrukturyzacja przestrzeni nazw domen?Jeœli restrukturyzacja domen jest potrzebna, czy ustalone zosta³o, jak jejdokonaæ?
[ Pobierz całość w formacie PDF ]