Zmiana na lepsze

Migracja do Windows 2000 jest dobrą okazją do skonsolidowania posiadanych domen połączonego z restrukturyzacją sieci Win NT.

Migracja do Windows 2000 jest dobrą okazją do skonsolidowania posiadanych domen połączonego z restrukturyzacją sieci Win NT.

Opisany przed tygodniem proces uaktualnienia domeny miał na celu jak najszybszą migrację do Windows 2000 przy jednoczesnym zachowaniu obecnego kształtu domeny. Migracja na Windows 2000 jest jednak znakomitą okazją do optymalizacji pracy domeny i dlatego część użytkowników będzie zapewne chciała połączyć ten proces z restrukturyzacją posiadanej sieci Windows NT 4.0 w taki sposób, by struktura zbudowana w usługach katalogowych rzeczywiście odwzorowywała model organizacyjny firmy.

W przypadku systemu Windows NT 4.0 użytkownik nie otrzymywał od Microsoftu narzędzi, które umożliwiałyby restrukturyzację posiadanych domen. Funkcję tę można było jednak osiągnąć poprzez wykorzystanie narzędzi innych producentów, np. Mission Critical Software. Windows 2000 znacznie się w tej kwestii różni od poprzednika. System oferuje podstawowe możliwości wspierające restrukturyzację domen, w szczególności możliwość przenoszenia użytkowników i grup pomiędzy domenami w taki sposób, że zachowują oni prawa dostępu, które mieli przed przeniesieniem, a także kontrolerów domeny między domenami bez konieczności reinstalacji systemu, tak jak w przypadku Windows NT 4.0.

Niebanalna przeprowadzka

Restrukturyzację domeny można przeprowadzić na kilka sposobów. Można to zrobić uaktualniając najpierw wszystkie kontrolery domeny Windows NT 4.0 do Windows 2000 i potem przeprowadzając wszelkie niezbędne kroki restrukturyzacji bądź też od razu zainstalować nową domenę Windows 2000 obok już istniejących domen NT 4.0 i przenieść wszystkie zasoby starych domen do nowej. Znacznie mniej problematyczny jest pierwszy sposób. Gwarantuje on powodzenie operacji (podczas procesu uaktualniania systemu aktualizowane są także wszystkie relacje zaufania i prawa dostępu) bez konieczności oddzielnego zapewniania zgodności obu typów domen.

Największym problemem jest zapewnienie takich samych praw dostępu dla przenoszonego do innej domeny użytkownika, grupy bądź komputera. Standardowo każdy użytkownik domeny otrzymuje specjalny identyfikator bezpieczeństwa SID (Security Identifier), ma indywidualny SID oraz SID-y poszczególnych grup, do których należy. Każdorazowo, gdy próbuje on uzyskać dostęp do pewnych zasobów domeny, weryfikowany jest jego SID i SID-y grup. Po standardowym przeniesieniu użytkownika do innej domeny, musi on otrzymać nowy SID utworzony przez domenę, której staje się członkiem. Taka operacja powoduje jednak automatyczne usunięcie starego identyfikatora bezpieczeństwa, co uniemożliwia dostęp do wszystkich stosowanych wcześniej zasobów.

Problem ten usuwają usługi katalogowe Active Directory. Każdy z obiektów mających własny SID posiada w Active Directory nowy atrybut o nazwie SIDhistory. W jego ramach przechowywane są wszystkie dotychczasowe identyfikatory bezpieczeństwa użytkownika, dzięki czemu nawet po przeniesieniu do innej domeny ma on dostęp do zasobów udostępnionych mu wcześniej w poprzedniej domenie lub domenach.

Nie wszystkie narzędzia umożliwiające przenoszenie użytkowników między domenami mogą używać atrybutu SIDhistory. Toteż Microsoft udostępnił specjalną aplikację MOVETREE.EXE, umożliwiającą przenoszenie obiektów w ramach Active Directory i jednocześnie aktualizującą parametr SIDhistory. MOVE-TREE.EXE jest zawarty na CD-ROM z Windows 2000 Beta 3. Znajdzie się także na płycie z finalną wersją Windows 2000.

To nie takie proste

Wykorzystanie MOVETREE.EXE wiąże się jednak z pewnymi ograniczeniami. Przede wszystkim docelowa domena, do której przenoszony jest użytkownik, grupa, stacja robocza lub cała organizacja (OU), musi pracować w trybie Native (tryb pracy źródłowej domeny nie ma znaczenia). Ponadto domeny źródłowa i docelowa powinny się znajdować w ramach tego samego drzewa katalogowego.

Narzędzie ma także obostrzenia dotyczące przenoszonych grup użytkowników. Przykładowo, żąda, by przenoszone grupy globalne były puste. Wymaga to ręcznego ich opróżnienia przed przeniesieniem i ponownego wypełnienia w docelowej domenie.

Obiekty muszą być także przenoszone w kompletnych zestawach. Oznacza to, że do pełnego powodzenia operacji konieczne jest równoczesne przeniesienie między domenami wszystkich komputerów, które udostępniają zasoby lokalnym grupom lub lokalnym domenowym grupom. Gdyby jednak taka grupa została przeniesiona, a komputery udostępniające jej zasoby nie, to w rzeczywistości dostęp do zasobów na tych komputerach byłby uniemożliwiony, ponieważ grupy te swoim zasięgiem mogą obejmować tylko jedną domenę.

Za tydzień: opis wersji beta serwera komunikacyjnego Microsoft Exchange 2000.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200