Active Directory -toimialueen siirto Dell Security Serverille

• Dell Security Management Server (aiemmin Dell Data Protection | Enterprise Edition) on pystyssä ja liitetty toimialueeseen.
• Olemassa oleva toimialue on lisätty verkkokäyttöliittymäkonsolin domain-osioon.
• Päätepisteet on aktivoitu palvelinta vastaan.
• Toimialue on siirrettävä.
• Suunnitelmissa on siirtää myös AD-objektien SID-historia.
• Päätepisteillä on täysi yhteys palvelimeen, ja ne voivat noutaa käytäntöjä vanhalta toimialueelta ennen toimialueen siirtoprosessin aloittamista.
• Päätepisteiden salatut tiedot ovat täysin käytettävissä, päätepisteet aktivoidaan ja ne voidaan deaktivoida ja aktivoida uudelleen. Voimme vahvistaa aktivoinnin ongelmitta pikavalikon avulla WSDeactivate kaikista päätetapahtumista.

Yleiset vaiheet eivät ole liian monimutkaisia, mutta on ymmärrettävä, että jos koko prosessia ei suoriteta oikein, tiedot voivat kadota tai koneet voidaan joutua palauttamaan. Vaikka tämän prosessin voi tehdä missä tahansa Dell Security Management Server- ja -asiakasversiossa, Dell Technologies suosittelee, että asennettuna on vähintään 8.3.0 client- ja 8.5-server, koska sen jälkeen on tehty useita parannuksia, jotka helpottavat siirtoprosessia Dell Security Management Serverissä. Alla on yleiskatsaus koko prosessin toiminnasta ja joitain huolestuttavimmista kysymyksistä.

Ensimmäinen vaihe on selvittää, tarvitaanko verkkotunnuksen siirtoa. On tilanteita, kuten silloin, kun yritys siirtyy esimerkiksi Office 365: een, jossa riittää, että lisäät aliaksen ja asetat sen AD-käyttäjien ensisijaiseksi täydelliseksi käyttäjätunnukseksi. Kyseessä ei ole toimialueen todellinen siirto, eikä Dell Data Protection | Enterprise Edition -palvelinta kuin uuden aliaksen lisäämistä toimialueen aliasluetteloon kohdassa Asetukset, Toimialueen aliasluettelo . Jos uusi toimialue luodaan ja AD-objektit on siirrettävä vanhasta käytöstä poistetusta toimialueesta uuteen, toimialueen siirto on suunniteltava tässä.

Kun verkkotunnuksen siirtoa suunnitellaan, ensimmäinen askel on harkita myös SID-historian siirtämistä. Jotta toimialueen siirto onnistuisi Dell Security Management Serverissä, SID-historia on säilytettävä. Muutoin AD-objekteja pidetään uusina Dell Security Management Server -palvelimessa, ja uudelleenaktivoinnin jälkeen niitä ei voida hyödyntää samoilla salausavaimilla. Dell edellyttää SID-historian siirtämistä. Emme aio käyttää aikaa siihen, miten toimialueen siirto suoritetaan, koska tämä ei ole Dellin tietojen suojaus | Salaustehtävä, mutta Microsoftin ADMT:nä on useita työkaluja, joiden avulla organisaatio voi siirtää toimialueen A toimialueeseen B. Kuten edellä todettiin, SID-historian siirto on tarpeen, jotta avainten pysyvyys säilyy. SID-historian siirto tarkoittaa, että lisäämme vanhan käyttäjän SID-esisiirron AD:n SID-historiamääritteeseen, mikä takaa siirrettyjen objektien jatkuvuuden.

AD-puolella on sääntö:

• Kun jokin objekti nimetään uudelleen, objectSID-määritteen (SID) arvo ei muutu. Kun siirrät objektin verkkotunnuksesta toiseen, objectSID: n on muututtava, koska osa siitä on toimialuekohtainen, ja vanha SID lisätään SIDHistory määrite (olettaen, että tämä on siirretty). Voit tarkastella SIDHistory käyttämällä ADSI Edit -ohjelmaa (voit tarkastella heksadesimaali- tai desimaalimuodossa). Jos arvoja ei ole, SID-historiaa ei ole tai objektia ei ole koskaan siirretty toisesta verkkotunnuksesta.
• SIDhistory on käytettävissä vain, kun tilejä siirretään toimialueiden tai toimialuepuuryhmien välillä.

Alla on näyttökuva siitä, miten määritetään, onko SIDHistory on siirretty attribuuttieditorilla:

Kun olemme vahvistaneet, että SIDHistory siirretyistä käyttäjistä ja koneista on myös siirretty, joten voimme jatkaa Dell Security Management Server -määritystä. Lisätietoja toimialueen siirrosta ja SID-historian säilyttämisestä tarvitaan seuraavista Microsoftin ohjeista:

• https://www.microsoft.com/en-us/download/details.aspx?id=19188
• https://technet.microsoft.com/en-us/library/cc974332(v=ws.10).aspx
• https://technet.microsoft.com/en-us/library/cc974384(v=ws.10).aspx

Alla on tietoja siitä, mitä tapahtuu toimialueiden siirron aikana Dell Security Management Serverin puolella.

1. Asiakaspuolella:
   • Ratkaisemme käyttäjien täydellisen käyttäjätunnuksen SID:ksi. Etsimme heidän SID-tunnuksensa varastotiedostosta. Emme löydä sitä.
   • Päätämme, että tämä on uusi käyttäjä, ja otamme yhteyttä suojauspalvelimeen ja välitämme täydellisen käyttäjätunnuksen salasanan tavallisena aktivointipyyntönä.
2. Palvelinpuolella:
   • Aktivointipyyntö vastaanotetaan. Otamme yhteyttä Active Directoryyn ja etsimme täydellisen käyttäjätunnuksen. Sitten luokittelemme käyttäjän osana tätä triage-prosessia huomaamme, että entiteettitaulukon SID ei vastaa AD: n SID: tä. Tutkimme SIDHistory tarkistaaksesi SID-tunnuksen entiteettitaulukostamme. Jos emme löydä sitä, heitämme poikkeuksen ja aktivointi epäonnistuu, koska meillä on jo SCID paikallaan. Kun löydämme SID:n, päivitämme entiteettitaulukkoon uuden SID:n (UID-osassa ensimmäinen osa on toimialue, ja päivitämme sen ja päivitämme päätepisteen toimialueosan).
   • Sitten välitämme asiakkaalle vanhat avaimet, käytännön, DCID: n ja niin edelleen (kuin se olisi uudelleenaktivointi).
3. Takaisin asiakkaaseen:
   • Päätepiste vastaanottaa nämä tiedot ja lisää credsys.vlt-tiedostoon merkinnän, että käyttäjä on aktivoitu ja käyttäjä on siinä vaiheessa kirjautunut sisään normaalisti.

Keskeistä Dell Security Management Serverin puolella on sen ymmärtäminen, onko verkkokäyttöliittymään lisättävä uusi toimialue, jotta uudet ja vanhat käyttäjät saavat toimiluvan käytön aktivoinnin tai uudelleenaktivoinnin aikana.

Toimialuetta ei siirretä Dell Security Management Server -konsoliin, JOS vanhan ja uuden siirretyn toimialueen päätoimialue on olemassa. Riittää, kun lisäät uuden verkkotunnuksen aliaksen muodossa kohtaan "Asetukset", "Verkkotunnuksen aliasluettelo". (Ja oletamme, että vanhemman ja uuden aliverkkotunnuksen välillä on kaksisuuntainen luottamus.) Päätoimialueen palvelutili on määritettävä mahdollisesti päätoimialueelle. Jos sen sijaan siirretään toimialue A.local verkkotunnukseen B.local ja nämä kaksi toimialuetta eivät ole saman juuritoimialueen alitoimialueita tai ne kuuluvat eri toimialuepuuryhmään, tarvitsemme uuden toimialueen, joka lisätään konsoliimme, koska meidän on sidottava kaikki olemassa olevat päätepisteet uuteen toimialueeseen ja uuteen palvelutiliin.

Yllä olevien tietojen ymmärtäminen vie hiiren osoittimen Dell Security Management Serverin oikean määrittämisen ylle, koska muutoin siirron jälkeen ilmenee useita ongelmia. On myös tärkeää ymmärtää, millainen luottamus kyseisten toimialueiden ja niiden päätoimialueiden välillä vallitsee (jos sellaista on) ja mikä niiden nykyisten toimialueiden luettelo Dell Security Management Server -konsolissa on. Sääntö on yksinkertainen: jos vanhemman/lapsen välillä vallitsee jonkinlainen luottamus, Dell Data Protection | Enterprise Edition -palvelin, päätoimialue ja käytössä olevat aliakset riittävät. Muutoin Dell Security Management Serveriin on lisättävä yhtä monta alitoimialuetta kuin niiden todellisia alitoimialueita. Tämä sääntö koskee myös toimialueiden siirtoa.

Lopuksi, kuten yleisemmin, meidän ei pitäisi *koskaan* lisätä samanaikaisesti lapsen ja vanhemman verkkotunnusta, koska sama käyttäjä on mahdollisesti näkyvissä molemmilla tasoilla, rikkoo asioita meille. Ja toimialueen poistaminen ei ole (vielä) täysin tuettu tehtävä Dell Security Management Serverissä.

Jos asiakasohjelman versio on 8.2.1 tai aiempi ja palvelimen versio 8.3.1 tai vanhempi, WSDeactivate Tämä on pakollinen vaihe, koska emme nimenneet palvelimen päätepisteen toimialueosaa uudelleen automaattisesti. Tämä ei koske Dell Security Management Serverin tai päätepisteen uusimpia koontiversioita.

Vanhoja toimialueita ei voi poistaa Dell Security Management Server -tietokannasta manuaalisesti tai konsolin avulla. Tämä johtuu siitä, että Dell Security Management Server etsii käyttäjän tai ryhmän ja määrittää sitten, että kyseessä on toimialueen jäsenyys. Tämän vuoksi, mitä täytyy tapahtua, kun verkkotunnus poistetaan, kaikki kyseiseen verkkotunnukseen kuuluvat objektit on myös poistettava. Kumpaakaan vaihtoehtoa ei tueta tässä vaiheessa. Dell tutkii mahdollisuutta muuttaa tätä toimintaa Dell Security Management Serverin tulevissa versioissa, mutta tässä vaiheessa se ei ole tuettu tai toteuttamiskelpoinen tehtävä. Sivuhuomautuksena, jos päätämme merkitä (manuaalisesti) verkkotunnuksen poistetuksi tietokannasta, alamme saada virheen, joka heitetään palvelinlokeihin 15 minuutin välein kaikille siihen liittyville orvoille käyttäjille ja ryhmille.

Jos suojuksen asennus poistetaan siirretystä päätepisteestä, tässä tarvitaan samat vaiheet, joita tarvitaan normaalin (ei-toimialueen) uudelleenaktivoinnin pakottamiseen samaa Shield ID -tunnusta vastaan. Yleisissä salatuissa tiedostoissa sama DCID on otettava käyttöön rekisterissä, ennen kuin päätepiste voidaan aktivoida uudelleen Dell Data Protection | Enterprise Edition Server tai Dell Security Management Server. Jos sinulla on kysyttävää, ota yhteyttä tekniseen tukeen.

Ei, uutta toimialuelisenssiä ei tarvita, koska Dell Data Protection | Enterprise Edition Server 8.x. Vanhemmat Dell Data Protection -versiot | Enterprise Edition Server, uusi käyttöoikeus vaaditaan edelleen. Saat lisätietoja tekniseltä tukitiimiltä.