При миграции из одного леса в другой традиционно используется специальный инструмент – ADMT. Так как ресурсы, к которым имеют доступ пользователи мигрируются на втором этапе после миграции учётных записей, то для сохранения доступа к ещё несмигрированным ресурсам используется SIDHistory. ADMT имеет возможности для миграции некоторых видов ресурсов: миграция заключается в замене старых SID на новые, например, при доступе к файлам.
Почтовые ящики также являются ресурсом и имеют некоторые особенности, которые нужно учитывать при миграции. Но ADMT нам тут не помощник: этот инструмент не имеет средств для исправления нюансов связанных с особенностями доступа к почтовым ящикам.
Суть проблемы в том, что доступ к почтовым ящикам (не только почтовым ящикам пользователей и их элементам (календарям, например), но и к почтовым ящикам специального назначения (например, ресурсные, общие ящики)) предоставляется по SID-у пользователей. При перемещении учетной записи и почтового ящика сохраняется доступ по старому SID. Если в какой-то момент вы проведёте процедуру очистки атрибута SIDHistory учётных записей пользователей, то можно получить потерю доступа из-за нарушения делегирования.
Если делегирование редкое явление в вашем домене, то несложно восстановить доступ по заявкам пользователей. Но если делегирование используется массово, то нужно позаботиться о специальной фазе миграции, чтобы не нарушать работу пользователей.
Решение с использованием скриптов описано в статье How to clear SIDHistory and keep mailbox permissions
Filed under: Active Directory, Миграция, Exchange | Tagged: Active Directory, Миграция, Exchange, Exchange 2013, Exchange Server 2013 |
ILYA Sazonov: ITPro 
Добавить комментарий