Копировать пользователей и группы

Question

Мне было поручено копировать пользователей и группы из одного домена в другой.

Это два домена 2012 года без доверия.(Prod → модель → dev домены).Пароли не имеют значения (все будет сброшено).Это будет написано на PowerShell, работающем на рядовом сервере исходного домена (если это имеет значение).

У меня вопрос, должен ли я

• скопировать все группы, а затем скопироватьпользователи, добавляющие их во вновь созданные группы при копировании каждой из них, или
• копирование пользователей, затем создание групп, добавление членства при создании каждой группы, или
• копирование всех пользователей, затем все группы, а затем вернуться через пользователей (или группы), чтобы подтвердить, что членство обработано?

Моя интуиция склоняет меня к # 1, но # 2 будет лучшим вариантом (и это# 3 на самом деле даже соображение?)

Примечание. Это не миграция каталогов.Я понимаю, что у пользователей будут новые SID и профили.Скорее, это должно быть максимально идентично лабораторной среде.

Answer 1

Сначала создайте своих пользователей, чтобы не беспокоиться о членстве.Создайте свои группы и добавьте членство, вы можете быть уверены, что ваше членство пользователя правильное на этом первом проходе, но не членство во вложенных группах.Повторно просканируйте группы на предмет пропущенного (группового) членства и запишите, сколько групп было изменено, повторяйте, пока дальнейшие изменения не требуются.Готово.Это в основном стратегия, которую вы используете с Microsoft Active Directory Migration Tool (ADMT).

Сначала вы можете создавать группы, но ваш код будет начинаться с групп, затем с пользователей, а затем снова с группами.Не то чтобы это была необходимая проблема.

Мы применили этот подход в нашем тесте и разработали некоторое время, но в итоге перешли в Veeam Virtual Labs (Isolated Sandbox).