Я пишу инструмент синхронизации AD, который берет файл LDIF, экспортированный из AD A, применяет некоторые правила замены и пропускает и создает другой файл LDIF, который затем может быть применен к AD B. Во время создания у меня естьдоступ для чтения в AD B, так что я могу получить схему, чтобы узнать, какие пары атрибут-значение я могу или не могу установить, и посмотреть, есть ли уже готовые объекты, которые уже существуют в B, которые мне нужно только изменить, но неСоздайте.Пока все хорошо.
В настоящее время мои правила не копируют objectSid (и другие), поскольку они не будут правильными.Насколько я проверил, SID всегда состоит из domainSid и ID, например, SOME-DOMAIN-SID-513, который является SID пользователей домена этого домена.Таким образом, идентификаторы <затем 1024, кажется, зарезервированы для внутреннего использования, в то время как идентификаторы> 1024 будут частью объектов, которые были созданы в пути.
Мой вопрос сейчас, могу ли я создать собственные objectSID для новых записей, которые я хочусоздать и установить их в файле LDIF?
Есть ли на это какие-нибудь подсказки?