【背景】由于工作调整,用户需要从A国迁移到B国工作。
- 站在 IT角度,A、B国都是全球根域下的子域,分别为A.domain.com, B.Domain.com。两者是平级的,即使把用户保留的A域里,其实也照常使用。
- 站在HR角度,希望把用户从A迁移到B, 并保持用户当前的 IT权限不变。同时,由于全球统一采用了O记的一套HR系统,按照流程,需要在HR系统里先将A国的用户做离职,然后再在为B国创建新的用户。更麻烦的是,AD里的账号是跟HR系统自动联动的,如果在HR系统里给用户做了离职操作,对应的AD里的账号就会被禁用并做初始化处理。
【处理】
1. 让HR系统的管理员对要迁移的用户做特殊设置,确保在HR系统里做离职操作不会把AD里的账号给初始化掉。
2. HR 根据离职流程做用户离职操作
3. 记录用户当前在AD以及AzureAD里的组属性(迁移后如有漏掉,就可以对照再给加回去)
4. 在AD里创建一个专门用于迁移用户的服务账号
5. 为新建的服务账号在 A 、B 两个域里分别做Delegation 操作,允许该服务账号(比如是在A域里创建的名为 moveaccount的一个账号)可以读取A域的账号,然后在B域特定的OU上有写权限。
6. 在A域的一台电脑上,运行命令:
get-aduser <A域的用户名> | Move-ADObject -TargetPath "OU=Test,DC=B,DC=domain,DC=com" -TargetServer "<MasterDC in B.domain.com>" -server "<Master DC in A.domain.com" -Credential A\moveaccount
7. 根据抵步记录的组属性,检查并补充遗漏的AD及AAD组。
【另】过程中遇到的几个报错及处理方法
1. 最初直接用A域的域管理员账号做迁移,结果遇到 "No credentials in the security package" 的报错,查下来可能是由于域管理员账号级别太高,不能在第五步的时候再在B域里做Delegation操作了。
--- 解决:单独创建一个常规的AD用户账号用于迁移操作。
2. “一旦移动,不能将带有成员身份的对象跨域移动,这会侵犯账户组的成员身份条件。从账户组成员身份删除对象,再试一次”
--- 解决: 用户原先的账号隶属于一些本地域及全局的AD组,从里面移除后再执行迁移就可以了。通用组可以保留不动。
3. “服务器已拒绝客户端凭据”
---- 解决:这个就是因为输错用户名了,拼写正确就行。
4. “The operation cannot be performed because child objects exist.This operation canonly be performed on a leaf object”
“由于存在子对象,无法执行操作。这个操作只能在叶对象上执行”
----- 解决:在adsiedit.msc里,查到用户有下面的这个CN=ExchangeActiveSyncDevices属性。删除掉再迁移就没上面的报错了。
5. Access is denied
--- 解决:用于迁移的服务账号在源域没有读取权限,或者在目标域没有写入权限。按照上面的第五步设置好权限就行。
---EOF---
扫一扫
167
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
