Как я перемещаю учетные записи пользователей от OpenLDAP до Active Directory?
Ваш подход является в основном способом, которым я приблизился бы к нему.
Единственные вещи, которые я добавил бы, являются ими:
1) Я добавил бы к Вашей "ролевой" схеме путем оценки того, в чем они нуждаются через серверы не всего на одном сервере, Вы, вероятно, собираетесь столкнуться с выбросами к этому, но моя теория с теми состоит в том, когда Вы сталкиваетесь с ними, создаете другую группу. по моему опыту, где существует одна изолированная часть существуют многие.
2) Я был бы СИЛЬНО re-evalute потребность в Универсальных группах для всего, поскольку Вы получаете удар репликации с ними, поскольку участники и группы в Универсальной группе копируются в Глобальные серверы Каталога, в то время как с Доменом, Локальным и Глобальным только, группа копируется в глобальные серверы каталога. Таким образом, при внесении изменения в универсальной группе, это начинает репликацию, в то время как с глобальным и доменным, локальным, это не делает.
Вряд ли Вы сможете вытащить пароли из OpenLDAP, если он не будет работать способом, отличающимся, чем типичный каталог.
То, что некоторые клиенты делают в этом сценарии, встают средний слой для аутентификации что первые проверки пароль пользователя против источника, и затем пишет это в AD, если это допустимо до аутентификации их. Если Вы сделаете это с несколькими ключевыми сервисами, то за короткий промежуток времени Вы получите большинство паролей.
-
1That' s очень классная идея. Проблема: создайте такой средний слой. Возможно, I' ve только к созданному внутренний сайт фишинга и просят, чтобы каждый пользователь ввел свои учетные данные. – ppuschmann 16 September 2009 в 17:52
Для импорта, если можно вывести данные в формате CSV, работы CSVDE хорошо для импорта объема в AD. Мы недавно переместили несколько сотен пользователей от eDirectory до AD с этим, и он пошел очень хорошо. Я не могу ответить на Ваш вопрос пароля, как тогда, когда мы сделали это, мы просто устанавливаем, "должен измениться, пароль на следующем входе в систему" укусил и заставил пользователей делать это самих.
-
1Спасибо за подсказку с CSVDE. I' ll взглянули. " на следующем logon" будет немного хитро, потому что Active Directory сначала заменит Аутентификацию для IMAP, Apache2 и так далее. – ppuschmann 7 September 2009 в 14:20