Миграция Active Directory и преобразование безопасности профиля (что-то идет не так)

Это общий пост, не ищущий технического решения конкретной проблемы. Я просто хочу предостеречь коллег по отрасли. Моя карьера сосредоточена на AD в течение 20 лет. Конкретная ниша, на которой я концентрируюсь, — это проекты миграции и консолидации. В настоящее время я работаю в организации, где переношу 4 домена в один более крупный. У нас не было конца проблемам. Я сталкивался с множеством проблем в течение 6 месяцев подряд. Я никогда раньше не видел ничего подобного.

Похоже, что в 2021 году проверенные и проверенные (15 лет назад методы) миграции из одного домена в другой терпят неудачу на этапе миграции (перевода) профиля пользователя. Если вы знакомы с такими инструментами, как ADMT или Quest Migration Manager для AD, вы знакомы с мастером/агентом преобразования безопасности, чья работа заключается в просмотре каждого списка управления доступом для каждого файла/папки, чтобы убедиться, что субъект безопасности ЦЕЛЕВОГО домена добавляется и ему предоставляются идентичные разрешения субъекту безопасности домена SOURCE. Что ж, похоже, что в последней версии Windows 10 (и, возможно, в нескольких предыдущих версиях) есть файлы/папки, для которых инструмент преобразования безопасности просто не может изменить безопасность. В основном они связаны с папками профиля приложений Office365. В результате ваши пользователи получают профили, которые либо наполовину переведены, либо полностью повреждены. Приложения Office 365 запускаются неправильно, а это означает, что вам придется перенастраивать каждое приложение Office для всех затронутых пользователей. Чего-то, чего следует избегать, если вам нужно мигрировать тысячи людей.

В дополнение ко всему этому, TPM (модуль платформы доверия), ваши локальные и облачные идентификаторы объединяются, создавая уровень безопасности, который невозможно преобразовать в безопасность с помощью традиционных инструментов миграции. По сути, они блокируют любую другую учетную запись пользователя от доступа к данным профиля вашего приложения O365, даже если эта учетная запись имеет полные права на папки Profile\AppData.

Это не на 100% согласованно, но более 500 миграций профилей я видел это в 75-80% случаев (может быть, это зависит от сборки/приложения Office). Единственный выход из этой ситуации — предоставить пользователям совершенно новый профиль. Итак, ребята, в следующий раз, когда вы выполните миграцию домена с преобразованием безопасности профиля, и что-то пойдет не так, это будет не только у вас! Сотни людей сообщают об этой проблеме без четкого указания от Microsoft. Quest обвиняют «экологические» проблемы. Я думаю, что разработчики нового века Microsoft утратили всякую концепцию миграции доменов. Они строят модели безопасности, не задумываясь о том, чтобы профиль пользователя был «переносимым». Профиль пользователя всегда можно было назначить новой учетной записи пользователя, но не больше?

Также следует отметить, что MS ADMT официально не поддерживает Windows 10 или Windows Server 2016/2019.