Переносить локальные группы серверов (в настоящее время рабочие группы) в домен?
У меня есть около 30 рабочих станций, которые я администрирую, плюс файловый сервер, все из которых я унаследовал, когда взял эту работу сетевого администратора. Предыдущий парень существовал вечно с тех пор, когда компания была намного меньше, и ему пришлось мириться с трудностями работы с ней как с рабочей группой. Теперь у нас есть удаленное местоположение и, возможно, пользователи и рабочие станции, чтобы сделать это возможным.
В настоящее время пользователи имеют имя пользователя / пароль на своей рабочей станции и соответствующий пароль на файловом сервере. На указанном файловом сервере настроены локальные группы, чтобы люди из разных отделов имели правильный доступ к нужным им папкам.
Вскоре я также сделаю файловый сервер активным сервером каталогов и перенесу все в домен, чтобы я мог централизованно управлять всем. Мне интересно, есть ли способ скопировать / перенести локальные группы в доменные группы, чтобы мне не нужно было воссоздавать ту же структуру разрешений для общих ресурсов. Я буду менять схему имени пользователя, но определенно хотел бы иметь возможность сохранять группы, если это возможно.
2 ответа
К сожалению, я не знаю, как перенести локальные группы в домен, так что вам не нужно изменять какие-либо разрешения файловой системы. Несмотря на то, что вы могли бы довольно легко выполнить некоторые сценарии, которые бы читали локальные группы и создавали группы с эквивалентными именами в AD, на самом деле они не являются одинаковыми группами. SID группы всегда будут разными. Таким образом, вам все равно придется обновлять разрешения там, где упоминались эти локальные группы, чтобы указывать на их доменные эквиваленты.
Другой вариант - оставить локальные группы без изменений и просто добавить новых пользователей домена в локальные группы. Или еще лучше, сделайте работу, чтобы создать ваши эквивалентные доменные группы и просто добавьте доменные группы в их эквивалентную локальную группу. В конечном счете, вы все еще управляете файловым сервером, используя локальные группы. Но вы, по крайней мере, используете пользователей домена, пока у вас нет времени, чтобы пройти через файловый сервер и обновить разрешения. Единственное, что это не исправит, - это папки, которые напрямую связаны с существующими локальными пользователями, если они есть.
На самом деле это довольно просто, если предыдущее разрешение было предоставлено местным группам. Просто добавьте вновь созданную группу AD в соответствующую локальную группу сервера.