我的公司正计划从一家被收购的公司迁移用户、计算机和组。两家公司都有 Active Directory 域,并且它们之间存在双向信任。另一家公司在 Linux 服务器上有数据,这些数据通过 SAMBA 访问,并使用其 AD 用户和组进行保护。我们希望在一段时间内分阶段迁移部分对象,而不是一次性迁移所有对象。
问题是,用户迁移到我们的域后,他们是否仍然能够访问信任域中的 SAMBA 共享?
答案1
这取决于这些 Samba 服务器如何配置来处理用户名/UID 和组名/GID 映射。这是通过指令完成的idmap
。有几种方法可以配置 Samba 来处理此问题,但使用哪种方法将影响它们如何处理跨域信任和域间帐户迁移。
该手册位于此处:
http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/idmapper.html
如果他们使用默认的 Winbind 后端(将域\用户名对与本地 UID 匹配的数据库),当帐户跨域迁移时,它们将作为新用户出现在 Samba 中。这是因为它们的 SID 会随着跨域边界而改变。但是,此模型允许在信任的基础上进行跨域使用。
如果他们使用 RID 后端,Samba 服务器将无法允许不同域中的用户访问。如果是这种情况,您可能已经意识到了这一点。当用户离开 Samba 服务器所在的域时,他们将失去对该服务器的所有访问权限。
如果他们使用 LDAP 服务器作为在多个 Samba 服务器之间共享用户名/UID 映射的方式,则适用与默认后端相同的限制。但是,每个 Samba 服务器将具有相同的用户名/UID 映射。好处是,您可能能够在迁移到新域后直接编辑 LDAP 服务器,以确保保留相同的用户名/UID 映射。
最后一个选项可能是您在分阶段迁移期间保持兼容性的最佳选择。但是,如果他们尚未使用 LDAP 服务器作为中央存储库,情况就会变得更加棘手。