Migrowanie grup z jednego lasu do innego dla usługi Microsoft Entra Połączenie
W tym artykule opisano sposób migrowania grup z jednego lasu do innego, tak aby zmigrowane obiekty grupy odpowiadały istniejącym obiektom w chmurze.
Wymagania wstępne
- Microsoft Entra Połączenie w wersji 1.5.18.0 lub nowszej
- Atrybut kotwicy źródłowej ustawiony na
mS-DS-ConsistencyGuid
Migrowanie grup
Począwszy od wersji 1.5.18.0, firma Microsoft Entra Połączenie obsługuje używanie atrybutu mS-DS-ConsistencyGuid dla grup. Jeśli wybierzesz mS-DS-ConsistencyGuid jako atrybut zakotwiczenia źródła i wartość zostanie wypełniona w usłudze Active Directory, firma Microsoft Entra Połączenie używa wartości mS-DS-ConsistencyGuid jako immutableId. W przeciwnym razie wraca do używania elementu objectGUID. Należy jednak pamiętać, że firma Microsoft Entra Połączenie nie zapisuje wartości z powrotem do atrybutu mS-DS-ConsistencyGuid w usłudze Active Directory.
Podczas przenoszenia między lasami, gdy obiekt grupy jest przenoszony z jednego lasu (np. F1) do innego lasu (np. F2), należy skopiować mS-DS-ConsistencyGuid wartość (jeśli jest obecna) lub objectGUID wartość z obiektu w lesie F1 do mS-DS-ConsistencyGuid atrybutu obiektu w F2.
Skorzystaj z poniższych skryptów jako przewodnika, aby dowiedzieć się, jak migrować pojedynczą grupę z jednego lasu do innego. Możesz również użyć tych skryptów jako przewodnika po migracji wielu grup. Skrypty używają nazwy lasu F1 dla lasu źródłowego i F2 dla lasu docelowego.
Najpierw uzyskujemy objectGUID obiekt i mS-DS-ConsistencyGuid grupy w lesie F1. Te atrybuty są eksportowane do pliku CSV.
<#
DESCRIPTION
============
This script will take DN of a group as input.
It then copies the objectGUID and mS-DS-ConsistencyGuid values along with other attributes of the given group to a CSV file.
This CSV file can then be used as input to the Export-Group script.
#>
Param(
[ValidateNotNullOrEmpty()]
[string]
$dn,
[ValidateNotNullOrEmpty()]
[string]
$outputCsv
)
$defaultProperties = @('samAccountName', 'distinguishedName', 'objectGUID', 'mS-DS-ConsistencyGuid')
$group = Get-ADGroup -Filter "DistinguishedName -eq '$dn'" -Properties $defaultProperties -ErrorAction Stop
$results = @()
if ($group -eq $null)
{
Write-Error "Group not found"
}
else
{
$objectGUIDValue = [GUID]$group.'objectGUID'
$mSDSConsistencyGuidValue = "N/A"
if ($group.'mS-DS-ConsistencyGuid' -ne $null)
{
$mSDSConsistencyGuidValue = [GUID]$group.'mS-DS-ConsistencyGuid'
}
$adgroup = New-Object -TypeName PSObject
$adgroup | Add-Member -MemberType NoteProperty -Name samAccountName -Value $($group.'samAccountName')
$adgroup | Add-Member -MemberType NoteProperty -Name distinguishedName -Value $($group.'distinguishedName')
$adgroup | Add-Member -MemberType NoteProperty -Name objectGUID -Value $($objectGUIDValue)
$adgroup | Add-Member -MemberType NoteProperty -Name mS-DS-ConsistencyGuid -Value $($mSDSConsistencyGuidValue)
$results += $adgroup
}
Write-Host "Exporting group to output file"
$results | Export-Csv "$outputCsv" -NoTypeInformation
Następnie użyjemy wygenerowanego wyjściowego pliku CSV, aby oznaczyć mS-DS-ConsistencyGuid atrybut obiektu docelowego w lesie F2:
<#
DESCRIPTION
============
This script will take DN of a group as input and the CSV file that was generated by the Import-Group script.
It copies either the objectGUID or the mS-DS-ConsistencyGuid value from the CSV file to the given object.
#>
Param(
[ValidateNotNullOrEmpty()]
[string]
$dn,
[ValidateNotNullOrEmpty()]
[string]
$inputCsv
)
$group = Get-ADGroup -Filter "DistinguishedName -eq '$dn'" -ErrorAction Stop
if ($group -eq $null)
{
Write-Error "Group not found"
}
$csvFile = Import-Csv -Path $inputCsv -ErrorAction Stop
$msDSConsistencyGuid = $csvFile.'mS-DS-ConsistencyGuid'
$objectGuid = [GUID] $csvFile.'objectGUID'
$targetGuid = $msDSConsistencyGuid
if ($msDSConsistencyGuid -eq "N/A")
{
$targetGuid = $objectGuid
}
Set-ADGroup -Identity $dn -Replace @{'mS-DS-ConsistencyGuid'=$targetGuid} -ErrorAction Stop
Następne kroki
Dowiedz się więcej na temat integrowania tożsamości lokalnych z identyfikatorem Entra firmy Microsoft.