Đây là một bài viết chung không tìm kiếm một giải pháp kỹ thuật cho một vấn đề chính xác. Tôi chỉ muốn cảnh báo các đồng nghiệp trong ngành. Sự nghiệp của tôi tập trung vào AD trong 20 năm. Lĩnh vực chính xác mà tôi tập trung vào là các dự án Di chuyển và Hợp nhất.Tôi hiện đang làm việc tại một tổ chức nơi tôi đang di chuyển 4 miền thành một miền lớn hơn. Chúng tôi đã có không có kết thúc của vấn đề. Tôi đã đối phó với một loạt các thách thức trong 6 tháng liên tiếp. Tôi chưa bao giờ thấy bất cứ điều gì như thế này trước đây.
Có vẻ như vào năm 2021, các phương pháp đã thử và đáng tin cậy (15 năm tuổi) để di chuyển từ miền này sang miền khác không thành công ở giai đoạn di chuyển (dịch) hồ sơ người dùng. Nếu bạn đã quen thuộc với các công cụ như ADMT hoặc Quest Migration Manager cho AD, bạn sẽ quen thuộc với trình hướng dẫn/tác nhân dịch bảo mật có nhiệm vụ rà soát từng ACL trên mỗi và mọi tệp/thư mục để đảm bảo rằng nguyên tắc bảo mật miền TARGET được thêm và cấp các quyền giống hệt nhau cho nguyên tắc bảo mật miền SOURCE. Chà, có vẻ như trong bản phát hành Windows 10 mới nhất (và có thể là một số trước đó), có các tệp/thư mục mà công cụ dịch bảo mật đơn giản là không thể sửa đổi bảo mật. Chúng chủ yếu liên quan đến các thư mục hồ sơ Ứng dụng Office365. Kết quả là người dùng của bạn kết thúc với các cấu hình được dịch một nửa hoặc bị hỏng hoàn toàn. Các ứng dụng Office 365 không khởi chạy chính xác, nghĩa là bạn phải định cấu hình lại từng ứng dụng Office cho tất cả người dùng bị ảnh hưởng. Một cái gì đó bạn muốn tránh nếu bạn có hàng ngàn để di chuyển.
Ngoài tất cả những điều này, TPM (Mô-đun nền tảng tin cậy), danh tính onprem và danh tính đám mây của bạn kết hợp với nhau để tạo ra một lớp bảo mật mà các công cụ di chuyển truyền thống không thể dịch bảo mật. Về cơ bản, họ khóa ra khỏi bất kỳ tài khoản người dùng khác truy cập dữ liệu hồ sơ ứng dụng O365 của bạn ngay cả khi tài khoản đó có toàn quyền đối với các thư mục hồ sơ\AppData.
Nó không nhất quán 100%, nhưng tôi đã thấy hơn 500 lần di chuyển hồ sơ mà tôi đã thấy nó 75-80% thời gian (có thể là bản dựng/ứng dụng Office cụ thể). Cách duy nhất để thoát khỏi tình huống này là cung cấp cho người dùng một hồ sơ hoàn toàn mới.Vì vậy, các bạn, lần tới khi bạn thực hiện di chuyển miền bằng bản dịch bảo mật hồ sơ và đã xảy ra sự cố, thì không chỉ có bạn! Hàng trăm người đang báo cáo sự cố này mà không có hướng dẫn rõ ràng từ Microsoft. Quest đang đổ lỗi cho các vấn đề "môi trường". Tôi nghĩ rằng các Nhà phát triển Thời đại Mới của Microsoft đã mất hết khái niệm về di chuyển miền. Họ đang xây dựng các mô hình bảo mật mà không có bất kỳ suy nghĩ nào về việc giữ cho hồ sơ người dùng "di động". Hồ sơ người dùng luôn là thứ bạn có thể chỉ định cho tài khoản người dùng mới, nhưng không còn nữa?
Một điểm lưu ý nữa là MS ADMT không chính thức hỗ trợ Windows 10 hoặc Windows Server 2016/2019 cho vấn đề đó.
