Может ли кто-нибудь помочь мне со следующим?
Я создал лабораторную среду, состоящую из двух отдельных лесов AD контроллеров домена (два отдельных леса AD), поскольку я хотел установить и ознакомиться с ADMT (средством миграции Active Directory) от Microsoft. Я загрузил последнюю версию 3.2
В исходном лесу я создал подразделение под названием Sales и создал одну учетную запись пользователя и две групповые учетные записи в этом подразделении.
Затем я выполнил тестовую миграцию групп (для начала), и это сработало, как и ожидалось. Группы появляются в цели вместе с их историей SID, заполняемой, так что пока все хорошо
Далее я назначил одной из групп в OU продаж некоторые права AD с OU продаж. Я дал группе права «запись» и «создание дочерних объектов» для OU продаж.
Затем я перенес группу во второй раз, выбрав опцию «обновить права пользователя» и «перенести и объединить конфликтующие объекты» (так как объект уже был перенесен один раз).
Однако этот обновленный ACL в OU Sales не перешел в целевой OU Sales (в целевом лесу). Я также попробовал это с совершенно новой учетной записью, которая не была перенесена ранее, и снова, хотя учетная запись перенесена успешно, права учетных записей (конкретные ACE, перечисленные в исходном ACL для OU Sales) не переносятся в целевой лес.
Я могу только предположить, что это связано с тем, что ADMT на самом деле не получает запрос на миграцию самого подразделения Sales (и его ACL), а скорее объекта, находящегося под ним.
Если это так? то возникает вопрос: если я захочу перенести списки контроля доступа AD (например, в подразделениях и т. д.) в новый лес, придется ли мне делать это, например, с помощью скрипта PowerShell?
Я был бы благодарен за любую помощь/совет по этому поводу.
Спасибо CXMelga