Megosztás a következőn keresztül:

Csoportok áttelepítése egyik erdőből a másikba a Microsoft Entra Csatlakozás

  • Cikk

Ez a cikk bemutatja, hogyan migrálhat csoportokat az egyik erdőből a másikba, hogy az áttelepített csoportobjektumok megfeleljenek a felhőben meglévő objektumoknak.

Előfeltételek

  • A Microsoft Entra Csatlakozás 1.5.18.0-s vagy újabb verziója
  • Forráshorgony attribútum beállítása: mS-DS-ConsistencyGuid

Csoportok áttelepítése

Az 1.5.18.0-s verziótól kezdve a Microsoft Entra Csatlakozás támogatja az mS-DS-ConsistencyGuid attribútum csoportokhoz való használatát. Ha a forráshorgony attribútumot választjamS-DS-ConsistencyGuid, és az érték az Active Directoryban van feltöltve, a Microsoft Entra Csatlakozás az értéket mS-DS-ConsistencyGuid használja.immutableId Ellenkező esetben visszaesik a használatba objectGUID. Vegye figyelembe azonban, hogy a Microsoft Entra Csatlakozás nem írja vissza az értéket az mS-DS-ConsistencyGuid Active Directory attribútumába.

Erdőközi áthelyezés során, amikor egy csoportobjektum egy erdőből (mondjuk F1) egy másik erdőbe (például F2) költözik, át kell másolnia az mS-DS-ConsistencyGuid értéket (ha van ilyen), vagy az objectGUID F1 mS-DS-ConsistencyGuid erdőben lévő objektum értékét az F2 objektum attribútumára.

Az alábbi szkriptek segítségével megtudhatja, hogyan migrálhat egy csoportot egy erdőből egy másikba. Ezeket a szkripteket több csoport áttelepítéséhez is használhatja útmutatóként. A szkriptek az F1 erdőnevet használják a forráserdőhöz, az F2 pedig a célerdőhöz.

Először lekérjük az objectGUID F1 erdőben található csoportobjektumot és mS-DS-ConsistencyGuid a csoportobjektumot. Ezek az attribútumok CSV-fájlba lesznek exportálva.

<#
DESCRIPTION
============
This script will take DN of a group as input.
It then copies the objectGUID and mS-DS-ConsistencyGuid values along with other attributes of the given group to a CSV file.

This CSV file can then be used as input to the Export-Group script.
#>
Param(
       [ValidateNotNullOrEmpty()]
       [string]
       $dn,

       [ValidateNotNullOrEmpty()]
       [string]
       $outputCsv
)

$defaultProperties = @('samAccountName', 'distinguishedName', 'objectGUID', 'mS-DS-ConsistencyGuid')
$group  = Get-ADGroup -Filter "DistinguishedName -eq '$dn'" -Properties $defaultProperties -ErrorAction Stop
$results = @()
if ($group -eq $null)
{
       Write-Error "Group not found"
}
else
{
       $objectGUIDValue = [GUID]$group.'objectGUID'
       $mSDSConsistencyGuidValue = "N/A"
       if ($group.'mS-DS-ConsistencyGuid' -ne $null)
       {
              $mSDSConsistencyGuidValue = [GUID]$group.'mS-DS-ConsistencyGuid'
       }
       $adgroup = New-Object -TypeName PSObject
       $adgroup | Add-Member -MemberType NoteProperty -Name samAccountName -Value $($group.'samAccountName')
       $adgroup | Add-Member -MemberType NoteProperty -Name distinguishedName -Value $($group.'distinguishedName')
       $adgroup | Add-Member -MemberType NoteProperty -Name objectGUID -Value $($objectGUIDValue)
       $adgroup | Add-Member -MemberType NoteProperty -Name mS-DS-ConsistencyGuid -Value $($mSDSConsistencyGuidValue)
       $results += $adgroup
}

Write-Host "Exporting group to output file"
$results | Export-Csv "$outputCsv" -NoTypeInformation

Ezután a létrehozott kimeneti CSV-fájllal bélyegezzük az mS-DS-ConsistencyGuid attribútumot az F2 erdő célobjektumára:

<#
DESCRIPTION
============
This script will take DN of a group as input and the CSV file that was generated by the Import-Group script.
It copies either the objectGUID or the mS-DS-ConsistencyGuid value from the CSV file to the given object.

#>
Param(
       [ValidateNotNullOrEmpty()]
       [string]
       $dn,

       [ValidateNotNullOrEmpty()]
       [string]
       $inputCsv
)

$group  = Get-ADGroup -Filter "DistinguishedName -eq '$dn'" -ErrorAction Stop
if ($group -eq $null)
{
       Write-Error "Group not found"
}

$csvFile = Import-Csv -Path $inputCsv -ErrorAction Stop
$msDSConsistencyGuid = $csvFile.'mS-DS-ConsistencyGuid'
$objectGuid = [GUID] $csvFile.'objectGUID'
$targetGuid = $msDSConsistencyGuid

if ($msDSConsistencyGuid -eq "N/A")
{
       $targetGuid = $objectGuid
}

Set-ADGroup -Identity $dn -Replace @{'mS-DS-ConsistencyGuid'=$targetGuid} -ErrorAction Stop

További lépések

További információ a helyszíni identitások Microsoft Entra-azonosítóval való integrálásáról.