migracja, FSP i ogólnie bałagan

przejąłem projekt migracji – konsolidacja struktury domen do nowej, pojedynczej domeny. “wszystko już praktycznie zrobione, będziesz się nudził” – z taką optymistyczną informacją zaczynałem pracę nad zadaniem. z bardzo wielu krzaków, które wyszły, sqpię się nad jedną ciekawostką.

po przejrzeniu zmigrowanych grup okazało się, że część kont jest pokazywana jako konta external. listing członkostwa w grupie ujawniał wpisy typu:

CN=S-1-5-21-2096504233-xxxxxxxxx-944726268-2633,CN=ForeignSecurityPrincipals,DC=target,DC=domain

CN=S-1-5-21-2096504233-xxxxxxxxx-944726268-3498,CN=ForeignSecurityPrincipals,DC=target,DC=domain

Tak są właśnie przechowywane referencje do kont z lasów ztrustowanych. zacząłem więc szukać co to za domena. sprawa prosta, ponieważ zasada jest taka sama jak przy zwykłych SIDach – pierwsza część SID to domainSID. sprawdziłem więc ID wszystkich domen źródłowych [zwykły (Get-ADDomain).domainsid.value] … i okazało się, że takiej domeny nie ma /:

śledztwo. “taaaaakk…hmmm… była kiedyś migracja parę lat temu, tej domeny już nie ma”. tia. ostatnim etapem migracji jest cleanup SIDhistory, którego ktoś nie zrobił. sprawdzam grupy w domenie źródłowej – sweet, tam też członkowie pododawani są przez SIDHistory.

po dalszym przeglądzie okazało się, że w grupach były również konta z domen połączonych trustem nieprzechodnim z domeną źródłową, czyli nierozwiązywalne – kolejna grupa dziwnych FSP. tych niestety nie da się w żaden sposób przenieść chyba, że utworzy się trust z tymi externalami. poznajdywały się również konta CNF [w nowej domenie!] i inne wynalazki. i tak to właśnie się nudziłem…

po pierwsze wniosek/porada: migrację zaczyna się od czyszczenia. nawet jak klient mówi “przenosimy 1:1” – trzeba zweryfikować jak bardzo jest naśmiecone i poczyścić.

po drugie – skrypt, czyszczący FSP

z ciekawostek: do usunięcia usera z grupy korzystając z CN, musiałem użyć ADSI – nie potrafiłem zmusić koszernych cmdletów do obsłużenia CNa.

<#
.SYNOPSIS
  skrypt czyszczący grupy lokalne w domenie z Foreign Security Principal
.DESCRIPTION
  dla każdej grupy lokalnej sprawdzany jest membership. jeśli znalezione jest konto FSP, weryfikowany jest jego realny login. FSP jest wywalany a dodawane jest konto lokalne.
.NOTES
author: nExoR 2o14
.LINK
https://w-files.pl
#>

function isMember($uname,$gname){
    $ouser=get-aduser $uname -Properties memberof
    if ( ($ouser.memberOf | where { $_ -match $gname}) -eq $null) { return $false }
    return $true
}

Function Convert-FspToUsername
{
    Param($UserSID)
    foreach ($Sid in $UserSID)
    {
        try
        {
            $SAM = (New-Object System.Security.Principal.SecurityIdentifier($Sid)).Translate([System.Security.Principal.NTAccount])
            $Result = New-Object -TypeName PSObject -Property @{
                Sid = $Sid
                sAMAccountName = $SAM.Value
                }
            Return $Result
            }
        catch
        {
            $Result = New-Object -TypeName PSObject -Property @{
                Sid = $Sid
                sAMAccountName = $Error[0].Exception.InnerException.Message.ToString().Trim()
                }
            Return $Result
        }
    }
}

Get-ADGroup -Filter {groupscope -eq "DomainLocal"}  -Properties members| %{
  echo "sprawdzam $($_.name)..."
  $gdn=$_.distinguishedname
  $groupname=$_.name
  $_.members|%{
    if ($_.contains("ForeignSecurityPrincipals")) {
      echo "`tznaleziony: $_"
      $cu= convert-fsptousername $_.substring(3,$_.indexof(',')-3)#; echo $cu.sAMAccountName
      if($cu.samaccountname -notlike "*invalid*") {
        $cuname=$cu.samaccountname.substring($cu.sAMAccountName.indexof('\')+1)
        echo "`t`todwzorowanie login:$cuname . usuwam FSP"
        try {
          ([adsi]"LDAP://$gdn").remove("LDAP://$_")
          if(!(isMember $cuname $groupname)) {
              echo "`t`tpryncypał nie jest członkiem (; dodaję."
              Add-ADGroupMember $groupname $cuname
          } else {
              echo "`t`tpryncypał już jest członkiem ^^"
          }
        } catch {
          echo $_.Exception.Message
        }
      }
    }
  }
}

eN.

Windows Build – idą zmiany

właśnie miała miejsce konferencja Windows Build – największa konferencja developerska Microsoftu. devem nie jestem, ale pojawiło się niej sporo ważnych newsów wartych uwagi:

  • Windows na urządzenia 9″ i mniejsze będzie darmowy – dzięki temu powinny spaść ceny urządzeń z Windows
  • wraz z końcem wsparcia dla XP, czyli o8.o4, wyjdzie update 1 dla W8.1, który mocno usprawnia interfejs – czyli robi go bardziej przyjaznym dla ekranów niedotykowych. wyznaczony jest również roadmap dla powrotu guzika ‘start’. to już zakrawa na oddzielną książkę – losy guzika są tak skomplikowane jak miłość z Harlequina.
  • pojawiło się sporo informacji WP8.1 i o Cortanie – czyli ekwiwalencie siri. biorąc pod uwagę, że ma się karmić naszymi danymi personalnymi aby stać się ‘osobistym asystentem’… no ciekaw jestem ile będzie kontrowersji (; na polski język prędko nie ma co liczyć.
  • eMeSy tworzą .NET foundation i uwalniają dużą część kodu na licencji Apache 2.o

wiosna pełną gębą (:

eN.