Active Directory предоставляет такие важные службы, как аутентификации и авторизации в ИТ-экосистеме, поэтому очень важно, чтобы миграция Active Directory прошла гладко. Независимо от того, обусловлен ли проект миграции деятельностью по слиянию и поглощению, продажей активов, необходимостью консолидации доменов или каким-либо другим фактором, ниже описаны пять принципов миграции Active Directory, которые помогут провести успешный переход.

1. Задокументируйте желаемое конечное состояние

Все хотят добиться успешной миграции, но как узнать, достигнуты ли все цели? Или, что более важно, как вы можете доказать всем заинтересованным сторонам, что миграция действительно прошла хорошо?

Ключ в том, чтобы иметь четкое, задокументированное видение желаемого конечного состояния. Как должна выглядеть структура? Какую групповую политику необходимо применить? Распишите как можно больше подробностей.

Помните о следующих советах:

Тщательно выбирайте целевой каталог, выбирая новое поле только тогда, когда это действительно необходимо.

Одним из фундаментальных решений будет выбор целевого каталога. При любой миграции Active Directory есть два варианта: консолидация в одном из существующих каталогов или перемещение в новый каталог (с нуля). Чтобы выбрать правильный вариант для вашего проекта миграции, примените следующие рекомендации по миграции Active Directory:

  • Учитывайте деловые и юридические требования. В некоторых случаях деловые или юридические требования определяют выбор целевой среды. Например, в сценарии приобретения вам может потребоваться использовать Active Directory приобретающей компании в качестве целевого. Однако не стоит просто предполагать, что решение уже принято; не торопитесь, чтобы фактически определить, какие варианты доступны для Вас. В частности, сделки по слиянию часто обеспечивают большую гибкость, чем можно было бы подумать.
  • Учитывайте технические требования. Проведите тщательную оценку всех сред, участвующих в миграции. Проанализируйте их текущие конфигурации каталогов и объекты групповой политики (GPO), а также приложения и сценарии, связанные с Active Directory. Подумайте, какая среда наиболее точно соответствует вашим потребностям в конечном состоянии. Также проверьте работоспособность сред, чтобы определить, есть ли проблемы, которые нельзя исправить, поскольку это делает среду менее привлекательной целью.
  • Не начинайте без необходимости с нуля. Иногда у организаций возникает соблазн начать заново, чтобы с нуля определить свою структуру, объекты групповой политики и другие компоненты. Однако миграция на новое место может значительно увеличить время, затраты, усилия и риск для проекта: вам потребуется создать свои объекты Active Directory, политики безопасности, привязки приложений и многое другое. Таким образом, миграция с нуля рекомендуется только в том случае, если она необходима для юридических целей, когда вы переключаетесь на новую среду и когда существующие среды находятся в таком неработоспособном состоянии, что их невозможно восстановить.

2. Выполните тщательное исследование

Помните, что сам каталог является легкой частью.
Миграция Active Directory — относительно простой процесс. В конце концов, все каталоги структурно одинаковы, с пользователями, компьютерами, группами и так далее, так что часть миграции понятна. Тем не менее, все приложения, службы и другие компоненты, которые полагаются на Active Directory, усложняют миграцию.

Поэтому важно, чтобы процесс исследования был максимально тщательным. В частности, убедитесь, что скурпулезно изычены:

  • Групповая политика — просмотрите групповую политику, действующую во всех исходных средах, и определите нужные объекты групповой политики для целевой среды.
  • Процессы подключения и отключения. Подумайте о процессах, которые включают создание и удаление пользователей, развертывание устройств, членство в группах и подготовку почтовых ящиков. Например, в вашем отделе кадров могут быть приложения, которые создают новые учетные записи в AD для новых сотрудников и обновляют учетные записи, когда сотрудники меняют роли, а различные группы ИТ или службы безопасности могут развертывать сценарии, которые регулярно выполняются для очистки устаревших объектов.
  • Регистрация устройств и управление ими. Подумайте, будут ли ваши устройства присоединены к Azure, изменят ли они свои параметры шифрования, будут ли они управляться новым программным обеспечением и будут ли они изменены для использования новых VPN и сертификатов.
  • Управление идентификацией — определите влияние на пользователей, получающих доступ к различным ресурсам, в том числе, может ли потребоваться обновление единого входа (SSO) для определенных приложений и потребуется ли пользователям перенастроить многофакторную аутентификацию (MFA).
  • Сторонние и пользовательские приложения. Ищите как одобренные ИТ-специалистами приложения, так и сервисы, работающие у пользователей компании подпольно. Если на компьютерах сотрудников используются сторонние приложения, вам нужно о них знать.
  • Системы, отличные от Windows. Например, системы на базе Unix могут полагаться на AD для служб аутентификации и авторизации.

Выявление всех этих зависимостей необходимо для успешной миграции. Но нет отчета, который вы можете запустить в Active Directory, чтобы перечислить все приложения, которые запрашивают AD. И вы не найдете консультанта или инструмент, который знает обо всех в вашей конкретной комбинации. 

3. Стремитесь к комплексной стратегии, но развивайте гибкость.

На самом деле перемещение данных и рабочих нагрузок — это только часть надежного плана миграции. Рекомендации по миграции Active Directory требуют, чтобы вы обращали внимание на все этапы:

  • Планирование. Тщательное планирование снижает риск сбоев в бизнесе.  Обязательно определите и задокументируйте варианты возможных простоев в работе в процессе миграции, уделяя особое внимание тому, для каких отделов простои критичны а для каких нет. Также обязательно определите всех заинтересованных лиц и создайте проектные группы. Хотя системные администраторы AD являются важной частью команды, вам также потребуются выделенные ресурсы для помощи в управлении конкретными аспектами проекта, такими как связь и координация приложений.
  • Создавайте и тестируйте. Как только план будет готов, настройте инструменты, которые вы будете использовать. Затем выполните тестовую миграцию, чтобы определить проблемы, которые необходимо решить, прежде чем выполнять миграцию любых пользователей или устройств.
  • Пилотные миграции — начните с миграции небольшой группы пользователей, обычно ИТ-персонала. Соберите отзывы и используйте их для уточнения процесса перед миграцией бизнес-пользователей.
  • Скорость — завершите оставшиеся миграции.
  • Проверка и очистка после миграции. Убедитесь, что все данные и рабочие нагрузки были успешно перемещены, устраните все проблемы, которые могли возникнуть, и, если применимо, выведите из эксплуатации исходную среду, когда вы убедитесь, что она больше не нужна.

4. Обращайтесь к требованиям с самого начала проекта

Поймите свои обязательства по соблюдению требований и тщательно все задокументируйте.

Обязательно изучите требования соответствия вашей организации и включите их в свой план миграции. Подумайте, как вы можете выполнить свои обязательства с помощью политик, процедур и других средств контроля, и обязательно тщательно задокументируйте как основное требование, так и вашу стратегию его выполнения. Сценарии слияний и поглощений могут усложнить процесс, поскольку вам необходимо понимать требования соответствия объединенной организации, которые возникнут в результате сделки, а также средства контроля, которые в настоящее время есть у каждой организации.

Тщательно выбирайте элементы контроля, учитывая, как они повлияют на пользователей.

При выборе конкретных стратегий для соблюдения требований соответствия обязательно подумайте о взаимодействии с пользователем. Например, вы можете внедрить новую политику паролей, которая изменит правила составления паролей, или вы можете начать шифрование устройств пользователей, чтобы соответствовать требованиям по защите данных. И то, и другое явно влияет на пользователей, и вы должны учитывать это при принятии решений.

Общайтесь с бизнес-пользователями часто.

Эффективная коммуникация имеет решающее значение для успеха, и она должна идти в обоих направлениях. С одной стороны, вам необходимо получить от пользователей информацию о том, каковы их потребности и как вы можете наилучшим образом их удовлетворить. С другой стороны, вы также должны помочь пользователям понять причины проекта миграции, заблаговременно опубликовать ключевые даты, предоставить подробную информацию о любых задачах перед миграцией, которые им необходимо выполнить, и подготовить свою группу поддержки, чтобы они могли решать любые вопросы во время и после миграции. Например, после того, как вы определились с элементами управления соответствием, обязательно помогите пользователям понять, что им нужно делать и почему.

Используйте любые способы связи, которые лучше всего подходят для вашей организации: руководства пользователя, ответы на часто задаваемые вопросы, учебные занятия и т. д. Без хорошего общения с точки зрения пользователя ваша миграция может считаться неудачной просто потому, что они не знали, чего ожидать.

5. Ищите способы снизить риски

Даже при правильном планировании, тестировании и пилотных проектах миграция всех сразу влечет за собой значительный риск. Во-первых, инженеры по миграции будут испытывать огромный стресс, а группа поддержки может быть перегружена количеством звонков. Кроме того, существует вполне реальная опасность того, что некоторые миграции не будут завершены к началу работы на следующий день, особенно если пользователи находятся вне офиса или в другом часовом поясе.

Для всех миграций Active Directory, кроме самых небольших, поэтапная миграция обычно является лучшим и безопасным выбором. Миграцию Active Directory рекомендуют выполнять логическими фрагментами, такими как проектные группы или бизнес-отделы. Таким образом, специалисты могут сосредоточиться на уникальных потребностях каждой группы, а объем запросов группе поддержки будет гораздо более управляемым.

Конечно, организациям необходимо, чтобы бизнес-процессы продолжались во время поэтапной миграции. Инструменты качественной миграции обеспечивают сосуществование исходной и целевой сред, чтобы свести к минимуму влияние на пользователя. Сосуществование часто включает синхронизацию паролей и членства в группах для обеспечения беспрепятственного доступа к ИТ-ресурсам, а также ведение единой адресной книги для облегчения постоянного общения и совместной работы независимо от статуса миграции любого сотрудника.

Учтите, что вспомогательные инструменты могут замедлить или, наоборот, ускорить процесс миграции.

Microsoft предлагает бесплатный инструмент для переноса: Active Directory Migration Tool (ADMT). Хотя ADMT может быть достаточным для небольших миграций, многие действия придется совершать вручную. В результате, хотя вы и экономите бюджет с помощью бесплатного инструмента, вы можете потратить огромное количество времени на выполнения миграции.

Кроме того, ADMT не допускает значительной настройки или автоматизации.

Қорытынды

Миграция Active Directory по своей сути сложна, и ее правильное выполнение необходимо для вашего бизнеса. Чтобы обеспечить успешный проект, следуйте рекомендациям по миграции Active Directory, изложенным здесь, и подумайте о привлечении партнера, предоставляющего расширенные решения для миграции. Например, такого как Fanetech.

kkҚазақ тілі