最近做了一个迁移项目,用户要求桌面云的AD环境重新搭建,同时尽可能地减少对用户的影响。(用户桌面均使用Windows系统,数据重定向到NAS存储。)
在这个case中,用户数据是否需要迁移是我首要关注的点,从此切入,有两个思路。
思路一:不动原存储
技术分析:
Windows AD域用户是通过SID唯一识别用户身份的,新建域后(或者重新安装操作系统后),账户SID会发生变化,无法访问原先个人的数据文件(即使账户名称不变)。
方案一:在新域中对原存储上的用户个人文件夹手动赋予新SID的权限,
- 对单文件夹赋权需要遍历旧SID下的所有文件和文件夹,在这个过程中,还没有更新权限的文件用户无法访问。(视文件数量而定,以企业办公用户来看,平均在10-20分钟)。
- 管理员对所有用户文件夹(假设500用户,每用户有桌面、文档、Profile、收藏夹、个人数据等多个文件夹)逐一手动赋权效率低,易出错。(编写脚本可提高效率。)
方案二:通过微软的ADMT将旧域用户完全迁移到新的域。
- 这种方法可以保持账户SID不变。这样上述用户个人的文件夹就不需要刷新权限了。
- 管理员仍然需要对存储上的文件系统赋权,但是仅需添加新域的Domain Admins、Domain Users等通用权限,这些可以后台进行(对用户无影响),且只需操作几次。
- 为了确保存储能被两个域同时识别,域间需要有信任关系。
思路一整体优点
- 对用户和IT管理员的影响小,工作量小。
技术风险点:
- 存储是否能同时被新、旧两个域访问。
- 存储退旧域、加新域,是否能在割接窗口内完成。
思路二:引入临时存储做中转
技术分析:
部署临时存储,将其直接与新域环境下的桌面关联。显然,新旧环境之间是独立的。用户数据需要逐步从原存储迁移到临时存储,直到全部迁移完毕后,将原存储退出旧域,加入新域。再把用户数据全部迁移回原存储。
思路二优点
- 文件层面的拷贝没有技术风险。
- 原存储可以在业务全部迁走的情况下加至新域。
缺点:
- 需要设备资源,部署成本高。
- 用户数据迁移需要迁出、迁回各一次,工作量巨大。