Delen via

Groepen migreren van het ene forest naar het andere voor Microsoft Entra Verbinding maken

  • Artikel

In dit artikel wordt beschreven hoe u groepen van het ene forest naar het andere migreert, zodat de gemigreerde groepsobjecten overeenkomen met de bestaande objecten in de cloud.

Vereisten

  • Microsoft Entra Verbinding maken versie 1.5.18.0 of hoger
  • Kenmerk bronanker ingesteld op mS-DS-ConsistencyGuid

Groepen migreren

Vanaf versie 1.5.18.0 ondersteunt Microsoft Entra Verbinding maken het gebruik van het mS-DS-ConsistencyGuid kenmerk voor groepen. Als u kiest mS-DS-ConsistencyGuid als het bronankerkenmerk en de waarde wordt ingevuld in Active Directory, gebruikt Microsoft Entra Verbinding maken de waarde van mS-DS-ConsistencyGuid als het immutableId. Anders valt het terug op het gebruik van objectGUID. Maar houd er rekening mee dat Microsoft Entra Verbinding maken de waarde niet terugschrijft naar het mS-DS-ConsistencyGuid kenmerk in Active Directory.

Wanneer een groepsobject tijdens een verplaatsing tussen forests van het ene forest (bijvoorbeeld F1) naar een ander forest (bijvoorbeeld F2) wordt verplaatst, moet u de mS-DS-ConsistencyGuid waarde (indien aanwezig) of de objectGUID waarde van het object in forest F1 kopiëren naar het mS-DS-ConsistencyGuid kenmerk van het object in F2.

Gebruik de volgende scripts als richtlijn om te leren hoe u één groep van het ene forest naar een andere migreert. U kunt deze scripts ook gebruiken als richtlijn voor de migratie van meerdere groepen. De scripts gebruiken de forestnaam F1 voor het bronforest en F2 voor het doelforest.

Eerst krijgen we het objectGUID en mS-DS-ConsistencyGuid van het groepsobject in forest F1. Deze kenmerken worden geëxporteerd naar een CSV-bestand.

<#
DESCRIPTION
============
This script will take DN of a group as input.
It then copies the objectGUID and mS-DS-ConsistencyGuid values along with other attributes of the given group to a CSV file.

This CSV file can then be used as input to the Export-Group script.
#>
Param(
       [ValidateNotNullOrEmpty()]
       [string]
       $dn,

       [ValidateNotNullOrEmpty()]
       [string]
       $outputCsv
)

$defaultProperties = @('samAccountName', 'distinguishedName', 'objectGUID', 'mS-DS-ConsistencyGuid')
$group  = Get-ADGroup -Filter "DistinguishedName -eq '$dn'" -Properties $defaultProperties -ErrorAction Stop
$results = @()
if ($group -eq $null)
{
       Write-Error "Group not found"
}
else
{
       $objectGUIDValue = [GUID]$group.'objectGUID'
       $mSDSConsistencyGuidValue = "N/A"
       if ($group.'mS-DS-ConsistencyGuid' -ne $null)
       {
              $mSDSConsistencyGuidValue = [GUID]$group.'mS-DS-ConsistencyGuid'
       }
       $adgroup = New-Object -TypeName PSObject
       $adgroup | Add-Member -MemberType NoteProperty -Name samAccountName -Value $($group.'samAccountName')
       $adgroup | Add-Member -MemberType NoteProperty -Name distinguishedName -Value $($group.'distinguishedName')
       $adgroup | Add-Member -MemberType NoteProperty -Name objectGUID -Value $($objectGUIDValue)
       $adgroup | Add-Member -MemberType NoteProperty -Name mS-DS-ConsistencyGuid -Value $($mSDSConsistencyGuidValue)
       $results += $adgroup
}

Write-Host "Exporting group to output file"
$results | Export-Csv "$outputCsv" -NoTypeInformation

Vervolgens gebruiken we het gegenereerde CSV-bestand voor uitvoer om het kenmerk in het mS-DS-ConsistencyGuid doelobject in forest F2 te stempelen:

<#
DESCRIPTION
============
This script will take DN of a group as input and the CSV file that was generated by the Import-Group script.
It copies either the objectGUID or the mS-DS-ConsistencyGuid value from the CSV file to the given object.

#>
Param(
       [ValidateNotNullOrEmpty()]
       [string]
       $dn,

       [ValidateNotNullOrEmpty()]
       [string]
       $inputCsv
)

$group  = Get-ADGroup -Filter "DistinguishedName -eq '$dn'" -ErrorAction Stop
if ($group -eq $null)
{
       Write-Error "Group not found"
}

$csvFile = Import-Csv -Path $inputCsv -ErrorAction Stop
$msDSConsistencyGuid = $csvFile.'mS-DS-ConsistencyGuid'
$objectGuid = [GUID] $csvFile.'objectGUID'
$targetGuid = $msDSConsistencyGuid

if ($msDSConsistencyGuid -eq "N/A")
{
       $targetGuid = $objectGuid
}

Set-ADGroup -Identity $dn -Replace @{'mS-DS-ConsistencyGuid'=$targetGuid} -ErrorAction Stop

Volgende stappen

Meer informatie over het integreren van uw on-premises identiteiten met Microsoft Entra ID.