«Работает — не трогай». Это частый аргумент IT-отделов компаний, которые откладывают переход на отечественное программное обеспечение. Например, такой подход у многих к службам каталогов — софту, невидимому для обычных пользователей, но незаменимому для IT-администраторов. В этом случае аргумент подкрепляется ещё и целым списком страхов перед потенциальными сложностями миграции: стоимостью, временными затратами, возможными ошибками и сбоями в процессе и так далее. Давайте разберём, так ли страшна миграция с одной службы каталогов на другую, и какие нюансы стоит учесть перед началом процесса.
Интересны нюансы миграции служб каталогов? Посмотрите запись совместного вебинара «1Софт» и Pragmatic Tools. На вебинаре Андрей Арефьев, сооснователь Pragmatic Tools, рассказывает про этапы миграции, особенности планирования, частые ошибки, а также показывает в действии решение Pragmatic Tools Migrator.
Справка: что такое Active Directory?
Простыми словами: это база данных, в которой хранится информация обо всех пользователях, компьютерах, общих ресурсах и установленных правах доступа. Для администратора организации Active Directory — это командный центр, из которого можно удобно управлять всем и сразу.
Так, Active Directory обеспечивает:
- Централизованное управление правами: администратор легко и быстро наделяет группы разными правами доступа. Например, делает так, чтобы сотрудники бухгалтерского отдела имели доступ к финансовым документам, а менеджеры других отделов — нет.
- Удобство администрирования: администратор легко меняет пароли при утере доступов, удалённо создаёт учетные записи новым сотрудникам, а при увольнении коллег просто блокирует одну-единственную учетную запись, а не отключает все доступы пользователя вручную.
- Автоматизацию процессов: при подключении нового компьютера к сети он автоматически получает правильные настройки и доступы.
- Гибкую настройку политик компании: администратор может задать ключевые параметры, например, чтобы сотрудники меняли пароли каждые 90 дней, а на всех компьютерах офисной сети обязательно был установлен антивирус.
Для пользователей Active Directory обеспечивает единый вход в систему — им достаточно один раз ввести логин и пароль при активации компьютера, чтобы сразу получить доступ к почте, сетевым папкам и приложениям.
Почему важно перейти на отечественные аналоги?
Главной причиной было и остаётся импортозамещение. Корпорация Microsoft, как и многие другие зарубежные производители, ушла с российского рынка — а значит, компании, использующие программное обеспечение вендора, столкнулись с:
- ростом риска несоответствия лицензионным требованиям при аудитах;
- проблемами с обновлением программного обеспечения до новых версий, в том числе — блокировкой доступа к официальным обновлениям через Windows Update;
- отсутствием критических патчей для уязвимостей — злоумышленники могут воспользоваться известными слабыми местами в софте;
- отсутствием security advisories о новых угрозах — не приходят официальные уведомления с информацией об уязвимостях в программном обеспечении;
- прекращением официальной поддержки от Microsoft.
Есть и другие сложности: например, многие новые отечественные продукты интегрируются именно с российскими каталогами. Особенно это касается решений для государственного сектора, объектов критической информационной инфраструктуры, защищённых платформ и так далее.
На что можно перейти?
Сегодня существуют различные отечественные службы каталогов, на которые можно перейти:
| Параметр | ALD Pro | Avanpost DS | РЕД АДМ | Альт Домен |
| Разработчик | ПАО Группа Астра | Avanpost | Ред Софт | Базальт СПО |
| Основа | FreeIPA | Самостоятельная разработка с собственной архитектурой | Самостоятельная разработка | Samba |
| Совместимость с протоколами AD | Полная | Полная | Высокая | Средняя |
| Система групповых политик | Расширенная | Расширенная | Базовая | Минимальная |
| ОС | Linux | Linux | Linux,Windows и FreeBSD | Linux, Windows |
| Соответствует | 4-му уровню доверия | 4-му уровню доверия | 4-му уровню доверия | 4-му уровню доверия |
| Идеология | «Прозрачная замена без изменения бизнес-процессов» | «Не просто каталог, а платформа для безопасного управления идентификациями» | «Единая точка управления всей вашей ИТ-инфраструктурой, а не только пользователями» | «Функциональная, надежная и независимая замена на базе открытых стандартов» |
Выбор зависит от:
- размера организации;
- сложности её инфраструктуры;
- требований к безопасности;
- совместимости с существующими системами.
Какие существуют подходы к миграции?
В Active Directory сосредоточены тысячи учётных записей, групп и политик, а значит, миграция должна быть максимально продуманной, поэтапной и безопасной. Исходя из этого и выбирается метод, с помощью которого будет проводиться миграция.
Какие методы мы сегодня рассмотрим?
- Ручная миграция;
- Использование встроенных инструментов службы каталогов для импорта данных;
- Объединение доменов (создание трастовых отношений и постепенная миграция);
- Миграция при помощи специализированного решения – Pragmatic Tools Migrator.
Разберём все методы на примере компании среднего размера, исходные данные: средний бизнес, 500 пользователей, 450 компьютеров в сети, 25 серверов, 3 филиала в одном регионе, инфраструктура средняя по сложности. Помогать в расчётах нам будет нейросеть, а в случае с расчётами по Pragmatic Tools Migrator — сам вендор.
Вариант 1: ручная миграция
Самый базовый, но самый затратный метод – как по времени, так и по деньгам. IT-специалисты вручную создают пользователей, группы, OU (Organizational Unit, организационная единица или подразделение), назначают права и переносят политики.
Примерные временные затраты на разные этапы:
| Этап | Длительность | Команда | Затраты часов |
| Анализ инфраструктуры | 2 недели | 3 админа | 240 часов |
| Создание структуры OU |
1 неделя |
2 админа | 80 часов |
| Ручное создание пользователей | 3 недели | 2 админа | 240 часов |
| Миграция групп вручную | 2 недели | 2 админа | 160 часов |
| Настройка прав доступа | 4 недели | 3 админа | 480 часов |
| Тестирование и отладка | 3 недели | 3 админа | 360 часов |
| Переключение пользователей | 2 недели | 4 админа | 320 часов |
| ИТОГО | 17 недель* | 1880 часов* |
*расчёты примерные, производитились вместе с нейросетью под средний бизнес, 500 пользователей, 450 компьютеров в сети, 25 серверов, 3 филиала в одном регионе, инфраструктура средняя по сложности
Стоимость (при 1500₽/час): ~2.820.000 рублей
Минусы:
❌ требуется высокая квалификация администраторов;
❌ высокий риск ошибок (а вот права на ошибку практически нет);
❌ нет контроля качества (нет логов и отчётов);
❌ невозможна синхронизация при изменениях в исходном каталоге.
Вариант 2: использование встроенных инструментов
Некоторые каталоги (например, SAMBA DC) содержат утилиты для импорта данных. С их помощью также можно провести миграцию с одного каталога на другой. Этот вариант чуть менее затратный по времени и силам, но всё равно не самый простой.
Такой метод подходит, когда:
- Небольшое количество пользователей (<100);
- Нет требований к сохранению паролей;
- Простая структура прав доступа;
- Ограниченный бюджет на инструменты.
Примерные временные затраты на разные этапы:
| Этап миграции | Длительность | Команда | Затраты часов |
| Анализ и планирование миграции | 1 неделя | 2 админа | 80 часов |
| Экспорт данных из MS AD | 3 дня | 1 админ | 24 часа |
| Трансформация и очистка данных | 2 недели | 2 админа | 160 часов |
| Создание структуры OU в целевом каталоге | 1 неделя | 1 админ | 40 часов |
| Импорт пользователей через LDIFDE/CSVDE | 2 недели | 2 админа | 160 часов |
| Миграция групп и членства | 1 неделя | 2 админа | 80 часов |
| Ручная настройка паролей и прав доступа | 3 недели | 2 админа | 240 часов |
| Тестирование и исправление ошибок импорта | 2 недели | 2 админа | 160 часов |
| Переключение пользователей | 1 неделя | 3 админа | 120 часов |
| ИТОГО | 13 недель* | 1064 часов* |
*расчёты примерные, производитились вместе с нейросетью под средний бизнес, 500 пользователей, 450 компьютеров в сети, 25 серверов, 3 филиала в одном регионе, инфраструктура средняя по сложности
Стоимость (при 1500₽/час): ~1.596.000 рублей
Минусы:
❌ требует изменений в Microsoft Active Directory;
❌ не обеспечивается отчётность;
❌ нет адаптации под бизнес-требования;
❌ нет механизма очистки и трансформации данных;
❌ пароли не мигрируются (требуется сброс);
❌ групповое членство теряется;
❌ нет инкрементальной синхронизации (когда сохраняются не заново весь набор файлов, а только обновляются те, что были изменены);
❌ нет инструментов переноса файловых серверов.
Вариант 3: объединение доменов
Третий вариант подразумевает создание трастовых отношений и постепенную миграцию. Здесь переход будет постепенным, а два каталога — новый и старый — будут сосуществовать друг с другом.
Подходит, когда:
- Критически важен постепенный переход;
- Есть сложные междоменные зависимости;
- Требуется максимальная осторожность;
- Есть экспертиза по Active Directory trusts.
| Этап миграции | Длительность | Команда | Затраты часов |
| Анализ инфраструктуры и планирование траста | 1 неделя | 2 админа | 80 часов |
| Настройка DNS и сетевой инфраструктуры | 1 неделя | 2 админа | 80 часов |
| Создание трастовых отношений между доменами | 1 неделя | 2 админа | 80 часов |
| Настройка SID Filtering и безопасности траста | 3 дня | 1 админ | 24 часа |
| Миграция групп с сохранением SID | 2 недели | 2 админа | 160 часов |
| Поэтапная миграция пользователей (пакетами) | 5 недель | 2 админа | 400 часов |
| Обновление прав доступа и ACL | 2 недели | 2 админа | 160 часов |
| Тестирование кросдоменного доступа | 1 неделя | 2 админа | 80 часов |
| Финальное отключение траста и очистка | 1 неделя | 2 админа | 80 часов |
| ИТОГО | 14 недель* | 1144 часа* |
*расчёты примерные, производитились вместе с нейросетью под средний бизнес, 500 пользователей, 450 компьютеров в сети, 25 серверов, 3 филиала в одном регионе, инфраструктура средняя по сложности
Стоимость (при 1500₽/час): ~1.716.000 рублей
Преимущества:
✅ Сохранение доступа во время миграции;
✅ Постепенный переход без рисков;
✅ Возможность отката.
Минусы:
❌ Длительный период сосуществования двух служб каталогов;
❌ Сложность управления двумя доменами;
❌ Требует экспертизы по трастовым отношениям;
❌ Высокие риски конфликтов;
❌ Нет автоматизации.
Вариант 4: контролируемая миграция с помощью Pragmatic Tools Migrator
И последний рассматриваемый нами вариант предполагает подключение дополнительных инструментов, которые делают миграцию проще и быстрее. Например, использование Pragmatic Tools Migrator — специализированного решения, которое позволяет полностью автоматизировать процесс миграции и синхронизации каталога:
- переносит учётные записи, группы, OU (Organizational Unit, он же объект-контейнер для хранения других объектов), права доступа, файловые серверы;
- предоставляет отчётность и контроль;
- выполняет очистку данных от "мусора";
- позволяет задать свои правила трансформации;
- обеспечивает синхронизацию двух каталогов.
Это оптимальный вариант для компаний, которые хотят сократить трудозатраты, исключить человеческий фактор и получить максимально предсказуемый и прозрачный результат.
Преимущества:
✅ Сохранение SID History для беспроблемного доступа;
✅ Инкрементальная миграция без простоев;
✅ Визуальное отображение процесса;
✅ Подробные отчеты и логи.
При миграции важно не просто перенести данные, а быть уверенным в их корректности. Pragmatic Tools Migrator решает эту задачу с помощью:
- встроенной отчётности;
- логирования всех операций;
- контроля целостности данных;
- гибкой настройки фильтров и правил.
Компания получает прозрачный процесс и возможность в любой момент проверить, что и куда было перенесено.
Подходит, когда:
- Большое количество пользователей (>500);
- Требуется сохранение паролей и SID History;
- Ограниченные сроки миграции;
- Минимизация рисков = приоритет.
| Этап | Длительность | Команда | Затраты часов |
| Установка и настройка Pragmatic Tools Migrator | 1 день | 1 админ | 8 часов |
| Анализ и планирование | 1 неделя | 2 админа | 80 часов |
| Настройка правил миграции | 2 дня | 1 админ | 16 часов |
| Пилотная миграция (10 пользователей) | 1 день | 1 админ | 8 часов |
| Массовая миграция (автоматически) | 1 неделя | 1 админ | 40 часов |
| Контроль и мониторинг | 1 неделя | 1 админ | 40 часов |
| Финальное переключение | 1 день | 2 админа | 8 часов |
| ИТОГО | 3 недели и 5 дней* | 200 часов* |
*расчёты примерные, производитились совместно с Pragmatic Tools под средний бизнес, 500 пользователей, 450 компьютеров в сети, 25 серверов, 3 филиала в одном регионе, инфраструктура средняя по сложности
Стоимость (при 1500₽/час): ~300.000 рублей + лицензия Pragmatic Tools Migrator
Итоговое сравнение всех четырёх методов:
| Функция | Ручная | CSVDE/LDIFDE | Трасты | Pragmatic Tools Migrator |
| Сохранение паролей | Нет | Нет | Частично | Полностью |
| SID History | Нет | Нет | Да | Да |
| ACL/права доступа | Вручную | Нет | Автоматически | Автоматически |
| Групповое членство | Вручную | Нет | Сохраняется | Сохраняется |
| Инкрементальная синхронизация | Нет | Нет | Ограниченная | Полная |
| Обработка ошибок | Нет | Базовая | Средняя | Продвинутая |
| Отчетность | Нет | Базовая | Средняя | Детальная |
| Откат изменений | Нет | Нет | Да | Да |
Если сравнить все четыре варианта миграции служб каталогов, видно, что для организаций от 100 пользователей Pragmatic Tools оказывается в 3-4 раза эффективнее по времени и в 2-3 раза дешевле по совокупной стоимости. Кроме того, такой вариант отличается высокой прозранчостью, безопасностью и высоким уровнем автоматизации. Убедиться в этом можно, запросив тестовую версию или попросив провести онлайн-встречу с техническими специалистами «1Софт», которые расскажут подробнее и покажут решение в работе (напишите нам: 1csoft@1csoft.ru). Также демонстрацию решения можно увидеть на записи совместного вебинара «1Софт» и Pragmatic Tools.
Во второй части статьи разберём, как по шагам происходит миграция с использованием Pragmatic Tools Migrator, какие нюансы необходимо учесть в процессе и как сделать так, чтобы миграция точно прошла без стресса — максимально безопасно и легко.
Поделиться в соц.сетях:
Похожие статьи:
- Кибербезопасность от «А» до «Я»: как защитить свой бизнес от угроз? (крупный бизнес)
- Это страшное слово «пентест»: что это и кому оно нужно?
- Кибербезопасность от «А» до «Я»: как защитить свой бизнес от угроз? (малый бизнес)
- Кибербезопасность от «А» до «Я»: как защитить свой бизнес от угроз? (средний бизнес)
- Импортозамещение: тренды и необходимость