я пишу инструмент синхронизации AD, который берет файл LDIF, экспортированный из AD A, применяет некоторые правила замены и пропуска и создает другой файл LDIF, который затем можно применить к AD B. Во время создания у меня есть доступ для чтения к A B, поэтому я могу заставить схему узнать, какие пары атрибут-значение я могу или не могу установить, и посмотреть, есть ли уже существующие объекты в B, которые мне нужно только изменить, но не создать. Все идет нормально.
Щас мои правила не копируют objectSid (и другие), так как они не будут правильными. Насколько я проверил, SID всегда состоит из domainSid и идентификатора, например SOME-DOMAIN-SID-513, который является SID пользователей домена этого домена. Таким образом, идентификаторы ‹ затем 1024 кажутся зарезервированными для внутреннего использования, в то время как идентификаторы> 1024 будут частью объектов, которые были созданы в пути.
Теперь мой вопрос: могу ли я создать собственные objectSID для новых записей, которые я хочу создать, и установить их в файле LDIF?
Есть намеки на это?