2K3 - Firmendaten aus alter Domain -> neue Domain, identische User aber neue SID

[A.Behr]

Hallo zusammen,

ich habe am WE einen neuen SBS 2003 aufgesetzt, neue Domäne erstellunf und mit ADMT die User und Gruppen aus alter Domäne in neue übertragen.

Da es sich um 2 SBS handelt, ging die Vertrauenstellung nicht, somit wurde neue SID erstellt, Passwörter ebenfalls neu angelegt was soweit auch alle sin Ordnung ist. Wollte nicht über einen Temp Server gehen ähnlich der SWING Methode.

Mit MailMig nun Postfächer migriert, ebenfalls OK.

Nun das Datenverzeichniss.

Aktuell manuell über LAN kopiert, somit keine ACLs mehr vorhanden.
Nehme ich robocopy habe ich ACLs aber halt mit verweise auf die alten USER SIDs.

Hat jemand eine IDEE?

Gedanken gehen in die Richtung dass ich ein Tool suche welches mir Verzeichnisse exportiert z.B. auf eine NAS, ein Log auf der NAS anlegt, von mir aus auch in jedem Verzeichniss, welches dann die Informationen beinhaltet welcher Ordner Welche Berechtigungen hat, aber nur den Username und nicht die SID!!!

Dann am neuen Server die Daten wieder importieren und anhand der Log nun inkl. der Berechtigungen da ja die User so lauten wie auch in der alten Domäne.


Ich bin für alle Ideen sehr dankbar.

Gruß Andreas

[NilsK]

Moin,

warum migrierst du nicht einfach richtig? Eine Boardsuche nach "SBS ADMT" sollte dir genügend Hinweise geben.

Gruß, Nils

[zahni]

Kleiner Denkanstoß:

intern verwendet Windows immer Object-ID's, in diesem Fall SID getauft. Wenn die Objektreferenz fehlt (User gelöscht bzw. neu angelegt), kann Windows die SID nicht auflösen. Namen werden, ausser im AD nirgends gespeichert.

-Zahni

[Daim]

Salve,

Zitat von zahni Namen werden, ausser im AD nirgends gespeichert.

... und in den ACLs?

[Stephan Betken]

Hört sich für mich nach einem Fall für SUBINACL /CHANGEDOMAIN an. Wobei die alte Domain aber erreichbar sein muss und der auszuführende User entsprechende Rechte in beiden Domänen benötigt.
–

Zitat von Daim ... und in den ACLs?

Da doch eigentlich nicht, oder?

[A.Behr]

Hallo NilsK,
für das nächste mal ja, abe rich fang doch jetzt nicht mehr von vorne an.

Hallo Stephan,
SUBINACL /CHANGEDOMAIN sagt mir leider nichts, muss ich mich drüber schlau machen.

Beide Domains sind über einen Router erreichabr und Administratorrechte passne in beiden Domains. ADMT und MailMig ging soweit über diesen Account auch.

Hast du genauere Infos wie ich vorgehen müsste?

Danke schonmal.
Andreas

[Daim]

Zitat von Stephan Betken Da doch eigentlich nicht, oder?

Na was wird denn bei "deinen" ACLs angezeigt?
Der Name des Zugriffsberechtigten oder solch ein Eintrag: S-1-5-21-....?
Genau, der Name nämlich.

[zahni]

Hallo Daim,

was meinst Du genau ? In den ACL's wird auch nur die SID gespeichert. Windows versucht dann die Namen aufzulösen und zeigt den dann auch an. Merkt man auch daran, wenn man ein Konto löscht: Dann steht da (zumindest in den NTFS ACL's) "Konto unbekannt" und die SID den unbekannten Kontos.

-Zahni

[A.Behr]

Hallo Daim,

eben nicht, beim übernehmen der User per ADMT ohne Vertrauensstellung wurden die User mit neuer SID angelegt und wenn ich nun mit Robocopy die Daten kopiere dann habe ich in den Berechtigungen die alte SID stehen und nicht den User Namen.

Das ist doch das Ausgangsproblem!

Gruß Andreas

[Stephan Betken]

Angezeigt wird dort der Name (zumindest bei Benutzern der eigenen Domain und bei Benutzern, dessen Account in einer vertrauten erreichbaren Domäne ist), aber gespeichert wird dort nur der SID.