NTFS Rechte ändern

[Rudman 10]

Guten morschen liebe Leute

 

Ich hätte da gern mal wieder ein Problem geschaffen.

Wir befinden uns zurzeit in einer Domänenumstellung. Alles kein Problem.

Außer auf unserem Filserver.

Einige User melden sich schon generell in der neuen Domäne an. Für diese habe ich die Berechtigungen auf dem FS via Subinacl geändert

subinacl /subdirectories=directoriesonly "Ordnerstruktur" /replace=OldDomain\User=NewDomain=User
[/Code]

 

Damit ist die alte Berechtigung fort und die neue steht drin.

Und damit das ganze nicht so einfach ist gibt´s noch sehr viele User die zwischen den Standorten hin und her arbeiten und da noch einige dabei sind die sich in der alten Domäne befinden.

 

Kann man da sowas feines bauen , was nachschaut "Dort sind User und Gruppen der alten Domäne also füge ich die gleichen Gruppen und User aus der neuen Domäne hinzu"

User sind mit ADMT migriert. Alle Namen sind daher "identisch" in der alten und neuen Domäne.

Für weitere Info´s bin ich gern zu haben. :D

[grizzly999 11]

Wenn Benutzer und Gruppen mit ADMT und SidHistory migrifert wurden, und die SID-Filterung augeschaltet wurde, sollten Zugriffe auf die Resourcen - mit Ausahme des benutzerprofils - eigentlich kein Problem sein. Zumindest war das bei meinen Migrationen immer so.

 

grizzly999

[Rudman 10]

Wenn Benutzer und Gruppen mit ADMT und SidHistory migrifert wurden, und die SID-Filterung augeschaltet wurde, sollten Zugriffe auf die Resourcen - mit Ausahme des benutzerprofils - eigentlich kein Problem sein. Zumindest war das bei meinen Migrationen immer so.

 

grizzly999

Wie sieht es dann aus, wenn die alte Domäne begraben wird.

Steht dann noch in den Berechtigungen "alte Domäne"? Bestimmt ja.

Wenn die Umstellung komplett ist, würde ich auf jedenfall die alte Domäne aus den Berechtigungen rausschmeisen.

 

Für die SidHistory muss ich nachfragen. Da war ich nicht dabei als dies gemacht wurde, ich hasse Urlaub.

Ich hatte auch gelesen das ADMT mit den NTFS Berechtigungen "umgehen" kann, warum nun aber jemand das nicht so gemacht wundert mich.

Danke erstmal für den Tipp.

[grizzly999 11]

Würde mich auch wundern, wenn die Migration ohne SidHistory stattgefunden hätte. Was ist denn das Problem? Migrierter User der neuen Domäne bekommt auf Resourcen in der alten Domäne "Zugriff verweigert", wo er vorher zugreifen konnte?

 

 

grizzly999

[Rudman 10]

Würde mich auch wundern, wenn die Migration ohne SidHistory stattgefunden hätte. Was ist denn das Problem? Migrierter User der neuen Domäne bekommt auf Resourcen in der alten Domäne "Zugriff verweigert", wo er vorher zugreifen konnte?

grizzly999

 

Richtig :)

 

Habe gerade eine kleine Anleitung bekommen, wie das ADMT einen Test User migriert, es sind jede menge Screener dabei, aber mir viel kein Häkchen für SidHistory auf.

[grizzly999 11]

Ups?!

Zieldomäne läuft mindestens im "2000 Pur Functional Level"?

[grizzly999 11]

Für die Gruppenmigration ist hier ganz unten ein Screenshot, in dem das entsprechende Häkchen zu sehen ist: SolutionBase: Migrating Windows NT to Windows Server 2003 using the Active Directory Migration Tool

Un hier eine bebilderete anleitung, wie man mit ldp.exe die SID-History eines Benutzers anschauen kann: Mark Wilson's Blog : How to migrate users between Active Directory forests using ADMT when the source and target domain names are similar

 

grizzly999

[Rudman 10]

Ups?!

Zieldomäne läuft mindestens im "2000 Pur Functional Level"?

 

Komplett W2k3

 

Link schau ich mir gleich an.

[grizzly999 11]

Komplett W2k3

 

Das hat nichts zu sagen. Eine 2003 Domäne kann auch im 2000-gemischt DFL aufen, tut sie Out-of-The-Box auch. In diesem Domain Functional Level kann keine SID-Migration stattfinden ;)

 

 

grizzly999

[Rudman 10]

Das hat nichts zu sagen. Eine 2003 Domäne kann auch im 2000-gemischt DFL aufen, tut sie Out-of-The-Box auch. In diesem Domain Functional Level kann keine SID-Migration stattfinden ;)

grizzly999

 

Versteh zwar nicht, was Out of the Box bedeutet.

Aber in der alten Domäne sollten vorher alle Windows 2000 DC´s verschwinden.

 

 

Habe auch gerade gefunden.

"Benutzer SID´s zur Zieldomäne migireren" Häkchen ist gesetzt.

[grizzly999 11]

Out Of the Box: Einfach CD rein, installieren, dcpromo. Dann läuft die Domäne - auch 2003 - im 2000 gemisht Modus. Aber in dem Fall nciht.

Aber dann ist das der "Standard-fehler" einer Migration mt dem verweigerten Zugriff: SID-Filterung nicht ausgeschaltet (Dieser Fehler hier: Error message when you try to access shared resources on a Windows 2000-based trusting domain from a Windows Server 2003-based trusted domain: "Access is denied") ;)

Ausschalten der SID-Filterung auch im Artikel steht drin....

 

grizzly999

[Rudman 10]

Lässt sich das im Nachhinein noch machen?

[grizzly999 11]

Ei jo, so wie dort mit dem netdom-befehl beschrieben ;)

 

grizzly999

[Rudman 10]

Sollte ich mich auf irgendwas "böses" danach gefasst machen.

 

Netdom trust trusting_domain /D:trusted_domain /UD:trusted-domain\Administrator /PD: password /UO:trusting_domain\Administrator /PO:password /filtersids:no

 

Ich muss das bestimmt auf dem DC in der alten Domäne machen?

Auf jedem?

trusting_domain: damit ist sicherlich die neue gemeint?

 

Rethorische Fragen deswegen, damit ich gleich besser verstehe.

[grizzly999 11]

Ich würde sagen, einfach den Artikel aufmerksam lesen, Betonung liegt dabei auf aufmerksam. Dort geht man in dem Beispiel von einer Migration von 2000 als Quell-Domäne auf 2003 als Zeildomäne aus. Aus Sicht der 2000 Domäne snid dann in dem Artikel die Begriffe trusting domain und trusted domain genau erklärt, auch welcher Adminaccount usw.

Das ganze lässt sich natürlich auch auf zwei 2003 Domänen übertragen. Am besten machst du das in beiden Domänen in beide Richtungen, das Disablen der SID-Filterung, dann bist du garantiert richtig, und die Zugriffe klappen egal in welche Richtung ;)

 

ACHTUNG: Wenn man netdom bei 2003 verwendet, heißt der Paramter hinten nicht /Filtersids:yes|no sondern /EnableSIDHistory:yes|no

 

 

grizzly999