Jump to content

nach Domain Migration alte Rechte bereinigen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi @ll

 

habe folgende Szenario:

 

Nach einer erfolgreichen Domainmigration wo wir die Berechtigungen am Fileserver per ADMT kopiert haben (alte SID steht in der SID-History der User von der neuen Domain), stehen jetzt die Berechtigungen doppelt in den Sicherheitseinstellungen von Shares, Ordnern & Dateien.

zB:

domain1\user1

domain2\user1

 

Ich hab mich zwar schon ein bisschen mit subinacl beschäftigt, schaffe es aber nicht einen Befehl abzusetzen der mir aus dem Objekten alle alten Domain Berechtigungen löscht.

Also zB:

\\server\pfad\ /delete domain1\*

 

Wir haben die alte Domain jetzt mal testweise vom Netz genommen und brauchen jetzt ewig um bei einem Objekt in den Ordnerregister "Sicherheit" hinein zu schaun, da das System versucht an Hand der alten Domain die SIDs der alten User und Gruppen aufzulösen, jetzt dauert es bis das System checkt dass die alte Domain nicht da ist und er über die SID-History der neuen User die alte SID auflösehn kann, dann sehen die Einträge aber so aus:

domain2\user1

domain2\user1

es sieht also so aus als würde ein User (oder Gruppe) doppelt vorhanden sein, was ja normalerweise nicht möglich ist.

 

Hoffe es kann mir jemand helfen, irgendwann sollte ich ja die alte Domain wegkriegen und das ohne nachfolgende Probleme.

 

Danke

 

mfg

Link zu diesem Kommentar

hi

 

danke für deine rasche antwort - der link is leider auch nur stückwerk, da zwar beschrieben wird dass man solche Migrations-Doppel-Einträge damit loswerden kann "Aber auch durch eine Migration können solche verwaisten Einträge entstehen" aber leider gibts dazu kein Beispiel - bin in der zwischenzeit mit dem subinacl auf kriegsfuss und komm einfach nicht weiter - vl. gibts jemanden der das tool beherrscht und mir ein bisschen unter die arme greifen kann!?

 

danke

Link zu diesem Kommentar

Hab die alte Domain wieder online geschalten, aber es tut sich gleich wenig. Das Kommando sagt doch aus dass SIDs die nicht aufgelöst werden können gelöscht werden, da aber die Doppeleinträge auf Grund der SID History in den Userdetails der neuen Domain aufgelöst werden können, tut sich eben nichts.

Ich bräuchte irgendwelche Parameter die mir alle Einträge von der Domain1 herausnehmen.

 

Hey ich mecker nicht, ich stell nur fest dass ich nicht weiter komm ;)

 

Danke für deine raschen Antworten, freu mich über jede Hilfe.

 

mfg

Link zu diesem Kommentar

Moin,

 

das Kommando entfernt verwaiste Einträge aus einer bestimmten Domäne. Es kann allerdings sein, dass eben wegen der SID History die Einträge gar nicht verwaist sind.

 

Versuch mal folgendes Verfahren. Das sollte klappen.

 

Tool: SetACL (SourceForge.net: Files)

 

Kommando:

 

SetACL.exe -on "C:\temp\Ordner" -ot file -dom "n1:DOMALT;da:remdom;w:sacl,dacl" -actn domain –rec cont_obj

 

Kurzübersetzung: -on ist der Objektname, -ot ist der Datentyp (hier: Dateien und Ordner; setACL kann auch Registry, Drucker usw.), -dom bezeichnet Aktivitäten mit domänenbezogenen Berechtigungen; da:remdom entfernt die Berechtigungen der bei n1 angegebenen Domäne; -actn führt die angegebene Aktion tatsächlich aus; -rec gibt die Rekursion an, damit alle untergeordneten Objekte bearbeitet werden.

 

Gruß, Nils

Link zu diesem Kommentar

Ürgs,

 

SIDhistory. Nutzt man sowas denn wirklich noch? Bei der Migration, na ja, okay. Aber danach?

 

Nach der Migration mit ADMT ist es auch möglich, die alten Berechtigungen durch den Sicherheitskonvertierungsassistenten entfernen zu lassen. Die entsprechenden SIDs stehen eigentlich in der Datenbank. Von daher klappt das entfernen auch noch, wenn die alte Domain bereits down ist.

Subinacl macht aber eigentlich nichts anderes.

 

Mit "subinacl /subdirectories \\Server\freigabe\*.* /changedomain=olddomain=newdomain" (durch /changedomain werden die vorhandenen Berechtigungen ersetzt, /migratetodomain würde die Berechtigungen erweitern) sollte man die vorhandenen Berechtigungen ersetzen. Damit das funktioniert muss die alte Domain aber erreichbar sein. Alternativ hilft ein SID-mapping-File (alte SID=neue SID).

 

Die SIDhistory sollte man aber eh entfernen, wenn denn alle Berechtigungen geändert sind. How To Use Visual Basic Script to Clear SidHistory

 

Danach den von Nils geposteten Artikel und schon ist eigentlich alles sauber.

Bei /cleandeletedsidsfrom werden die Einträge aus der ACL gelöscht, die nicht zur Domäne gehören. (SIDhistory=zur Domäne gehörend)

Link zu diesem Kommentar

Moin,

 

SIDhistory. Nutzt man sowas denn wirklich noch? Bei der Migration, na ja, okay. Aber danach?

 

in der Migration nutzt es praktisch jeder. Mit dem "danach" sprichst du ein ernsthaftes Problem an, denn (wie auch in den meisten anderen Fällen) aufräumen tut dann praktisch keiner mehr. Es ist aber dringend zu empfehlen, völlig korrekt.

 

Wo wir dabei sind: Was der TO erwähnt, ist ja eigentlich nicht (bzw. nicht nur) SIDHistory, denn dabei würde es nur einen einzigen Berehchtigungseintrag geben. Zusätzlich ist hier offenbar mit ADMT auch Dual-SID ausgeführt worden: Die ACL wurde um die Einträge für die migrierten Objekte ergänzt. Man muss also zum Aufräumen zweierlei ausführen:

  1. ACLs bereinigen (wie im Thread dargestellt)
  2. SIDHistory entfernen (siehe das verlinkte Skript bei Stephan)

 

Dazu gehört aber auch das Bereinigen anderer Objekte - SIDs werden ja nicht nur im Dateisystem verwendet, sondern auch in Exchange, SQL, ... (und da liegt dann ein wesentlicher Grund, überhaupt SIDhistory zu verwenden).

 

Gruß, Nils

Link zu diesem Kommentar

Danke wieder für eure Anteilnahme an meinem Problem.

 

Die Migration ist noch nicht all zu lange her, wir sind mal froh dass alles soweit funktioniert, die Nacharbeiten sind eben jetzt und da steh ich eben vor dem beschriebenen Problem. Die SID History Einträge der alten Domain werden wir auch loswerden, aber wie Nils schon angemerkt hat, hat die SID History nicht nur was mit dem Filesystem zutun, deshalb wird das wohl noch ein bisschen dauern.

 

Ich werde heute euer Vorschläge testen, leider bin ich nicht gerade mit viel Zeit gesegnet, deshalb auch meine Antworten relativ spät, aber ich informiere natürlich wenns klappt, sowieso wenns nicht klappt bzw was nicht klappt.

 

Eine Möglichkeit ist natürlich die SID History gleich loszuwerden und dann die Berechtigungen mit subinacl "/cleandeletedsidsfrom " bereinigen, aber lieber wäre mir die Methode dass alle Berechtigungen von "domain1" verschwinden.

 

mfg

Link zu diesem Kommentar

hi nils,

 

hab jetzt setacl nach deinen parametern angewendet ... folgendes dazu:

 

dein command:

SetACL.exe -on C:\temp\test -ot file -dom "n1:alter Domainname;da:remdom;w:sacl,dacl" -actn domain -rec cont_obj

 

hat nicht so ganz geklappt, hier der fehler dazu:

ERROR in command line: Invalid option specified: ?rec!

 

hab ihn dann auf das abgeändert:

SetACL.exe -on C:\temp\test -ot file -dom "n1:alter Domainname;da:remdom;w:sacl,dacl" -rec cont_obj -actn domain

 

also dass der recurison Befehl vor dem Action Befehl steht, dann kam kein Fehler sondern die Durchführung wurde bestätigt

INFO: Processing ACL of: <\\?\C:\temp\test>

INFO: Processing ACL of: <\\?\C:\temp\test\Neuer Ordner>

INFO: Processing ACL of: <\\?\C:\temp\test\test.txt>

 

SetACL finished successfully.

 

wie du siehst test ich das ganze nur in einem kleinen Ordner, dem ich verschiedene Berechtigungen von beiden Domains zugewießen habe.

Leider sehen die Berechtigungen nach dem Befehl ganz gleich aus wie davor - d.h. es passiert gar nichts!

 

Hast du hierzu irgendeinen Einfall oder vl. siehst du ja gleich was falsch sein könnte!?

 

mfg

Link zu diesem Kommentar

Moin,

 

hm ... seltsam. Genau dieses Kommando funktioniert in meiner Testumgebung problemlos und macht, was es soll: Die Berechtigungen der angegebenen Domäne sind hintherher weg.

 

Kann der Domänenname während der Ausführung aufgelöst werden, d.h. ist ein DC der Domäne erreichbar? In der Referenz heißt es ja:

 

For every SID in the ACEs of the ACL(s), the name of the domain and user/group of the corresponding account is looked up. If the domain name is equal to the domain name 'n1' specified, the ACE is deleted in the case of 'remdom'.

 

Gruß, Nils

Link zu diesem Kommentar
...sondern auch in Exchange, SQL, ... (und da liegt dann ein wesentlicher Grund, überhaupt SIDhistory zu verwenden).

 

Okay, dann sollte man aber nicht Fileserver schreiben.

Aber wenn mit der SIDhistory gearbeitet wird, macht es meistens keinen Sinn, die ACL´s in der Zieldomäne zu erweitern. Ersetzen ist da meist die bessere Wahl. Vor dem Ersetzen erfolgt der Zugriff über die SIDhistory, danach über die neue SID (heisst es nicht eigentlich den neuen SID?).

Wenn sich die Einträge einer ohnehin schon überladenen ACL verdoppeln, kann so ein Fileserver doch schon mal sehr, sehr, sehr langsam werden. Von daher am Besten nur nutzen, wenn es notwendig ist. Aber wenn mit der SIDhistory gearbeitet wird, dann ist es das meistens nicht.

 

 

Aber eine kurze Frage hab ich noch: was ist denn jetzt eigentlich das Problem? ;) :D

Nach der Migration mit ADMT ist es auch möglich, die alten Berechtigungen durch den Sicherheitskonvertierungsassistenten entfernen zu lassen. Die entsprechenden SIDs stehen eigentlich in der Datenbank.

Wenn die Datenbank noch da ist, dann kann man einfach den Sicherheitskonvertierungsassistenten bemühen.

Aber ich bin mir fast sicher, dass SUBINACL mit dem Parameter CHANGEDOMAIN ebenfalls die alten Einträge aus den ACL´s entfernt.

 

Notfalls könnte man die Einträge ja auch mit SUBINACL /SUPRESSSID entfernen. Dann rödelt SUBINACL aber für jeden Benutzer einzeln einmal über die Platte.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...