Firmendaten aus alter Domain -> neue Domain, identische User aber neue SID

[Andreas83 11]

Hallo zusammen,

 

ich habe am WE einen neuen SBS 2003 aufgesetzt, neue Domäne erstellunf und mit ADMT die User und Gruppen aus alter Domäne in neue übertragen.

 

Da es sich um 2 SBS handelt, ging die Vertrauenstellung nicht, somit wurde neue SID erstellt, Passwörter ebenfalls neu angelegt was soweit auch alle sin Ordnung ist. Wollte nicht über einen Temp Server gehen ähnlich der SWING Methode.

 

Mit MailMig nun Postfächer migriert, ebenfalls OK.

 

Nun das Datenverzeichniss.

 

Aktuell manuell über LAN kopiert, somit keine ACLs mehr vorhanden.

Nehme ich robocopy habe ich ACLs aber halt mit verweise auf die alten USER SIDs.

 

Hat jemand eine IDEE?

 

Gedanken gehen in die Richtung dass ich ein Tool suche welches mir Verzeichnisse exportiert z.B. auf eine NAS, ein Log auf der NAS anlegt, von mir aus auch in jedem Verzeichniss, welches dann die Informationen beinhaltet welcher Ordner Welche Berechtigungen hat, aber nur den Username und nicht die SID!!!

 

Dann am neuen Server die Daten wieder importieren und anhand der Log nun inkl. der Berechtigungen da ja die User so lauten wie auch in der alten Domäne.

 

 

Ich bin für alle Ideen sehr dankbar.

 

Gruß Andreas

[NilsK 2.798]

Moin,

 

warum migrierst du nicht einfach richtig? Eine Boardsuche nach "SBS ADMT" sollte dir genügend Hinweise geben.

 

Gruß, Nils

[zahni 525]

Kleiner Denkanstoß:

 

intern verwendet Windows immer Object-ID's, in diesem Fall SID getauft. Wenn die Objektreferenz fehlt (User gelöscht bzw. neu angelegt), kann Windows die SID nicht auflösen. Namen werden, ausser im AD nirgends gespeichert.

 

-Zahni

[Daim 12]

Salve,

 

Namen werden, ausser im AD nirgends gespeichert.

 

... und in den ACLs? ;)

[Stephan Betken 43]

Hört sich für mich nach einem Fall für SUBINACL /CHANGEDOMAIN an. Wobei die alte Domain aber erreichbar sein muss und der auszuführende User entsprechende Rechte in beiden Domänen benötigt.

–

... und in den ACLs? ;)

Da doch eigentlich nicht, oder?

[Andreas83 11]

Hallo NilsK,

für das nächste mal ja, abe rich fang doch jetzt nicht mehr von vorne an.

 

Hallo Stephan,

SUBINACL /CHANGEDOMAIN sagt mir leider nichts, muss ich mich drüber schlau machen.

 

Beide Domains sind über einen Router erreichabr und Administratorrechte passne in beiden Domains. ADMT und MailMig ging soweit über diesen Account auch.

 

Hast du genauere Infos wie ich vorgehen müsste?

 

Danke schonmal.

Andreas

[Daim 12]

Da doch eigentlich nicht, oder?

 

Na was wird denn bei "deinen" ACLs angezeigt?

Der Name des Zugriffsberechtigten oder solch ein Eintrag: S-1-5-21-....?

Genau, der Name nämlich. ;)

[zahni 525]

Hallo Daim,

 

was meinst Du genau ? In den ACL's wird auch nur die SID gespeichert. Windows versucht dann die Namen aufzulösen und zeigt den dann auch an. Merkt man auch daran, wenn man ein Konto löscht: Dann steht da (zumindest in den NTFS ACL's) "Konto unbekannt" und die SID den unbekannten Kontos.

 

-Zahni

[Andreas83 11]

Hallo Daim,

 

eben nicht, beim übernehmen der User per ADMT ohne Vertrauensstellung wurden die User mit neuer SID angelegt und wenn ich nun mit Robocopy die Daten kopiere dann habe ich in den Berechtigungen die alte SID stehen und nicht den User Namen.

 

Das ist doch das Ausgangsproblem!

 

Gruß Andreas

[Stephan Betken 43]

Angezeigt wird dort der Name (zumindest bei Benutzern der eigenen Domain und bei Benutzern, dessen Account in einer vertrauten erreichbaren Domäne ist), aber gespeichert wird dort nur der SID.

[NilsK 2.798]

Moin,

 

Na was wird denn bei "deinen" ACLs angezeigt?

Der Name des Zugriffsberechtigten oder solch ein Eintrag: S-1-5-21-....?

Genau, der Name nämlich. ;)

 

entweder redet ihr aneinander vorbei oder ich erkenne da gerade die Ironie nicht.

 

Angezeigt werden die Namen, wenn Windows den SID auflösen kann (was es über verschiedene Methoden lokal oder übers Netzwerk im Moment der Anzeige versucht). Gespeichert werden in der ACL selbstverständlich nur die SIDs.

 

@Andreas: Mach, was du willst. Ich glaube allerdings, dass es insgesamt schneller geht, die Migration noch mal ordentlich zu machen.

 

Wenn du partout bei deinem Weg bleiben willst, kannst du dir auch SIDwalk aus dem Reseource Kit ansehen.

Sidwalk Overview

 

Gruß, Nils

[Stephan Betken 43]

Hast du genauere Infos wie ich vorgehen müsste?

Etwa so:

subinacl /subdirectory D:\Daten\*.* /changedomain=old_domain=new_domain

Nimm aber die aktuelle Version von SUBINACL und nicht die aus dem Windows 2003 RK. Findest du bei MS.

[Daim 12]

Hallo,

 

entweder redet ihr aneinander vorbei oder ich erkenne da gerade die Ironie nicht.

 

ich denke, ersteres.

 

Angezeigt werden die Namen, wenn Windows den SID auflösen kann (was es über verschiedene Methoden lokal oder übers Netzwerk im Moment der Anzeige versucht). Gespeichert werden in der ACL selbstverständlich nur die SIDs.

 

Das beruht wohl alles auf einem Missverständnis. Ich dachte über "dieses" Stadium wären wir schon hinweg. ;) Ich meinte eben das in den ACLs, ein Name und nicht die SID --> angezeigt <-- wird und eben nicht direkt die SID. Der Name kann natürlich nur angezeigt werden, wenn sie - wie du schon erwähnt hast - aufgelöst werden kann. Das die angezeigten Namen in der Windows-Welt ohnehin nur "Schall und Rauch" sind und sich dahinter die SID verbirgt, ist uns doch allen klar.