Jump to content
kaineanung

Kann man Sicherheitsgruppen exportieren und in anderer Domäne mit neuer SID importieren?

Recommended Posts

Hallo Leute,

 

ich habe hier ein kleines Problemchen:

ich habe jetzt eine Testumgebung erstellt in welcher ich unsere Domain-Migration plane und GPOs erstelle bzw. die alten LOGON-Scripte durch GPOs ersetze.

Jetzt bin ich soweit das alles funktionieren sollte wie ich mir das vorstelle.

 

Ich habe bereits vor Monaten irgendwelche Scripte gefunden mit Migrationstabelle und alles was dazu gehört um GPOs auf neue Domänen zu transferieren.

Das würde ich gerne jetzt nochmal und nochmal testen (bevor es dann in Echt losgeht muss ich das ohne mit der Wimper zu zucken hinbekommen können) und habe mir ein zweites virtuelles und abgeschirmtes Testnetzwerk aufgebaut.

 

So, beim ersten Testnetzwerk habe ich manuell gefühlt Hunderte an Sicherheitsgruppen erstellt. Ich habe also 1:1 aus unserer Domäne die Sicherheitsgruppen manuell erstellt und das dauert wirklich lange.

 

Daher meine Frage an euch Profis hier:

Gibt es eine Möglichkeit die Sicherheitsgruppen zu exportieren und auf einem anderen DC zu importieren?

Natürlich mit einer neuen SID, denn ich brauche ja nur die Gruppen wegen der Zielgruppenadressierung und der Gleichen um meine GPOs zu testen nachdem ich sie in eine neue Umgebungtransferiert habe.

 

Kurz::

Ziel ist es, wie ich bereits gesagt habe, nach der Migration unserer Domäne, die GPOs aus der Testumgebung transferieren zu können. Das geht auch, nur habe ich keine Lust jetzt die Sicherheitsgruppen manuell zu erstellen um das in einer weiteren Testumgebung testen zu können.

Also brauche ich was um die AD-Sicherheitsgruppen in eine Testumgebung transferieren zu können. Wenn es nur so geht das die SID neu erstellt wird (statt die alte zu übernehmen), ist das ok so. Wird sicherlich anders auch gar nicht gehen.

 

Ich danke euch schon einmal im Voraus für eure Hilfe!

Share this post


Link to post
Share on other sites
vor 2 Stunden schrieb testperson:

Hättest am besten "beim ersten Mal" direkt mit der PowerShell gearbeitet. ;)

Wow, danke dir! Ich habe mir soeben ein Script zusammengebastelt welches mir eine Export-CSV von der AD in eine andere AD einfügt!

 

Funktioniert prima (hat etwas gedauert bis ich das "Domänen (lokal)" abgefangen und in 'DomainLocal' gewandelt habe (beim GroupScope welches englische Begriffe erwartet und die exportierte CSV die deutsche Begriffe verwendet)).

 

Warum habe ich blos nicht gleich gefragt????? Hätte mir viel Arbeit gespart!

 

Danke!

Share this post


Link to post
Share on other sites
vor 52 Minuten schrieb kaineanung:

Warum habe ich blos nicht gleich gefragt????? Hätte mir viel Arbeit gespart!

Was man "schmerzhaft" lernt, vergisst man nicht. ;)

Generell hilft: Alles was man mehr wie einmal brauchen könnte direkt per Script erledigen.

Share this post


Link to post
Share on other sites

Das ganze gibt es sogar fertig, ist nur relativ unbekannt: https://msdn.microsoft.com/de-de/windows/desktop/aa814152?f=255&MSPPError=-2147217396

CreateXMLFromEnvironment.wsf und CreateEnvironmentFromXML.wsf sind genau dafür gemacht: Übertragen von Gruppen, Usern, OUs und GPOs aus einer Domäne in eine andere. Durch Bearbeiten des XML kann man fast nach Belieben customizen.

Share this post


Link to post
Share on other sites

Moin,

 

ja, aber ...

 

Diese GPMC-Beispielskripte fallen schnell auf die Nase, wenn man Sonderzeichen irgendwo verwendet. (Und bevor jemand sagt "das tut man ja auch nicht" - nützt nix, denn in Kundenumgebungen hat man das nicht in der Hand. Und: Es reicht schon ein Komma im Objektnamen, was in Deutschland als "Kaczenski, Nils" sehr üblich ist.)

 

[Active-Directory-Double als Testumgebung | faq-o-matic.net]
https://www.faq-o-matic.net/2006/12/17/active-directory-double-als-testumgebung/

 

Daher habe ich selbst mal eine Alternative gebaut:

 

[Domänen-Double für Testzwecke | faq-o-matic.net]
https://www.faq-o-matic.net/2016/05/02/domnen-double-fr-testzwecke/

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites
vor 15 Stunden schrieb daabm:

Das ganze gibt es sogar fertig, ist nur relativ unbekannt: https://msdn.microsoft.com/de-de/windows/desktop/aa814152?f=255&MSPPError=-2147217396

CreateXMLFromEnvironment.wsf und CreateEnvironmentFromXML.wsf sind genau dafür gemacht: Übertragen von Gruppen, Usern, OUs und GPOs aus einer Domäne in eine andere. Durch Bearbeiten des XML kann man fast nach Belieben customizen.

Der Link stimmt zwar nicht mehr aber man kann die Scriptsammlugn sehr schnell finden und herunterladen.

 

Habe auch zu diesem Script folgenden Artikel gefunden:

https://www.gruppenrichtlinien.de/artikel/erstellung-einer-testumgebung-als-abbild-der-produktiven/


Ich habe es nun auch ausgeführt und meine GPOs sind transferiert worden. Die Sicherheitsgruppen mit dem o.g. Script jedoch nicht!

 

So, wenn ich schnell eine Testumgebung erstellen muss, dann sollten diese auch mit übertragen werden.

Wenn ich zurück in die Produktivumgebung transferieren möchte, dann sollten nur die GPOs transferiert werden.

 

So, die Frage ist jetzt: geht das mit dieser Skriptsammlung und wenn ja, wie?

 

Wenn das CreateEnvironmentFromXML.wsf nur für das Übertragen der GPOs zuständig ist und auch nur dafür gedacht ist, dann ist das auch ok, ich sollte es nur genau wissen.

(Nicht das es in meiner Testumgebung aus welchen Gründen auch immer, nicht so funktioniert hat wie es ollte und später bei dem Transfer in die Produktivumgebung mir dann meine Domäne zerstört weil er die Sicherheitsgruppen dann doch überträgt...)

Share this post


Link to post
Share on other sites

Was ich auch bemerkt habe und mich wundert (ich aber besser finde wenn das so tatsächlich ist):

 

Ich habe keine Migrationstabelle benötigt wie bei meiner alten Methode als ich GPOs übertragen hatte!

Wie das CreateEnviromentFromXML.wsf das hinbekommt weiß ich nicht? Die Gruppennamen sind zwar gleich aber die SIDs sind natürlich unterschiedlich und trotzdem hat alles 'gematcht'.

Ist das normal? Kann ich mich darauf verlassen? Wenn ja wäre das wirklich sehr sehr toll...

Share this post


Link to post
Share on other sites

Ok, ich habe es gerade nachmals nachgeprüft.

CreateEnvironmentFromXML.wsf macht tatsächlich kein Match! Die SID, welche da angezeigt wird ist die 'alte' vom ursprünglichem System.

Wenn ich den gleichen User nochmals auf diesem DC in der  Testumgebung auswähle, ist es eine andere SID.

Ich habe mich lediglich in die Irre führen lassen weil wenn ich die GPOs in der Testumgebung widerhergestellt habe OHNE vorher die Sicherheitsgruppen angelegt zu haben, waren jegliche Sicherheitsfilterungs-Felder und Zielgruppenadressierungsfelder leer.

Habe ich vorher die Sicherheitsgruppen der AD neu angelegt mit den alten Namen, so waren sie bei der darauffolgendem Restore der GPOs jedoch allesamt vorhanden. Aber mit der alten SID wie ich vorhin bemerkt hatte...

 

Somit brauche ich bei diesem Vorgang doch eine Umsetzungtabelle bzw. Migrationtable.

 

Die Frage an euch ist jetzt: Wie erstelle ich diese und wie weise ich das Skript an diese zu nutzen?

Share this post


Link to post
Share on other sites

Rufs mal mit /? auf - soweit ich das im Kopf habe, erstellt es auf Wunsch alle Gruppen ebenfalls, und es kann m.W. auch mit Migtables umgehen. Ist zu lange her, und Migtables brauchen wir nicht mehr wirklich - innerhalb der GPOs haben wir keine SIDs mehr außer WellKnown, und der Sicherheitsfilter geht bei den Skripts über den Namen, nicht über die SID.

Share this post


Link to post
Share on other sites
vor 14 Stunden schrieb daabm:

Rufs mal mit /? auf - soweit ich das im Kopf habe, erstellt es auf Wunsch alle Gruppen ebenfalls, und es kann m.W. auch mit Migtables umgehen. Ist zu lange her, und Migtables brauchen wir nicht mehr wirklich - innerhalb der GPOs haben wir keine SIDs mehr außer WellKnown, und der Sicherheitsfilter geht bei den Skripts über den Namen, nicht über die SID. 

Jep, Parameter ist " /MigrationTable:Pfad\Dateiname.migtable"

 

Jetzt habe ich das so gemacht und trotzdem enthält die Testumgebung die SID der Quelle wenn ich in die GPOs reinschaue! Somit machei ch irgendwas falsch.

 

Daher die nächste Frage: Wie erstelle ich korrekt eine Migrationtable?

 

Übrigens hattest du Recht mit den Sicherheitsfilter: diese gehen wohl auf den Namen und nicht SID und funktionieren dementsprechend korrekt.

Ich nutze aber auch häufig Zielgruppenadressierung und benötige also die korrekte Auflösung "alte SID = neue SID".

Share this post


Link to post
Share on other sites

Zielgruppenadressierung weiß nix von Migrationstabellen - wenn Du da den Object Picker verwendest, hast IMMER SIDs in der Ziel-GPO... Das geht aber auch anders, drück mal F3. Da verwendet man nicht den Object Picker, sondern schreibt die Gruppen/User/Computer mit entsprechenden Variablen einfach rein.

Share this post


Link to post
Share on other sites
vor 13 Stunden schrieb daabm:

sondern schreibt die Gruppen/User/Computer mit entsprechenden Variablen einfach rein

 

Ich verstehe aber leider nicht was ich da dann eingeben soll?

 

Wir haben eine Gruppe die T0 heisst. Es gibt eine Sicherheitsgruppe auf dem AD die 'T0' heisst.

Wenn sich ein User, nehmen wir mal an der Max, sich einloggt, dann soll auf dem Desktop irgendeine Verknüpfung erstellt werden die nur die User der Gruppe 'T0' bekommen. Alle Anderen nicht. Ist der User nicht in 'T0', so wird die Verknüpfung, sofern Sie denn auf dem Desktop vorhanden ist, gelöscht.

 

So, wie kann ich jetzt eine Zielgruppenadressierung realisieren wenn ich nicht konkret sage das die Gruppenmitgliedschaft in der AD-Sicherheisgruppe 'T0' vorhanden sein muss?

Share this post


Link to post
Share on other sites

Du sollst halt "T0" nicht über den "Object Picker" (Die "..." im Dialog) auswählen, sondern im Eingabefeld mal "F3" drücken oder direkt

%LogonDomain%\T0

eintragen. ;)

Share this post


Link to post
Share on other sites
vor 2 Stunden schrieb testperson:

Du sollst halt "T0" nicht über den "Object Picker" (Die "..." im Dialog) auswählen, sondern im Eingabefeld mal "F3" drücken oder direkt


%LogonDomain%\T0

eintragen. ;)

 

Ok, wenn ich jetzt 100 Gruppenzieladressierungen habe, muss ich bei jedem einzelnen das nachholen bzw. den fixen Wert 'Domäne/Gruppe' durch das o.g. ersetzen?

Da gibt es nicht zufällig eine Vorgehensart dies auf Dateiebene in der Sicherung der GPOs zu ersetzen? ISt ja XML...

Aber ich würde es auch überleben jede einzelne manuell zu ändern... Fragen kann ja mal trotzdem ;)

 

Jedenfalls: VIELEN DANK EUCH ALLEN ;)

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...