[Win2k3 AD]Gebruikers en wachtwoorden exporteren - Serversoftware en clouddiensten

woensdag 12 september 2007 15:12

Acties:

Verwijderd

Topicstarter

Ik heb een vraag met betrekking tot Active Directory op een Win2k3 SBS.

Het volgende doet zich voor.

Wij zijn een nieuw serverpark aan het opzetten op het werk. Maar om de foutjes uit de oude Active Directory te halen willen we de nieuwe volledig opnieuw opbouwen. Alleen was mijn vraag of er niet een commando of applicatie bestaat die de gebruikersnamen en wachtwoorden kan uitlezen uit de AD.
Zodat we dit als basis kunnen gaan gebruiken bij het toevoegen van de gebruikers op de nieuwe AD.

Ik heb al het een en ander rond gezocht op Google. Echter kon ik hier vrij weinig over vinden. Wel over het uitlezen en exporteren van de lijst gebruikersnamen. Maar het makkelijkste zou zijn als we ook de wachtwoorden erbij zouden hebben.

Alvast dank voor jullie medewerking.

woensdag 12 september 2007 16:05

Acties:

alt-92

ye olde farte

Verwijderd schreef op woensdag 12 september 2007 @ 15:12:

Ik heb al het een en ander rond gezocht op Google. Echter kon ik hier vrij weinig over vinden.

Dat kan ik me niet voorstellen.
ldifde /csvde zou ik eerst naar kijken, ADMT valt toch al af omdat je met SBS geen trusts kan maken (beperking van SBS die je makkelijk kan vinden).

Als je SBS from scratch wil opbouwen, vergeet je dan ook niet van tevoren de Exchange mailboxen?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 12 september 2007 16:08

Acties:

Verwijderd

Topicstarter

Wij gaan met het nieuwe serverpark over van SBS naar Enterprise vanwege een x aantal fouten en beperkingen die wij in SBS tegen komen. En daarmee stappen we af van Exchange en gaan we over op Kerio.

ik zal eens wat meer gaan kijken naar ldifde en csvde.. hopende dat die iets meer laten zien dan alleen een lijst met de gebruikers en groepen.

alvast bedankt voor je reactie

woensdag 12 september 2007 16:09

Acties:

alt-92

ye olde farte

Verwijderd schreef op woensdag 12 september 2007 @ 16:08:
Wij gaan met het nieuwe serverpark over van SBS naar Enterprise vanwege een x aantal fouten en beperkingen die wij in SBS tegen komen.

Daar zijn ook speciale upgrade guides en tools voor.
Daar ook al naar gezocht op de MS Support site?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 12 september 2007 16:25

Acties:

Verwijderd

Topicstarter

nee daar hebben we nog niet naar gekeken. Ik zal daar eens een kijkje gaan nemen. thnx voor de info.

Verder ben ik even snel aan de gang geweest met de 2 tooltjes LDIFDE en CSVDE, ik krijg er alles mee te zien behalve de wachtwoorden in de vorm van leesbaar.. op de plaats van de wachtwoorden staan ze in het bestand gecodeerd. Dus dat wordt nog even zoeken naar een juiste tool waarmee ik ook leesbare bestanden kan uitlezen.

woensdag 12 september 2007 16:26

Acties:

ralpje

Deugpopje

Just curious: welke fouten en beperkingen heb je het dan over?

Freelance (Microsoft) Cloud Consultant & Microsoft Certified Trainer

woensdag 12 september 2007 16:27

Acties:

Falcon

DevOps/Q.A. Engineer

Als je die gaat vinden, laat het ons hier weten

"We never grow up. We just learn how to act in public" - "Dyslexie is a bitch"

woensdag 12 september 2007 16:29

Acties:

DarkSide

theres no place like ::1

waarom zou je leesbare bestanden willen hebben? De users worden gemigreerd en zij weten zelf wel hun wachtwoord. En als je perse nieuwe wachtwoorden wilt gebruiken kan je overwegen om overal welkom (oid) te gebruiken en change password at next logon aan te vinken.
Het gaat erom dat je de SID's e.d behoudt en daarom moet je de gebruikers migreren.
Of wil je ook alle rechten op servers, mappen e.d opnieuw gaan doen. Incl lidmaatschappen van groepen?

There are 10 kinds of people in this world..... Those who know binary. And those who don't.

woensdag 12 september 2007 16:31

Acties:

Verwijderd

Topicstarter

bepaalde fouten en beperkingen die voor komen van het gebruik van een SBS AD icm met een 2k3 enterprise als Citrix envoirment.

woensdag 12 september 2007 16:38

Acties:

Verwijderd

Topicstarter

Ja het is de bedoeling dat alles volledig opnieuw ingericht gaat worden. Dit omdat bepaalde medewerkers hier ten tijde van in dienst trede van hun werkzaamheden ze gehuwd waren en kozen voor hun getrouwde naam. En deze nu na heel lang zeuren toch hun naam gewijzigd willen hebben omdat ze niets meer met hun ex te maken willen hebben.

Kijk ik zal de situatie hier een beetje uitleggen. misschien valt het dan iets beter te begrijpen.

Wij hebben momenteel 2 servers draaien. 1 2k3 SBS die functioneert als AD, mail, web en DB server
Daarnaast hebben we nog een 2k3 enterprise draaien die als Citrix envoirment zijn dienst doet.
Nu door grote uitbreidingen binnen de organisatie loopt de SBS server een beetje op zijn einde. Wij hebben er dus voor gekozen om de SBS volledig uit elkaar te gaan trekken. Wij hebben hiervoor 3 nieuwe servers aangeschaft die alle 3 op enterprise draaien. De eerste gaat volledig functioneren als AD en web, de tweede als mail, en de laatste als database server. Zodra deze staan te draaien maken we van de oude SBS server een 2de Citrix om de load te kunnen gaan verdelen.
Wij gaan dus behalve gebruikers documenten en databases verder niet over zetten om de meeste problemen te voorkomen.

woensdag 12 september 2007 16:43

Acties:

DarkSide

theres no place like ::1

Omdat mensen die ten tijde van in dienst trede gehuwd waren en nu gescheiden zijn een andere naam willen hebben, ga je alle gebruikers opnieuw aanmaken? En raak je alle sid's kwijt en de toegang tot hun documenten etc??????
Je kan toch gewoon een gebruiker renamen?
Maar als je dit toch perse wilt doen? gebruik dan gewoon een standaard wachtwoord en laat deze door de persoon zelf wijzigen bij de eerste inlog. Er is een reden dat het wachtwoord niet te zien is namelijk (ook voor een beheerder).

Ik zou als ik jouw was er sterk over nadenken om toch de Sid's en de ACL te migreren en niet opnieuw op te bouwen.

There are 10 kinds of people in this world..... Those who know binary. And those who don't.

woensdag 12 september 2007 16:49

Acties:

Verwijderd

Topicstarter

Dit is ook niet mijn besluit om de hele boel opnieuw op te bouwen maar mijn chef heeft hier voor gekozen. De rechten op de documenten zijn al aangepakt deze kunnen zonder problemen overgezet worden op de nieuwe server zondag dat iemand de toegang geweigerd wordt.

Ik denk dat er dan idd weinig overblijft dan ze een wlkoms msg mee te sturen bij eerste inlog.

iig bedankt voor alle moeite

woensdag 12 september 2007 16:53

Acties:

alt-92

ye olde farte

Verwijderd schreef op woensdag 12 september 2007 @ 16:38:
Ja het is de bedoeling dat alles volledig opnieuw ingericht gaat worden. Dit omdat bepaalde medewerkers hier ten tijde van in dienst trede van hun werkzaamheden ze gehuwd waren en kozen voor hun getrouwde naam. En deze nu na heel lang zeuren toch hun naam gewijzigd willen hebben omdat ze niets meer met hun ex te maken willen hebben.

Elk Userobject in je AD kan je keurig netjes renamen, het is niks meer of minder dan een etiketje over de domain SID van de useraccount.
Volgens mij haal je je meer problemen op de hals dan je lief is

Wij gaan dus behalve gebruikers documenten en databases verder niet over zetten om de meeste problemen te voorkomen.

Nou, als je toch alles uit elkaar wil trekken kan je ook kijken naar een Swing Migration- principe

Hang een extra DC in je domain (dat kan dus wel), deinstalleer Exchange op je SBS DC en trek dan alle rollen naar je 2e DC.
Demote/zet je SBS server uit en je hebt je AD overgezet inclusief userSIDs en groepen.

Maar goed, je moet het zelf weten

Hopelijk heb je een goed overzicht welke security groups en memberships nu worden gebruikt en wáár

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 12 september 2007 21:54

Acties:

DarkSide

theres no place like ::1

Met alt-92 eens. Zelfs in een klein netwerk zou ik niet alle gebruikers opnieuw willen aanmaken en de bijbehorende groepen en lidmaatschappen en de rechten die ingesteld zijn e.d.
En zal daarom eigenlijk altijd voor een migratie kiezen dan voor een herinstallatie en een nieuwe opbouw.

Maar het is jouw feestje...

There are 10 kinds of people in this world..... Those who know binary. And those who don't.

woensdag 12 september 2007 21:58

Acties:

nIghtorius

Poef!

google eens naar het Microsoft Transition Pack. Met deze kun je zegmaar naar Win2k3 SBS -> gewone Windows 2003 omgeving gaan.

woensdag 12 september 2007 22:49

Acties:

Verwijderd

Topicstarter

mjah ik zal eens kijken of ik dit alles bij mijn chef in zijn hoofd gepraat ga krijgen..
maar heb er weinig vertrouwen in..
zie het zelf nog niet zitten om ff 250 gebruikers opnieuw in te voeren..
maar als ik dus een export kon maken van gebruikersnamen met leesbare wachtwoorden was het een kleine kweste van knippen plakken..

misschien toch maar kijken of ik hem simpelweg een migratie in zijn hoofd kan praten

woensdag 12 september 2007 23:21

Acties:

alt-92

ye olde farte

Verwijderd schreef op woensdag 12 september 2007 @ 22:49:
mjah ik zal eens kijken of ik dit alles bij mijn chef in zijn hoofd gepraat ga krijgen..
maar heb er weinig vertrouwen in..
zie het zelf nog niet zitten om ff 250 gebruikers opnieuw in te voeren..

Euh? Was 75 users niet de limit in SBS2003? SBS2000 zelfs met 50 users...

maar als ik dus een export kon maken van gebruikersnamen met leesbare wachtwoorden was het een kleine kweste van knippen plakken..

Mja, een AD SAM dump lijkt me nou niet echt de aangewezen manier

misschien toch maar kijken of ik hem simpelweg een migratie in zijn hoofd kan praten

Je bent toch hopelijk niet de enige persoon die dit moet gaan uitzoeken, en uitvoeren?
In een dergelijk netwerk met 250 users wil je toch echt wel even met een gedegen plan van aanpak komen, en dat is effe een userlist dumpen nou niet echt.

* alt-92 is wel erg benieuwd wie met het idee van slechts 1 DC is gekomen en die ook nog eens als webserver wil gaan draaien - Bad Idea^(tm)

[ Voor 7% gewijzigd door alt-92 op 12-09-2007 23:27 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 13 september 2007 07:34

Acties:

Koffie

Koffiebierbrouwer

Braaimeneer

Move NT > WSS

Tijd voor een nieuwe sig..

donderdag 13 september 2007 09:31

Acties:

WaSteiL

Passwords migreren kan je met pwdmig.exe
Hier een support artikel van Microsoft die alleen refereert aan een situatie van NT4 naar 2003, maar hier is deze tool ook al een keer gebruikt bij een migratie van 2003 naar 2003 in een ander domain.

How to configure the Active Directory Migration Tool to migrate user passwords from a Windows NT 4.0 domain to a Windows Server 2003 domain

donderdag 13 september 2007 10:25

Acties:

alt-92

ye olde farte

Klopt maar daar moet je een trust voor hebben (pwdmig is onderdeel van ADMT) en dat kan dus niet met een SBS server

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 13 september 2007 10:30

Acties:

WaSteiL

alt-92 schreef op donderdag 13 september 2007 @ 10:25:
Klopt maar daar moet je een trust voor hebben (pwdmig is onderdeel van ADMT) en dat kan dus niet met een SBS server

Helemaal gelijk in, maar die 250 users kunnen ook nog niet.

Al gok ik dat die 250 users meer een opmerking was net zoals "van hier tot Tokio".

donderdag 13 september 2007 17:45

Acties:

Verwijderd

Verwijderd schreef op woensdag 12 september 2007 @ 22:49:
mjah ik zal eens kijken of ik dit alles bij mijn chef in zijn hoofd gepraat ga krijgen..
maar heb er weinig vertrouwen in..
zie het zelf nog niet zitten om ff 250 gebruikers opnieuw in te voeren..
maar als ik dus een export kon maken van gebruikersnamen met leesbare wachtwoorden was het een kleine kweste van knippen plakken..

nee dat was geen kwestie van knippen en plakken, zoals meerdere mensen al aangegeven hadden.

Als je knipt en plakt, kloppen je namen en wachtwoorden wel, maar krijg je wel nieuwe guids/sids en kan je dus wel inloggen op het domain, maar heb je nergens rechten omdat de guids op de resources niet overeenkomen met de nieuwe guids.

donderdag 13 september 2007 17:47

Acties:

sjongenelen

maar je zet toch een nieuw systeen op? users etc. inkloppen en dan pas rechten verdelen?

you had me at EHLO

Pagina: 1

Reageer