:strip_exif()/u/58872/heineken.gif?f=community)
Ik ben 2 domeinen aan het migreren, interforest, en er is een 2-way trust maar met sid filtering actief.
Ik kan dus geen gebruik maken van sid history.
Tot zover gedaan:
Users overgezet (met sid history ook al kan ik dat niet gebruiken)
Groepen overgezet (met sid history...)
Users nog een keer overgezet (merge), deze keer in de juiste groepen laten plaatsen
Groepen nog een keer overgezet (merge), deze keer de juiste users/groepen in de groepen laten plaatsen
Security translation gedraaid op de file servers in add mode
Alles lijkt prima.
Laten we even uitgaan van dit scenario:
Domein A is het source domein, Domein B is het target domein waar we naartoe willen.
Fileserver zit op dit moment nog in domein A
User zit in groep en groep heeft rechten op een folder.
Alles via admt:
domeinA\user overgezet (dus gekopieerd want het is interforest) naar domeinB\user
domeinA\groep overgezet (dus gekopieerd want het is interforest) naar domeinB\groep
In domeinA\groep zit nog steeds enkel domeinA\user, en in domeinB\groep zit, door de ADMT, domeinB\user
Security translation heeft op de folder netjes domeinB\groep erbij gezet met dezelfde rechten als die domeinA\groep had.
Workstation gemigreerd van domein A naar domein B.
Profiel is netjes aangepast, zowel domeinA\user als domeinB\user hebben de juiste rechten.
Inloggen op nieuwe domein gaat ook prima.
Echter, als ik nu in de folder wil, dan heeft domeinB\user geen rechten op die folder.
Dat komt omdat domeinB\groep een "domain local group" is uit domein B en de folder\fileserver zit nog in domein A.
Sterker nog, normaal gesproken kun je niet eens "domain local groups" uit domein B toevoegen aan bestanden die op een server staan die in domein A zit.
Je kunt met speciale tooltjes, zoals admt, wel de SID van domeinB\groep toevoegen aan de ACL van de folder, maar dat doet niets.
Daarom zal de normale explorer interface het ook niet toelaten.
De oplossing is simpel, de local groups moeten ook gemerged worden.
Ik had eigenlijk verwacht dat ADMT dat zou doen, maar dat is dus niet zo.
Dus in domainA\groep moet zowel domeinA\user als domeinB\user, en in domeinB\groep moet zowel domainA\user als domeinB\user
Dat is de enige manier volgens mij dat ik users 1 voor 1 kan overzetten.
Ik kan ook niet even de fileserver overzetten naar domein B
Dan zou het probleem voor gebruikers uit domein B opgelost zijn, maar voor gebruikers uit domein A juist weer beginnen.
Het is bijzonder moeilijk hier informatie over te vinden.
De meesten zeggen gewoon dat je sid filtering maar even uit moet schakelen.
De ADMT guide heeft er ook weinig over te vermelden.
Het enige stukje onder "Determining Your Account Migration Process" zegt:
However, if SID filtering is enabled between your source and target domains and you do not trust the administrators in the source domain, you cannot disable SID filtering.
Nor can you use SID history to enable access to resources in the source domain.
In this case, you must use a different migration process.
You can choose one of the following three methods to migrate accounts between forests while maintaining user rights to access resources in the source domain:
- Migrate user accounts while using SID history for resource access. With this method, you remove SID filtering on the trusts between the domains to enable users to access resources in the source domain by means of their SID history credentials.
- Migrate all users, groups, and resources to the target domain in one step. For more information about this process, see Migrating Accounts While Using SID History, later in this guide.
- Migrate user accounts without using SID history for resource access, but translate security for all resources before the migration process to ensure resource access. For more information about migrating accounts without using SID history, see Migrating Accounts Without Using SID History, later in this guide.
Optie 1 is dus sid filtering uitschakelen, is geen optie
Optie 2 is alles in 1 keer, dat gaat ook niet lukken.
Optie 3 is wat ik wil, maar daar gaat het dus fout met domain local groups.
Optie 3 werkt alleen met domain global groups en niet met domain local groups.
Dus, heeft iemand anders wel eens een grote migratie gedaan en kwam hij dit ook tegen?
En wat zou dan de oplossing zijn?
Op dit moment probeer ik een script te schrijven die doet wat ik heb omschreven.
Alle domain local groups vergelijken, domein A users in domein B groepen, en domein B users in domein A groepen.
maar ik dacht, ik zal het toch hier eens even vragen...
Ik kan dus geen gebruik maken van sid history.
Tot zover gedaan:
Users overgezet (met sid history ook al kan ik dat niet gebruiken)
Groepen overgezet (met sid history...)
Users nog een keer overgezet (merge), deze keer in de juiste groepen laten plaatsen
Groepen nog een keer overgezet (merge), deze keer de juiste users/groepen in de groepen laten plaatsen
Security translation gedraaid op de file servers in add mode
Alles lijkt prima.
Laten we even uitgaan van dit scenario:
Domein A is het source domein, Domein B is het target domein waar we naartoe willen.
Fileserver zit op dit moment nog in domein A
User zit in groep en groep heeft rechten op een folder.
Alles via admt:
domeinA\user overgezet (dus gekopieerd want het is interforest) naar domeinB\user
domeinA\groep overgezet (dus gekopieerd want het is interforest) naar domeinB\groep
In domeinA\groep zit nog steeds enkel domeinA\user, en in domeinB\groep zit, door de ADMT, domeinB\user
Security translation heeft op de folder netjes domeinB\groep erbij gezet met dezelfde rechten als die domeinA\groep had.
Workstation gemigreerd van domein A naar domein B.
Profiel is netjes aangepast, zowel domeinA\user als domeinB\user hebben de juiste rechten.
Inloggen op nieuwe domein gaat ook prima.
Echter, als ik nu in de folder wil, dan heeft domeinB\user geen rechten op die folder.
Dat komt omdat domeinB\groep een "domain local group" is uit domein B en de folder\fileserver zit nog in domein A.
Sterker nog, normaal gesproken kun je niet eens "domain local groups" uit domein B toevoegen aan bestanden die op een server staan die in domein A zit.
Je kunt met speciale tooltjes, zoals admt, wel de SID van domeinB\groep toevoegen aan de ACL van de folder, maar dat doet niets.
Daarom zal de normale explorer interface het ook niet toelaten.
De oplossing is simpel, de local groups moeten ook gemerged worden.
Ik had eigenlijk verwacht dat ADMT dat zou doen, maar dat is dus niet zo.
Dus in domainA\groep moet zowel domeinA\user als domeinB\user, en in domeinB\groep moet zowel domainA\user als domeinB\user
Dat is de enige manier volgens mij dat ik users 1 voor 1 kan overzetten.
Ik kan ook niet even de fileserver overzetten naar domein B
Dan zou het probleem voor gebruikers uit domein B opgelost zijn, maar voor gebruikers uit domein A juist weer beginnen.
Het is bijzonder moeilijk hier informatie over te vinden.
De meesten zeggen gewoon dat je sid filtering maar even uit moet schakelen.
De ADMT guide heeft er ook weinig over te vermelden.
Het enige stukje onder "Determining Your Account Migration Process" zegt:
However, if SID filtering is enabled between your source and target domains and you do not trust the administrators in the source domain, you cannot disable SID filtering.
Nor can you use SID history to enable access to resources in the source domain.
In this case, you must use a different migration process.
You can choose one of the following three methods to migrate accounts between forests while maintaining user rights to access resources in the source domain:
- Migrate user accounts while using SID history for resource access. With this method, you remove SID filtering on the trusts between the domains to enable users to access resources in the source domain by means of their SID history credentials.
- Migrate all users, groups, and resources to the target domain in one step. For more information about this process, see Migrating Accounts While Using SID History, later in this guide.
- Migrate user accounts without using SID history for resource access, but translate security for all resources before the migration process to ensure resource access. For more information about migrating accounts without using SID history, see Migrating Accounts Without Using SID History, later in this guide.
Optie 1 is dus sid filtering uitschakelen, is geen optie
Optie 2 is alles in 1 keer, dat gaat ook niet lukken.
Optie 3 is wat ik wil, maar daar gaat het dus fout met domain local groups.
Optie 3 werkt alleen met domain global groups en niet met domain local groups.
Dus, heeft iemand anders wel eens een grote migratie gedaan en kwam hij dit ook tegen?
En wat zou dan de oplossing zijn?
Op dit moment probeer ik een script te schrijven die doet wat ik heb omschreven.
Alle domain local groups vergelijken, domein A users in domein B groepen, en domein B users in domein A groepen.
maar ik dacht, ik zal het toch hier eens even vragen...
mookie
/u/65110/Avatar60x60.png?f=community){kind=avatar}
:strip_icc():strip_exif()/u/19987/images.jpg?f=community)