[2k -> 2k] csvde: access to the attribute is not permitted * - Windows clients

donderdag 30 september 2004 14:06

Acties:

0 Henk 'm!

Certified Prutser

Topicstarter

Heeeyz

Ik ben voor een klant met een nieuwe server bezig die een oudere gaat vervangen.

de installatie is exact hetzelfde uitgevoerd (zij het dat op oude d:\sysvol en op de nieuwe sysvol op c: staat)

Nu heb ik dus met csvde -f all.csv een export gemaakt van hun complete AD

nu wil ik deze inlezen op de nieuwe server maar dan blijft ie zeuren dat het niet gaat

code:

E:\imports>csvde -i -f all.csv
Connecting to "(null)"
Logging in as current user using SSPI
Importing directory from file "all.csv"
Loading entries.
Add error on line 2: Unwilling To Perform
The server side error is "Access to the attribute is not permitted 
because the attribute is owned by the Security Accounts Manager (SAM)."
0 entries modified successfully.
An error has occurred in the program

Wat gaat er allemaal fout?? ik wil zo graag dit zo doen.. scheelt mij zoveel ellende bij de migratie nl.

Of zijn er nog andere tools om dit in te lezen?

tenks alvast

edit:
ik heb ook met csvde -r objectclass=user -f users.csv een file gemaakt.. deze getracht te importeren maar jammer genoeg met dezelfde error

Wie helluppptttt

[ Voor 14% gewijzigd door RoRoo op 30-09-2004 14:31 ]

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku

donderdag 30 september 2004 19:23

Acties:

0 Henk 'm!

mutsje

Certified Prutser

ben je wel Schema Admin?

donderdag 30 september 2004 19:55

Acties:

0 Henk 'm!

Anoniem: 120725

http://support.microsoft....aspx?scid=kb;en-us;276382 gezien?

donderdag 30 september 2004 19:58

Acties:

0 Henk 'm!

alt-92

ye olde farte

Anoniem: 120725 schreef op 30 september 2004 @ 19:55:
http://support.microsoft.com/default.aspx?scid=276382

Ik knip dat hele kb; en-us eruit.
Link is korter, werkt evengoed en wordt ook niet verransd.

Terzake:
SSPI account?
¿que?

[ Voor 11% gewijzigd door alt-92 op 30-09-2004 19:59 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 30 september 2004 20:57

Acties:

0 Henk 'm!

Anoniem: 120725

thanks! Zal er volgende keer rekening mee houden....

donderdag 30 september 2004 21:01

Acties:

0 Henk 'm!

leon1e

Nog even een verzoekje voor de volgende keer, zou je de termen "
Wie helluppptttt" en "Heeeyz" dan gewoon weg willen laten? Op got is dit niet nodig, en wordt het meer gezien als topic "vervuiling"

vrijdag 1 oktober 2004 08:40

Acties:

0 Henk 'm!

RoRoo

Certified Prutser

Topicstarter

Ik zal die link ff bekijken..

Wel vreemd dat als ik op microsoft zoek naar die error ik die pagina niet krijg

mutsje schreef op 30 september 2004 @ 19:23:
ben je wel Schema Admin?

Yep.

Member of:
Administrators
Domain Admins
Domain Users
Enterprise Admins
Group Policy Creator Owners
Schema Admins

BackSlash32 schreef op 30 september 2004 @ 19:58:
Terzake:
SSPI account?
¿que?

Standaard account, dus Administrator.

Ik heb ondertussen ook al geprobeerd om met Ldifde te exporteren en importeren maar ik blijf meldingen krijgen. en dat met "domme" contacts en met users..

Ik snap niet waarom het niet gewoon werkt..
Event logs blijven leeg tijdens die import actie.

thanks alvast

leon1e schreef op 30 september 2004 @ 21:01:
Nog even een verzoekje voor de volgende keer, zou je de termen "
Wie helluppptttt" en "Heeeyz" dan gewoon weg willen laten? Op got is dit niet nodig, en wordt het meer gezien als topic "vervuiling" .

Ik zal er op proberen te letten

Edit.
Hmmm zit net die site te kijken en zit me af te vragen of ik wel met de goeie tools bezig ben??

Ik wil de overgang naar de nieuwe server zo soepel mogelijk laten verlopen, want uit ervaring weet ik dat ik als ik de gebruikers met de hand aanmaak de hele profielen van 2000 en XP naar de knoppen zijn en de gebruiker dus een leeg profiel krijgt.

Mijn idee was dus om de users te gaan exporteren met de juiste id's zodat Win2k/XP denkt dat het dezelfde user is en het juiste profile gaat gebruiken en de exchange dbase te mounten is en gelijk users gekoppeld aan hun mailboxen.

Maar nu kijk ik dus op die site en dan staat er dit:

User Fields that Cannot be Imported
The following fields are protected system fields and cannot be modified through an LDIFDE import.:
badPasswordTime:
badPwdCount:
lastLogoff:
lastLogon:
logonCount:
memberOf
objectGUID:
objectSid:
primaryGroupID:
pwdLastSet:
sAMAccountType:

De schuingedrukte velden zijn volgens mij de belangrijkste.

Wat zou nou voor mij de beste manier van werken zijn.. ik ben het allemaal ff kwijt

[ Voor 70% gewijzigd door RoRoo op 01-10-2004 08:57 ]

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku

vrijdag 1 oktober 2004 11:40

Acties:

0 Henk 'm!

Anoniem: 57365

als je een nieuw domain aanmaakt worden je sid/guid wel anders (edit dat staat dus ook in het docje van ms

aka je kan guids/sids niet importeren). je kan bijv wel win2k3 gebruiken en sidhistory aanzetten en uiteindelijk alles re-acl-len. Verder snap ik niet zo goed waarom je niet gewoon een 2de dc in hetzelfde domain hangt, de fsmo roles overzet, evt programma's overzet en de oude server dcpromoot en uit het domain verwijderd...

[ Voor 16% gewijzigd door Anoniem: 57365 op 01-10-2004 11:48 ]

vrijdag 1 oktober 2004 11:43

Acties:

0 Henk 'm!

Anoniem: 57365

oh nog iets... een beetje admin zorgt dat niemand in de schema admin groep zit, dus zichzelf ook niet in die groep stopt. pas als schema admin rechten nodig zijn, voeg je jezelf ff toe...

dit is meer dan genoeg:

Administrators
Domain Admins
Enterprise Admins

[ Voor 18% gewijzigd door Anoniem: 57365 op 01-10-2004 11:44 ]

vrijdag 1 oktober 2004 11:54

Acties:

0 Henk 'm!

alt-92

ye olde farte

Anoniem: 57365 schreef op 01 oktober 2004 @ 11:40:
Verder snap ik niet zo goed waarom je niet gewoon een 2de dc in hetzelfde domain hangt, de fsmo roles overzet, evt programma's overzet en de oude server dcpromoot en uit het domain verwijderd...

Misschien als je de FQDN wil wijzigen ...
Maar dan gebruik je ADMTv2 bijvoorbeeld met sIDhistory aan + pass.dll omdat je dan een domain migratie doet.

Ik wil de overgang naar de nieuwe server zo soepel mogelijk laten verlopen, want uit ervaring weet ik dat ik als ik de gebruikers met de hand aanmaak de hele profielen van 2000 en XP naar de knoppen zijn en de gebruiker dus een leeg profiel krijgt.

Mijn idee was dus om de users te gaan exporteren met de juiste id's zodat Win2k/XP denkt dat het dezelfde user is en het juiste profile gaat gebruiken en de exchange dbase te mounten is en gelijk users gekoppeld aan hun mailboxen.

Mja. Als je die server binnen hetzelfde domain opzet (zie iis5_rulez) houden die users hun sids natuurlijk gewoon.
Pak NTbackup, maak een backup van de userprofiles, restore ze op je nieuwe server met security enabled en ze hebben gewoon hun eigen rechten nog steeds (sids).

ldifde / csvde is handig als je bulk users wil adden/dumpen tussen verschillende domains of bij een boel nieuwe users.
Maar om dit nou toe te passen bij het plaatsen van een nieuwe server in hetzelfde domain ?
Dat kan toch veel eenvoudiger...en met minder risico?

Bovendien: als je dat ding netjes promoot als 2e DC en de rest goed aanpakt krijgt ie ook alle objects voor je Exchange (contacts e.d.) al mee.
Blijft alleen nog je ExchangeDB migratie over, en daar is ook genoeg over te vinden (2e exchange server inrichten, mailboxen verplaatsen van serv1 naar serv2 enzo).

[ Voor 65% gewijzigd door alt-92 op 01-10-2004 12:03 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 1 oktober 2004 12:11

Acties:

0 Henk 'm!

RoRoo

Certified Prutser

Topicstarter

dat is dus het grootste probleem

Ik heb te luisteren naar een hoofdkantoor in belgie (die niet voor rede vatbaar is). De servernaam moet hetzelfde blijven. dus als 2e server in het domein hangen is geen optie

Ik heb de machine exact hetzelfde opgezet met same fqdn en exchange met hetzelfde patchlevel..

ff andere fqdn is geen optie dus, aangezien het een reinstall zal gaan worden dan.

Ben nu een tape aan het inlezen met de systemstate erop. kijken wat dat doet

[ Voor 42% gewijzigd door RoRoo op 01-10-2004 12:39 ]

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku

vrijdag 1 oktober 2004 13:47

Acties:

0 Henk 'm!

Anoniem: 57365

en je mag/moet van hun de server vervangen? ik zou het in ieder geval even melden aan hun, omdat dit natuurlijk gevolgen gaat hebben voor de gehele omgeving (ik neem aan dat je onderdeel bent van een forest en je nieuwe server is dat natuurlijk niet!). Zij zullen dan met een goede methode moeten komen...

iig zelfstandig de server veranderen is erger dan het probleem dat je wilt verhelpen...

[ Voor 15% gewijzigd door Anoniem: 57365 op 01-10-2004 13:49 ]

vrijdag 1 oktober 2004 14:32

Acties:

0 Henk 'm!

RoRoo

Certified Prutser

Topicstarter

Anoniem: 57365 schreef op 01 oktober 2004 @ 13:47:
en je mag/moet van hun de server vervangen? ik zou het in ieder geval even melden aan hun, omdat dit natuurlijk gevolgen gaat hebben voor de gehele omgeving (ik neem aan dat je onderdeel bent van een forest en je nieuwe server is dat natuurlijk niet!). Zij zullen dan met een goede methode moeten komen...

iig zelfstandig de server veranderen is erger dan het probleem dat je wilt verhelpen...

Ja das waar..

De bedoeling is dat ie in een forest komt te hangen jah. Ik zal jouw idee zeker in gedachten houden als dit vandaag niet lukt dan ga ik het anders doen.

Dan is het toch deze zelfde domein maar andere servername. eerst als "bdc" alles laten repliceren. users/mailboxen etc moven naar de andere server?

ik zal wel ff googlen

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku

vrijdag 1 oktober 2004 14:46

Acties:

0 Henk 'm!

Anoniem: 57365

ummm neem nu maar eerst contact op met de beheerders boven je... als je het probleem uitlegt ben ik er van overtuigt dat ze je wel helpen een migratieplan te maken. Aan de andere kant als je enterprise admin bent zijn zij ook niet al te snugger lol...

[ Voor 93% gewijzigd door Anoniem: 57365 op 01-10-2004 14:48 ]

vrijdag 1 oktober 2004 17:23

Acties:

0 Henk 'm!

alt-92

ye olde farte

Pffff.
Allang blij te horen dat het niet om een SBS variant gaat

(die mogen ze wat mij betreft in hun *** steken, wat een **** product.)

Ik denk dat je het installeren van je nieuwe server het beste kan beschouwen als een Disaster Recovery.

Ik zou dus ook daarop je strategie aanpassen.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 1 oktober 2004 19:19

Acties:

0 Henk 'm!

RoRoo

Certified Prutser

Topicstarter

BackSlash32 schreef op 01 oktober 2004 @ 17:23:
Pffff.
Allang blij te horen dat het niet om een SBS variant gaat (die mogen ze wat mij betreft in hun *** steken, wat een **** product.)

Ik denk dat je het installeren van je nieuwe server het beste kan beschouwen als een Disaster Recovery.

Ik zou dus ook daarop je strategie aanpassen.

idd dat ben ik nu dus ook aan het doen

Booten systeem in AD recovery
teruglezen system state.

reboot servert..
blijft hangen nog voordat het plaatje van starting 2k komp..

lekker weer.. ik zal vast wel iets vergeten zijn.. lach me maar uit.. maar vertel wel ff wat ik vergeten ben

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku

vrijdag 1 oktober 2004 19:45

Acties:

0 Henk 'm!

alt-92

ye olde farte

euh..
Hardwaar die compleet afwijkt?

* alt-92 bastard :
je hebt eigelijk alleen je ntds.dit nodig dus

[ Voor 48% gewijzigd door alt-92 op 01-10-2004 19:48 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 1 oktober 2004 19:55

Acties:

0 Henk 'm!

DaRealRenzel

Overtuigd Dipsomaan

RoRoo schreef op 01 oktober 2004 @ 12:11:
dat is dus het grootste probleem

Ik heb te luisteren naar een hoofdkantoor in belgie (die niet voor rede vatbaar is). De servernaam moet hetzelfde blijven. dus als 2e server in het domein hangen is geen optie

En waarom rename je de server niet achteraf ?

Nothing is a problem once you've debugged the code

vrijdag 1 oktober 2004 20:04

Acties:

0 Henk 'm!

alt-92

ye olde farte

Omdat dat niet kan met een win2k Active Directory DC Denz

http://support.microsoft.com/?kbid=292541

[ Voor 8% gewijzigd door alt-92 op 01-10-2004 20:04 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 4 oktober 2004 09:45

Acties:

0 Henk 'm!

RoRoo

Certified Prutser

Topicstarter

BackSlash32 schreef op 01 oktober 2004 @ 19:45:
euh..
Hardwaar die compleet afwijkt?

* RoRoo bastard :
je hebt eigelijk alleen je ntds.dit nodig dus

yep afwijkende hardware.

dus... ik copy die ntds.dit naar de nieuwe servert en ik heb alles??

ben nu ff aan de gang met deze: http://support.microsoft....us;263532&Product=win2000

offtopic:
Gheh.. Lees dit dan:
Meld u op de nieuwe (doel)computer aan als beheerder. Als u een doelcomputer wilt terugzetten, drukt u in het menu Start op F8. Vervolgens klikt u op de modus Active Directory terugzetten voordat u zich aanmeldt als beheerder.

[ Voor 42% gewijzigd door RoRoo op 04-10-2004 10:36 ]

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku

Pagina: 1

Reageer