jimpiet
Goto Top

Active Directory Migration von Benutzern

Moin,

wir wollen einige unserer ADs loswerden und die User/PCs/Gruppen etc in die primäre Domäne migrieren.
Es handelt sich um ein 2008R2 AD.
Normalerweise würde ich ADMT anschmeißen und dann damit die Migration durchführen, allerdings haben alle User aus den anderen ADs dort bereits einen Account inkl Postfach.
Vorteil beim ADMT war ja, dass er automatisch die Berechtigungen an den umgeleiteten Ordner anpasst.

Die Gruppen könnte man noch mittels ADMT verschieben, allerdings müsste ich dann jeden User wieder neu in die jeweilige Gruppe packen.
Namenskonvention der "neuen" User ist auch anders, als die der "alten" User. Weiterhin nutzen einige der User bereits das Postfach, dass mit dem "neuen" Account angelegt wurde.

Als SysAdmin ist man ja erstmal faul und möchte so wenig wie möglich selbst machen. Von daher suche ich jetzt nach Möglichkeiten, um das ganze möglichst automatisiert hinzubekommen.
Gibt es da was oder habe ich tatsächlich Pech gehabt und darf das alles manuell anpassen?

Viele Grüße
JimPiet

Content-ID: 325428

Url: https://administrator.de/contentid/325428

Ausgedruckt am: 22.11.2024 um 13:11 Uhr

Dirmhirn
Dirmhirn 04.01.2017 um 10:14:08 Uhr
Goto Top
Hi,

ist schon ein paar Jahre her, aber wir haben damals https://www.forensit.com/products.html genutzt.
Das hat eigentlich gut geklappt. Wir haben aber nur die Benutzer migriert.

sg Dirm
JimPiet
JimPiet 04.01.2017 um 10:23:47 Uhr
Goto Top
Ok, das werde ich mal testen.

Wobei mir gerade einfällt, Computer-Objekte müssen gar nicht migriert werden, die werden beim Domain-Join ja eh angelegt, wenn sie nicht existieren.
emeriks
emeriks 04.01.2017 um 14:37:25 Uhr
Goto Top
Hi,
Wobei mir gerade einfällt, Computer-Objekte müssen gar nicht migriert werden, die werden beim Domain-Join ja eh angelegt, wenn sie nicht existieren.
Das ist richtig und falsch gleichzeitig.
Es ist korrekt, dass beim Domänenbeitritt ein neues Computerobjekt erstellt wird, sofern keines mit dem Namen des Computers existiert und der Benutzer es darf.
Wenn aber der Computer in der alten Umgebung Mitglied von diversen Gruppen ist, dann geht dieses verloren. Weiterhin kann man dann nicht automatisch die lokalen Kopien der Benutzerprofile für die neuen SIDs patchen lassen.

Als SysAdmin ist man ja erstmal faul und möchte so wenig wie möglich selbst machen.
Da wundert es mich aber, wie es dann zu der aktuellen Situation gekommen ist. face-wink
JimPiet
JimPiet 04.01.2017 um 14:53:13 Uhr
Goto Top
Wenn aber der Computer in der alten Umgebung Mitglied von diversen Gruppen ist, dann geht dieses verloren. Weiterhin kann man dann nicht automatisch die lokalen Kopien der Benutzerprofile für die neuen SIDs patchen lassen.
Ja, gut, das stimmt, ist aber bei uns nicht der Fall.
Lokales gibts nicht, da die Ordner umgeleitet sind

Als SysAdmin ist man ja erstmal faul und möchte so wenig wie möglich selbst machen.
Da wundert es mich aber, wie es dann zu der aktuellen Situation gekommen ist. face-wink
Tja, historisch gewachsen, nichts hält länger als ein Provisorium ;)
Das soll sich im Laufe des Jahres dann endlich mal ändern.
emeriks
emeriks 05.01.2017 um 11:15:01 Uhr
Goto Top
Lokales gibts nicht, da die Ordner umgeleitet sind
Die Profil-Stämme kann man nicht umleiten.
JimPiet
JimPiet 05.01.2017 um 14:36:43 Uhr
Goto Top
Ja, das stimmt wohl, aber ich meinte damit Desktop, Dokumente & Co
vBurak
Lösung vBurak 06.01.2017 um 18:12:40 Uhr
Goto Top
Meines Wissens unterstützt ADMT auch das "Mergen" von Benutzern. Ich glaube, dabei wird die SID vom bisherigen Objekt beim neuen Objekt in die SIDHistory hinzugefügt.

Auf jedenfall ist ADMT ein ziemlich mächtiges und sehr cooles Tool. Ich war begeistert, als ich letztes Jahr damit eine Domain Umstellung gemacht habe.

Ich glaube das Tutorial hatte ich damals auch verwendet: https://blog.thesysadmins.co.uk/admt-series-9-merging-users-with-a-diffe ...

Natürlich steht auch alles in der Dokumentation von ADMT in einem DOCX-Paper.
JimPiet
JimPiet 09.01.2017 aktualisiert um 16:27:29 Uhr
Goto Top
Das stimmt, das klappt auch super, allerdings habe ich dann ja zwei User, einmal bestehende im neuen AD und dann die Migrierten.

Aber der Link sieht interessant aus, damit könnte das was werden, danke face-smile