Active Directory User export und import inkl. SID
ein kleiner Kopiervorgang oder mehr?
Hallo,
ich bin auf der Suche nach einer Möglichkeit User aus einem AD zu exportieren und anschließend wieder zu importieren.
Nun aber das wichtige... die SID muss erhalten bleiben... (sonst hätte man es ja recht easy mit cvs export machen können)
Ich habe auch schon das ADMT Tool versucht... leider will das mit den Vertrauensstellungen nicht so richtig.
Der Hintergrund:
Wir ersetzten bei uns die alte Domäne durch eine neue... jedoch mit fast gleichem Namen... daher kommen da so einige Probleme
Is es möglich sowas mit einem Script zu erledigen... zb. mit VB oder Powershell? .. also die SID auch wieder schreiben zu können?
Die alte Domäne ist Win 2K3 und die neue dann Win 2K8
alle anderen Sachen wie Gruppen sind mir egal... aber die User SID is der Knackpunkt.
Grüßle
Alex
Hallo,
ich bin auf der Suche nach einer Möglichkeit User aus einem AD zu exportieren und anschließend wieder zu importieren.
Nun aber das wichtige... die SID muss erhalten bleiben... (sonst hätte man es ja recht easy mit cvs export machen können)
Ich habe auch schon das ADMT Tool versucht... leider will das mit den Vertrauensstellungen nicht so richtig.
Der Hintergrund:
Wir ersetzten bei uns die alte Domäne durch eine neue... jedoch mit fast gleichem Namen... daher kommen da so einige Probleme
Is es möglich sowas mit einem Script zu erledigen... zb. mit VB oder Powershell? .. also die SID auch wieder schreiben zu können?
Die alte Domäne ist Win 2K3 und die neue dann Win 2K8
alle anderen Sachen wie Gruppen sind mir egal... aber die User SID is der Knackpunkt.
Grüßle
Alex
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 128272
Url: https://administrator.de/forum/active-directory-user-export-und-import-inkl-sid-128272.html
Ausgedruckt am: 23.12.2024 um 10:12 Uhr
7 Kommentare
Neuester Kommentar
den import haben ich bisher noch nicht gebraucht.
kann sein das admod das macht
da adfind und admod "zusammen gehoeren", besser gesagt, zusammen arbeiten
vielleicht findest du hier was -> http://searchwindowsserver.techtarget.com/tip/0,289483,sid68_gci1233063 ...
kann sein das admod das macht
da adfind und admod "zusammen gehoeren", besser gesagt, zusammen arbeiten
vielleicht findest du hier was -> http://searchwindowsserver.techtarget.com/tip/0,289483,sid68_gci1233063 ...
Servus,
keine Chance. Die SID kannst du nicht schreiben, die ist "system only".
Und wenn man anschaut wie sich die SID zusammensetzt wird auch schnell klar, warum man diese nicht schreiben kann.
Denn in der SID befindet sich auch die Domänen-SID.
Auch wenn das funktionieren würde, hast du schon dein zweites Problem.
Die Kennwörter kannst du selbstverständlich nicht exportieren, ansonsten wäre das ja noch schöner.
Jetzt haben wir gelernt das du die SID nicht schreiben kannst und von daher bekommt man beim export um import in eine
neue Domäne auch neue Benutzer und somit neue Profile. Die Nacharbeiten sind gigantisch.
Der einzigst vernünftige Weg ist die Migration mit ADMT. Aber dazu muss sich der NetBIOS- und DNS-Domänenname
zwischen den Domänen unterscheiden, damit eine Vertrauensstellung erstellt werden kann. Mit einem Trick kann
man auch mit ADMT migrieren, ohne das eine Vertrauensstellung existiert. Dazu muss das Admin-Kennwort
aus beiden Domänen identisch sein.
Viele Grüße
Yusuf Dikmenoglu
keine Chance. Die SID kannst du nicht schreiben, die ist "system only".
Und wenn man anschaut wie sich die SID zusammensetzt wird auch schnell klar, warum man diese nicht schreiben kann.
Denn in der SID befindet sich auch die Domänen-SID.
Auch wenn das funktionieren würde, hast du schon dein zweites Problem.
Die Kennwörter kannst du selbstverständlich nicht exportieren, ansonsten wäre das ja noch schöner.
Jetzt haben wir gelernt das du die SID nicht schreiben kannst und von daher bekommt man beim export um import in eine
neue Domäne auch neue Benutzer und somit neue Profile. Die Nacharbeiten sind gigantisch.
Der einzigst vernünftige Weg ist die Migration mit ADMT. Aber dazu muss sich der NetBIOS- und DNS-Domänenname
zwischen den Domänen unterscheiden, damit eine Vertrauensstellung erstellt werden kann. Mit einem Trick kann
man auch mit ADMT migrieren, ohne das eine Vertrauensstellung existiert. Dazu muss das Admin-Kennwort
aus beiden Domänen identisch sein.
Viele Grüße
Yusuf Dikmenoglu
Die aktuelle ADMT Version 3.1 ist nicht für 2008 R2 Migrationen geeignet.
Man kann aber die 3.1er Version mit Aufwand dazu bewegen, 2008 R2 Migrationen durchzuführen.
[Ask the Directory Services Team : Using ADMT 3.1 to migrate to Windows Server 2008 R2 domains]
http://blogs.technet.com/askds/archive/2009/10/26/using-admt-3-1-to-mig ...
Die 2008 R2 taugliche ADMT Version 3.2 müsste aber jeden Tag erscheinen.
Gruß, Yusuf Dikmenoglu
Man kann aber die 3.1er Version mit Aufwand dazu bewegen, 2008 R2 Migrationen durchzuführen.
[Ask the Directory Services Team : Using ADMT 3.1 to migrate to Windows Server 2008 R2 domains]
http://blogs.technet.com/askds/archive/2009/10/26/using-admt-3-1-to-mig ...
Die 2008 R2 taugliche ADMT Version 3.2 müsste aber jeden Tag erscheinen.
Gruß, Yusuf Dikmenoglu