lexe
Goto Top

Active Directory User export und import inkl. SID

ein kleiner Kopiervorgang oder mehr?

Hallo,

ich bin auf der Suche nach einer Möglichkeit User aus einem AD zu exportieren und anschließend wieder zu importieren.
Nun aber das wichtige... die SID muss erhalten bleiben... (sonst hätte man es ja recht easy mit cvs export machen können)

Ich habe auch schon das ADMT Tool versucht... leider will das mit den Vertrauensstellungen nicht so richtig.

Der Hintergrund:

Wir ersetzten bei uns die alte Domäne durch eine neue... jedoch mit fast gleichem Namen... daher kommen da so einige Probleme

Is es möglich sowas mit einem Script zu erledigen... zb. mit VB oder Powershell? .. also die SID auch wieder schreiben zu können?

Die alte Domäne ist Win 2K3 und die neue dann Win 2K8

alle anderen Sachen wie Gruppen sind mir egal... aber die User SID is der Knackpunkt.

Grüßle


Alex

Content-ID: 128272

Url: https://administrator.de/forum/active-directory-user-export-und-import-inkl-sid-128272.html

Ausgedruckt am: 23.12.2024 um 10:12 Uhr

an-wei
an-wei 30.10.2009 um 07:08:43 Uhr
Goto Top
hallo alex,
schau dir mal adfind an. infos findest du auch hier.

gruss
andré
LeXe
LeXe 30.10.2009 um 11:50:16 Uhr
Goto Top
Hi,

das is ja schon mal ein cooles Tool.

Aber wenn ich das jetzt richtig verstanden habe kann ich nur das AD in aller Komplexität auslesen...

Nur wir importiere ich dann eine mit adfind erstellte CSV wieder in das neue AD?

Grüßle & Vielen Dank schonmal

Alex
an-wei
an-wei 30.10.2009 um 13:22:10 Uhr
Goto Top
den import haben ich bisher noch nicht gebraucht.
kann sein das admod das macht
da adfind und admod "zusammen gehoeren", besser gesagt, zusammen arbeiten
vielleicht findest du hier was -> http://searchwindowsserver.techtarget.com/tip/0,289483,sid68_gci1233063 ...
Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 30.10.2009 um 22:03:53 Uhr
Goto Top
Servus,

keine Chance. Die SID kannst du nicht schreiben, die ist "system only".
Und wenn man anschaut wie sich die SID zusammensetzt wird auch schnell klar, warum man diese nicht schreiben kann.
Denn in der SID befindet sich auch die Domänen-SID.

Auch wenn das funktionieren würde, hast du schon dein zweites Problem.
Die Kennwörter kannst du selbstverständlich nicht exportieren, ansonsten wäre das ja noch schöner.

Jetzt haben wir gelernt das du die SID nicht schreiben kannst und von daher bekommt man beim export um import in eine
neue Domäne auch neue Benutzer und somit neue Profile. Die Nacharbeiten sind gigantisch.

Der einzigst vernünftige Weg ist die Migration mit ADMT. Aber dazu muss sich der NetBIOS- und DNS-Domänenname
zwischen den Domänen unterscheiden, damit eine Vertrauensstellung erstellt werden kann. Mit einem Trick kann
man auch mit ADMT migrieren, ohne das eine Vertrauensstellung existiert. Dazu muss das Admin-Kennwort
aus beiden Domänen identisch sein.


Viele Grüße
Yusuf Dikmenoglu
LeXe
LeXe 30.10.2009 um 23:58:28 Uhr
Goto Top
Hi,

danke für die genaue Auskunft. Das hab ich mir schon so irgendwie gedacht.

Das mit dem ADMT hab ich mir schon angesehen leider war das bisher noch nicht wirklich erfolgreich beim umsetzten... kann aber auch am 2K8 R2 gelegen haben.

Werde das mal mit dem 2K8 testen.

Grüßle

Alex
Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 31.10.2009 um 00:25:31 Uhr
Goto Top
Die aktuelle ADMT Version 3.1 ist nicht für 2008 R2 Migrationen geeignet.
Man kann aber die 3.1er Version mit Aufwand dazu bewegen, 2008 R2 Migrationen durchzuführen.

[Ask the Directory Services Team : Using ADMT 3.1 to migrate to Windows Server 2008 R2 domains]
http://blogs.technet.com/askds/archive/2009/10/26/using-admt-3-1-to-mig ...


Die 2008 R2 taugliche ADMT Version 3.2 müsste aber jeden Tag erscheinen.


Gruß, Yusuf Dikmenoglu
LeXe
LeXe 31.10.2009 um 00:32:34 Uhr
Goto Top
face-big-smile

Ja die Version kommt garantiert an dem Tag wenn ich fertig bin mit der Mirgation. Is ja immer so. Werde jetzt über einen "Mittelsman"(W2K8) Migrieren...

erst innerhalb von FunctionLevel 2003 .. dann auf 2008 hochstufen und in die 2K8 R2 Domäne rein. Ist zum Glück noch alles recht übersichtlich und haben das ganze WE für downtime reserviert.

Den Blog hab ich schon gelesen... schau mer mal

Grüßle

Alex