11
DC und AD durch GPO verhunzt - neues AD aufsetzen erforderlich?
teils unbestätigte Infos vorab:
- Domäne existiert seit NT4 und wurde im Laufe der Zeit über w2k und w2k3 nun auf w2k8 r2 aufgestuft
- Default Domain Policy umfasste 200 Seiten, durch eine unbekannte Ursache wurden Ownership und Rechte auf unzählige Systemdateien gesetzt ala c:\windows\system32\mqsvc.exe
Hallo zusammen,
vorab entschuldige ich mich für die Wall-of-Text
In dieser Domäne 'darf' ich nun administrieren und liste erstmal ein paar der auffälligsten Probleme bevor ich die oben genannte Frage aufgreife:
Es gibt weitere Punkte, die mir gerade nicht detailliert genug in den Sinn kommen (Terminalserver-Lizenzserver funktioniert trotz funktionaler Konfiguration und Aktivierung der CALs nicht, unzählige Karteileichen, etc). Unter anderem scheitert das ADMT (migration Tool) wegen mangelnder Rechte..
Danke vorab für Antworten, Anregungen, Anleitungen und dergleichen ;)
- Domäne existiert seit NT4 und wurde im Laufe der Zeit über w2k und w2k3 nun auf w2k8 r2 aufgestuft
- Default Domain Policy umfasste 200 Seiten, durch eine unbekannte Ursache wurden Ownership und Rechte auf unzählige Systemdateien gesetzt ala c:\windows\system32\mqsvc.exe
Hallo zusammen,
vorab entschuldige ich mich für die Wall-of-Text
In dieser Domäne 'darf' ich nun administrieren und liste erstmal ein paar der auffälligsten Probleme bevor ich die oben genannte Frage aufgreife:- Wenn ich unter der alten Default Domain Policy Windows7 Rechner zur Domäne zufüge, können diese per DHCP keine IP übernehmen. Dies scheint ein Rechteproblem zu sein und führe ich auf den zweiten Punkt aus dem Vorwort - denn nach einiger Recherche brachte mir folgendes Abhilfe: auf dem betroffenen PC "NT-AUTORITÄT\LOKALER DIENST" und "NT-AUTORITÄT\NETZWERKDIENST" der Administratorengruppe zuzufügen. Nach einem Neustart kann der Client die ihm angebotene IP-Konfiguration per DHCP auch tatsächlich nutzen.
- auf dem DC können diverse Eventlogs nicht genutzt werden (Anschauen Pfade, anpassen, reset, etc.) da der Zugriff verweigert wird. Betroffen sind unter anderem die Logs von: DNS Server, File Replication Service, Microsoft-Windows-DiskDiagnosticDataCollector/Operational.. Entsprechend sind die Einträge wie hier im technet behandelt. Ich werde das Gefühl nicht los, dass hier ebenfalls der zweite Punkt aus dem Vorwort greift, auch wenn das nur ein Bauchgefühl ist und bisher nicht bewiesen werden konnte.
- Die Builtin Gruppe Remote Desktop Users heißt Remote Desktop Use~0 und verweigert den Mitgliedern leider ihre Funktion des Remote logon. Als Builtin Gruppe ist diese ja nicht änderbar, mögliche Ursachen sind wohl das Aufstufen der Domänenfunktionsebene und/oder das Vorhandensein der Gruppe vor dem dcpromo
Es gibt weitere Punkte, die mir gerade nicht detailliert genug in den Sinn kommen (Terminalserver-Lizenzserver funktioniert trotz funktionaler Konfiguration und Aktivierung der CALs nicht, unzählige Karteileichen, etc). Unter anderem scheitert das ADMT (migration Tool) wegen mangelnder Rechte..
Letztlich wäre mir eine Domäne ohne diese Vergangenheit am angenehmsten und damit zu den Fragen:
- Nachdem die Migration nicht funktioniert: gibt es irgendeine Möglichkeit den neu angelegten Benutzern die Passwörter aus der alten Domäne zuzuweisen? Ich rede natürlich nicht von John etc. ich will die Passwörter ja nicht wissen, aber evtl. gibt es eine Datenbank ala /etc/shadow über die man eine Zuweisung machen könnte?
- Es existiert ein Dateiserver mit ausgiebiger Rechtevergabe. Die Idee bestünde darin sich über icacls ein Script zu schreiben in dem man die alten SID der Benutzer mit den neuen austauscht um den Zugriff auch in der neuen Domäne wieder zu ermöglichen. Machbar? Sinnvoll? Oder gibt es da eine ganz andere Lösung für?
Danke vorab für Antworten, Anregungen, Anleitungen und dergleichen ;)
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 186469
Url: https://administrator.de/contentid/186469
Ausgedruckt am: 22.11.2024 um 07:11 Uhr
11 Kommentare
Neuester Kommentar
Moin Jeremiah,
erst mal Glückwunsch zur neuen Aufgabe.
Da scheinbar einfachste Grundsätze (Default Domain Policy auch als Default belassen und dort NICHTS ändern) nicht eingehalten wurden und Du die Ursache für die Probleme nicht wirklich kennst, gibt es für mich nur eine logische Antwort auf Deine Fragen: Setze die Domäne komplett neu auf. Bei der Gelegenheit auch alles gleich sauber dokumentieren! Auf eine Migration würde ich verzichten, da Du möglicherweise Probleme gleich wieder mit ins neue System nimmst. Eine schrottige Datenbank, und nichts anderes liegt Dir ja scheinbar mit dem alten AD vor, wirst Du nicht ohne weiteres in ein tolles neues AD bekommen. Meiner bescheidenen Meinung nach, lasse mich gern eines Besseren belehren.
Alternativ kannst Du auch von einem Problem ins andere rennen und einige Dinge (zumindest meiner Erfahrung nach) sind Dir jetzt noch gar nicht aufgefallen und schlagen Dir in einigen Wochen erst ins Genick.
erst mal Glückwunsch zur neuen Aufgabe.
Da scheinbar einfachste Grundsätze (Default Domain Policy auch als Default belassen und dort NICHTS ändern) nicht eingehalten wurden und Du die Ursache für die Probleme nicht wirklich kennst, gibt es für mich nur eine logische Antwort auf Deine Fragen: Setze die Domäne komplett neu auf. Bei der Gelegenheit auch alles gleich sauber dokumentieren! Auf eine Migration würde ich verzichten, da Du möglicherweise Probleme gleich wieder mit ins neue System nimmst. Eine schrottige Datenbank, und nichts anderes liegt Dir ja scheinbar mit dem alten AD vor, wirst Du nicht ohne weiteres in ein tolles neues AD bekommen. Meiner bescheidenen Meinung nach, lasse mich gern eines Besseren belehren.
Alternativ kannst Du auch von einem Problem ins andere rennen und einige Dinge (zumindest meiner Erfahrung nach) sind Dir jetzt noch gar nicht aufgefallen und schlagen Dir in einigen Wochen erst ins Genick.
Hallo!
ganz kurz, weil ich im Stress bin:
mit LDIFDE.exe kannst Du Deine User exportieren
passwörter werden NICHT exportiert, Anleitung gibts im Netz massig...
[ich sollte aber dazusagen, dass ich das noch nie real durchgespielt habe, da ich es noch nicht gebraucht habe...]
Anschließend den Server neu aufsetzen und Domäne neu machen
mit LDIFDE die User wieder importieren
Zuletzt die Berechtigungen auf den Shares setzen
Wenn Du Glück hast, dann folgen Deine Usernamen einem Schema, sodass Du dies per Skript machen kannst...
Hier hätte ich ein Script, dass prüft, ob der Ordnername mit einem Usernamen aus dem AD übereinstimmt und anschließend bei Übereinstimmung den Besitzer des Ordners und aller Unterordner ändert.
http://www.schulnetz.info/besitzer-von-ordnern-per-skript-andern/
gutes Gelingen,
lg
Edi
ganz kurz, weil ich im Stress bin:
mit LDIFDE.exe kannst Du Deine User exportieren
passwörter werden NICHT exportiert, Anleitung gibts im Netz massig...
[ich sollte aber dazusagen, dass ich das noch nie real durchgespielt habe, da ich es noch nicht gebraucht habe...]
Anschließend den Server neu aufsetzen und Domäne neu machen
mit LDIFDE die User wieder importieren
Zuletzt die Berechtigungen auf den Shares setzen
Wenn Du Glück hast, dann folgen Deine Usernamen einem Schema, sodass Du dies per Skript machen kannst...
Hier hätte ich ein Script, dass prüft, ob der Ordnername mit einem Usernamen aus dem AD übereinstimmt und anschließend bei Übereinstimmung den Besitzer des Ordners und aller Unterordner ändert.
http://www.schulnetz.info/besitzer-von-ordnern-per-skript-andern/
gutes Gelingen,
lg
Edi
Also ich würde die Domain auch neu machen wenn der Aufwand nicht zu gross ist. Bei 200+ Usern würde ich die alte Domain reparieren und eine Testmigration auf 2008 machen.
Um wieviel user bzw. Aufwand handelt es sich den ?
Wenn es mehr als 200 user sind würde ich die Default Domain Policy dokumentieren und zurücksetzen.
Dann schauen was ich wirklich von diesen einstellungen brauche und dafür neue Policys anlegen da man die Default Domain Policy nicht ändert.
Der Terminalserver lizenzserver sollte nicht das Problem sein der ist in ca. 15 min neu installiert und sollte dann funktionstüchtig sein.
Nach der Aktion würde ich eine Migration versuchen und schauen welche Fehler auftreten und ob die Migration so funktioniert das man ein ordentliches AD hat. Als erstes würde ich schauen wie die Remotedesktopuser gruppe heisst.
Sollte er den namen ~0 übernehmen würde ich das AD neu machen.
Bei neu machen würde ich mir überlegen ob ich nicht einen 2003 DC mache die Servicepacks einspiele die am alten Server installiert waren und die selbe Domain anlege. Die User dann aus dem alten AD exportiere und in das neue importiere. Wie gesagt nur wenn sich der Aufwand lohnt. Nachdem du ein schönes 2003 AD hast würde ich dann die Migration auf 2008 machen. So musst du nicht alle User neu Anlegen passwörter kennen Gruppen und Verteiler neu machen usw.
Es gibt hierzu auch viele Artikel wie man die Daten Exportiert und importiert und auf was man achten muss.
LG
Um wieviel user bzw. Aufwand handelt es sich den ?
Wenn es mehr als 200 user sind würde ich die Default Domain Policy dokumentieren und zurücksetzen.
Dann schauen was ich wirklich von diesen einstellungen brauche und dafür neue Policys anlegen da man die Default Domain Policy nicht ändert.
Der Terminalserver lizenzserver sollte nicht das Problem sein der ist in ca. 15 min neu installiert und sollte dann funktionstüchtig sein.
Nach der Aktion würde ich eine Migration versuchen und schauen welche Fehler auftreten und ob die Migration so funktioniert das man ein ordentliches AD hat. Als erstes würde ich schauen wie die Remotedesktopuser gruppe heisst.
Sollte er den namen ~0 übernehmen würde ich das AD neu machen.
Bei neu machen würde ich mir überlegen ob ich nicht einen 2003 DC mache die Servicepacks einspiele die am alten Server installiert waren und die selbe Domain anlege. Die User dann aus dem alten AD exportiere und in das neue importiere. Wie gesagt nur wenn sich der Aufwand lohnt. Nachdem du ein schönes 2003 AD hast würde ich dann die Migration auf 2008 machen. So musst du nicht alle User neu Anlegen passwörter kennen Gruppen und Verteiler neu machen usw.
Es gibt hierzu auch viele Artikel wie man die Daten Exportiert und importiert und auf was man achten muss.
LG
Hallo Ausserwoeger!
womit würdest Du die Passwörter mitexportieren?
lg
Die User dann aus dem alten AD exportiere und in das neue importiere. Wie gesagt nur wenn sich der Aufwand lohnt. Nachdem du
ein schönes 2003 AD hast würde ich dann die Migration auf 2008 machen. So musst du nicht alle User neu Anlegen passwörter
kennen Gruppen und Verteiler neu machen usw.
ein schönes 2003 AD hast würde ich dann die Migration auf 2008 machen. So musst du nicht alle User neu Anlegen passwörter
kennen Gruppen und Verteiler neu machen usw.
womit würdest Du die Passwörter mitexportieren?
lg
Ich kann mich dunkel erinnern das es mit ADMT 3.1 mal gemacht wurde von meiner kollegen.Genaueres müsste ich erfragen.
hier die Anleitung des tools zum Download: http://www.microsoft.com/en-us/download/confirmation.aspx?id=19188
Seite 61
und hier das Tool selbst
http://www.microsoft.com/en-us/download/details.aspx?id=17918
Genauer gesagt macht das wird das mit einem zusatztool gemacht Microsoft Password Export Server version 3.1 (x86)
hier der link dazu:
http://www.microsoft.com/en-us/download/details.aspx?id=10370
LG
hier die Anleitung des tools zum Download: http://www.microsoft.com/en-us/download/confirmation.aspx?id=19188
Seite 61
und hier das Tool selbst
http://www.microsoft.com/en-us/download/details.aspx?id=17918
Genauer gesagt macht das wird das mit einem zusatztool gemacht Microsoft Password Export Server version 3.1 (x86)
hier der link dazu:
http://www.microsoft.com/en-us/download/details.aspx?id=10370
LG
Hallo und vielen Dank für die Tipps...
lg
lg
Falls du mich meinst bitte Gerne.
Sorry, ja, ich meinte Dich, Ausserwoeger!
lg
lg
Oh, habe gerade gelesen:
Dann wird wohl wieder mein erster Tipp mit ldifde interessant...
Unter anderem scheitert das ADMT (migration Tool) wegen mangelnder Rechte..
Dann wird wohl wieder mein erster Tipp mit ldifde interessant...
Zitat von @Edi.Pfisterer:
Oh, habe gerade gelesen:
> Unter anderem scheitert das ADMT (migration Tool) wegen mangelnder Rechte..
Dann wird wohl wieder mein erster Tipp mit ldifde interessant...
Oh, habe gerade gelesen:
> Unter anderem scheitert das ADMT (migration Tool) wegen mangelnder Rechte..
Dann wird wohl wieder mein erster Tipp mit ldifde interessant...
Schaut so aus oder man nimmt einfach einen User der Schema Admin rechte hat. bzw. volle Rechte auf das AD !
LG
Dann danke auch nochmal von meiner Seite. Da durch Fluktuation einige Karteileichen existieren kann ich eben vorerst nur schätzen, es werden wohl so 80 bis 110 Benutzer sein.
Ich werde mir LDIFDE und Script mal anschauen und dementsprechend früher oder später Fragen bzw. Ergebnis mitteilen ;)
Ein schönes Wochenende
JJ
