5
Inhalt aus alter Domain in neue ohne vertrauensstellung
Hallo Zusammen,
ich habe hier nun den Fall, das ich eine alte Domain (besser gesagt, nur eine OU aus einer Gesamtdomain) in eine Komplett neue Ad 2016 Domain umziehen muss.
Hierfür werden Fileserver, DCs, etc. neu gemacht.
Wie soll ich vorgehen um alle Berechtigungen und Gruppenzugehörigkeiten beizubehalten.
Alles neu anlegen würde ewig dauern und auch zu viele Fehler mit sich bringen.
Gibt es eine Möglichkeit wie ich das ganze exportieren kann und in die neue Domain so importieren kann, das es auf der neuen Domain richtig angezeigt wird?
eine Vertrauensstellung kommt aus mehreren Gründen leider nicht in Frage.
Grüße
Red
ich habe hier nun den Fall, das ich eine alte Domain (besser gesagt, nur eine OU aus einer Gesamtdomain) in eine Komplett neue Ad 2016 Domain umziehen muss.
Hierfür werden Fileserver, DCs, etc. neu gemacht.
Wie soll ich vorgehen um alle Berechtigungen und Gruppenzugehörigkeiten beizubehalten.
Alles neu anlegen würde ewig dauern und auch zu viele Fehler mit sich bringen.
Gibt es eine Möglichkeit wie ich das ganze exportieren kann und in die neue Domain so importieren kann, das es auf der neuen Domain richtig angezeigt wird?
eine Vertrauensstellung kommt aus mehreren Gründen leider nicht in Frage.
Grüße
Red
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 338674
Url: https://administrator.de/contentid/338674
Ausgedruckt am: 26.11.2024 um 04:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
OK
Robocopy /? sagt dir was du alles einstellen kannst. Die Shares findest du in HKLM/SYSTEM/CurrentControlSet/Services/LanmanServer/Shares und in darunterliegenden Security Ordner.
Dir sit sicherlich bekannt das Namen eher nur Schall und Rauch darstellen. Die Domäne besitzt eine eindeutige SID Domänen SID) Die wechselt bei dein Vorhaben. dann deine Benutzer und Computer bekommen auch neue eindeitige SIDs innerhalb deiner neuen Domäne. Diese sind nicht Identisch mit den alten SIDs. Natürlich kannst du die NTFS Rechte der betroffenen Ordner und Dateien eurer angwendeten OU irgendwie mit icacls exportieren (Text Datei). In dieser musst du dann vorm Importieren die alten ungültigen SIDs gegen deine neuen SIDs austauschen. Das sind nur die NTFS Rechte. Die Share Rechte wird schon etwas schwieriger oder entsprechend Dokumentieren und per Hand anschließend neu einrichten oder ändern. So oder So, das wird ein "Pain in the Axx".
Oder du nutzt eventuell eine Dritthersteller Software...
Gruß,
Peter
OK
Wie soll ich vorgehen um alle Berechtigungen und Gruppenzugehörigkeiten beizubehalten.
Robocopy und aus der Registrierung die Shares kopieren.Robocopy /? sagt dir was du alles einstellen kannst. Die Shares findest du in HKLM/SYSTEM/CurrentControlSet/Services/LanmanServer/Shares und in darunterliegenden Security Ordner.
Alles neu anlegen würde ewig dauern und auch zu viele Fehler mit sich bringen.
da wird es aber wohl schneller gehen weil...so importieren kann, das es auf der neuen Domain richtig angezeigt wird?
Nein.eine Vertrauensstellung kommt aus mehreren Gründen leider nicht in Frage.
Wenn du deine beiden Möglichkeit schon Pauschal ausschliesst, bleibt dir nur Handarbeit übrig.Dir sit sicherlich bekannt das Namen eher nur Schall und Rauch darstellen. Die Domäne besitzt eine eindeutige SID Domänen SID) Die wechselt bei dein Vorhaben. dann deine Benutzer und Computer bekommen auch neue eindeitige SIDs innerhalb deiner neuen Domäne. Diese sind nicht Identisch mit den alten SIDs. Natürlich kannst du die NTFS Rechte der betroffenen Ordner und Dateien eurer angwendeten OU irgendwie mit icacls exportieren (Text Datei). In dieser musst du dann vorm Importieren die alten ungültigen SIDs gegen deine neuen SIDs austauschen. Das sind nur die NTFS Rechte. Die Share Rechte wird schon etwas schwieriger oder entsprechend Dokumentieren und per Hand anschließend neu einrichten oder ändern. So oder So, das wird ein "Pain in the Axx".
Oder du nutzt eventuell eine Dritthersteller Software...
Gruß,
Peter
Also eine Drittanbieter-Software wäre OK, Kosten/Nutzen vorrausgesetzt.
Auch erstellen bzw. anpassen von Scripten wäre eine Möglichkeit.
Bei fast 200 Clients und 140 Usern ist das händische Anlegen echt eine fleissarbeit und würde ich mir somit gerne sparen.
Hat jemand bereits ähnliches gemacht?
Grüße
Red
Auch erstellen bzw. anpassen von Scripten wäre eine Möglichkeit.
Bei fast 200 Clients und 140 Usern ist das händische Anlegen echt eine fleissarbeit und würde ich mir somit gerne sparen.
Hat jemand bereits ähnliches gemacht?
Grüße
Red
Hallo,
die gute Nachricht: es geht. Das ist aber auch das einzige Gute - der Weg ist steinig und voller Tücken und Hakeleien. Ich habe mal zum Üben einen 2003er Server plus Domäne auf einen 2012er migriert. Grob umfasst der Weg folgende Schritte:
1. OU-Struktur expoertieren mit dsquery ou - name * >ou.csv
2. Benutzerexport mit csvde in die Datei users.csv
3. Gruppen exportieren, mit LDIFDE, in die Datei gruppen_ohne_mitglieder.ldf
4. Gruppen mitgliedschaften exportieren, wieder mit LDIFDE, diemal in gruppen_mit_mitglieder.ldf
5. In allen Dateien Quelldomäne DC=QuellName,DC=de gegen Zieldomäne DC=ZielName,DC=de austauschen.
6, OU Struktur importieren. Dabei vor dem Import die Datei OU.csv passend so sortieren, daß übergeordnete OUs richtig angelegt werden (kann z.B. mit Excel und einigen Tricks durchgeführt werden). den Import startet Csvde –i –k –f OUs.csv –c -k
7. Benutzerimport per DSADD in einer CMD-For-Schleife.
8. Gruppenimport der Datei Gruppen_ohne mitglieder.ldf mit LDIFDE
9. Gruppenmitglieder importieren mit LDIFDE, Datei gruppen_mit_mitglieder.ldf
Soo, Halbzeit, die User und alle Grupen sind "drüben". Nun noch die Dateien.
10. Dateien auf exakt den gleichen Pfad vom Quell- auf den Zielserver kopieren.
11. Mit Subinacl die Rechte der Dateien und Ordner des Quellservers in eine Datei exportieren.
12. In der Datei DC=QuellName,DC=de gegen Zieldomäne DC=ZielName,DC=de austauschen.
13. Auf dem Zielserver mit Subinacl Rechte setzen.
Fertig, jetzt kommt noch mindestens eine Nacharbeit: die Passwörter der Benutzer. Diese werden nicht exportiert. Ich empfehle, ein festes Passwort zu setzen, mit der Aufforderung sich ein neus zu suchen: DSQuery user "OU=Mitarbeiter,DC=ZielName,DC=de" –name * -limit 0 | dsmod user -pwd newpass1 -mustchpwd yes
Und noch ein Tipp: das klappt am besten, wenn alle Benutzer in einer eigenen OU liegen, also z.B. OU=Mitarbeiter, DC=QuellName,DC=de, weil Du sonst auf Probleme mit den Systemobjekten läufst.
Viel Spaß beim basteln...
Gruß
Apophis
die gute Nachricht: es geht. Das ist aber auch das einzige Gute - der Weg ist steinig und voller Tücken und Hakeleien. Ich habe mal zum Üben einen 2003er Server plus Domäne auf einen 2012er migriert. Grob umfasst der Weg folgende Schritte:
1. OU-Struktur expoertieren mit dsquery ou - name * >ou.csv
2. Benutzerexport mit csvde in die Datei users.csv
3. Gruppen exportieren, mit LDIFDE, in die Datei gruppen_ohne_mitglieder.ldf
4. Gruppen mitgliedschaften exportieren, wieder mit LDIFDE, diemal in gruppen_mit_mitglieder.ldf
5. In allen Dateien Quelldomäne DC=QuellName,DC=de gegen Zieldomäne DC=ZielName,DC=de austauschen.
6, OU Struktur importieren. Dabei vor dem Import die Datei OU.csv passend so sortieren, daß übergeordnete OUs richtig angelegt werden (kann z.B. mit Excel und einigen Tricks durchgeführt werden). den Import startet Csvde –i –k –f OUs.csv –c -k
7. Benutzerimport per DSADD in einer CMD-For-Schleife.
8. Gruppenimport der Datei Gruppen_ohne mitglieder.ldf mit LDIFDE
9. Gruppenmitglieder importieren mit LDIFDE, Datei gruppen_mit_mitglieder.ldf
Soo, Halbzeit, die User und alle Grupen sind "drüben". Nun noch die Dateien.
10. Dateien auf exakt den gleichen Pfad vom Quell- auf den Zielserver kopieren.
11. Mit Subinacl die Rechte der Dateien und Ordner des Quellservers in eine Datei exportieren.
12. In der Datei DC=QuellName,DC=de gegen Zieldomäne DC=ZielName,DC=de austauschen.
13. Auf dem Zielserver mit Subinacl Rechte setzen.
Fertig, jetzt kommt noch mindestens eine Nacharbeit: die Passwörter der Benutzer. Diese werden nicht exportiert. Ich empfehle, ein festes Passwort zu setzen, mit der Aufforderung sich ein neus zu suchen: DSQuery user "OU=Mitarbeiter,DC=ZielName,DC=de" –name * -limit 0 | dsmod user -pwd newpass1 -mustchpwd yes
Und noch ein Tipp: das klappt am besten, wenn alle Benutzer in einer eigenen OU liegen, also z.B. OU=Mitarbeiter, DC=QuellName,DC=de, weil Du sonst auf Probleme mit den Systemobjekten läufst.
Viel Spaß beim basteln...
Gruß
Apophis
Hi,
das Einfachste wäre ADMT.
Dafür brauchst Du zwar auch eine Vertrauensstellung, aber nur vorübergehenend, nur während der Migration.
Das Prinzip dabei ist, dass alle Benutzer und Gruppen (kannst Du auswählen, welche das sein sollen) in die neue Domäne kopiert werden. Die SID's der alten Objekte werden in den neuen Objekten als historySID eingetragen. Damit sind sie auch noch wirksam, wenn sich die Anwender mit den Benutzerkonten aus der neuen Domäne anmelden. Einen Fileserver z.B. müsstest Du dann nur aus der alten Domäne austreten und in die neue beitreten. Die Freigabe- und NTFS-Berechtigungen wären sofort funktionstüchtig bei Anmeldung mit den neuen Konten.
GPO's könntest Du anschließend durch Export/Import mit der GPO-MMC übertragen.
Active Directory Migration Tool v3.2 (ADMT) and Migration Guide
E.
das Einfachste wäre ADMT.
Dafür brauchst Du zwar auch eine Vertrauensstellung, aber nur vorübergehenend, nur während der Migration.
Das Prinzip dabei ist, dass alle Benutzer und Gruppen (kannst Du auswählen, welche das sein sollen) in die neue Domäne kopiert werden. Die SID's der alten Objekte werden in den neuen Objekten als historySID eingetragen. Damit sind sie auch noch wirksam, wenn sich die Anwender mit den Benutzerkonten aus der neuen Domäne anmelden. Einen Fileserver z.B. müsstest Du dann nur aus der alten Domäne austreten und in die neue beitreten. Die Freigabe- und NTFS-Berechtigungen wären sofort funktionstüchtig bei Anmeldung mit den neuen Konten.
GPO's könntest Du anschließend durch Export/Import mit der GPO-MMC übertragen.
Active Directory Migration Tool v3.2 (ADMT) and Migration Guide
E.
Hallo E.
Diesen weg wollten wir auch eigentlich gehen, wäre der geschmeidigste weg. Jedoch möchten die Admins der alten domain keine vertrauensstellung (aus welchen Gründen auch immer).
somit kommt der weg nun nicht in Frage.
Wir versuchen nun einen Weg über einen Hersteller Namens "dovestones".
Der Kann wohl exportieren und in neue Domain mit Gruppenzugehörigkeit und so importieren. Alles mit neuen SSIDs, würde nur bedeuten freigaben und NTFS-Berechtigungen müssten wohl neu gemacht werden.
Hat damit vlt. jemand erfahrung oder noch weiter Vorschläge?
Gruß
Red
Diesen weg wollten wir auch eigentlich gehen, wäre der geschmeidigste weg. Jedoch möchten die Admins der alten domain keine vertrauensstellung (aus welchen Gründen auch immer).
somit kommt der weg nun nicht in Frage.
Wir versuchen nun einen Weg über einen Hersteller Namens "dovestones".
Der Kann wohl exportieren und in neue Domain mit Gruppenzugehörigkeit und so importieren. Alles mit neuen SSIDs, würde nur bedeuten freigaben und NTFS-Berechtigungen müssten wohl neu gemacht werden.
Hat damit vlt. jemand erfahrung oder noch weiter Vorschläge?
Gruß
Red
