andreasw63
Goto Top

Verzeichnis Berechtigungen

Hallo,
ich muss hier einige Verzeichnisse nach einer "Cross Forrest Migration" in die "neue" Domäne überführen.
In diesem Zusammenhang sollen die Berechtigungen an die Benutzergruppen der neuen Domäne angepasst werden.
Da die Berechtigungen teilweise ziemlich aufwändig angepasst wurden, ist es sinnvoll die jetzigen Berechtigungen
ggf. zu exportieren, anzupassen und in der neuen Domänen zu importieren.

Wer hat hier Erfahrungen bzw. die passenden Vorschläge für die notwendigen Werkzeuge?

Content-ID: 665512

Url: https://administrator.de/forum/verzeichnis-berechtigungen-665512.html

Ausgedruckt am: 23.12.2024 um 12:12 Uhr

GarfieldBonn
GarfieldBonn 07.04.2021 um 22:07:26 Uhr
Goto Top
Nabend,
robocopy sollte funktionieren

https://www.andysblog.de/mit-robocopy-sicherheits-und-besitzerinformationen-kopieren#:~:text=Mit%20Robocopy%20lassen%20sich%20nicht%20nur%20Dateien%20und,die%20Berechtigungen%20und%20Besitzer%20abgleichen%20reicht%20als%20
Gruss
khs
Daemmerung
Daemmerung 07.04.2021 um 22:08:59 Uhr
Goto Top
PowerShell ist dein Freund. Dort wären dann Befehl wie Get-ACL und Set-ACL zu rate zu ziehen.

Dein Text ist so ziemlich allgemien gehalten. Wir kennen diene Struktur nicht. Derartiges ist meist individuell zu betrachten.
  • haben die Gruppen in der neuen Domäne die gleichen Bezeichnungen?
  • Ist die Struktur in der neuen Domäne die gleiche?
  • wie stellst du dir das im Detail vor?

Grüße
Daemmerung
StefanKittel
StefanKittel 08.04.2021 um 04:13:34 Uhr
Goto Top
Hallo,

mit AccessEnum kann man sich prima einen Unterschied verschaffen.
https://docs.microsoft.com/en-us/sysinternals/downloads/accessenum

Du sprichst von einer "neuen Domäne".
Sind es dann richtige neue Benutzer weil anderes AD?
Dann bleibt Dir vermutlich nur Handarbeit. Windows denkt nicht in Benutzernamen sondern in IDs.

Stefan
AndreasW63
AndreasW63 08.04.2021 um 08:13:59 Uhr
Goto Top
Hallo khs,

danke für den Hinweis.
Grundsätzlich wäre das ein Ansatz.
Allerdings greifen dann aus meiner Sicht die ACLs der "alten" Domäne.
Für die Übergangszeit mag eine Pflege möglich sein.
Aber wie verhält es sich, wenn die "alte" Domäne aufgelöst / abgeschaltet wird.
Spätestens dann muss ich auf die Berechtigungen mit den Gruppen der "neuen" Domäne
umstellen.

Oder habe ich hier einen Denkfehler?

Gruß
Andreas
AndreasW63
AndreasW63 08.04.2021 um 08:24:49 Uhr
Goto Top
Hallo Daemmerung,

es stimmt, den Text habe ich erstmal relativ allgemein gehalten.

- Die Benutzer und Gruppen in der "neuen" Domäne wurden mit ADMT (Active Directory Migration Tool) aus der "alten" AD Struktur übernommen und somit identisch.
- Die Dateiablageorte werden bis auf die Servernamen identisch sein.
- Da die Benutzer und Gruppen in der "neuen" Domäne gleich sind, habe ich mir vorgestellt die Verzeichnisse nacheinander (ca. 70 TB) von der alten in die neue Domäne zu übertragen. Da die SID-History der Benutzer bei der Migration mit in die neue AD Struktur übernommen wurden, sollte der User ohne weiteres zugreifen können.
Dann möchte ich die vorhandenen Berechtigungen exportieren, den "NETBIOS" Namen von AlterNETBIOSName\Benutzername in NeuerNETBIOSName\Benutzername ändern, bzw. hinzufügen und die geänderten Berechtigungen dann wieder importieren.
Später wenn die alte Domäne nicht mehr vorhanden ist, die Berechtigungen mit den alten NETBIOS Namen entfernen.

Gruß Andreas
emeriks
emeriks 08.04.2021 um 09:20:02 Uhr
Goto Top
Hi,
ich denke, SetACL kann genau sowas.

Das habe ich selbst schon für sowas eingesetzt.

E.
HansDampf06
HansDampf06 08.04.2021 aktualisiert um 09:31:39 Uhr
Goto Top
Wenn sich die Freigaben / Dateien auf einem Samba-Member-Server befinden, wäre das Umhängen unter Beibehaltung der Berechtigungsstruktur im Prinzip sehr einfach: Mit net ads den Server aus der alten Domäne nehmen und sogleich mit der neuen Domäne verbinden. In der smb.conf ist anstelle der alten Domäne die neue Domäne anzugeben, was ja ohnehin unumgänglich ist, und dann sollten smbd / winbind beendet, ein net cache flush ausgeführt und beide Dienste wieder gestartet werden. Wer möchte, mag einen Neustart durchführen, was aber nicht zwingend ist.

Das setzt "nur" voraus, dass den relevanten Benutzern / Gruppen in beiden Domänen dieselben Attribute uidNummer und gidNumber zugeordnet sind und dass Samba/Winbind dies für die Berechtigungsverwaltung als Mapping verwendet, siehe hierzu das SambaWiki mit Idmap config ad und Maintaining Unix Attributes in AD using ADUC. Das hat hier bei der jüngst durchgeführten Cross-Forest-Migration bestens für mehrere File Server funktioniert. Die Benutzer / Gruppen der neuen Domäne greifen danach auf die Freigaben / Dateien zu, als ob das in der neuen Domäne schon immer so gewesen wäre.

Natürlich können die UID/GID unter Linux mittels getfacl und setfacl oder auch mittels find per Script / Kommandozeile sehr einfach angepasst werden. So ist beispielsweise ein Austausch einer UID gegen eine andere UID sehr schnell erledigt.

Viele Grüße
HansDampf06