Verzeichnis Berechtigungen

Mitglied: AndreasW63

AndreasW63 (Level 1) - Jetzt verbinden

07.04.2021 um 20:37 Uhr, 514 Aufrufe, 7 Kommentare

Hallo,
ich muss hier einige Verzeichnisse nach einer "Cross Forrest Migration" in die "neue" Domäne überführen.
In diesem Zusammenhang sollen die Berechtigungen an die Benutzergruppen der neuen Domäne angepasst werden.
Da die Berechtigungen teilweise ziemlich aufwändig angepasst wurden, ist es sinnvoll die jetzigen Berechtigungen
ggf. zu exportieren, anzupassen und in der neuen Domänen zu importieren.

Wer hat hier Erfahrungen bzw. die passenden Vorschläge für die notwendigen Werkzeuge?
Mitglied: GarfieldBonn
07.04.2021 um 22:07 Uhr
Nabend,
robocopy sollte funktionieren

Gruss
khs
Bitte warten ..
Mitglied: Daemmerung
07.04.2021 um 22:08 Uhr
PowerShell ist dein Freund. Dort wären dann Befehl wie Get-ACL und Set-ACL zu rate zu ziehen.

Dein Text ist so ziemlich allgemien gehalten. Wir kennen diene Struktur nicht. Derartiges ist meist individuell zu betrachten.
  • haben die Gruppen in der neuen Domäne die gleichen Bezeichnungen?
  • Ist die Struktur in der neuen Domäne die gleiche?
  • wie stellst du dir das im Detail vor?

Grüße
Daemmerung
Bitte warten ..
Mitglied: StefanKittel
08.04.2021 um 04:13 Uhr
Hallo,

mit AccessEnum kann man sich prima einen Unterschied verschaffen.
https://docs.microsoft.com/en-us/sysinternals/downloads/accessenum

Du sprichst von einer "neuen Domäne".
Sind es dann richtige neue Benutzer weil anderes AD?
Dann bleibt Dir vermutlich nur Handarbeit. Windows denkt nicht in Benutzernamen sondern in IDs.

Stefan
Bitte warten ..
Mitglied: AndreasW63
08.04.2021 um 08:13 Uhr
Hallo khs,

danke für den Hinweis.
Grundsätzlich wäre das ein Ansatz.
Allerdings greifen dann aus meiner Sicht die ACLs der "alten" Domäne.
Für die Übergangszeit mag eine Pflege möglich sein.
Aber wie verhält es sich, wenn die "alte" Domäne aufgelöst / abgeschaltet wird.
Spätestens dann muss ich auf die Berechtigungen mit den Gruppen der "neuen" Domäne
umstellen.

Oder habe ich hier einen Denkfehler?

Gruß
Andreas
Bitte warten ..
Mitglied: AndreasW63
08.04.2021 um 08:24 Uhr
Hallo Daemmerung,

es stimmt, den Text habe ich erstmal relativ allgemein gehalten.

- Die Benutzer und Gruppen in der "neuen" Domäne wurden mit ADMT (Active Directory Migration Tool) aus der "alten" AD Struktur übernommen und somit identisch.
- Die Dateiablageorte werden bis auf die Servernamen identisch sein.
- Da die Benutzer und Gruppen in der "neuen" Domäne gleich sind, habe ich mir vorgestellt die Verzeichnisse nacheinander (ca. 70 TB) von der alten in die neue Domäne zu übertragen. Da die SID-History der Benutzer bei der Migration mit in die neue AD Struktur übernommen wurden, sollte der User ohne weiteres zugreifen können.
Dann möchte ich die vorhandenen Berechtigungen exportieren, den "NETBIOS" Namen von AlterNETBIOSName\Benutzername in NeuerNETBIOSName\Benutzername ändern, bzw. hinzufügen und die geänderten Berechtigungen dann wieder importieren.
Später wenn die alte Domäne nicht mehr vorhanden ist, die Berechtigungen mit den alten NETBIOS Namen entfernen.

Gruß Andreas
Bitte warten ..
Mitglied: emeriks
08.04.2021 um 09:20 Uhr
Hi,
ich denke, SetACL kann genau sowas.

Das habe ich selbst schon für sowas eingesetzt.

E.
Bitte warten ..
Mitglied: HansDampf06
08.04.2021, aktualisiert um 09:31 Uhr
Wenn sich die Freigaben / Dateien auf einem Samba-Member-Server befinden, wäre das Umhängen unter Beibehaltung der Berechtigungsstruktur im Prinzip sehr einfach: Mit net ads den Server aus der alten Domäne nehmen und sogleich mit der neuen Domäne verbinden. In der smb.conf ist anstelle der alten Domäne die neue Domäne anzugeben, was ja ohnehin unumgänglich ist, und dann sollten smbd / winbind beendet, ein net cache flush ausgeführt und beide Dienste wieder gestartet werden. Wer möchte, mag einen Neustart durchführen, was aber nicht zwingend ist.

Das setzt "nur" voraus, dass den relevanten Benutzern / Gruppen in beiden Domänen dieselben Attribute uidNummer und gidNumber zugeordnet sind und dass Samba/Winbind dies für die Berechtigungsverwaltung als Mapping verwendet, siehe hierzu das SambaWiki mit Idmap config ad und Maintaining Unix Attributes in AD using ADUC. Das hat hier bei der jüngst durchgeführten Cross-Forest-Migration bestens für mehrere File Server funktioniert. Die Benutzer / Gruppen der neuen Domäne greifen danach auf die Freigaben / Dateien zu, als ob das in der neuen Domäne schon immer so gewesen wäre.

Natürlich können die UID/GID unter Linux mittels getfacl und setfacl oder auch mittels find per Script / Kommandozeile sehr einfach angepasst werden. So ist beispielsweise ein Austausch einer UID gegen eine andere UID sehr schnell erledigt.

Viele Grüße
HansDampf06
Bitte warten ..
Heiß diskutierte Inhalte
Datenschutz
Regierung testet Einsatz von Microsoft Azure-Cloud für die Bundescloud
VisuciusVor 1 TagInformationDatenschutz34 Kommentare

LÄUFT! Deutschland will Microsoft für die Bundescloud testen Ich hätts ja beinahe unter dem Topic "Humor" veröffentlicht. Aber der 1. April ist ja durch ...

Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
1nCoreVor 1 TagFrageFestplatten, SSD, Raid14 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 16 StundenTippErkennung und -Abwehr3 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Exchange Server
April 2021 Microsoft Exchange Server Security Updates
FrankVor 1 TagInformationExchange Server2 Kommentare

Microsoft has released security updates for vulnerabilities found in: Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 These updates are available for the ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 23 StundenFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...