7
Verzeichnis Berechtigungen
Hallo,
ich muss hier einige Verzeichnisse nach einer "Cross Forrest Migration" in die "neue" Domäne überführen.
In diesem Zusammenhang sollen die Berechtigungen an die Benutzergruppen der neuen Domäne angepasst werden.
Da die Berechtigungen teilweise ziemlich aufwändig angepasst wurden, ist es sinnvoll die jetzigen Berechtigungen
ggf. zu exportieren, anzupassen und in der neuen Domänen zu importieren.
Wer hat hier Erfahrungen bzw. die passenden Vorschläge für die notwendigen Werkzeuge?
ich muss hier einige Verzeichnisse nach einer "Cross Forrest Migration" in die "neue" Domäne überführen.
In diesem Zusammenhang sollen die Berechtigungen an die Benutzergruppen der neuen Domäne angepasst werden.
Da die Berechtigungen teilweise ziemlich aufwändig angepasst wurden, ist es sinnvoll die jetzigen Berechtigungen
ggf. zu exportieren, anzupassen und in der neuen Domänen zu importieren.
Wer hat hier Erfahrungen bzw. die passenden Vorschläge für die notwendigen Werkzeuge?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 665512
Url: https://administrator.de/contentid/665512
Printed on: April 20, 2024 at 01:04 o'clock
7 Comments
Latest comment
Nabend,
robocopy sollte funktionieren
Gruss
khs
robocopy sollte funktionieren
https://www.andysblog.de/mit-robocopy-sicherheits-und-besitzerinformationen-kopieren#:~:text=Mit%20Robocopy%20lassen%20sich%20nicht%20nur%20Dateien%20und,die%20Berechtigungen%20und%20Besitzer%20abgleichen%20reicht%20als%20khs
PowerShell ist dein Freund. Dort wären dann Befehl wie Get-ACL und Set-ACL zu rate zu ziehen.
Dein Text ist so ziemlich allgemien gehalten. Wir kennen diene Struktur nicht. Derartiges ist meist individuell zu betrachten.
Grüße
Daemmerung
Dein Text ist so ziemlich allgemien gehalten. Wir kennen diene Struktur nicht. Derartiges ist meist individuell zu betrachten.
- haben die Gruppen in der neuen Domäne die gleichen Bezeichnungen?
- Ist die Struktur in der neuen Domäne die gleiche?
- wie stellst du dir das im Detail vor?
Grüße
Daemmerung
Hallo,
mit AccessEnum kann man sich prima einen Unterschied verschaffen.
https://docs.microsoft.com/en-us/sysinternals/downloads/accessenum
Du sprichst von einer "neuen Domäne".
Sind es dann richtige neue Benutzer weil anderes AD?
Dann bleibt Dir vermutlich nur Handarbeit. Windows denkt nicht in Benutzernamen sondern in IDs.
Stefan
mit AccessEnum kann man sich prima einen Unterschied verschaffen.
https://docs.microsoft.com/en-us/sysinternals/downloads/accessenum
Du sprichst von einer "neuen Domäne".
Sind es dann richtige neue Benutzer weil anderes AD?
Dann bleibt Dir vermutlich nur Handarbeit. Windows denkt nicht in Benutzernamen sondern in IDs.
Stefan
Hallo khs,
danke für den Hinweis.
Grundsätzlich wäre das ein Ansatz.
Allerdings greifen dann aus meiner Sicht die ACLs der "alten" Domäne.
Für die Übergangszeit mag eine Pflege möglich sein.
Aber wie verhält es sich, wenn die "alte" Domäne aufgelöst / abgeschaltet wird.
Spätestens dann muss ich auf die Berechtigungen mit den Gruppen der "neuen" Domäne
umstellen.
Oder habe ich hier einen Denkfehler?
Gruß
Andreas
danke für den Hinweis.
Grundsätzlich wäre das ein Ansatz.
Allerdings greifen dann aus meiner Sicht die ACLs der "alten" Domäne.
Für die Übergangszeit mag eine Pflege möglich sein.
Aber wie verhält es sich, wenn die "alte" Domäne aufgelöst / abgeschaltet wird.
Spätestens dann muss ich auf die Berechtigungen mit den Gruppen der "neuen" Domäne
umstellen.
Oder habe ich hier einen Denkfehler?
Gruß
Andreas
Hallo Daemmerung,
es stimmt, den Text habe ich erstmal relativ allgemein gehalten.
- Die Benutzer und Gruppen in der "neuen" Domäne wurden mit ADMT (Active Directory Migration Tool) aus der "alten" AD Struktur übernommen und somit identisch.
- Die Dateiablageorte werden bis auf die Servernamen identisch sein.
- Da die Benutzer und Gruppen in der "neuen" Domäne gleich sind, habe ich mir vorgestellt die Verzeichnisse nacheinander (ca. 70 TB) von der alten in die neue Domäne zu übertragen. Da die SID-History der Benutzer bei der Migration mit in die neue AD Struktur übernommen wurden, sollte der User ohne weiteres zugreifen können.
Dann möchte ich die vorhandenen Berechtigungen exportieren, den "NETBIOS" Namen von AlterNETBIOSName\Benutzername in NeuerNETBIOSName\Benutzername ändern, bzw. hinzufügen und die geänderten Berechtigungen dann wieder importieren.
Später wenn die alte Domäne nicht mehr vorhanden ist, die Berechtigungen mit den alten NETBIOS Namen entfernen.
Gruß Andreas
es stimmt, den Text habe ich erstmal relativ allgemein gehalten.
- Die Benutzer und Gruppen in der "neuen" Domäne wurden mit ADMT (Active Directory Migration Tool) aus der "alten" AD Struktur übernommen und somit identisch.
- Die Dateiablageorte werden bis auf die Servernamen identisch sein.
- Da die Benutzer und Gruppen in der "neuen" Domäne gleich sind, habe ich mir vorgestellt die Verzeichnisse nacheinander (ca. 70 TB) von der alten in die neue Domäne zu übertragen. Da die SID-History der Benutzer bei der Migration mit in die neue AD Struktur übernommen wurden, sollte der User ohne weiteres zugreifen können.
Dann möchte ich die vorhandenen Berechtigungen exportieren, den "NETBIOS" Namen von AlterNETBIOSName\Benutzername in NeuerNETBIOSName\Benutzername ändern, bzw. hinzufügen und die geänderten Berechtigungen dann wieder importieren.
Später wenn die alte Domäne nicht mehr vorhanden ist, die Berechtigungen mit den alten NETBIOS Namen entfernen.
Gruß Andreas
Wenn sich die Freigaben / Dateien auf einem Samba-Member-Server befinden, wäre das Umhängen unter Beibehaltung der Berechtigungsstruktur im Prinzip sehr einfach: Mit net ads den Server aus der alten Domäne nehmen und sogleich mit der neuen Domäne verbinden. In der smb.conf ist anstelle der alten Domäne die neue Domäne anzugeben, was ja ohnehin unumgänglich ist, und dann sollten smbd / winbind beendet, ein net cache flush ausgeführt und beide Dienste wieder gestartet werden. Wer möchte, mag einen Neustart durchführen, was aber nicht zwingend ist.
Das setzt "nur" voraus, dass den relevanten Benutzern / Gruppen in beiden Domänen dieselben Attribute uidNummer und gidNumber zugeordnet sind und dass Samba/Winbind dies für die Berechtigungsverwaltung als Mapping verwendet, siehe hierzu das SambaWiki mit Idmap config ad und Maintaining Unix Attributes in AD using ADUC. Das hat hier bei der jüngst durchgeführten Cross-Forest-Migration bestens für mehrere File Server funktioniert. Die Benutzer / Gruppen der neuen Domäne greifen danach auf die Freigaben / Dateien zu, als ob das in der neuen Domäne schon immer so gewesen wäre.
Natürlich können die UID/GID unter Linux mittels getfacl und setfacl oder auch mittels find per Script / Kommandozeile sehr einfach angepasst werden. So ist beispielsweise ein Austausch einer UID gegen eine andere UID sehr schnell erledigt.
Viele Grüße
HansDampf06
Das setzt "nur" voraus, dass den relevanten Benutzern / Gruppen in beiden Domänen dieselben Attribute uidNummer und gidNumber zugeordnet sind und dass Samba/Winbind dies für die Berechtigungsverwaltung als Mapping verwendet, siehe hierzu das SambaWiki mit Idmap config ad und Maintaining Unix Attributes in AD using ADUC. Das hat hier bei der jüngst durchgeführten Cross-Forest-Migration bestens für mehrere File Server funktioniert. Die Benutzer / Gruppen der neuen Domäne greifen danach auf die Freigaben / Dateien zu, als ob das in der neuen Domäne schon immer so gewesen wäre.
Natürlich können die UID/GID unter Linux mittels getfacl und setfacl oder auch mittels find per Script / Kommandozeile sehr einfach angepasst werden. So ist beispielsweise ein Austausch einer UID gegen eine andere UID sehr schnell erledigt.
Viele Grüße
HansDampf06
