Verzeichnis Berechtigungen
Hallo,
ich muss hier einige Verzeichnisse nach einer "Cross Forrest Migration" in die "neue" Domäne überführen.
In diesem Zusammenhang sollen die Berechtigungen an die Benutzergruppen der neuen Domäne angepasst werden.
Da die Berechtigungen teilweise ziemlich aufwändig angepasst wurden, ist es sinnvoll die jetzigen Berechtigungen
ggf. zu exportieren, anzupassen und in der neuen Domänen zu importieren.
Wer hat hier Erfahrungen bzw. die passenden Vorschläge für die notwendigen Werkzeuge?
ich muss hier einige Verzeichnisse nach einer "Cross Forrest Migration" in die "neue" Domäne überführen.
In diesem Zusammenhang sollen die Berechtigungen an die Benutzergruppen der neuen Domäne angepasst werden.
Da die Berechtigungen teilweise ziemlich aufwändig angepasst wurden, ist es sinnvoll die jetzigen Berechtigungen
ggf. zu exportieren, anzupassen und in der neuen Domänen zu importieren.
Wer hat hier Erfahrungen bzw. die passenden Vorschläge für die notwendigen Werkzeuge?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 665512
Url: https://administrator.de/forum/verzeichnis-berechtigungen-665512.html
Ausgedruckt am: 23.12.2024 um 12:12 Uhr
7 Kommentare
Neuester Kommentar
PowerShell ist dein Freund. Dort wären dann Befehl wie Get-ACL und Set-ACL zu rate zu ziehen.
Dein Text ist so ziemlich allgemien gehalten. Wir kennen diene Struktur nicht. Derartiges ist meist individuell zu betrachten.
Grüße
Daemmerung
Dein Text ist so ziemlich allgemien gehalten. Wir kennen diene Struktur nicht. Derartiges ist meist individuell zu betrachten.
- haben die Gruppen in der neuen Domäne die gleichen Bezeichnungen?
- Ist die Struktur in der neuen Domäne die gleiche?
- wie stellst du dir das im Detail vor?
Grüße
Daemmerung
Hallo,
mit AccessEnum kann man sich prima einen Unterschied verschaffen.
https://docs.microsoft.com/en-us/sysinternals/downloads/accessenum
Du sprichst von einer "neuen Domäne".
Sind es dann richtige neue Benutzer weil anderes AD?
Dann bleibt Dir vermutlich nur Handarbeit. Windows denkt nicht in Benutzernamen sondern in IDs.
Stefan
mit AccessEnum kann man sich prima einen Unterschied verschaffen.
https://docs.microsoft.com/en-us/sysinternals/downloads/accessenum
Du sprichst von einer "neuen Domäne".
Sind es dann richtige neue Benutzer weil anderes AD?
Dann bleibt Dir vermutlich nur Handarbeit. Windows denkt nicht in Benutzernamen sondern in IDs.
Stefan
Wenn sich die Freigaben / Dateien auf einem Samba-Member-Server befinden, wäre das Umhängen unter Beibehaltung der Berechtigungsstruktur im Prinzip sehr einfach: Mit net ads den Server aus der alten Domäne nehmen und sogleich mit der neuen Domäne verbinden. In der smb.conf ist anstelle der alten Domäne die neue Domäne anzugeben, was ja ohnehin unumgänglich ist, und dann sollten smbd / winbind beendet, ein net cache flush ausgeführt und beide Dienste wieder gestartet werden. Wer möchte, mag einen Neustart durchführen, was aber nicht zwingend ist.
Das setzt "nur" voraus, dass den relevanten Benutzern / Gruppen in beiden Domänen dieselben Attribute uidNummer und gidNumber zugeordnet sind und dass Samba/Winbind dies für die Berechtigungsverwaltung als Mapping verwendet, siehe hierzu das SambaWiki mit Idmap config ad und Maintaining Unix Attributes in AD using ADUC. Das hat hier bei der jüngst durchgeführten Cross-Forest-Migration bestens für mehrere File Server funktioniert. Die Benutzer / Gruppen der neuen Domäne greifen danach auf die Freigaben / Dateien zu, als ob das in der neuen Domäne schon immer so gewesen wäre.
Natürlich können die UID/GID unter Linux mittels getfacl und setfacl oder auch mittels find per Script / Kommandozeile sehr einfach angepasst werden. So ist beispielsweise ein Austausch einer UID gegen eine andere UID sehr schnell erledigt.
Viele Grüße
HansDampf06
Das setzt "nur" voraus, dass den relevanten Benutzern / Gruppen in beiden Domänen dieselben Attribute uidNummer und gidNumber zugeordnet sind und dass Samba/Winbind dies für die Berechtigungsverwaltung als Mapping verwendet, siehe hierzu das SambaWiki mit Idmap config ad und Maintaining Unix Attributes in AD using ADUC. Das hat hier bei der jüngst durchgeführten Cross-Forest-Migration bestens für mehrere File Server funktioniert. Die Benutzer / Gruppen der neuen Domäne greifen danach auf die Freigaben / Dateien zu, als ob das in der neuen Domäne schon immer so gewesen wäre.
Natürlich können die UID/GID unter Linux mittels getfacl und setfacl oder auch mittels find per Script / Kommandozeile sehr einfach angepasst werden. So ist beispielsweise ein Austausch einer UID gegen eine andere UID sehr schnell erledigt.
Viele Grüße
HansDampf06