Hilfe
Neues Thema
Antworten
Hallo zusammen,
ich stehe vor einer Domainmigration und habe folgendes Problem.
Ich übertrage Ordner von Domäne 1 auf Domäne 2, nun möchte ich bevor ich das tue die Sicherheitseinstellungen der Ordner anpassen, damit die User die bereits in Domäne 2 arbeiten, weiterhin Zugriff auf die Ordner in Domäne 1 haben. Schaut dann ca. so aus
"Ordner" mit Sicherheiteinstellungen Domaene1\User1, Domaene2\User1.
Die User und Gruppennamen werden im AD 1 zu 1 übernommen.
Wenn ich in der alten Domäne allerdings versuche einen User der neuen Domäne zu hinterlegen, bekomme ich immer den Fehler "The SID for a trustee could not be found" ich ralle net warum.
Folgenden Befehl nutze ich: SetACL.exe -on "D:\Ordner" -ot file -actn ace -ace "n:domain1\user1;p:change"
Zwischen den Domänen ist ein Trust eingerichtet und wenn ich die User händisch eintrage funktioniert es ja auch ohne Probleme.
Danke im vorraus für die Hilfe
Seite 1 von 1
SetACL vor Domänenumzug
#1
Blackhawk 
- Gruppe: aktive Mitglieder
- Beiträge: 478
- Beigetreten: 02. Juni 02
- Reputation: 0
- Wohnort:NRW
geschrieben 21. September 2010 - 14:06
Nach oben
#2
Odom
- Gruppe: aktive Mitglieder
- Beiträge: 110
- Beigetreten: 17. November 03
- Reputation: 4
- Geschlecht:Männlich
- Wohnort:Berlin
geschrieben 21. September 2010 - 14:34
Hallo,
die Usernamen sind wenn man es genau nimmt nur für den Menschen zum besser lesen. Intern Nutzt windows dafür SID. Und Bei jeder Domaine sind sie anders, auch wenn der User ganz genauso heißt.
Deswegen kannst du nicht einfach, die ACLs von Domaine 1 auf Domaine 2 kopieren.
Damit du auf Domaine 2 User von Domaine 1 Berechtigen kannst, brauchst du einen Trust (Vertrauenstellung) zwischen den beiden Domainen.
Wenn du diesen dann hast, kannst du mittels dem Tool ADMT (gibts bei Microsoft) die User von Domaine 1 in Domaine 2 Übernehmen, so kannst du alle deine User so wie sie sind (samt Namen, Einstellungen, Passwort) etc von Domaine 1 nach 2 kopieren.
Edit:
Ups da habe ich doch glatt überlesen das schon ein Trust eingerichtet ist
Heißt deine neue Domaine wirklich Domain1?
die Usernamen sind wenn man es genau nimmt nur für den Menschen zum besser lesen. Intern Nutzt windows dafür SID. Und Bei jeder Domaine sind sie anders, auch wenn der User ganz genauso heißt.
Deswegen kannst du nicht einfach, die ACLs von Domaine 1 auf Domaine 2 kopieren.
Damit du auf Domaine 2 User von Domaine 1 Berechtigen kannst, brauchst du einen Trust (Vertrauenstellung) zwischen den beiden Domainen.
Wenn du diesen dann hast, kannst du mittels dem Tool ADMT (gibts bei Microsoft) die User von Domaine 1 in Domaine 2 Übernehmen, so kannst du alle deine User so wie sie sind (samt Namen, Einstellungen, Passwort) etc von Domaine 1 nach 2 kopieren.
Edit:
Ups da habe ich doch glatt überlesen das schon ein Trust eingerichtet ist
Zitat
Folgenden Befehl nutze ich: SetACL.exe -on "D:\Ordner" -ot file -actn ace -ace "n:domain1\user1;p:change"
Heißt deine neue Domaine wirklich Domain1?
Dieser Beitrag wurde von Odom bearbeitet: 21. September 2010 - 14:52
#3
Blackhawk
- Gruppe: aktive Mitglieder
- Beiträge: 478
- Beigetreten: 02. Juni 02
- Reputation: 0
- Wohnort:NRW
geschrieben 22. September 2010 - 10:39
Nö, heißt sie nicht.
Aber der u.g. Befehl soll ja genau das können was ich möchte. Aber auch hier erhalte ich den o.g. Fehler und ich verstehe einfach nicht warum. Wenn ich es händisch machen kann, muss er ja die Namen mit der Domain 2 auch abgleichen können.
SetACL.exe -on "\\server1\share1\users" -ot file -actn trustee -rec cont_obj -trst "n1:domain1\user1;n2:domain2\user2;ta:cpytrst;w:dacl"
This might be useful in a migration scenario where users from domain1 are migrated (copied) to domain2. This command copies all ACEs belonging to 'domain1\user1' to 'domain2\user2' resulting in a duplication of permissions: after the process domain2\user2 has the same permissions as domain1\user1.
Aber der u.g. Befehl soll ja genau das können was ich möchte. Aber auch hier erhalte ich den o.g. Fehler und ich verstehe einfach nicht warum. Wenn ich es händisch machen kann, muss er ja die Namen mit der Domain 2 auch abgleichen können.
SetACL.exe -on "\\server1\share1\users" -ot file -actn trustee -rec cont_obj -trst "n1:domain1\user1;n2:domain2\user2;ta:cpytrst;w:dacl"
This might be useful in a migration scenario where users from domain1 are migrated (copied) to domain2. This command copies all ACEs belonging to 'domain1\user1' to 'domain2\user2' resulting in a duplication of permissions: after the process domain2\user2 has the same permissions as domain1\user1.
Thema verteilen:
Seite 1 von 1