ADMT遷移之:在遷移過程中保留對源域資源的訪問權限
阿新 • • 發佈:2018-05-28
ADMT Sid History Sidhistory sid篩選 之前發表過使用ADMT進行域對象遷移的文章,連接如下:
http://blog.51cto.com/hubuxcg/1554925
http://blog.51cto.com/hubuxcg/1554927
最近再次使用ADMT進行域遷移時,碰到因SID篩選導致遷移後的用戶無法訪問源域中文件服務器問題,環境如下:源域:Contoso. Old 2008R2,新域:Contoso. Local 2008R2。
先來介紹下SID History,當在進行AD遷移或是重構時,SID History將在遷移或是重構的過程中,用來保持用戶對源有資源的訪問權限;將對象遷移到新域時,會生成一個新的SID;因為Windows是依SID為對象分配權限,在遷移後的對象會因為生成新的SID而失去原有資源的訪問權限,所以在進行域遷移時,需要將源域對象的SID遷移到新域中,作為新域對象的Sid History屬性。
遷移後新域中的SIDHistory
源域和新域內的資源將其訪問控制列表(ACL)解析為SID,然後在授予或拒絕訪問時檢查其ACL和訪問令牌之間的匹配。如果SID或SID歷史記錄匹配,則根據ACL中指定的訪問權限授予或拒絕訪問資源,即保留源域中,已遷移用戶原有的權限!
如果你登錄的用戶有域的管理員或是企業管理員權限,則可以跳過用戶名密碼的選項。
先使用命令查看當然的狀態:
Netdom trust contoso.local /domain:contoso.fg /quarantine
從上圖可以看出,SID 篩選是啟用狀態,因此,需要禁用,命令如下:
Netdom trust contoso.local /domain:contoso.fg /quarantine:no
執行完後,再次查看狀態,顯示為SID篩選禁用,所有SID都會生效。
修改完後還需要在源域的域控制器策略中,啟用SID轉換,GPO配置如下:
完成以上配置後,在使用ADMT進行域遷移時,已遷移的對象將可以繼續使用源域中的所有資源,直接到完成遷移!
http://blog.51cto.com/hubuxcg/1554925
http://blog.51cto.com/hubuxcg/1554927
最近再次使用ADMT進行域遷移時,碰到因SID篩選導致遷移後的用戶無法訪問源域中文件服務器問題,環境如下:源域:Contoso. Old 2008R2,新域:Contoso. Local 2008R2。
先來介紹下SID History,當在進行AD遷移或是重構時,SID History將在遷移或是重構的過程中,用來保持用戶對源有資源的訪問權限;將對象遷移到新域時,會生成一個新的SID;因為Windows是依SID為對象分配權限,在遷移後的對象會因為生成新的SID而失去原有資源的訪問權限,所以在進行域遷移時,需要將源域對象的SID遷移到新域中,作為新域對象的Sid History屬性。
遷移後新域中的SIDHistory
源域和新域內的資源將其訪問控制列表(ACL)解析為SID,然後在授予或拒絕訪問時檢查其ACL和訪問令牌之間的匹配。如果SID或SID歷史記錄匹配,則根據ACL中指定的訪問權限授予或拒絕訪問資源,即保留源域中,已遷移用戶原有的權限!
但從Windows2000(SP4)版本的Windows開始,因為安全性的要求,在兩個目錄林根級域之間建立林信任後,將默認應用 SID 篩選。這就會導致新域中的SID歷史並不能帶到舊域中,而導致ACL無法解析到SID歷史記錄,無法得到有效權限。
如下圖:
為了解決此問題,需要在兩個信任的域之前,使用Netdom trust禁用SID篩選,參考命令:
如果你登錄的用戶有域的管理員或是企業管理員權限,則可以跳過用戶名密碼的選項。
先使用命令查看當然的狀態:
Netdom trust contoso.local /domain:contoso.fg /quarantine
從上圖可以看出,SID 篩選是啟用狀態,因此,需要禁用,命令如下:
Netdom trust contoso.local /domain:contoso.fg /quarantine:no
執行完後,再次查看狀態,顯示為SID篩選禁用,所有SID都會生效。
修改完後還需要在源域的域控制器策略中,啟用SID轉換,GPO配置如下:
完成以上配置後,在使用ADMT進行域遷移時,已遷移的對象將可以繼續使用源域中的所有資源,直接到完成遷移!
ADMT遷移之:在遷移過程中保留對源域資源的訪問權限