SID-Filtering deaktivieren
Bei einer Active Directory Migration werden eine oder mehrere Domänen parallel zur bestehenden Active Directory Struktur aufgebaut. Nach dem Aufbau der Zielumgebung werden die Benutzer- und Gruppenkonten in die neue Umgebung migriert. Dabei werden meist Migrationswerkzeuge verwendet, die das Attribut SID-History füllen. Über die SID (Security Identifier) eines Objektes werden Berechtigungen vergeben. Das Attribut SID-History enthält die jeweils alten SID’s der Quell-Accounts. Ein Anwender in der neuen Umgebung erhält so die gleichen Berechtigungen auf Resourcen der Quell-Umgebung, die er auch vor der Migration hatte.
Damit das Attribut SID-History verwendet werden kann, muss in der Resourcen-Domäne das SID-Filtering deaktiviert werden. Dieses ist in der Regel aus Sicherheitsgründen aktiviert und sollte auch nach der Migration wieder aktiviert werden.
SID-Filtering in einer Domäne mit deutschem Betriebssystem deaktivieren:
Resource-Domäne: Domäne, in welcher die Resourcen Server stehen
Account-Domäne: Domäne, in welcher die Benutzerkonten liegen, welche auf die Resourcen zugreifen wollen
1 | netdom trust Resource-Domäne /domain:Account-Domäne /quarantine:Nein (Start des Befehls als Administrator in der Quelldomäne) |
SID-Filtering in einer Domäne mit englischem Betriebssystem deaktivieren:
Resource-Domäne: Domäne, in welcher die Resourcen Server stehen
Account-Domäne: Domäne, in welcher die Benutzerkonten liegen, welche auf die Resourcen zugreifen wollen
1 | netdom trust Resource-Domäne /domain:Account-Domäne /quarantine:No (Start des Befehls als Administrator in der Quelldomäne) |
Fehlermedlung “Access denied”
- Eintragen des Administrator-Kontos der Account-Domäne in die Administrators (Administratoren)-Gruppe der Resource-Domäne
- Anmelden an dem DC der Account-Domäne mit dem Administrator-Konto
- Aufruf des Kommandos
1 Comment
Leave your reply.