• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Quest Migration Manager for AD QMM – verwaiste Objekte in ADAM Directory

Aug 6, 2014 (Letztes Update) | Posted by Jens Künzler Administration, KnowHow, Migration, Quest Migration Manager |

 

Während einer Directoy Synchronisation mit dem Quest Migration Manager for AD QMM können verwaiste Objekten in der der ADAM Datenbank entstehen.

Ich hatte in der Vergangenheit schon des Öfteren über das Handling des Quest Migration Manager for AD QMM-AD berichtet. Nachdem in einem aktuell laufenden Projekt die Directory Synchronization DSA abgeschlossen ist und die DSA-Agenten gestoppt sind, möchte ich nun die verwaisten Objekte im ADAM Directory bereinigen.

Hintergrund:

Jedes Synchronisierte Objektpaar wird in dem QMM ADAM Directory als MAP-Object angelegt. Sollte ein Objekt in der Zieldomäne gelöscht und erneut migriert worden sein, so existieren für das Quell-Objekt zwei Objektpaare in dem QMM ADAM Directory. Dies ist für den Betrieb der Synchronisation nicht weiter schlimm. Sobald Ressourcen mit dem Quest Resource Updating Manager RUM umgezogen werden, wird es unschön. Der RUM erzeugt aus den Daten im ADAM Directory eine Datei VMOVER.INI, welche SID-Paare [Quell-SID <> Ziel-SID] enthält. Die VMOVER.EXE sucht beim reACLing Prozess nach der Quell SID und trägt die in der VMOVER.INI vorhandene Ziel-SID ein. Wenn hier mehrere Einträge für eine Quell-SID vorhanden sind, so werden alle Ziel-SIDs eingetragen. In unserem Beispiel existiert eine der beiden SIDs nicht mehr in der Ziel-Domäne, was zu einem verwaisten Eintrag in der ACL der Ressource führt (z.B. NTFS ACL).

Lösung:

Um verwaiste Einträge in ACLs zu vermeiden stellt der Quest Support ein Script zur Verfügung, welches verwaiste Einträge aus dem QMM ADAM Directory entfernen kann.

Download Link

Anwendung:

Wie findet man Objekte im ADAM Directory?

Auf dem ADAM Server findet man unter [Start – Programme – ADAM] einen Eintrag [ADAM ADSI Edit]. Wichtig ist hier der DN (Distinguished Name). Dies ist der Projektname, welcher in der QMM Konsole angegeben wird. Beispiel: cn=QMMAD.

  

 

 

 

 

 

Die Objekte werden im ADAM Directory in einer flachen Struktur angelegt, sodass eine manuelle Suche fast unmöglich ist. Hier hilft eine LDAP Query mit ADSI-Edit. Für die Speicherung der Informationen aus Quell und Zielobjekt in einem MAP-Object hat sich Quest neue Attribute ausgedacht. Der SamAccountName wird zum Beispiel in zwei Attributen gespeichert:

Quell-Domain: aelita-Amm-SourceSamAccountName
Ziel-Domain:    aelita-Amm-TargetSamAccountName

Eine LDAP Query für einen Account könnte so aussehen:

Name:                         beliebiger Name
Root of Search:           CN=QMMAD
Query String:              (aelita-Amm-TargetSamAccountName=”Name des Objekts”)

 

 

 

 

 

 

Objekte als gelöscht markieren:

Das Skript des Quest Support RemoveQMMMapInvalidEnrtries.vbs sucht die Einträge im ADAM Directory in der Ziel-Domäne. Sollte das Objekt nicht mehr existieren, so wird das Attribute aelita-Amm-Deleted auf den Wert TRUE gesetzt. Die LDAP Query kann wie folgt angepasst werden:

Suche nach existierenden Objekten: (aelita-Amm-Deleted nicht gesetzt / Not set)

(&(aelita-amm-targetsamaccountname=“Name“)(!aelita-Amm-Deleted=*))

 

 

 

 

 

 

 

 Suche nach gelöschten Objekten: (aelita-Amm-Deleted=TRUE)

(&(aelita-amm-targetsamaccountname=“Name“)(aelita-Amm-Deleted=TRUE))

 

 

 

 

 

 

 

Quest Support hat ein kurzes Video veröffentlicht, welches die ADSI Verbindung zum ADAM Directory erläutert:

Link zum Video

 

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 04.06.2013
0

You also might be interested in

Freeware Tool : “Mouse without borders”

Nov 4, 2011

Microsoft hat ein Freeware Tool herausgebracht mit welchem man über[...]

NTFS / ACL - Dateien verschwinden nach Verschieben

Windows 7 – Geändertes Verhalten beim Verschieben

Mrz 30, 2015

Mit Windows 7 hat sich scheinbar das Verhalten des Windows[...]

Quest Migration Manager QMM – Directory Synchronization startet nicht!

Nov 8, 2012

Nachdem die bidirektionale Synchronisation zwischen zwei Active Directory Domänen mit[...]

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

Wer schreibt ?

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM-, Migrations- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen umfangreichen, wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • LastLogon vs. LastLogonTimestamp
  • Teams Benennungsrichtlinien definieren
  • Bitlocker-Recovery Password mit PowerShell auslesen
  • Neuen Exchange-Ordner im Postfach automatisch anlegen
  • AD Gruppenverwaltung delegieren


FirstAttribute

AD Identity Management | Jobs

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Berechtigung Berechtigungen Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange 2016 Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP lokale Gruppen Microsoft Azure Migration New-ADUser Novell NTFS O365 Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • Alex bei Powershell – Home Directory anlegen und Berechtigungen vergeben
  • Kupfer Küchenmischbatterie bei PowerShell – Gruppen-Manager Berechtigung setzen
  • Kevin bei Verschachtelung von Gruppen im AD
Login
Impressum
Datenschutzerklärung

© 2021 · Active-Directory-FAQ by firstattribute.com

Prev Next