• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Quest Migration Manager for AD QMM – verwaiste Objekte in ADAM Directory

Aug 6, 2014 (Letztes Update) | Posted by Jens Künzler Administration, KnowHow, Migration, Quest Migration Manager |

 

Während einer Directoy Synchronisation mit dem Quest Migration Manager for AD QMM können verwaiste Objekten in der der ADAM Datenbank entstehen.

Ich hatte in der Vergangenheit schon des Öfteren über das Handling des Quest Migration Manager for AD QMM-AD berichtet. Nachdem in einem aktuell laufenden Projekt die Directory Synchronization DSA abgeschlossen ist und die DSA-Agenten gestoppt sind, möchte ich nun die verwaisten Objekte im ADAM Directory bereinigen.

Hintergrund:

Jedes Synchronisierte Objektpaar wird in dem QMM ADAM Directory als MAP-Object angelegt. Sollte ein Objekt in der Zieldomäne gelöscht und erneut migriert worden sein, so existieren für das Quell-Objekt zwei Objektpaare in dem QMM ADAM Directory. Dies ist für den Betrieb der Synchronisation nicht weiter schlimm. Sobald Ressourcen mit dem Quest Resource Updating Manager RUM umgezogen werden, wird es unschön. Der RUM erzeugt aus den Daten im ADAM Directory eine Datei VMOVER.INI, welche SID-Paare [Quell-SID <> Ziel-SID] enthält. Die VMOVER.EXE sucht beim reACLing Prozess nach der Quell SID und trägt die in der VMOVER.INI vorhandene Ziel-SID ein. Wenn hier mehrere Einträge für eine Quell-SID vorhanden sind, so werden alle Ziel-SIDs eingetragen. In unserem Beispiel existiert eine der beiden SIDs nicht mehr in der Ziel-Domäne, was zu einem verwaisten Eintrag in der ACL der Ressource führt (z.B. NTFS ACL).

Lösung:

Um verwaiste Einträge in ACLs zu vermeiden stellt der Quest Support ein Script zur Verfügung, welches verwaiste Einträge aus dem QMM ADAM Directory entfernen kann.

Download Link

Anwendung:

Wie findet man Objekte im ADAM Directory?

Auf dem ADAM Server findet man unter [Start – Programme – ADAM] einen Eintrag [ADAM ADSI Edit]. Wichtig ist hier der DN (Distinguished Name). Dies ist der Projektname, welcher in der QMM Konsole angegeben wird. Beispiel: cn=QMMAD.

  

 

 

 

 

 

Die Objekte werden im ADAM Directory in einer flachen Struktur angelegt, sodass eine manuelle Suche fast unmöglich ist. Hier hilft eine LDAP Query mit ADSI-Edit. Für die Speicherung der Informationen aus Quell und Zielobjekt in einem MAP-Object hat sich Quest neue Attribute ausgedacht. Der SamAccountName wird zum Beispiel in zwei Attributen gespeichert:

Quell-Domain: aelita-Amm-SourceSamAccountName
Ziel-Domain:    aelita-Amm-TargetSamAccountName

Eine LDAP Query für einen Account könnte so aussehen:

Name:                         beliebiger Name
Root of Search:           CN=QMMAD
Query String:              (aelita-Amm-TargetSamAccountName=”Name des Objekts”)

 

 

 

 

 

 

Objekte als gelöscht markieren:

Das Skript des Quest Support RemoveQMMMapInvalidEnrtries.vbs sucht die Einträge im ADAM Directory in der Ziel-Domäne. Sollte das Objekt nicht mehr existieren, so wird das Attribute aelita-Amm-Deleted auf den Wert TRUE gesetzt. Die LDAP Query kann wie folgt angepasst werden:

Suche nach existierenden Objekten: (aelita-Amm-Deleted nicht gesetzt / Not set)

(&(aelita-amm-targetsamaccountname=“Name“)(!aelita-Amm-Deleted=*))

 

 

 

 

 

 

 

 Suche nach gelöschten Objekten: (aelita-Amm-Deleted=TRUE)

(&(aelita-amm-targetsamaccountname=“Name“)(aelita-Amm-Deleted=TRUE))

 

 

 

 

 

 

 

Quest Support hat ein kurzes Video veröffentlicht, welches die ADSI Verbindung zum ADAM Directory erläutert:

Link zum Video

 

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 04.06.2013
0

You also might be interested in

AD-Telefonnummern-automatisiert-anpassen
AD-Telefonnummern-automatisiert-anpassen

AD Telefonnummern automatisch korrigieren

Jul 2, 2019

Die Verwaltung von Telefonnummern ist erfahrungsgemäß ein unbeliebter Aspekt der[...]

PowerShell

Active Directory Subnetze mit PowerShell auslesen

Jul 28, 2016

Eine Liste aller Subnetze einer AD Site zu erstellen, ist[...]

Remote Zugriff per SQL Server Management Studio auf SQL Express Server

Aug 31, 2011

Die Installation der SQL Server Express Edition erfolgt in der[...]

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

Wer schreibt ?

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen umfangreichen, wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD
  • Microsoft Teams und Teams-Apps mit SSO über Azure AD konfigurieren
  • Authentifizierung für MS Teams in hybriden Netzwerken


FirstAttribute

Identity Management | Jobs

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
  • Microsoft Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2022 · Active-Directory-FAQ by firstattribute.com

Prev Next