• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Domain User Migration: SharePoint und SIDHistory

Apr 27, 2017 (Letztes Update) | Posted by Jens Künzler KnowHow, Migration, PowerShell, SharePoint |

 

Eines der Grundprinzipien einer Migration von Active Directory Domains ist der Zugriff auf Ressourcen in der Quell Domain auf Basis der SIDHistrory Information des migrierten Benutzerkontos oder Gruppe. Die SID des Objekts in der Quell Domain wird in das SIDHistory Attribute des Objekts in der Ziel Domain geschrieben. Dies ermöglicht während einer Migrationsphase den Zugriff auf Ressourcen in der Quell Domain.

Leider bricht Microsoft bei SharePoint mit diesem Prinzip.

Inhaltsverzeichnis

  • 1 Das SharePoint und SIDHistory Problem
    • 1.1 Lösung 1 – STSADM
    • 1.2 Lösung 2 – Powershell (ab SharePoint 2010 empfohlen)
  • 2 Migrationsskript

Das SharePoint und SIDHistory Problem

Microsoft SharePoint in den Versionen 2007, 2010 und 2013 unterstützen nicht den Zugriff auf SharePoint Inhalte basierend auf Berechtigungen welche durch die SIDHistory gegeben sind. Werden somit Benutzerkonten in eine andere Active Directory Domain migriert und die SharePoint Farm bleibt zunächst in der Quell Domain zurück, so können die migrierten Benutzerkonten nicht auf die SharePoint Inhalte zugreifen.

Natürlich können sich die Anwender auf der SharePoint Seite manuell mit dem Benutzerkonto der Quell Domain anmelden, dies kann allerdings nur als Workaround dienen.

 

Lösung 1 – STSADM

Eine Lösungsmöglichkeit für das SharePoint und SIDHistory Problem bietet der Austausch der Benutzerkonten innerhalb der SharePoint Berechtigungen. Bevor es die neuen Möglichkeiten per Powershell gab, konnte man sich dem Befehlszeilenwerkzeug STSADM bedienen:

PowerShell
1
stsadm -o migrateuser -oldlogin Domain\olduser -newlogin Domain\newuser -ignoresidhistory

Ein wichtiger Hinweis ist, dass hier ein Austausch der Benutzerkonten durchgeführt wird. Der Account der Quell Domain hat danach keinen Zugriff mehr auf die SharePoint Inhalte. Dies hat wesentlichen Einfluss auf Roll Out Planung und muss unbedingt berücksichtigt werden.

 

Lösung 2 – Powershell (ab SharePoint 2010 empfohlen)

Seit SharePoint 2010 empfiehlt Microsoft die Nutzung der PowerShell cmdLets für SharePoint. STSADM steht zwar weiterhin zur Verfügung, wird aber nicht mehr weiterentwickelt. Wahrscheinlich wird es mit einer der kommenden SharePoint Versionen eingestellt. Daher die Empfehlung sich mit Alternativen der PowerShell vertraut zu machen.

Das cmdLet „Move-SPUser“ erstetzt weitgehend die Funktionen von „stsadm -o migrateuser„

PowerShell
1
Move-SPUser -Identity domain\olduser -NewAlias domain\newuser -IgnoreSID

Wenn man sich mit dem cmdLet „Move-SPUser“ befasst, stößt man recht schnell auf weitere ähnliche cmdLets: get-SPUser und set-SPUser. Das cmdLet get-SPUser gibt eine Liste der Berechtigungen auf einer Site Collection aus. Mit ein wenig Phantasie lässt damit ein kleines Skript schreiben, welches die berechtigten Benutzerkonten einer Site Collection ausliest, den Domain Namen „alt“ gegen „neu“ austauscht und mit move-SPUser die neue Berechtigung setzt.

PowerShell
1
get-SPUser -web https://webapplication/sites/sitecollection | select userlogin

Liefert die berechtigten Benutzerkonten einer Site Collection. Je nach dem ob die Claims Based Authentication der Web Application aktiviert wurde oder nicht, stellt sich die Ausgabe so dar:

1
2
3
4
UserLogin
---------
Domain\username (NTLM)
i:0#.w|Domain\username (Claims Based)

Migrationsskript

Die folgenden Skriptzeilen sollen als Anregung für ein Migrationsskript verstanden werden.

PowerShell
1
2
3
4
5
6
7
8
Add-PSSnapin Microsoft.SharePoint.PowerShell
$users = get-SPUser -web "<a href="https://webapplication/sites/sitecollection" data-mce-href="https://webapplication/sites/sitecollection">https://webapplication/sites/sitecollection</a>"
foreach ($oldUser in $users)
{
$oldUserSTR = $oldUser.userlogin
$newUser = $oldUserSTR.replace("oldDomain", "newDomain")
move-SPUser -Identity $oldUser -NewAlias $newUser -IgnoreSID
}

Link zur Microsoft Technet Seite „Move-SPUser„

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 02.09.2013
Tags: SharePointSID HistoryUs
0

You also might be interested in

Domänenmigration: „Zugriff verweigert“ nach Änderung von Gruppentypen

Okt 1, 2015

Während einer AD Domänenmigration in einer Kundenumgebung hatte ich das[...]

Maximale Anzahl von Gruppenmitgliedschaften

AD Migration und maximale Anzahl von Gruppenmitgliedschaften

Jul 11, 2017

Nach einer AD Migration kann es zu Fehlern bei der[...]

Connect-MsolService

Connect-MsolService – Unable to authenticate your credentials – Office 365 – SharePoint

Apr 12, 2013

Um Konfigurationen in einem Microsoft Online Tenant in der Microsoft Cloud z.B.[...]

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next