• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

AD Migration: Domain Local Groups migrieren?

Jan 17, 2014 (Letztes Update) | Posted by Jens Künzler Administration, KnowHow, Migration |

 

In fast jedem Active Directory Migrationsprojekt stellt sich irgendwann die Frage:

  • Werden die Domain Local Groups (DLG) migriert oder nicht?

Ist es notwendig bei einer Active Directory Migration die Domain Local Groups zu migrieren um einen Zugriff auf Ressourcen in der Quellumgebung zu ermöglichen?

In der klassischen Berechtigungsverwaltung in Windows Domänen verfolgt man ein sog. Group Nesting. Ein Benutzerkonto ist Mitglied in einer Globalen Gruppe (GG), diese GG ist wiederum Mitglied in einer DLG. Die DLG ist in der ACL der Ressource eingetragen, z.B. NTFS Berechtigungen auf einem Fileserver.

Bei einer Active Directory Migration werden Gruppen und Benutzer in eine andere Domäne übertragen. Die Benutzer in der Zieldomäne sollen die gleichen Zugriffsberechtigungen haben, wie in der Quelldomäne.

Die Frage, welche sich hier immer wieder stellt ist, ob die DLG ebenfalls in die Zieldomäne übertragen werden muss, damit die Benutzer Zugriff auf die Ressourcen haben.

Grundsätzlich kann man sagen, dass die SID / SIDH von DLG bei einem Zugriff über einen Trust vom Security Token entfernt wird. Somit kann die DLG eigentlich nicht für den Zugriff nötig sein.

Da dies aber nirgends schwarz auf weiß nachzulesen ist, habe ich das Szenario in einer Testumgebung nachgestellt.

TestUser1 ist Mitglied von GG-TestGroup3 ist Mitglied von DLG-TestGroup3

1

 

 

 

2

 

 

 

 

Eine Freigabe “test-share-for-dlg-migration” auf einem Server in der Quelldomäne.

DLG-TestGroup3 hat die Berechtigungen „Ändern“ (NTFS):

3

 

 

 

 

 

 

 

 

 

 

Freigabe Berechtigungen:

4

 

 

 

 

 

 

 

 

 

 

TestUser1 wurde in die Zieldomäne migriert und ist Mitglied der migrierten Gruppe GG-TestGroup3.

5

 

 

 

 

 

 

Zieldomäne\GG-TestGroup3 ist nicht Mitglied in einer weiteren Gruppe:

(nicht Mitglied in einer migrierten DLG)

6

 

 

 

 

 

 

 

 

Zieldomäne\GG-TestGroup3 wurde mit SIDH migriert:

8

 

 

 

 

Zusammenfassung:

  • Quelldomäne\DLG-TestGroup3 wurde nicht migriert
  • Zieldomäne\testuser1 hat keine SIDH
  • Zieldomäne\testuser1 ist Mitglied von Zieldomäne\GG-TestGroup3
  • Zieldomäne\GG-TestGroup3 hat SIDH

Jetzt wird es spannend:

Verbindung eines Netzwerklaufwerks auf dem Server in der Quelldomäne mit dem migrierten Benutzer in der Zieldomäne…

Zugriff ist möglich!

9

 

Gegenprobe: SIDH von Zieldomäne\GG-TestGroup3 wird entfernt:10

 

 

 

 

11

 

 

 

 

 

Fazit:

So lange sich die Ressourcen noch in der Quell Domäne befinden, ist es nicht notwendig die DLG zu migrieren. Sobald die Ressourcen in die Ziel Domäne umgezogen werden, müssen die DLG migriert werden.

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 17.01.2014
0

You also might be interested in

Account-lockout-policy

Active Directory – Account Lockout Policy

Feb 5, 2015

Die Einstellungen in der Account Lockout Policy der Active Directory[...]

ADFS-3.0-Neuerungen

Neuerungen in ADFS 3.0 (Active Directory Federation Services)

Jan 12, 2015

ADFS 3.0 ist Bestandteil von Windows Server 2012 R2. Die[...]

Novell-AD

Novell Migration: Kritische Legacy-Applikationen mit OpenLDAP-Proxy umstellen

Okt 27, 2015

In diesem Artikel möchte ich den LDAP-Proxy als Möglichkeit zur[...]

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next