AD Migration: Domain Local Groups migrieren?

In fast jedem Active Directory Migrationsprojekt stellt sich irgendwann die Frage:

• Werden die Domain Local Groups (DLG) migriert oder nicht?

Ist es notwendig bei einer Active Directory Migration die Domain Local Groups zu migrieren um einen Zugriff auf Ressourcen in der Quellumgebung zu ermöglichen?

In der klassischen Berechtigungsverwaltung in Windows Domänen verfolgt man ein sog. Group Nesting. Ein Benutzerkonto ist Mitglied in einer Globalen Gruppe (GG), diese GG ist wiederum Mitglied in einer DLG. Die DLG ist in der ACL der Ressource eingetragen, z.B. NTFS Berechtigungen auf einem Fileserver.

Bei einer Active Directory Migration werden Gruppen und Benutzer in eine andere Domäne übertragen. Die Benutzer in der Zieldomäne sollen die gleichen Zugriffsberechtigungen haben, wie in der Quelldomäne.

Die Frage, welche sich hier immer wieder stellt ist, ob die DLG ebenfalls in die Zieldomäne übertragen werden muss, damit die Benutzer Zugriff auf die Ressourcen haben.

Grundsätzlich kann man sagen, dass die SID / SIDH von DLG bei einem Zugriff über einen Trust vom Security Token entfernt wird. Somit kann die DLG eigentlich nicht für den Zugriff nötig sein.

Da dies aber nirgends schwarz auf weiß nachzulesen ist, habe ich das Szenario in einer Testumgebung nachgestellt.

TestUser1 ist Mitglied von GG-TestGroup3 ist Mitglied von DLG-TestGroup3

 

 

 

 

 

 

 

Eine Freigabe “test-share-for-dlg-migration” auf einem Server in der Quelldomäne.

DLG-TestGroup3 hat die Berechtigungen “Ändern” (NTFS):

 

 

 

 

 

 

 

 

 

 

Freigabe Berechtigungen:

 

 

 

 

 

 

 

 

 

 

TestUser1 wurde in die Zieldomäne migriert und ist Mitglied der migrierten Gruppe GG-TestGroup3.

 

 

 

 

 

 

Zieldomäne\GG-TestGroup3 ist nicht Mitglied in einer weiteren Gruppe:

(nicht Mitglied in einer migrierten DLG)

 

 

 

 

 

 

 

 

Zieldomäne\GG-TestGroup3 wurde mit SIDH migriert:

 

 

 

 

Zusammenfassung:

• Quelldomäne\DLG-TestGroup3 wurde nicht migriert
• Zieldomäne\testuser1 hat keine SIDH
• Zieldomäne\testuser1 ist Mitglied von Zieldomäne\GG-TestGroup3
• Zieldomäne\GG-TestGroup3 hat SIDH

Jetzt wird es spannend:

Verbindung eines Netzwerklaufwerks auf dem Server in der Quelldomäne mit dem migrierten Benutzer in der Zieldomäne…

Zugriff ist möglich!

 

Gegenprobe: SIDH von Zieldomäne\GG-TestGroup3 wird entfernt:

 

 

 

 

 

 

 

 

 

Fazit:

So lange sich die Ressourcen noch in der Quell Domäne befinden, ist es nicht notwendig die DLG zu migrieren. Sobald die Ressourcen in die Ziel Domäne umgezogen werden, müssen die DLG migriert werden.