• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

AD Migration: Domain Local Groups migrieren?

Jan 17, 2014 (Letztes Update) | Posted by Jens Künzler Administration, KnowHow, Migration |

 

In fast jedem Active Directory Migrationsprojekt stellt sich irgendwann die Frage:

  • Werden die Domain Local Groups (DLG) migriert oder nicht?

Ist es notwendig bei einer Active Directory Migration die Domain Local Groups zu migrieren um einen Zugriff auf Ressourcen in der Quellumgebung zu ermöglichen?

In der klassischen Berechtigungsverwaltung in Windows Domänen verfolgt man ein sog. Group Nesting. Ein Benutzerkonto ist Mitglied in einer Globalen Gruppe (GG), diese GG ist wiederum Mitglied in einer DLG. Die DLG ist in der ACL der Ressource eingetragen, z.B. NTFS Berechtigungen auf einem Fileserver.

Bei einer Active Directory Migration werden Gruppen und Benutzer in eine andere Domäne übertragen. Die Benutzer in der Zieldomäne sollen die gleichen Zugriffsberechtigungen haben, wie in der Quelldomäne.

Die Frage, welche sich hier immer wieder stellt ist, ob die DLG ebenfalls in die Zieldomäne übertragen werden muss, damit die Benutzer Zugriff auf die Ressourcen haben.

Grundsätzlich kann man sagen, dass die SID / SIDH von DLG bei einem Zugriff über einen Trust vom Security Token entfernt wird. Somit kann die DLG eigentlich nicht für den Zugriff nötig sein.

Da dies aber nirgends schwarz auf weiß nachzulesen ist, habe ich das Szenario in einer Testumgebung nachgestellt.

TestUser1 ist Mitglied von GG-TestGroup3 ist Mitglied von DLG-TestGroup3

1

 

 

 

2

 

 

 

 

Eine Freigabe “test-share-for-dlg-migration” auf einem Server in der Quelldomäne.

DLG-TestGroup3 hat die Berechtigungen “Ändern” (NTFS):

3

 

 

 

 

 

 

 

 

 

 

Freigabe Berechtigungen:

4

 

 

 

 

 

 

 

 

 

 

TestUser1 wurde in die Zieldomäne migriert und ist Mitglied der migrierten Gruppe GG-TestGroup3.

5

 

 

 

 

 

 

Zieldomäne\GG-TestGroup3 ist nicht Mitglied in einer weiteren Gruppe:

(nicht Mitglied in einer migrierten DLG)

6

 

 

 

 

 

 

 

 

Zieldomäne\GG-TestGroup3 wurde mit SIDH migriert:

8

 

 

 

 

Zusammenfassung:

  • Quelldomäne\DLG-TestGroup3 wurde nicht migriert
  • Zieldomäne\testuser1 hat keine SIDH
  • Zieldomäne\testuser1 ist Mitglied von Zieldomäne\GG-TestGroup3
  • Zieldomäne\GG-TestGroup3 hat SIDH

Jetzt wird es spannend:

Verbindung eines Netzwerklaufwerks auf dem Server in der Quelldomäne mit dem migrierten Benutzer in der Zieldomäne…

Zugriff ist möglich!

9

 

Gegenprobe: SIDH von Zieldomäne\GG-TestGroup3 wird entfernt:10

 

 

 

 

11

 

 

 

 

 

Fazit:

So lange sich die Ressourcen noch in der Quell Domäne befinden, ist es nicht notwendig die DLG zu migrieren. Sobald die Ressourcen in die Ziel Domäne umgezogen werden, müssen die DLG migriert werden.

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 17.01.2014
0

You also might be interested in

Virtuelle Floppy Disk erzeugen

Okt 26, 2011

Die Zeit der Diskette ist noch nicht ganz zu Ende.[...]

Pester

Pester: Test-Framework für PowerShell

Feb 27, 2018

Neulich hat mich ein Kollege auf ein nettes kleines Tool[...]

Windows Server 2012 Startbildschirm in RDP Sitzung öffnen

Dez 6, 2012

Mich hat es in einer virtuellen Sitzung immer genervt, dass[...]

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

Wer schreibt ?

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM-, Migrations- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen umfangreichen, wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • LastLogon vs. LastLogonTimestamp
  • Teams Benennungsrichtlinien definieren
  • Bitlocker-Recovery Password mit PowerShell auslesen
  • Neuen Exchange-Ordner im Postfach automatisch anlegen
  • AD Gruppenverwaltung delegieren


FirstAttribute

AD Identity Management | Jobs

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Berechtigung Berechtigungen Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange 2016 Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP lokale Gruppen Microsoft Azure Migration New-ADUser Novell NTFS O365 Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • Alex bei Powershell – Home Directory anlegen und Berechtigungen vergeben
  • Kupfer Küchenmischbatterie bei PowerShell – Gruppen-Manager Berechtigung setzen
  • Kevin bei Verschachtelung von Gruppen im AD
Login
Impressum
Datenschutzerklärung

© 2021 · Active-Directory-FAQ by firstattribute.com

Prev Next