Domänenmigration: „Zugriff verweigert“ nach Änderung von Gruppentypen
Während einer AD Domänenmigration in einer Kundenumgebung hatte ich das Phänomen, dass auf einmal Gruppenberechtigungen auf File Shares nicht mehr funktionierten.
Index
Ausgangssituation: Abgeschlossene AD Migration
Die Migration von der Quell- zur Zieldomäne war eigentlich schon abgeschlossen. Die Benutzer und Gruppen wurden mittels SID-History in die Zieldomäne migriert. Die Migrationen der Benutzer, der Clients, der Exchange Umgebung und ein Großteil der Server waren bereits abgeschlossen. Ebenfalls die NAS-Systeme, welche CIFS-Shares bereitstellen, waren bereits in die Zieldomäne umgezogen. Alle Zugriffe funktionierten einwandfrei.
Kein Zugriff auf Ressourcen
Eines Tages funktionierte der Zugriff auf einige Ressourcen nicht mehr.
Nach der Recherche stellte sich das Problem als Änderung des Gruppentyps heraus:
- Es Betrifft nur Ressourcen, welche sich noch in der Quelldomäne befinden
- Der Typ der Berechtigungsgruppen in der Zieldomäne wurde auf „domain local“ geändert
Lösung: Gruppentyp in der Quelldomäne anpassen
Nach einiger Suche fanden wir zwei Lösungswege:
- Anpassung des Typs der Berechtigungsgruppe auf „Domain local“ auch in der Quellumgebung, so dass der Typ in beiden Domänen gleich ist
- Migration des Servers in die Zieldomäne
Verhalten der SID-History
Bei der Suche im Internet haben wir herausgefunden, dass das Verhalten von SID-History bei globalen und universellen Gruppen anders ist, als bei domänenlokalen Gruppen.
Quellen: Dell KB und Microsoft KB
Empfehlung
Wenn während der AD Migration von einer Quell- in eine Zieldomäne der Typ einer Berechtigungsgruppe geändert werden muss, empfehlen wir die Änderung in beiden Umgebungen durchzuführen. Auf diese Weise kann der Zugriff auf alle Ressourcen gesichert werden.
Dieser Artikel entstand bei Projekten der FirstAttribute AG
AD Consulting | AD Migration
Ihr Kontakt für Migrationen
Leave a Reply
<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>