• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Domänenmigration: „Zugriff verweigert“ nach Änderung von Gruppentypen

Sep 2, 2016 (Letztes Update) | Posted by Armin Götz Migration |

 

Während einer AD Domänenmigration in einer Kundenumgebung hatte ich das Phänomen, dass auf einmal Gruppenberechtigungen auf File Shares nicht mehr funktionierten.

Inhaltsverzeichnis

  • 1 Ausgangssituation: Abgeschlossene AD Migration
    • 1.1 Kein Zugriff auf Ressourcen
  • 2 Lösung: Gruppentyp in der Quelldomäne anpassen
    • 2.1 Verhalten der SID-History
    • 2.2 Empfehlung
 

Ausgangssituation: Abgeschlossene AD Migration

Die Migration von der Quell- zur Zieldomäne war eigentlich schon abgeschlossen. Die Benutzer und Gruppen wurden mittels SID-History in die Zieldomäne migriert. Die Migrationen der Benutzer, der Clients, der Exchange Umgebung und ein Großteil der Server waren bereits abgeschlossen. Ebenfalls die NAS-Systeme, welche CIFS-Shares bereitstellen, waren bereits in die Zieldomäne umgezogen. Alle Zugriffe funktionierten einwandfrei.
 

Kein Zugriff auf Ressourcen

Eines Tages funktionierte der Zugriff auf einige Ressourcen nicht mehr.
Nach der Recherche stellte sich das Problem als Änderung des Gruppentyps heraus:

  • Es Betrifft nur Ressourcen, welche sich noch in der Quelldomäne befinden
  • Der Typ der Berechtigungsgruppen in der Zieldomäne wurde auf „domain local“ geändert
      Domaenenmigration-domain-local-sid-history

Lösung: Gruppentyp in der Quelldomäne anpassen

Nach einiger Suche fanden wir zwei Lösungswege:

  • Anpassung des Typs der Berechtigungsgruppe auf „Domain local“ auch in der Quellumgebung, so dass der Typ in beiden Domänen gleich ist
  • Migration des Servers in die Zieldomäne
     

Verhalten der SID-History

Bei der Suche im Internet haben wir herausgefunden, dass das Verhalten von SID-History bei globalen und universellen Gruppen anders ist, als bei domänenlokalen Gruppen.

Quellen: Dell KB und Microsoft KB
 

Empfehlung

Wenn während der AD Migration von einer Quell- in eine Zieldomäne der Typ einer Berechtigungsgruppe geändert werden muss, empfehlen wir die Änderung in beiden Umgebungen durchzuführen. Auf diese Weise kann der Zugriff auf alle Ressourcen gesichert werden.


 

FirstAttribute AG

Dieser Artikel entstand bei Projekten der FirstAttribute AG
AD Consulting
| AD Migration

Ihr Kontakt für Migrationen


Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 01.10.2015
Tags: Active Directory Migrationlokale GruppenSID History
1

You also might be interested in

Titel-Verschachtelte-Gruppen

Verschachtelung von Gruppen im AD

Apr 20, 2016

Ich werde des Öfteren gefragt, welcher Gruppentyp in welchen Gruppen[...]

AD-Migration-Exchange-First-snippet

Active Directory Migration – Exchange First

Okt 9, 2014

Bei den meisten Active Directory Migrationen geht es darum Domänen[...]

NTFS-zugriff-freigabe-ohne-berechtigung

NTFS: Lokale Gruppen Benutzer, Administratoren und UAC

Sep 7, 2015

Lese- oder Schreibrechte auf File Servern, die Benutzer über Berechtigungsgruppen[...]

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next