Domänenmigration: „Zugriff verweigert“ nach Änderung von Gruppentypen

Während einer AD Domänenmigration in einer Kundenumgebung hatte ich das Phänomen, dass auf einmal Gruppenberechtigungen auf File Shares nicht mehr funktionierten.

Ausgangssituation: Abgeschlossene AD Migration

Die Migration von der Quell- zur Zieldomäne war eigentlich schon abgeschlossen. Die Benutzer und Gruppen wurden mittels SID-History in die Zieldomäne migriert. Die Migrationen der Benutzer, der Clients, der Exchange Umgebung und ein Großteil der Server waren bereits abgeschlossen. Ebenfalls die NAS-Systeme, welche CIFS-Shares bereitstellen, waren bereits in die Zieldomäne umgezogen. Alle Zugriffe funktionierten einwandfrei.
 

Kein Zugriff auf Ressourcen

Eines Tages funktionierte der Zugriff auf einige Ressourcen nicht mehr.
Nach der Recherche stellte sich das Problem als Änderung des Gruppentyps heraus:

• Es Betrifft nur Ressourcen, welche sich noch in der Quelldomäne befinden
• Der Typ der Berechtigungsgruppen in der Zieldomäne wurde auf „domain local“ geändert
   

Lösung: Gruppentyp in der Quelldomäne anpassen

Nach einiger Suche fanden wir zwei Lösungswege:

• Anpassung des Typs der Berechtigungsgruppe auf „Domain local“ auch in der Quellumgebung, so dass der Typ in beiden Domänen gleich ist
• Migration des Servers in die Zieldomäne
   

Verhalten der SID-History

Bei der Suche im Internet haben wir herausgefunden, dass das Verhalten von SID-History bei globalen und universellen Gruppen anders ist, als bei domänenlokalen Gruppen.

Quellen: Dell KB und Microsoft KB
 

Empfehlung

Wenn während der AD Migration von einer Quell- in eine Zieldomäne der Typ einer Berechtigungsgruppe geändert werden muss, empfehlen wir die Änderung in beiden Umgebungen durchzuführen. Auf diese Weise kann der Zugriff auf alle Ressourcen gesichert werden.