権限を維持しながら、Windows Server 2003 ディレクトリをあるドメインから別のドメインに移動しますか?

権限を維持しながら、Windows Server 2003 ディレクトリをあるドメインから別のドメインに移動しますか?

私はしばらくの間、Windows 2003R2 AD ad1.local を実行しています。このドメインには 2 つの DC が関与しています。

その後、別の AD、ad2.local が作成されました。この AD も Windows Server 2003 システムでホストされていました。この AD のサーバーの 1 つは、1TB の RAID ドライブを備えたシステムでした。しばらく前に、2 つのドメイン間の信頼が実装されました。これにより、ad1.local のユーザーは ad2.local で認証して 1TB ドライブにアクセスできるようになりました。後者では、ad1.local AD とは異なるグループ/ユーザー権限を持つ多くのディレクトリが作成されました。

これは面倒な設定です。特に、すべてを新しいハードウェア上の VM に移行するロードマップ (ついに!!!) があり、さらに Windows 2019 にアップグレードする (ad1.local ユーザー アカウントなどを保持したい場合は直接アップグレードしない) 予定であるため、面倒です。このプロセスの 1 つの手順は、この大量のデータを 1Tb の ad2.local システムから移動して、権限をそのまま維持しながら ad1.local から直接アクセスできるようにすることです。

これが可能かどうかはわかりません。簡単に言うと、この ad2.local システムを「移動」して ad1.local に参加させたいと思っています。ワークステーションであれば、物事は簡単です。ad2.local AD を離れ、ポリシーを削除するために数回再起動してから、ad1.local AD に参加します。

しかし、私のシナリオでは、1TB ディスクには複雑な権限 (ad1.local の誰がどのサブディレクトリの何を表示、書き込み、または変更できるか) が保持されています。このすべての情報は、exit ad2.local -> enter ad1.local domain を実行すると失われると思われます...

他の代替案も試してみたいと思います。iSCSI 共有をサーバーできる NAS を持っています。それを ad2.local 1TB ディスクをホストしているシステムに接続してクローンを作成し、この iSCSI を ad1.local サーバーの 1 つに接続することは可能でしょうか?

これらすべてをどうやって達成するか、まったくわかりません。どんな情報でもいただければ幸いです。

ちなみに、私は ad1.local でローミング プロファイルを使用していません。共有ディスクが ad1.local ユーザーに表示され、この ad2.local 共有ディスクを指すようにするための GPO がいくつか配置されていますが、もちろん変更することもできます。

編集スレッドはロックされており、これを解決策として投稿することはできませんが、同様の問題に遭遇した人のためにこれを残しておきます:

ad2.domain システムの 1TB から iSCSI ドライブにディスクのクローンを作成しました (もちろん物理ドライブでもかまいませんが、これはサーバー システムなので、ディスクは RAID メンバーであるため物理的に取り外すのは簡単ではありません。外付け USB ドライブで十分かもしれません)。次に、iSCSI ドライブを切断し、ad1.domain サーバーの 1 つに接続すると、すべての権限が与えられ、subinacl なしでもすべてが完璧に機能しました。必要なのは共有の作成だけですが、これはかなり簡単でした。

答え1

マップファイルを作成し、Active Directory 移行ツール (ADMT) を使用する必要があります。ADMT の使用方法の詳細については、次の記事を参照してください。

ADMT v3.1 ガイド: Active Directory ドメインの移行と再構築 http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=19188

Active Directory 移行ツール バージョン 3.1 http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=17918

ADMT 3.1 を使用した Active Directory の移行 http://www.sivarajan.com/admt.html

...または、SUBINACL コマンドを使用します。TechNet のこのリンクをご覧ください。 https://social.technet.microsoft.com/Forums/windowsserver/en-US/f36ada21-63e9-4902-8951-36eafe62b497/migrate-file-server-to-new-domain-and-export-ntfs-permission?forum=winserverMigration

関連情報