Ich verwende seit einiger Zeit ein Windows 2003R2 AD ad1.local. An dieser Domäne sind zwei DCs beteiligt.
Einige Zeit später wurde ein weiteres AD erstellt, ad2.local. Dieses AD wurde ebenfalls auf Windows Server 2003-Systemen gehostet. Einer der Server in diesem AD war ein System mit einem 1-TB-RAID-Laufwerk. Vor einiger Zeit wurde Vertrauen zwischen den beiden Domänen implementiert. Danach konnten sich Benutzer von ad1.local bei ad2.local authentifizieren, um Zugriff auf das 1-TB-Laufwerk zu erhalten. Auf letzterem wurden viele Verzeichnisse mit anderen Gruppen-/Benutzerberechtigungen als im ad1.local-AD erstellt.
Dies ist ein problematisches Setup, insbesondere jetzt, da wir einen Plan haben, alles auf VMs (endlich!!!) auf neuer Hardware zu verschieben und auf Windows 2019 zu aktualisieren (nicht direkt, wenn wir unsere ad1.local-Benutzerkonten und so behalten möchten). Ein Schritt dieses Prozesses besteht darin, diese Vielzahl von Daten vom 1 TB großen ad2.local-System zu verschieben, damit sie direkt von ad1.local aus zugänglich sind, die Berechtigungen jedoch intakt bleiben.
Ich weiß nicht, ob das möglich ist. Einfach ausgedrückt würde ich dieses ad2.local-System gerne „verschieben“, damit es ad1.local beitritt. Wenn es eine Workstation wäre, wäre es einfach: Verlassen Sie das ad2.local AD, starten Sie ein paar Mal neu, um die Richtlinien loszuwerden, und treten Sie dann dem ad1.local AD bei.
Aber in meinem Szenario verfügt die 1-TB-Festplatte über komplexe Berechtigungen (wer von ad1.local aus kann in welchem Unterverzeichnis was sehen, schreiben oder ändern). Ich gehe davon aus, dass all diese Informationen verloren gehen, wenn ich diesen „exit ad2.local -> enter ad1.local domain dance“ ausführe …
Ich bin auch bereit, andere Alternativen auszuprobieren. Ich habe ein NAS, das iSCSI-Freigaben bereitstellen kann. Ich könnte es vielleicht an das System anschließen, auf dem die 1-TB-Festplatte ad2.local gehostet wird, um sie zu klonen, und dieses iSCSI dann mit einem meiner ad1.local-Server verbinden?
Ich habe wirklich keine Ahnung, wie ich das alles schaffen soll. Für jede Info bin ich dankbar!
Zur Klarstellung: Ich verwende in ad1.local keine Roaming-Profile. Ich habe eine Reihe von GPOs eingerichtet, damit freigegebene Datenträger auf meinen ad1.local-Benutzern angezeigt werden, die auf diesen freigegebenen ad2.local-Datenträger verweisen. Das könnte natürlich geändert werden.
BEARBEITENDer Thread ist gesperrt und ich kann dies nicht als Lösung posten, aber ich lasse das hier für jeden da, der auf ein ähnliches Problem stößt:
Ich habe die Festplatte von der 1-TB-Festplatte auf dem ad2.domain-System auf ein iSCSI-Laufwerk geklont (natürlich würde auch ein physisches Laufwerk ausreichen, aber da es sich um ein Serversystem handelt, war es nicht einfach, Festplatten physisch zu entfernen, da sie RAID-Mitglieder sind; vielleicht würde ein externes USB-Laufwerk genügen). Dann habe ich das iSCSI-Laufwerk abgetrennt und an einen meiner ad1.domain-Server angeschlossen und presto: Alle Berechtigungen waren vorhanden, alles funktionierte perfekt, ohne auch nur Subinacl! Das Einzige, was ich tun musste, war, die Freigaben zu erstellen, was ziemlich einfach war!
Antwort1
Sie müssen eine Map-Datei erstellen und das Active Directory Migration Tool (ADMT) verwenden. Weitere Informationen zur Verwendung von ADMT finden Sie im folgenden Artikel:
ADMT v3.1-Handbuch: Migrieren und Umstrukturieren von Active Directory-Domänen http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=19188
Active Directory-Migrationstool, Version 3.1 http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=17918
Active Directory-Migration mit ADMT 3.1 http://www.sivarajan.com/admt.html
...Oder verwenden Sie den Befehl SUBINACL. Sehen Sie sich diesen Link auf TechNet an: https://social.technet.microsoft.com/Forums/windowsserver/en-US/f36ada21-63e9-4902-8951-36eafe62b497/Dateiserver auf neue Domäne migrieren und NTFS-Berechtigung exportieren?forum=winserverMigration