He estado ejecutando un ad1.local de Windows 2003R2 AD durante algún tiempo. En este ámbito participan dos países en desarrollo.
Tiempo después se creó otro AD, ad2.local. Este AD también se alojó en sistemas Windows Server 2003. Uno de los servidores de este AD era un sistema con una unidad raid de 1 TB. Hace algún tiempo se implementó la confianza entre los dos dominios. Una vez hecho esto, los usuarios de ad1.local podrían autenticarse en ad2.local para obtener acceso a la unidad de 1 TB. En este último, se crearon muchos directorios con diferentes permisos de grupo/usuario del AD ad1.local.
Esta es una configuración problemática, especialmente ahora que tenemos una hoja de ruta para mover todo a las máquinas virtuales (¡¡¡por fin!!!) en algún hardware nuevo, además de actualizar a Windows 2019 (no directamente, si queremos conservar nuestras cuentas de usuario ad1.local y cosa). Un paso de este proceso es mover esta multitud de datos del sistema ad2.local de 1 TB para que sean accesibles directamente desde ad1.local, pero manteniendo los permisos intactos.
No sé si esto es posible. En términos simples, me gustaría "mover" este sistema ad2.local para unirse a ad1.local. Si fuera una estación de trabajo, las cosas serían fáciles: abandone el AD ad2.local, reinicie un par de veces para deshacerse de las políticas y luego únase al AD ad1.local.
Pero en mi escenario, el disco de 1 TB tiene permisos complejos (quién desde ad1.local puede ver, escribir o modificar qué en qué subdirectorio). Supongo que toda esta información se perderá al salir de ad2.local -> ingresar al dominio ad1.local dance...
También estoy dispuesto a seguir otras alternativas. Tengo un NAS que puede servir recursos compartidos iSCSI. ¿Quizás podría adjuntarlo al sistema que aloja el disco ad2.local de 1 tb para clonarlo y luego conectar este iSCSI a uno de mis servidores ad1.local?
Realmente no tengo ni idea de cómo lograr todo esto. ¡Cualquier información sera apreciada!
Para que conste, no empleo perfiles móviles en ad1.local. Tengo varios GPO implementados para que aparezcan discos compartidos en mis usuarios de ad1.local que apunten a este disco compartido ad2.local, que, por supuesto, podría cambiarse.
EDITAREl hilo está cerrado y no puedo publicar esto como solución, pero dejaré esto para quien se encuentre con un problema similar:
Cloné el disco de 1 TB en el sistema ad2.domain a una unidad iSCSI (obviamente, una unidad física sería suficiente, pero como se trata de un sistema de servidor, no fue fácil eliminar los discos físicos ya que son miembros RAID; tal vez un disco externo). Una unidad USB sería suficiente). Luego desconecté la unidad iSCSI y la conecté a uno de mis servidores ad1.domain y listo: todos los permisos estaban ahí, todo funcionó perfectamente, ¡sin siquiera subinacl! Lo único que tuve que hacer fue crear las acciones, ¡lo cual fue bastante fácil!
Respuesta1
Debe crear un archivo de mapa y utilizar la herramienta de migración de Active Directory (ADMT). Para obtener más información sobre cómo utilizar ADMT, consulte el siguiente artículo:
Guía ADMT v3.1: Migración y reestructuración de dominios de Active Directory http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=19188
Herramienta de migración de Active Directory versión 3.1 http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=17918
Migración de Active Directory mediante ADMT 3.1 http://www.sivarajan.com/admt.html
...O vaya con el comando SUBINACL. Eche un vistazo a este enlace en TechNet: https://social.technet.microsoft.com/Forums/windowsserver/en-US/f36ada21-63e9-4902-8951-36eafe62b497/migrate-file-server-to-new-domain-and-export-ntfs-permission? foro=winserverMigración