Estou executando um AD ad1.local do Windows 2003R2 há algum tempo. Dois DCs estão envolvidos neste domínio.
Algum tempo depois, foi criado outro AD, ad2.local. Este AD também foi hospedado em sistemas Windows Server 2003. Um dos servidores neste AD era um sistema com um drive raid de 1 TB. Há algum tempo, a confiança entre os dois domínios foi implementada. Feito isso, os usuários do ad1.local poderiam se autenticar no ad2.local para obter acesso à unidade de 1 TB. Neste último, muitos diretórios foram criados com diferentes permissões de grupo/usuário do AD ad1.local.
Esta é uma configuração problemática, especialmente agora que temos um roteiro para mover tudo para VMs (finalmente!!!) em algum novo hardware, além de atualizar para o Windows 2019 (não diretamente, se quisermos manter nossas contas de usuário ad1.local e coisa). Uma etapa desse processo é mover essa infinidade de dados do sistema ad2.local de 1 TB para serem diretamente acessíveis a partir de ad1.local, mas mantendo as permissões intactas.
Não sei se isso é possível. Em termos simples, gostaria de "mover" este sistema ad2.local para ingressar no ad1.local. Se fosse uma estação de trabalho, as coisas seriam fáceis: deixe o AD ad2.local, reinicie algumas vezes para se livrar das políticas e depois junte-se ao AD ad1.local.
Mas no meu cenário, o disco de 1 TB contém permissões complexas (quem de ad1.local pode ver, escrever ou modificar o que em qual subdiretório). Presumo que todas essas informações serão perdidas ao fazer esta saída ad2.local -> entrar na dança do domínio ad1.local...
Também estou disposto a seguir outras alternativas. Eu tenho um NAS que pode servir compartilhamentos iSCSI. Eu poderia anexá-lo talvez no sistema que hospeda o disco ad2.local de 1 TB para cloná-lo e, em seguida, conectar este iSCSI a um dos meus servidores ad1.local?
Realmente não tenho ideia de como fazer tudo isso. Qualquer informação será apreciada!
Para que conste, não utilizo perfis móveis em ad1.local. Eu tenho vários GPOs em vigor para que os discos compartilhados apareçam em meus usuários ad1.local apontando para este disco compartilhado ad2.local, que pode ser alterado, é claro.
EDITARO tópico está bloqueado e não posso postar isso como solução, mas deixarei isso para quem se deparar com um problema semelhante:
Clonei o disco de 1 TB no sistema ad2.domain para uma unidade iSCSI (obviamente, uma unidade física serviria, mas como este é um sistema de servidor, não foi fácil remover fisicamente os discos, pois eles são membros do RAID; talvez um externo Uma unidade USB seria suficiente). Em seguida, desconectei o drive iSCSI e conectei-o a um dos meus servidores ad1.domain e pronto: todas as permissões estavam lá, tudo funcionou perfeitamente, sem nem subinacl! A única coisa que tive que fazer foi criar os compartilhamentos, o que foi bastante fácil!
Responder1
Você precisa criar um mapfile e usar a Ferramenta de Migração do Active Directory (ADMT). Para obter mais informações sobre como usar o ADMT, consulte o seguinte artigo:
Guia ADMT v3.1: Migração e reestruturação de domínios do Active Directory http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=19188
Ferramenta de migração do Active Directory versão 3.1 http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=17918
Migração do Active Directory usando ADMT 3.1 http://www.sivarajan.com/admt.html
...Ou vá com o comando SUBINACL. Dê uma olhada neste link no TechNet: https://social.technet.microsoft.com/Forums/windowsserver/en-US/f36ada21-63e9-4902-8951-36eafe62b497/migrate-file-server-to-new-domain-and-export-ntfs-permission? forum=winserverMigração