Я уже некоторое время использую Windows 2003R2 AD ad1.local. В этом домене задействованы два контроллера домена.
Некоторое время спустя была создана еще одна AD, ad2.local. Эта AD также размещалась на системах Windows Server 2003. Одним из серверов этой AD была система с диском RAID на 1 ТБ. Некоторое время назад было реализовано доверие между двумя доменами. После этого пользователи из ad1.local могли проходить аутентификацию на ad2.local, чтобы получить доступ к диску на 1 ТБ. На последнем было создано множество каталогов с различными разрешениями групп/пользователей из AD ad1.local.
Это хлопотная настройка, особенно теперь, когда у нас есть план перемещения всего на виртуальные машины (наконец-то!!!) на новом оборудовании, а также обновление до Windows 2019 (не напрямую, если мы хотим сохранить наши учетные записи пользователей ad1.local и прочее). Одним из шагов этого процесса является перемещение этого множества данных из системы ad2.local объемом 1 ТБ для прямого доступа из ad1.local, но с сохранением разрешений.
Я не знаю, возможно ли это. Проще говоря, я хотел бы "переместить" эту систему ad2.local в ad1.local. Если бы это была рабочая станция, все было бы просто: выйти из AD ad2.local, перезагрузиться пару раз, чтобы избавиться от политик, а затем присоединиться к AD ad1.local.
Но в моем сценарии диск 1 ТБ содержит сложные разрешения (кто из ad1.local может видеть, писать или изменять что в каком подкаталоге). Я предполагаю, что вся эта информация будет потеряна при выполнении этого танца домена exit ad2.local -> enter ad1.local...
Я также готов следовать другим альтернативам. У меня есть NAS, который может обслуживать общие ресурсы iSCSI. Я мог бы подключить его, возможно, к системе, где размещен диск ad2.local 1 ТБ, чтобы клонировать его, а затем подключить этот iSCSI к одному из моих серверов ad1.local?
На самом деле понятия не имею, как все это осуществить. Любая информация будет оценена по достоинству!
Для справки, я не использую перемещаемые профили в ad1.local. У меня есть несколько GPO, чтобы общие диски отображались у моих пользователей ad1.local, указывающих на этот общий диск ad2.local, что, конечно, можно изменить.
РЕДАКТИРОВАТЬТема закрыта, и я не могу опубликовать это как решение, но я оставлю это для тех, кто столкнется с похожей проблемой:
Я клонировал диск с 1 ТБ в системе ad2.domain на диск iSCSI (очевидно, что физический диск подойдет, но поскольку это серверная система, было нелегко физически извлечь диски, поскольку они являются членами RAID; возможно, подойдет внешний USB-накопитель). Затем я отключил диск iSCSI и подключил его к одному из моих серверов ad1.domain и вуаля: все разрешения были, все работало отлично, даже без subinacl! Единственное, что мне нужно было сделать, это создать общие ресурсы, что было довольно просто!
решение1
Вам необходимо создать mapfile и использовать Active Directory Migration Tool (ADMT). Для получения дополнительной информации об использовании ADMT, пожалуйста, обратитесь к следующей статье:
Руководство по ADMT v3.1: миграция и реструктуризация доменов Active Directory http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=19188
Инструмент миграции Active Directory версии 3.1 http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=17918
Миграция Active Directory с использованием ADMT 3.1 http://www.sivarajan.com/admt.html
...Или используйте команду SUBINACL. Взгляните на эту ссылку на TechNet: https://social.technet.microsoft.com/Forums/windowsserver/en-US/f36ada21-63e9-4902-8951-36eafe62b497/migrate-file-server-to-new-domain-and-export-ntfs-permission?forum=winserverMigration