將 Windows Server 2003 目錄從一個網域移至另一個網域並保留權限?

將 Windows Server 2003 目錄從一個網域移至另一個網域並保留權限?

我運行 Windows 2003R2 AD ad1.local 已經有一段時間了。該域涉及兩個 DC。

一段時間後,創建了另一個 AD,ad2.local。該 AD 也託管在 Windows Server 2003 系統上。此 AD 上的其中一台伺服器是具有 1TB raid 磁碟機的系統。不久前,兩個網域之間實現了信任。完成此操作後,來自 ad1.local 的使用者可以在 ad2.local 上進行身份驗證,以獲得對 1Tb 驅動器的存取權限。在後者上,許多目錄是使用來自 ad1.local AD 的不同群組/使用者權限建立的。

This is a troublesome setup, especially now that we have a roadmap of moving everything to VMs (finally!!!) on some new hardware, plus upgrade to Windows 2019 (not directly, if we want to keep our ad1.local user accounts and東西).此過程的一個步驟是將大量資料從 1Tb ad2.local 系統移至可從 ad1.local 直接訪問,但保持權限不變。

我不知道這是否可能。簡單來說,我想「移動」這個 ad2.local 系統以加入 ad1.local。如果它是一個工作站,事情會很簡單:離開 ad2.local AD,重新啟動幾次以擺脫策略,然後加入 ad1.local AD。

但在我的場景中,1tb 磁碟擁有複雜的權限(來自 ad1.local 的使用者可以查看、寫入或修改哪個子目錄上的內容)。我認為退出 ad2.local -> 輸入 ad1.local 域舞蹈時所有這些資訊都會丟失...

我也願意遵循其他選擇。我有一個可以伺服器 iSCSI 共享的 NAS。我可以將其附加到託管 ad2.local 1tb 磁碟的系統上以克隆它,然後將此 iSCSI 連接到我的 ad1.local 伺服器之一?

真的不知道如何完成這一切。任何資訊將不勝感激!

根據記錄,我沒有在 ad1.local 中使用漫遊設定檔。我確實有許多 GPO,可以讓共享磁碟出現在指向此 ad2.local 共享磁碟的 ad1.local 用戶上,當然,這可以更改。

編輯該線程已鎖定,我無法將其作為解決方案發布,但我會將其留給遇到類似問題的人:

我將磁碟從 ad2.domain 系統上的 1tb 克隆到 iSCSI 磁碟機(顯然實體磁碟機就可以了,但由於這是一個伺服器系統,因此很難刪除實體磁碟,因為它們是 RAID 成員;也許是一個外部磁碟機) USB 隨身碟就足夠了)。然後,我斷開 iSCSI 驅動器並將其連接到我的 ad1.domain 伺服器之一,然後轉瞬間:所有權限都已存在,一切都運作良好,甚至沒有 subinacl!我唯一要做的就是創建共享,這相當簡單!

答案1

您需要建立一個映射檔案並使用 Active Directory 移轉工具 (ADMT)。有關如何使用ADMT的更多信息,請參考以下文章:

ADMT v3.1 指南:遷移和重組 Active Directory 網域 http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=19188

Active Directory 移轉工具版本 3.1 http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=17918

使用 ADMT 3.1 進行 Active Directory 遷移 http://www.sivarajan.com/admt.html

……或使用 SUBINACL 指令。看看 TechNet 上的這個連結: https://social.technet.microsoft.com/Forums/windowsserver/en-US/f36ada21-63e9-4902-8951-36eafe62b497/migrate-file-server-to-new-domain-and-export-ntfs-permission?論壇=winserverMigration

相關內容