溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

ADMT遷移之:在遷移過程中保留對源域資源的訪問權限

發布時間:2020-06-24 09:49:47 來源:網絡 閱讀:6756 作者:hubuxcg 欄目:系統運維

之前發表過使用ADMT進行域對象遷移的文章,連接如下:
https://blog.51cto.com/hubuxcg/1554925
https://blog.51cto.com/hubuxcg/1554927
最近再次使用ADMT進行域遷移時,碰到因SID篩選導致遷移后的用戶無法訪問源域中文件服務器問題,環境如下:源域:Contoso. Old 2008R2,新域:Contoso. Local 2008R2。
先來介紹下SID History,當在進行AD遷移或是重構時,SID History將在遷移或是重構的過程中,用來保持用戶對源有資源的訪問權限;將對象遷移到新域時,會生成一個新的SID;因為Windows是依SID為對象分配權限,在遷移后的對象會因為生成新的SID而失去原有資源的訪問權限,所以在進行域遷移時,需要將源域對象的SID遷移到新域中,作為新域對象的Sid History屬性。
源域中的SID:
ADMT遷移之:在遷移過程中保留對源域資源的訪問權限
遷移后新域中的SIDHistory
ADMT遷移之:在遷移過程中保留對源域資源的訪問權限
源域和新域內的資源將其訪問控制列表(ACL)解析為SID,然后在授予或拒絕訪問時檢查其ACL和訪問令牌之間的匹配。如果SID或Sid History記錄匹配,則根據ACL中指定的訪問權限授予或拒絕訪問資源,即保留源域中,已遷移對象原有的權限!

但從Windows2000(SP4)版本的Windows開始,因為安全性的要求,在兩個目錄之間建立林信任后,將默認應用 SID 篩選。這就會導致新域中的Sid History并不能帶到舊域中,而導致ACL無法解析到Sid History記錄,無法得到有效權限。
如下圖:
ADMT遷移之:在遷移過程中保留對源域資源的訪問權限

為了解決此問題,需要在兩個信任的域之間,確認是否禁用SID篩選,參考命令:
Netdom trust TrustingDomainName /domain:TrustedDomainName /quarantine:No /usero:domainadministratorAcct /passwordo:domainadminpwd
如果你登錄的用戶有域的管理員或是企業管理員權限,則可以跳過用戶名密碼的選項。
先使用命令查看當然的狀態:
Netdom trust contoso.local /domain:contoso.old /quarantine
ADMT遷移之:在遷移過程中保留對源域資源的訪問權限
從上圖可以看出,SID 篩選是啟用狀態,因此,需要禁用,命令如下:
Netdom trust contoso.local /domain:contoso.old /quarantine:no
ADMT遷移之:在遷移過程中保留對源域資源的訪問權限
執行完后,再次查看狀態,顯示為SID篩選禁用,所有SID都會生效。
修改完后還需要在源域的域控制器策略中,啟用SID轉換,GPO配置如下:
ADMT遷移之:在遷移過程中保留對源域資源的訪問權限
完成以上配置后,在使用ADMT進行域遷移時,已遷移的對象將可以繼續使用源域中的所有資源,直接到完成遷移!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

亚洲午夜精品一区二区_中文无码日韩欧免_久久香蕉精品视频_欧美主播一区二区三区美女