none
ADMT: nachträgliche Migration der SidHistory RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    bei einer vorherigen Migration von ca. 300 Domänenbenutzern wurde vor der Benutzung des Active Directory Migration Tools (ADMT) vergessen, die SID-Filterung abzuschalten bzw. die SidHistory im Trust zu aktivieren.

    Das Problem: Es wurden nun bereits zahlreiche Änderungen an den neuen Benutzern vorgenommen, inkl. Passwörtern und Gruppenmitgliedschaften, dies soll nicht verloren gehen.

    Kann man beim erneuten Einsatz des ADMT ausschließlich die Sid-History migrieren (wenn die User vorher bereits einmal migriert wurden)?

    Eine weitere Frage: Wie kann ich prüfen, ob die SID-History erfolgreich im AD-Objekt eingetragen wurde?

    Vielen Dank vorab!

    Gruß

    Sebastian


    Dienstag, 18. Dezember 2012 20:23
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden
     
    > C:\sidhist>cscript sidhist.vbs /srcdc:DC.ALTE.DOMAIN
    > /srcdom:ALTE.DOMAIN /srcsam:Ordner2 /dstdc:DC.NEUE.DOMAIN
    > /dstdom:NEUE.DOMAIN /dstsam:Ordner2
     
    Kann grad nicht verifizieren, ob es daran liegt - aber Du hast keine
    Netbios-Namen verwendet, sondern DNS-Namen.
     
    Usage: cscript sidhist.vbs /srcdc:<dcname> /srcdom:<domain>
    /srcsam:<name> /dstdc:<dcname> /dstdom:<domain> /dstsam:<name>
     
    Parameters:
     /srcdc   - source domain controller NetBIOS computer name (without leading \\)
      /srcdom  - source domain NetBIOS name
      /srcsam  - source principal SAM name
      /dstdc   - destination domain controller NetBIOS computer name (without
                leading \\)
                This script must be run on the machine indicated here.
      /dstdom  - destination domain DNS name
      /dstsam  - destination principal SAM name
     
    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Donnerstag, 20. Dezember 2012 09:33
    |

Alle Antworten

  • Question
    Anmelden
    2
    Anmelden
    Hi, such mal nach dem Script SidHist.vbs. Dies wurde seinerzeit genau für diesen Zwecke gemacht. Das Script benutzt wie auch ADMT die Funktion DsAddSidHistory. Voraussetzung ist aber, daß die alte Domain noch besteht und ein Trust vorhanden ist bzw. aufgebaut werden kann. Ob die SidHistory erfolgreich gesetzt wurde, sieht man einfach in dem AD Attribut "SidHistory" auf der Zeilseite. Einfach mit LDP oder ADSIEdit nachsehen.

    -Raimund


    Dienstag, 18. Dezember 2012 22:07
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi. Schließe mich Raimund an - sidhist.vbs macht genau, was Du brauchst:
    Du kannst die SID eines Accounts aus Domain A in die SID History eines
    Accounts aus Domain B schreiben. Wenn Du das für viele/alle User/Gruppen
    brauchst, hast Du mehrere Möglichkeiten:
     
    a) SidHist.vbs nehmen und den Code in ein eigenes VBS integrieren
    b) Einen Wrapper drum rum (Batch, Powershell oder auch VBS), der es
    passend aufruft
    c) Excel-Tabelle, die per Formel die Befehle erstellt
     
    mfg Martin
     
    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Mittwoch, 19. Dezember 2012 18:53
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo, danke euch beiden schon einmal!

    Ich habe sidhist.vbs in meiner Testumgebung ausgeführt (Win 2008 R2 -> Win 208 R2) und war nicht erfolgreich, da auf beiden DCs folgender Fehler auftritt:

    C:\sidhist\sidhist.vbs(54, 1) Laufzeitfehler in Microsoft VBScript: ActiveX-Komp
onenten kann kein Objekt erstellen: 'DSUtils.ClonePrincipal'

    Aufgerufen habe ich es über

    C:\sidhist>cscript sidhist.vbs /srcdc:DC.ALTE.DOMAIN /srcdom:ALTE.DOMAIN /srcsam:Ordner2 /dstdc:DC.NEUE.DOMAIN /dstdom:NEUE.DOMAIN /dstsam:Ordner2

    Es handelt sich wie man erkennen kann, um eine Gruppe namens Ordner2. Kann sidhist.vbs auch für Gruppen angewendet werden?

    Danke!

    Gruß

    Sebastian

    Donnerstag, 20. Dezember 2012 06:14
    |
  • Question
    Anmelden
    1
    Anmelden
     
    > C:\sidhist>cscript sidhist.vbs /srcdc:DC.ALTE.DOMAIN
    > /srcdom:ALTE.DOMAIN /srcsam:Ordner2 /dstdc:DC.NEUE.DOMAIN
    > /dstdom:NEUE.DOMAIN /dstsam:Ordner2
     
    Kann grad nicht verifizieren, ob es daran liegt - aber Du hast keine
    Netbios-Namen verwendet, sondern DNS-Namen.
     
    Usage: cscript sidhist.vbs /srcdc:<dcname> /srcdom:<domain>
    /srcsam:<name> /dstdc:<dcname> /dstdom:<domain> /dstsam:<name>
     
    Parameters:
     /srcdc   - source domain controller NetBIOS computer name (without leading \\)
      /srcdom  - source domain NetBIOS name
      /srcsam  - source principal SAM name
      /dstdc   - destination domain controller NetBIOS computer name (without
                leading \\)
                This script must be run on the machine indicated here.
      /dstdom  - destination domain DNS name
      /dstsam  - destination principal SAM name
     
    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Donnerstag, 20. Dezember 2012 09:33
    |
  • Question
    Anmelden
    0
    Anmelden
     
    > C:\sidhist\sidhist.vbs(54, 1) Laufzeitfehler in Microsoft VBScript:
    > ActiveX-Komp onenten kann kein Objekt erstellen: 'DSUtils.ClonePrincipal'
     
    Dir fehlt das hier:
     
     
    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Donnerstag, 20. Dezember 2012 09:40
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen!

    Danke, ihr habt mir sehr geholfen!

    Es lag tatsächlich daran, dass ich keine Netbios Namen verwendet habe. Ich hatte mich ursprünglich für DNS Namen entschieden, da nur dieser ordentlich aufgelöst wurde. Ein manueller Eintrag in die hosts oder im DNS Server des Ziels behebt das Problem.

    Ich wünsche frohe Weihnachtsfeiertage und einen guten Rutsch ins neue Jahr!

    Viele Grüße

    Sebastian

    Sonntag, 23. Dezember 2012 08:37
    |