none
Error al importar con LDIFDE RRS feed

  • Pregunta

  • Necesito importar unidades organizativas de un dominio a otro.
    Ambos dominios están bajo Windows Server 2003 y el hardware es exactamente igual.
    Exporto con el comando LDIFDE y no me arrojó ningún error, pero al intentar importar el archivo .ldif,
    me arroja el siguiente error:
    Agregar error en la línea 2: No dispuesto a funcionar
    El error en la parte del servidor es: "No se permite la modificacion por razones de seguridad"
    A continuación detallo las líneas del archivo exportado.


    dn: OU=RPTD,DC=GOB
    changetype: add
    objectClass: top
    objectClass: organizationalUnit
    ou: RPTD
    distinguishedName: OU=RPTD,DC=GOB
    instanceType: 4
    whenCreated: 20040928152319.0Z
    whenChanged: 20050321151602.0Z
    uSNCreated: 8297
    uSNChanged: 8297
    name: RPTD
    objectGUID:: Rd5W+J8IqUqg4teABK7xvg==
    objectCategory: CN=Organizational-Unit,CN=Schema,CN=Configuration,DC=GOB
    gPLink:
     [LDAP://cn={31540D22-EB2B-4E40-AC51-8DD07BC06712},cn=policies,cn=system,DC=GOB
     ;2]

    Al cambiar al nuevo dominio "GOV", cambio el dato del la línea 2

    dn: OU=RPTD,DC=GOV
    changetype: add
    objectClass: top
    objectClass: organizationalUnit
    ou: RPTD
    distinguishedName: OU=RPTD,DC=GOB
    instanceType: 4
    whenCreated: 20040928152319.0Z
    whenChanged: 20050321151602.0Z
    uSNCreated: 8297
    uSNChanged: 8297
    name: RPTD
    objectGUID:: Rd5W+J8IqUqg4teABK7xvg==
    objectCategory: CN=Organizational-Unit,CN=Schema,CN=Configuration,DC=GOB
    gPLink:
     [LDAP://cn={31540D22-EB2B-4E40-AC51-8DD07BC06712},cn=policies,cn=system,DC=GOB
     ;2]

    Hecho esto, grabo el archivo (nombre DPI.ldf) y le doy el comando:

    LDIFDE -i -f DPI.ldf -s nombre servidor

    El comando me arroja el error mencionado anteriormente.
    Quisiera saber que estoy haciendo mal y que debo moidificar.
    Desde ya muchas gracias.

    Fernando Moyano
    jueves, 18 de marzo de 2010 15:59

Respuestas

  • Fernando, veo dos "cosas extrañas". Primero que tu dominio no es de la forma "dominio.sufijo" y esto suele traer muchos problemas, a veces inesperados.

    Y segundo que tu exportación contiene el {GUID} del objeto, con esto seguro no lo puedes importar en un dominio diferente.

    Pongo unos enlaces para ver si puedes encontrar el problema:

    Utilización de LDIFDE para importar y exportar a Active Directory objetos del directorio:
    http://support.microsoft.com/kb/237677/es

    http://www.computerperformance.co.uk/Logon/CSVDE_LDIFDE.htm

    Step-by-Step Guide to Bulk Import and Export to Active Directory:
    http://technet.microsoft.com/en-us/library/bb727091.aspx


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    viernes, 19 de marzo de 2010 11:53
    Moderador
  • Te da ese error porque está instentando modificar una GPO,  [LDAP://cn={31540D22-EB2B-4E40-AC51-8DD07BC06712},cn=policies,cn=system,DC=GOB ;2]

    Deberías depurar un poco el .ldf para que sólo importe las UOs.

    Access to the attribute is not permitted because the attribute is owned by the Security Accounts Manager (SAM)http://support.microsoft.com/kb/276382

     

    En el siguiente artí____ te explica cómo exportar sólo las UOs, mediante el uso de filtros de exportación

    Using LDIFDE to import and export directory objects to Active Directory

    http://support.microsoft.com/kb/237677/en-us


    Saludos, Marc
    viernes, 19 de marzo de 2010 11:55
    Moderador

Todas las respuestas

  • Fernando, veo dos "cosas extrañas". Primero que tu dominio no es de la forma "dominio.sufijo" y esto suele traer muchos problemas, a veces inesperados.

    Y segundo que tu exportación contiene el {GUID} del objeto, con esto seguro no lo puedes importar en un dominio diferente.

    Pongo unos enlaces para ver si puedes encontrar el problema:

    Utilización de LDIFDE para importar y exportar a Active Directory objetos del directorio:
    http://support.microsoft.com/kb/237677/es

    http://www.computerperformance.co.uk/Logon/CSVDE_LDIFDE.htm

    Step-by-Step Guide to Bulk Import and Export to Active Directory:
    http://technet.microsoft.com/en-us/library/bb727091.aspx


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    viernes, 19 de marzo de 2010 11:52
    Moderador
  • Fernando, veo dos "cosas extrañas". Primero que tu dominio no es de la forma "dominio.sufijo" y esto suele traer muchos problemas, a veces inesperados.

    Y segundo que tu exportación contiene el {GUID} del objeto, con esto seguro no lo puedes importar en un dominio diferente.

    Pongo unos enlaces para ver si puedes encontrar el problema:

    Utilización de LDIFDE para importar y exportar a Active Directory objetos del directorio:
    http://support.microsoft.com/kb/237677/es

    http://www.computerperformance.co.uk/Logon/CSVDE_LDIFDE.htm

    Step-by-Step Guide to Bulk Import and Export to Active Directory:
    http://technet.microsoft.com/en-us/library/bb727091.aspx


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    viernes, 19 de marzo de 2010 11:53
    Moderador
  • Te da ese error porque está instentando modificar una GPO,  [LDAP://cn={31540D22-EB2B-4E40-AC51-8DD07BC06712},cn=policies,cn=system,DC=GOB ;2]

    Deberías depurar un poco el .ldf para que sólo importe las UOs.

    Access to the attribute is not permitted because the attribute is owned by the Security Accounts Manager (SAM)http://support.microsoft.com/kb/276382

     

    En el siguiente artí____ te explica cómo exportar sólo las UOs, mediante el uso de filtros de exportación

    Using LDIFDE to import and export directory objects to Active Directory

    http://support.microsoft.com/kb/237677/en-us


    Saludos, Marc
    viernes, 19 de marzo de 2010 11:55
    Moderador
  • Quisiera agradecerle tanto a Marc Salvador como a Guillermo Delprato dos por sus repuestas, ya que presté atención a estas y leyendo muy bien la sintaxis del comando LDIFDE pude solucionar mi problema.

    martes, 23 de marzo de 2010 21:52
  • Quisiera agradecerle tanto a Marc Salvador como a Guillermo Delprato dos por sus repuestas, ya que presté atención a estas y leyendo muy bien la sintaxis del comando LDIFDE pude solucionar mi problema.


    MIRA FER FIJATE QUE YO EXPORTE LOS CONTROLADORES DE DOMINIO Y ME DA EL MISMO ERROR ME PODRIAS EXPLICAR COMO DEPURASTE EL ARCHIVO LDF. YA NECESITO IMPORTAR LA OU=DOMAIN CONTROLLERS A OTRO SERVIDOR PARA PODER CREAR MIS SITIOS DE REPLICACION
    viernes, 7 de mayo de 2010 14:55
  • La OU de Domain Controllers es mejor no tocarla, no por la OU en sí sino por los datos que contiene que son, precisamente, los DCs que tienen unos SIDs de seguridad no importables a otros dominios.


    Saludos,
    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator
    MCTS: Exchange 2007
    viernes, 7 de mayo de 2010 15:08
    Moderador
  • vbarrios, NO puedes hacer eso.

    El uso de LDIFDE es para crear *nuevos* objetos, o modificar existentes, y eso NO se puede hacer con DCs. O si quisieras exportar, pero no va a servir.

    La OU Domain Controllers se replica automáticamente entre los DCs, y no se pueden crear nuevos o modificarlos mediante LDIFDE

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    sábado, 8 de mayo de 2010 10:42
    Moderador