none
Migracion Dominio A a Domino B (Permisos y Grupos) RRS feed

  • Pregunta

  • Buenas a todos, a ver si me podéis dar alguna idea brillante.

    Tengo el Dominio A, que se migra al Dominio B, (usuarios, equipos, grupos, etc...)

    En la migración en el Dominio B se mantiene el SID del usuario y de los Grupos.

    Y a la vez se migra la cabina de datos a una cabina nueva ya en el nuevo dominio. Los Dominios están actualmente con una relación de confianza, por lo que actualmente no hay problema.

    EL problema viene cuando desaparece el Dominio A, y solo queda el B, que como las validaciones las realiza con el SID antiguo va a Buscar el Dominio Antiguo.

    Sabéis de algún Script que actualice los datos de seguridad de NTFS y que me actualice los SID's poniéndome los nuevos, aunque sea con una tabla de migración o algo así, de esta manera desaparece todo lo referente al dominio que va a desaparecer.

    Espero haberme explicado bien.

    Muchas Gracias.

    lunes, 22 de abril de 2013 15:00

Respuestas

  • No, no se puede mantener el SID, porque todas las cuentas de dominio contienen en una parte un identificador propio del dominio, luego cuando se migra obligatoriamente se debe cambiar el SID

    Lo que se puede es, aunque tome un nuevo SID, preservrar el anterior en el atributo SID "History"

    Lo importante es cuando se usó el ADMT para migrar los servidores se haya marcado la opción de cambiar los permisos, porque de otra forma mantendrá sólo los permisos a los "SIDs viejos"

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MAP - MCC - MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    lunes, 22 de abril de 2013 18:14
    Moderador
  • Gracias por la respuesta, este punto esta claro que no se pueden mantener el SID.

    El tema es el siguiente Si yo tengo unos datos en el Dominio A y esos datos los copio en el Dominio B, bien con File Server Migration o con Robocopy, si copiando los permisos.

    Esos permisos hacen referencia al Dominio A. Mientras exista la relación de confianza, no hay problema, ya que mantenemos el atributo SID HISTORY.

    Hasta este punto perfecto.

    Pero yo quiero ir un poquito mas lejos, es decir.

    Paso 1: Se migran usuarios, grupos, con ADMT (manteniendo SID HISTORY)

    Paso 2: Se migran datos al nuevo Dominio (robocopy o File Server Migration) traspasando los permisos actuales.

    Por lo tanto tenemos una concordancia entre usuarios, Grupos y files a nivel de seguridad.

    Yo lo que quiero es que el paso 3º sea el cambio de permisos que sustituya DOMINOA\Grupo1 por DOMINIOB\Grupo1.

    De esta manera validaríamos ya todo con el DOMINIOB y no necesitaríamos el DOMINIOA por lo que podríamos romper la relación de confianza.

    Gracias por vuestra ayuda, espero haberme explicado bien.


    En lo que resalté está el problema, porque copiando manteniendo los permisos sigue haciendo referencia al dominioA

    Hace mucho que no uso el ADMT, pero recuerdo que en el propio ADMT está la forma de migrar los servidores, y que automáticamente, actualizara los permisos haciendo referencia a las nuevas cuentas

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MAP - MCC - MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 23 de abril de 2013 12:23
    Moderador

Todas las respuestas

  • No dices cómo haz hecho la migración ¿haz utilizado ADMT? ¿otro?

    Porque cuando se migra de Dominio, no se mantiene el SID, es necesario que cambie; como mucho si usas el ADMT puedes mantener el SID anterior en el atributo "SID History"

    ¿Puedes dar más datos?

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MAP - MCC - MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 22 de abril de 2013 16:49
    Moderador
  • Si correcto, la migracion se ha hecho con ADMT. Y se ha mantenido el SID anterior y el SID HISTORY.

    Con ello mientras existe la relacion de confianza funciona todo bien, el problema es cuando rompes la relacion de confianza, que todos los archivos, carpetas, seguridad etc... va referenciado al SID y ese se valida en e dominio de origen no en el de destino, no al del dominio de destino.

    Gracias.

    lunes, 22 de abril de 2013 17:12
  • No, no se puede mantener el SID, porque todas las cuentas de dominio contienen en una parte un identificador propio del dominio, luego cuando se migra obligatoriamente se debe cambiar el SID

    Lo que se puede es, aunque tome un nuevo SID, preservrar el anterior en el atributo SID "History"

    Lo importante es cuando se usó el ADMT para migrar los servidores se haya marcado la opción de cambiar los permisos, porque de otra forma mantendrá sólo los permisos a los "SIDs viejos"

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MAP - MCC - MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    lunes, 22 de abril de 2013 18:14
    Moderador
  • Gracias por la respuesta, este punto esta claro que no se pueden mantener el SID.

    El tema es el siguiente Si yo tengo unos datos en el Dominio A y esos datos los copio en el Dominio B, bien con File Server Migration o con Robocopy, si copiando los permisos.

    Esos permisos hacen referencia al Dominio A. Mientras exista la relación de confianza, no hay problema, ya que mantenemos el atributo SID HISTORY.

    Hasta este punto perfecto.

    Pero yo quiero ir un poquito mas lejos, es decir.

    Paso 1: Se migran usuarios, grupos, con ADMT (manteniendo SID HISTORY)

    Paso 2: Se migran datos al nuevo Dominio (robocopy o File Server Migration) traspasando los permisos actuales.

    Por lo tanto tenemos una concordancia entre usuarios, Grupos y files a nivel de seguridad.

    Yo lo que quiero es que el paso 3º sea el cambio de permisos que sustituya DOMINOA\Grupo1 por DOMINIOB\Grupo1.

    De esta manera validaríamos ya todo con el DOMINIOB y no necesitaríamos el DOMINIOA por lo que podríamos romper la relación de confianza.

    Gracias por vuestra ayuda, espero haberme explicado bien.


    • Editado CarlosESP01 martes, 23 de abril de 2013 10:51
    martes, 23 de abril de 2013 10:50
  • Gracias por la respuesta, este punto esta claro que no se pueden mantener el SID.

    El tema es el siguiente Si yo tengo unos datos en el Dominio A y esos datos los copio en el Dominio B, bien con File Server Migration o con Robocopy, si copiando los permisos.

    Esos permisos hacen referencia al Dominio A. Mientras exista la relación de confianza, no hay problema, ya que mantenemos el atributo SID HISTORY.

    Hasta este punto perfecto.

    Pero yo quiero ir un poquito mas lejos, es decir.

    Paso 1: Se migran usuarios, grupos, con ADMT (manteniendo SID HISTORY)

    Paso 2: Se migran datos al nuevo Dominio (robocopy o File Server Migration) traspasando los permisos actuales.

    Por lo tanto tenemos una concordancia entre usuarios, Grupos y files a nivel de seguridad.

    Yo lo que quiero es que el paso 3º sea el cambio de permisos que sustituya DOMINOA\Grupo1 por DOMINIOB\Grupo1.

    De esta manera validaríamos ya todo con el DOMINIOB y no necesitaríamos el DOMINIOA por lo que podríamos romper la relación de confianza.

    Gracias por vuestra ayuda, espero haberme explicado bien.


    En lo que resalté está el problema, porque copiando manteniendo los permisos sigue haciendo referencia al dominioA

    Hace mucho que no uso el ADMT, pero recuerdo que en el propio ADMT está la forma de migrar los servidores, y que automáticamente, actualizara los permisos haciendo referencia a las nuevas cuentas

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MAP - MCC - MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 23 de abril de 2013 12:23
    Moderador
  • Guillermo, efectivamente el procedimiento que comentas es el correcto, funciona perfectamente.

    Muchas Gracias!

    jueves, 25 de abril de 2013 6:54