locked
Migration des groupes de sécurité RRS feed

  • Question

  • Bonjour à tous,

    Dans quelques semaines, j'ai ma première migration serveur 2003 à effectuer. Serveur 2003 STD ED SP1 vers Serveur 2003 STD Ed. SP2.

    Lors de la migration de fichier, j'ai vu qu'il fallait utiliser l'outil de migration : FSMT (File System Migration Tool).


    J'aimerai savoir si l'outil migre aussi les groupes de sécurité appliqué sur les répertoires ?

    Merci d'avance



    • Déplacé VijayKR jeudi 4 février 2010 05:23 Forums Consolidation (Origine :Windows Server 2003 – Migration)
    mardi 6 janvier 2009 15:48

Réponses

  •  Carafraichit A écrit:
    Bonjour,

    Donc :

    Le type de groupe: Securité
    Étendue du groupe: Globale

    Dans ce groupe que j'ai créer, j'ai ajouter des objets utilisateur de mon Active Directory.

    J'exécute le partage de fichier sur un répertoire et au niveau de l'autorisation, je sélectionne ce groupe qui contient des utilisateurs (Lecture, écriture, etc.).

    La question est :

    ques 1 : Lors de la migration de mon Active Directory (ADMT utilisé), mes groupes de sécurité vont-ils être migrer ?

    ques 2 : FSMT, ne transfère absolument rien en appartenance avec l'AD, c'est purement transfère de fichier.

     

    Ok bonne nouvelle si tu utilises finalement déjà des groupes de domaine et non des groupes locaux.

     

     

    ques1 : Oui tes groupes de sécurité peuvent être migrés si tu choisis de le faire.

    ques2 : FSMT s'occupe du transferts de fichiers et de la réapplication des ACLs sur le serveur de destination.

    mercredi 7 janvier 2009 09:55
  • Oui tout à fait il est possible de migrer les groupes domain local via admt : http://technet.microsoft.com/en-us/library/cc787815.aspx

     

    mercredi 7 janvier 2009 14:21

Toutes les réponses

  • Bonjour,

     

    nous sommes bien d'accord que tu parles de groupes locaux et non de groupes locaux de domaine ?

     

    Si oui, est-ce que tes serveurs sont membres d'un Active Directory ?

    Si oui, la bonne pratique est de ne surtout pas utiliser de groupe locaux aux serveurs mais plutot des groupes locaux de domaine.

     

    FSMT ne permet pas à ma connaissance de recréer un groupe d'un serveur autonome à un autre et si ton serveurs de destination est dans un AD, je te conseille fortement de rectifier le tir en créant cette fois des groupes de domaine et plus des groupes locaux.

     

    Le principe serait alors

    -  d'exporter tes groupes via la commande addusers /d dans un fichier.

    - De modifier ce fichier manuellement pour y intégrer les noms de type domaine\nom_groupe

    - De créer à nouveau ces groupes dans ton AD cette fois via ADMT (et le module Security Translation qui permet d'importer la création de groupes depuis un fichier texte)

     

    A bientôt

     

    mardi 6 janvier 2009 16:12
  • Quand je dis groupe de sécurité, je parle d'un groupe que j'ai créer qui contient utilisateurs de l'AD (donc de mon domaine) dont j'ai affecter des autorisation sur le partages de fichiers.

    Merci d'avance


    mardi 6 janvier 2009 16:20
  • Ok donc tu avais crée des groupes de sécurité directement sur ton ancien serveur et ce groupe n'est donc pas visible depuis ta console dsa.msc c'est bien ca ?

     

    Si oui, mon explication précédente correspond donc bien à "ton problème" et tu peux en tenir compte.

     

    A noter que si ton infra est petite et que tu n'as que quelques groupes utilisateurs, il peut être plus intéressant de les recréer manuellement dans ton Active Directory (cette fois).

     

    Cette procédure est assez bien faite : http://support.microsoft.com/kb/250267

     

    mardi 6 janvier 2009 16:30
  • Pour l'instant je n'ai absolument rien migrer, je me prépare et essaye d'anticiper les problèmes, ce qui n'est pas toujours évident.

    Petite précision pour que l'on se comprenne bien, quand on créer un groupe de sécurité dans l'AD, on à le choix entre Type de groupe : domaine local ou globale. Je suppose que s'ils sont en globale il faut tout refaire les groupes manuellement sur le contrôleur secondaire ? Et s'ils sont en domain local on peut les migrer ?


    mardi 6 janvier 2009 16:38
  • Peut être que quelqu'un viendra me contredire mais je ne vois pas comment FSMT pourrait migrer tes groupes locaux.

     

    Si tu n'as pas beaucoup de groupes, il peut être plus intéressant de les recréer manuellement.

    Si tu en as beaucoup, le lien que je t'ai indiqué vers la KB te sera trés utile pour gagner du temps.

     

    Dans tous les cas, les nouveaux groupes devront être des groupes "locaux de domaine" (donc crées sur un de tes DC) et non des groupes locaux sur ton nouveau serveur afin d'éviter de rencontrer à nouveau le souci que tu rencontres actuellement.

    En effet si tes groupes avaient été crée dans l'AD et non en tant que groupe locaux de serveurs, FSMT aurait fonctionné.

    mardi 6 janvier 2009 16:44
  • Désolé j'ai modifier le message un peu plus haut pendant que tu me répondais :/


    mardi 6 janvier 2009 16:48
  • D'après ce que j'ai compris FSMT migrerai des groupes de sécurité - Domaine local et non des Groupes de sécurité - Global.

    J'ai bien compris ?
    mardi 6 janvier 2009 16:51
  •  

    Non ce n'est pas exactement ça.

    1. Si tu as des groupes de type "globaux" ou "local de domaine" tu n'y touches pas.

    2. Tu as trois types de groupe (pour simplifier dans ton cas)  :

    - Groupe local (qui se trouve uniquement sur ton serveur de fichier et qui a été crée via un lusrmgr.msc sur ton serveur)

    - Groupe local de domaine : Crée dans ton AD depuis un DC mais à priori tu n'en as pas.

    - Groupe global : Crée dans ton AD.

     

    Il faut normalement respecter la règle AGDLP qui correspond à "A (accounts ou compte utilisateur en francais)) membre de G (groupe global); lui-même sera membre de DL (groupe Local de Domaine) et des Permissions seront affectées à ce groupe local de domaine.

     

    Vu que tu pars d'assez loin, il ne sera pas simple de remettre complètement à niveau ton nouveau serveur de fichiers en respectant cette règle AGDLP.

    Tu pourras déjà partir sur un modèle de type ADLP (encore une fois je ne sais pas si tu es sur une grosse infrastructure ou pas pour te pousser fortement à suivre le modele AGDLP).

     

    Tu utilises des groupes globaux à l'heure actuelle ?

    J'ai cru comprendre que non et donc en résumé tu dois créer des groupes locaux de domaine qui seront l'identique des groupes locaux de ton serveur de fichiers sources.

     

    La KB citée plus haut t'indiquera alors comment redéfinir le permissionnement sur ton nouveau serveur de fichiers de sorte que cela pointe vers un groupe de domaine et non un groupe local (qui n'existera plus sur ton serveur de destination).

     

    Est-ce que je suis clair ? Smile

     

     

    mardi 6 janvier 2009 17:00
  • On laisse le sujet ouvert, car pour l'instant je ne plus te répondre.
    Demain d'autres réponses viendront mais je vois déjà tout à fait de quoi tu parle
    pour les groupes locaux (lusrmgr.msc).
    Et bien il me semble que ce sont des groupes domain local, je te confirmerai ça demain.

    Merci pour le lien, je me penche dessus. Et ce qu'il en est de l'infrastructure, 200 postes 1 serveurs. Je dois refaire tout petit à petit et pour l'instant je dois migrer le serveur vers un autre. Et mettre en place un secondaire par la suite mais ne nous écartons pas du sujet Smile

    A bientôt et merci d'avance pour le suivi du sujet.
    mardi 6 janvier 2009 17:14
  • Ca marche, à demain ;-)

     

    Si tu as deja des groupe de type "local de domaine", c'est une bonne nouvelle et FSMT devrait fonctionner !

     

    mardi 6 janvier 2009 18:58
  • Bonjour,

    Donc :

    Le type de groupe: Securité
    Étendue du groupe: Globale

    Dans ce groupe que j'ai créer, j'ai ajouter des objets utilisateur de mon Active Directory.

    J'exécute le partage de fichier sur un répertoire et au niveau de l'autorisation, je sélectionne ce groupe qui contient des utilisateurs (Lecture, écriture, etc.).

    La question est : Lors de la migration de mon Active Directory (ADMT utilisé), mes groupes de sécurité vont-ils être migrer ?

    FSMT, ne transfère absolument rien en appartenance avec l'AD, c'est purement transfère de fichier.
    mercredi 7 janvier 2009 09:44
  •  Carafraichit A écrit:
    Bonjour,

    Donc :

    Le type de groupe: Securité
    Étendue du groupe: Globale

    Dans ce groupe que j'ai créer, j'ai ajouter des objets utilisateur de mon Active Directory.

    J'exécute le partage de fichier sur un répertoire et au niveau de l'autorisation, je sélectionne ce groupe qui contient des utilisateurs (Lecture, écriture, etc.).

    La question est :

    ques 1 : Lors de la migration de mon Active Directory (ADMT utilisé), mes groupes de sécurité vont-ils être migrer ?

    ques 2 : FSMT, ne transfère absolument rien en appartenance avec l'AD, c'est purement transfère de fichier.

     

    Ok bonne nouvelle si tu utilises finalement déjà des groupes de domaine et non des groupes locaux.

     

     

    ques1 : Oui tes groupes de sécurité peuvent être migrés si tu choisis de le faire.

    ques2 : FSMT s'occupe du transferts de fichiers et de la réapplication des ACLs sur le serveur de destination.

    mercredi 7 janvier 2009 09:55
  • Bonjour,

    Donc :

    Le type de groupe: Securité
    Étendue du groupe: Globale

    Dans ce groupe que j'ai créer, j'ai ajouter des objets utilisateur de mon Active Directory.

    J'exécute le partage de fichier sur un répertoire et au niveau de l'autorisation, je sélectionne ce groupe qui contient des utilisateurs (Lecture, écriture, etc.).

    La question est : Lors de la migration de mon Active Directory (ADMT utilisé), mes groupes de sécurité vont-ils être migrer ?

    FSMT, ne transfère absolument rien en appartenance avec l'AD, c'est purement transfère de fichier.

    mercredi 7 janvier 2009 10:00
  • Ma réponse est ci-dessus Wink

     

    mercredi 7 janvier 2009 10:21
  • Excellent, je te remercie pour la précision, je laisse le sujet ouvert. Je risque d'avoir d'autres questions Stick out tongue

    Je réaliserai d'abord l'environnement avant la migration, histoire de ne pas avoir de surprises.
    mercredi 7 janvier 2009 11:46
  • Ok, n'hésites pas à repasser et à indiquer les posts qui t'ont aidé en tant que "réponse" afin d'améliorer la visibilité des visiteurs qui rencontreraient le meme probleme Wink

     

    mercredi 7 janvier 2009 12:13
  • C'est noter.

    Autre question,
    il y a aussi des groupes locaux : Groupes de sécurité Domaine local, d'après moi la migration se fera sans soucis avec ADMT.

    Donc il est inutile de les recréer aussi ?
    mercredi 7 janvier 2009 14:14
  • Oui tout à fait il est possible de migrer les groupes domain local via admt : http://technet.microsoft.com/en-us/library/cc787815.aspx

     

    mercredi 7 janvier 2009 14:21
  • Effectivement, comme tu me le cite dans les réponses précédentes, Il est possible de migrer les groupes locaux de domaines . La où ça pose problème c'est lorsque que l'on a un groupes de locaux non domaine.


    mercredi 7 janvier 2009 14:25
  •  Carafraichit A écrit:
    Effectivement, comme tu me le cite dans les réponses précédentes, Il est possible de migrer les groupes locaux de domaines . La où ça pose problème c'est lorsque que l'on a un groupes de locaux non domaine.


     

    Ah oui si tu as des groupes locaux sur tes serveurs cela risque d'etre problématique et dans ces cas là il faudra suivre ce que l'on s'est dit au début de ce topic (avec l'utilisation de la commande addusers /d etc...)

    mercredi 7 janvier 2009 14:29