none
異なるAD間でのデータ移行について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    現在WindowsFileServer→別のCIFSサーバへのデータ移行を検討しているのですが、
    異なるAD間でのデータ移行となる予定で、アクセス権限を保持したままのデータ移行ができないか検討中です。
    下記のようなことが可能かどうかご教示いただけますでしょうか。

    ・AドメインのWindowsFileServerからBドメインのCIFSサーバへのデータ移行
    ・AドメインとBドメインには同一名のユーザが存在(存在しないユーザもいる)
     ただしAドメインとBドメイン間には信頼関係はなし
     # AドメインもBドメインも上位のCドメインからユーザ情報を引いてきている
    ・AドメインのWindowsFileServerで設定されていた各フォルダへの権限を引き継いでいる状態

    想定は下記です。
    現行 :aフォルダ 権限Aドメイン\aユーザ フルコントロール
    移行後:aフォルダ 権限Bドメイン\aユーザ フルコントロール

    Aドメイン\aユーザとBドメイン\aユーザではSIDなどが変わってしまうので引き継ぐことは難しい認識ですが、
    たとえばicaclsなどで情報を一括取得、移行後にicaclsで置換した情報を流すなどで変換すれば引き継ぐことはできるのでしょうか?

    2018年2月13日 13:01
    |

回答

  • Question
    サインインして投票
    2
    サインインして投票

    チャブーンです。

    そのCドメインとAドメイン、Bドメインが「単一フォレスト」に属しているなら、SIDの解決ができますので、そのまま移行が可能です。逆に、フォレストが分離していて個別の信頼関係で結ばれているなら、AドメインとBドメインの信頼を結ばない限り、直接の移行はできません。

    どうしてもそのままでアクセス許可ごと移行したい場合、robocopyで「SIDが解決しないアクセス許可もそのまま移行する」かたちで移行を行い、subinaclコマンドでSID→該当セキュリティグループへの名前変換を行うよう設定する、しか方法はないと思います。

    http://www.atmarkit.co.jp/fwin2k/win2ktips/1342replacl/replacl.html

    Windows Server 2012 R2などでsubinaclコマンドが使えるかどうか(追加でインストールする必要があります)を含め、検証等はご自身で行ってみてください。

    追記:subinaclコマンドを使って実際に付け替えを行う方法については、したのページに情報があるので、参考になると思います(元ネタは削除されているので、インターネットアーカイブから拾いましたが)

    https://web.archive.org/web/20110411073012/http://support.microsoft.com/kb/250267

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2018年2月14日 5:03
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    2
    サインインして投票

    チャブーンです。

    そのCドメインとAドメイン、Bドメインが「単一フォレスト」に属しているなら、SIDの解決ができますので、そのまま移行が可能です。逆に、フォレストが分離していて個別の信頼関係で結ばれているなら、AドメインとBドメインの信頼を結ばない限り、直接の移行はできません。

    どうしてもそのままでアクセス許可ごと移行したい場合、robocopyで「SIDが解決しないアクセス許可もそのまま移行する」かたちで移行を行い、subinaclコマンドでSID→該当セキュリティグループへの名前変換を行うよう設定する、しか方法はないと思います。

    http://www.atmarkit.co.jp/fwin2k/win2ktips/1342replacl/replacl.html

    Windows Server 2012 R2などでsubinaclコマンドが使えるかどうか(追加でインストールする必要があります)を含め、検証等はご自身で行ってみてください。

    追記:subinaclコマンドを使って実際に付け替えを行う方法については、したのページに情報があるので、参考になると思います(元ネタは削除されているので、インターネットアーカイブから拾いましたが)

    https://web.archive.org/web/20110411073012/http://support.microsoft.com/kb/250267

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2018年2月14日 5:03
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    フォーラム オペレーターの栗下 望です。
    yos_666 さん、こんにちは。

    回答マークの設定にご協力いただきありがとうございます。
    今後ともどうかよろしくお願いいたします。

    参考になった投稿には回答としてマークの設定にご協力ください
    MSDN/TechNet Community Support 栗下 望


    2018年2月26日 1:41
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさん

    回答ありがとうございました。
    subinaclコマンドという手段があることを知ることができました。

    検証してみたいと思います。

    2018年2月27日 5:56
    |