none
SID en usuarios migrados con ADMT RRS feed

  • Pregunta

  • Hola, he migrado los usuarios y passwords de un windows server 2008R2 a un windows server 2016. Estos están en dominios diferentes. He visto que en el nuevo servidor el objectSID es diferente y al unir los usuarios al nuevo dominio se crean perfiles nuevos en las pc's clientes. Hay alguna forma que mantengan su mismo perfil?

    .Net, VB6, Java Professional Programer. Windows server 2008 Admin & Security Chief

    jueves, 21 de noviembre de 2019 11:09

Respuestas

  • Con la herramientas admt hay varias fases que se deben realizar ordenadamente.

    Una de ellas es pasar la herramienta a los equipos indicados para que añada el nuevo sid a los perfiles de usuario.

    Aun así no sé si has deshabilitado el filtro de Sidhistory, que debe estarlo para que funcione.

    netdom trust <trusting domain> /domain:<trusted domain> /quarantine:no

    Puedes revisarlo con

    nltest /server:<DC in trusting domain> /domain_trusts.

    Saludos



    MCSE Formador y Consultor Microsoft.

    • Propuesto como respuesta Pablo RubioModerator jueves, 21 de noviembre de 2019 16:05
    • Marcado como respuesta jlaf1983 viernes, 22 de noviembre de 2019 21:25
    jueves, 21 de noviembre de 2019 12:36

Todas las respuestas

  • Buenas,

    Para migrar usuarios y password de un dominio a otro, primero necesitas establecer relaciones de confianza.

    Y luego necesitas ejecutar la herramientas ADMT que permite seguir manteniedo el SID para evitar problemas con los que te estas encontrando.

    te adjunto un documento que te dará mas info:

    https://www.microsoft.com/es-es/download/details.aspx?id=19188


    MCSE Formador y Consultor Microsoft.

    jueves, 21 de noviembre de 2019 11:18
  • Hola, si he hecho todo, y los he migrado con ADMT 3.2. Las passwords se han migrado correctamente. He habilitado la auditoría que requería ADMT para migrar los SID pero aun asi al migrarse los usuarios el objectSID es diferente y al iniciar sesión los usuarios en el dominio nuevo se crean perfiles nuevos. La idea que utilicen el mismo perfil que ya tenian creado que es el motivo por el cual utilizo ADMT

    .Net, VB6, Java Professional Programer. Windows server 2008 Admin & Security Chief

    jueves, 21 de noviembre de 2019 11:25
  • Con la herramientas admt hay varias fases que se deben realizar ordenadamente.

    Una de ellas es pasar la herramienta a los equipos indicados para que añada el nuevo sid a los perfiles de usuario.

    Aun así no sé si has deshabilitado el filtro de Sidhistory, que debe estarlo para que funcione.

    netdom trust <trusting domain> /domain:<trusted domain> /quarantine:no

    Puedes revisarlo con

    nltest /server:<DC in trusting domain> /domain_trusts.

    Saludos



    MCSE Formador y Consultor Microsoft.

    • Propuesto como respuesta Pablo RubioModerator jueves, 21 de noviembre de 2019 16:05
    • Marcado como respuesta jlaf1983 viernes, 22 de noviembre de 2019 21:25
    jueves, 21 de noviembre de 2019 12:36
  • Este es el resultado

    Lista de confianzas de dominio:
        0: nuevo dominio.nuevo (NT 5) (Direct Outbound) (Direct Inbound) ( Attr: quarantined )
        1: viejo dominio.viejo (NT 5) (Forest Tree Root) (Primary Domain) (Native)
    El comando se completó correctamente

    que sería lo de la cuarentena?


    .Net, VB6, Java Professional Programer. Windows server 2008 Admin & Security Chief

    jueves, 21 de noviembre de 2019 12:45
  • El Attr: quarantined significa que esta habilitado el sid filetering.

    Debes ejecutar el comando que te he comentado:

    netdom trust <trusting domain> /domain:<trusted domain> /quarantine:no

    para deshabilitarlo, en ambas direcciones.

    Saludos.


    MCSE Formador y Consultor Microsoft.

    jueves, 21 de noviembre de 2019 13:14
  • en ambos servidores?. 

    Luego tendré que hacer la migración nuevamente?. Lo he intentado y el resultado fue el mismo :/ 


    .Net, VB6, Java Professional Programer. Windows server 2008 Admin & Security Chief


    • Editado jlaf1983 jueves, 21 de noviembre de 2019 16:29
    jueves, 21 de noviembre de 2019 13:18
  • hazlo mejor en ambos servidores.

    Luego ejecuta el admt y comprueba que los permisos de los perfiles de usuarios originales tienen 2 sid o identificadores de usuario

    Saludos.


    MCSE Formador y Consultor Microsoft.

    viernes, 22 de noviembre de 2019 7:52
  • Los usuarios tienen su propio objectSID y el sid original se almacena en SIDhistory, de todas formas ha funcionado, lo que yo aún no había hecho era migrar los equipos con admt, solo había probado en un equipo iniciando sesión en el nuevo dominio manualmente. Al migrar el equipo las configuraciones y datos de los perfiles locales se copian correctamente. Muchas gracias por tu tiempo. 

    .Net, VB6, Java Professional Programer. Windows server 2008 Admin & Security Chief

    viernes, 22 de noviembre de 2019 12:01