none
ADMT迁移用户时,对于双向林信任,是否需要关闭SID筛选? RRS feed

答案

全部回复

  • 您好,

    感谢您在我们论坛发帖。

    您可以选择关闭它。因为此时已有双向信任。

    为了提高此外部信任的安全性,启用了安全标识符(SID)筛选。但是,如果用户已迁移到受信任域并且已保留其SID历史记录,则可以选择关闭此功能。

    默认情况下,SID筛选对林中自动创建的信任不活动。您可以启用它,但如果林功能级别低于Windows Server 2003则不能启用它。对林中的任何信任执行此操作都会中断复制。此外,如果林功能级别是 Windows Server 2003或更高版本; 如果您在任何信任上启用SID筛选,则具有来自林中其他域的通用组成员身份的用户可能会失去对资源的访问权限。

    希望以上信息对您有所帮助。

    Best regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年10月15日 7:14
  • 您好!谢谢您的回复。现有源域A和目标域B,A与B均是windows server 2008 R2 中文版系统,两边林功能级别均为2008,且已做了双向林信任,默认情况下林信任之间的两个域应该是启用了SID筛选的(经我的测试),因为我从A域迁移了一个用户至B域后,该用户丢失了对A域中文件服务器的访问权限。(ADMT迁移过程中勾选了迁移SID至目标域,账号迁移完成后也能看到SIDHistory属性)

    当我在目标域B的DC上使用命令禁用SID筛选时:netdom trust B /domain:A /enableSIDhistory:yes /usero:domainBAdministrator /passwordo:domainadminpwd 

    执行命令得到的截图如下:

    当执行完此步骤后,重新迁移该账号至B域中,发现A域文件服务器共享访问权限仍然丢失。

    请问我在执行禁用SID筛选并启用SID历史时,1,3命令是否有误?是否A,B域都需要执行禁用SID筛选?

    命令1执行的是enablesidhistory:yes,得到的提示确是禁用了SID历史;查看是否启用SID筛选时,提示没有启用SID筛选,后面却又提示提供的所有SID都将无效。表示没怎么看懂。

    当我调换A,B的顺序后命令执行如下

    重新迁移账号,登录B域的计算机,源域的文件服务器访问权限仍然丢失。

    还请帮忙解答一下我心中的困惑,十分感谢!




    • 已编辑 hutang 2018年10月15日 14:30
    2018年10月15日 13:47
  • 您好,

    感谢您的回复。

    针对您的问题,我正在进行研究,并且会尽快联系您。请您保持耐心。

    感谢您的理解和支持。

    Best regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年10月19日 9:38
  • 您好,

    我们建立信任之后会有trusting Domain trusted Domain,即Trusted Domain 可以访问Trusting Domain 的资源,双向信任是指互相能访问资源。我们正常关闭TrustingSID 筛选,我们通常是运行如下命令:

    netdom trust TrustingDomainName /domain: TrustedDomainName /quarantine:No /userD: domainadministratorAcct /passwordD: domainadminpwd Note: For Windows 2008 /enablesidhistory: N or Y

    开启

    Netdom trust TrustingDomainName/domain:TrustedDomainName/enablesidhistory:Yes/usero:domainadministratorAcct/passwordo:domainadmin

    参考信息:

    How to Disabling SID Filter Quarantining & Allowing SID History

    https://blogs.technet.microsoft.com/csstwplatform/2010/05/06/how-to-disabling-sid-filter-quarantining-allowing-sid-history/

    希望以上信息对您有所帮助。

    Best regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已建议为答案 Kallen Wang 2018年10月26日 8:58
    2018年10月22日 7:44
  • 您好,

    只需检查以查看所提供的信息是否有用。如果您需要进一步的帮助,请告诉我们。

    Best Regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年10月26日 5:30
  • 您好,

    您的问题解决了吗?

    如果您使用我们的解决方案解决了问题,请标记为答案以帮助其他社区成员快速找到有用的回复。

    如果您使用自己的解决方案解决问题,请在此处分享您的经验和解决方案。 对于有类似问题的其他社区成员来说,这将非常有益。

    如果不是,请回复并告诉我们当前的情况,以便提供进一步的帮助。

    Best Regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年10月31日 3:08
  • 您好!

    我在源域上 按照以下方式关闭了SID筛选,并保留了sid历史。

    谢谢!

    • 已标记为答案 hutang 2018年11月26日 8:38
    2018年11月26日 8:37
  • Hello

    我遇到的问题和您所描述的一模一样

    “命令1执行的是enablesidhistory:yes,得到的提示确是禁用了SID历史;查看是否启用SID筛选时,提示没有启用SID筛选,后面却又提示提供的所有SID都将无效。表示没怎么看懂。“                       

    和您当时一样困惑,辛苦告知一下最后怎么解决的



    • 已编辑 D Wang 2019年12月2日 7:39
    2019年12月2日 7:26