ADMT迁移用户时,对于双向林信任,是否需要关闭SID筛选?
问题
全部回复
-
您好!谢谢您的回复。现有源域A和目标域B,A与B均是windows server 2008 R2 中文版系统,两边林功能级别均为2008,且已做了双向林信任,默认情况下林信任之间的两个域应该是启用了SID筛选的(经我的测试),因为我从A域迁移了一个用户至B域后,该用户丢失了对A域中文件服务器的访问权限。(ADMT迁移过程中勾选了迁移SID至目标域,账号迁移完成后也能看到SIDHistory属性)
当我在目标域B的DC上使用命令禁用SID筛选时:netdom trust B /domain:A /enableSIDhistory:yes /usero:domainBAdministrator /passwordo:domainadminpwd
执行命令得到的截图如下:
当执行完此步骤后,重新迁移该账号至B域中,发现A域文件服务器共享访问权限仍然丢失。
请问我在执行禁用SID筛选并启用SID历史时,1,3命令是否有误?是否A,B域都需要执行禁用SID筛选?
命令1执行的是enablesidhistory:yes,得到的提示确是禁用了SID历史;查看是否启用SID筛选时,提示没有启用SID筛选,后面却又提示提供的所有SID都将无效。表示没怎么看懂。
当我调换A,B的顺序后命令执行如下,
重新迁移账号,登录B域的计算机,源域的文件服务器访问权限仍然丢失。
还请帮忙解答一下我心中的困惑,十分感谢!
- 已编辑 hutang 2018年10月15日 14:30
-
您好,
我们建立信任之后会有trusting Domain 和 trusted Domain,即Trusted Domain 可以访问Trusting Domain 的资源,双向信任是指互相能访问资源。我们正常关闭Trusting的SID 筛选,我们通常是运行如下命令:
netdom trust TrustingDomainName /domain: TrustedDomainName /quarantine:No /userD: domainadministratorAcct /passwordD: domainadminpwd Note: For Windows 2008 /enablesidhistory: N or Y
开启
Netdom trust TrustingDomainName/domain:TrustedDomainName/enablesidhistory:Yes/usero:domainadministratorAcct/passwordo:domainadmin
参考信息:
How to Disabling SID Filter Quarantining & Allowing SID History
希望以上信息对您有所帮助。
Best regards,
Kallen
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.- 已建议为答案 Kallen Wang 2018年10月26日 8:58
