none
[AD]請教ad移轉~sid與檔案權限 RRS feed

  • 問題

  • 各位大大好:
    我想請教
    目前我要做ad遷移
    第一台舊ad=>mserver.aaa.local=>main domain control and exchange 2003
    第二台new ad=>ad.bbb.local=>New Domain Control
    第三台new exchange2003=>exchange.bbb.local

    步驟:
    1.新舊ad樹系架構都提升windows 2003
    exchange2003為原生模式

    2.兩網域互相信任=>two way trust

    3.兩網域Administrators加入對方Administrator與Domain Admin

    4.於新ad執行diable sid filiter
    netdom trust aaa.local /Domain:bbb.local /quarantine:No /UserD:Administrator /PasswordD:1234

    5.將new domain key輸出

    6.將domain key匯入old domain control

    7.安裝pws server

    以上執行程序

    接著我將cmh帳號由old domain 遷移new domain
    遷移成功
    (有勾選sid遷移)
    無sid相關錯誤訊息

    但我利用
    psgetsid \\abc.local cmh

    psgetsid \\def.local cmh

    得到的sid
    不一樣~
    why~??

    • 已編輯 Vincent Lin 2009年3月18日 上午 07:32 修改title
    2009年2月16日 上午 05:14

解答

  • 可以參考看看早期在TechNet 的這篇文章:在樹系之間重整 Windows Server 2003 網域

    在帳戶遷移程序的段落裡面有提到:
    「當使用者帳戶在不同樹系的 Windows Server 2003 Active Directory 網域之間遷移時,會在來源網域中保留原始的帳戶,而在目標網域中建立新的帳戶。因為安全性原則 (使用者或群組) 的「安全性識別項」(SID) 永遠含有網域的識別項 (安全性原則便位於其中),所以會在目標網域中為使用者建立新的 SID。」


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    2009年2月17日 上午 01:40
    版主

所有回覆

  • 可以參考看看早期在TechNet 的這篇文章:在樹系之間重整 Windows Server 2003 網域

    在帳戶遷移程序的段落裡面有提到:
    「當使用者帳戶在不同樹系的 Windows Server 2003 Active Directory 網域之間遷移時,會在來源網域中保留原始的帳戶,而在目標網域中建立新的帳戶。因為安全性原則 (使用者或群組) 的「安全性識別項」(SID) 永遠含有網域的識別項 (安全性原則便位於其中),所以會在目標網域中為使用者建立新的 SID。」


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    2009年2月17日 上午 01:40
    版主
  • 您好~
    我也是安照那一個作法
    得到的兩個網域同一個帳號~不同的sid

    psgetsid.exe \\a.local cmh
    S-1-5-21-622795456-3202211710-3251507339-1346

    psgetsid.exe \\b.local cmh
    S-1-5-21-681062064-323566841-2476782862-1124

    遷移日誌:
    2009-02-17 09:01:16 正在啟動帳戶複寫器。
    2009-02-17 09:01:17 CN=cmh               - 已建立
    2009-02-17 09:01:22 已將 a\cmh 的 SID 新增到 b\cmh 的 SID 歷程記錄
    2009-02-17 09:01:23 WRN1:7857 無法為 'CN=cmh' 複製下列內容。
    2009-02-17 09:01:23    showInAddressBook = CN=預設全域通訊清單,CN=All Global Address Lists,CN=Address Lists Container,CN=a,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=a,DC=local, ...  發生一個限制違規。
    2009-02-17 09:01:23    lastLogonTimestamp = 128788941220263800  伺服器不願意處理此要求。
    2009-02-17 09:01:23   CN=cmh               - 已經複製密碼。
    2009-02-17 09:01:23 WRN1:7874 已經停用帳戶 'CN=cmh' 的 [密碼永久有效] 帳戶選項。
    2009-02-17 09:01:24 WRN1:7372 ADMT 不會處理 BUILTIN 帳戶,也不會變更 BUILTIN 群組 (Administrators 等) 的成員資格。正在跳過 LDAP://a.local/CN=Administrators,CN=Builtin,DC=a,DC=local
    2009-02-17 09:01:24 WRN1:7372 ADMT 不會處理 BUILTIN 帳戶,也不會變更 BUILTIN 群組 (Administrators 等) 的成員資格。正在跳過 LDAP://a.local/CN=Remote Desktop Users,CN=Builtin,DC=a,DC=local
    2009-02-17 09:01:24 已更新 CN=cmh 的使用者權利
    2009-02-17 09:01:24 操作完成。

    2009年2月17日 上午 04:52
  • 您好~
    已經解決了
    2009年2月18日 上午 04:44
  • 大大你好: 我也是和你碰到一模一樣的問頭… SID的mirgate訊息也是成功的…請問你這邊是如何解決的呢 Get sid的訊息也是得到不一樣的SID
    2010年11月30日 上午 03:44