Umzug in neue Domäne

21/11/2008 - 10:26 von Andre Müller | Report spam
Guten Morgen zusammen,

wir haben vor, unsere derzeitige Domàne unter Windows 2000 in eine AD -
Domàen unter Windows 2003 umzuziehen. Die neue Domàne wird in einem neuen
Netzsegment mit einer Vertrauensstellung zur Windows 2000 Domàne erstellt.

Auf ein Update der alten Umgebung wird verzichtet um vorhandene
Fehlkonfigurationen nicht zu übernehmen.

Bei der Umstellung sollen die User in Szenario 1 ganz neu Angelegt werden,
und in einem möglichen 2. Szenario aus der bisherigen Domàne übernommen
werden.

dazu habe ich 2 Fragen.

1. Gibt es hierzu bekannte BestPratice Szenarien/Checklisten etc. die uns
hier
weiterhelfen?

2. NTFS-Berechtigungen: für die Übergangszeit werden auf die Fileserver von
beiden Domànen zugegriffen. D.h. User 1 hat Rechte über Domàne 2000 und
Domàne 2003;
Wie verhalten sich die Berechtigungen, wenn der Fileserver von Domàne 2000
in Domàne 2003 wechselt; bleiben die vorherigen Zugriffsrechte bestehen, oder
gehen diese verloren?

danke
Andre
 

Lesen sie die antworten

#1 Yusuf Dikmenoglu [MVP]
21/11/2008 - 11:00 | Warnen spam
Hallo,

"Andre Müller" wrote:
1. Gibt es hierzu bekannte BestPratice Szenarien/Checklisten etc. die uns
hier weiterhelfen?



ihr solltet die Benutzer nicht neu einrichten in der neuen Domàne, sondern
mit dem Tool ADMT, die Benutzer- sowie Computerkonten von der alten in die
neue Domàne migrieren. Bei den Computerkonten kannst du Clients sowie
Mitgliedsserver migrieren, aber keine DCs. Diese müssen aus der alten Domàne
herunter- und in der neuen Domàne heraufgestuft werden. Mit ADMT zu
migrieren, erspart dir auf jedenfall eine Menge Arbeit.

2. NTFS-Berechtigungen: für die Übergangszeit werden auf die Fileserver von
beiden Domànen zugegriffen. D.h. User 1 hat Rechte über Domàne 2000 und
Domàne 2003; Wie verhalten sich die Berechtigungen, wenn der Fileserver von
Domàne 2000 in Domàne 2003 wechselt; bleiben die vorherigen Zugriffsrechte
bestehen, oder gehen diese verloren?



Wenn du mit ADMT migrierst, was du tun solltest, kannst du das Attribut
SIDHistory dazu nutzen. Das ADMT richtet ein neues Benutzerkonto in der neuen
Domàne
ein und fügt die SID des alten Benutzerkontos, aus der alten Domàne an das
neue Benutzerkonto der neuen Domàne als SID-History hinzu.

Damit kann das neue Benutzerkonto die alte SID als "Ausweis" verwenden, wenn
die neue SID des Benutzerkontos keinen Zugriff bekommt. Damit wàre
gewàhrleistet, dass das neue Benutzerkonto (aus der neuen Domàne) auf die
Ressourcen der alten Domàne zugreifen kann.

Wenn vorher die Benutzer- sowie Gruppenkonten mit ADMT migriert wurden,
werden beim migruieren des Computerkontos des Fileserver die ACL auf die
neuen Konten /umgesetzt/. Entscheidend bei diesem Schritt ist der Assistent
für die Computermigration sowie der "Security Translation Wizard".

Wenn alles korrekt durchgeführt wurde, haben die Benutzer der neuen Domàne
den gleichen Zugriff auf die Ressourcen, wie in der alten Domàne. Lies dir
dazu das Whitepaper zu ADMT durch und führe eine Test-Migration mit ADMT
durch.

[Yusufs Directory Blog - Benutzermigration mit ADMT v3: How-To
http://blog.dikmenoglu.de/PermaLink...ddf9c.aspx

Wenn es ein kommerzielles Tool sein darf, dann wàre hier von Quest der
"Migration Manager for AD" zu erwàhnen. Kostet aber Geld.

Regards from Rhein-Main/Germany
Yusuf Dikmenoglu - MVP Directory Services
Blog: http://blog.dikmenoglu.de

Ähnliche fragen