none
nt4 迁移到2003时原域“Domain User”不能迁移? RRS feed

  • 问题

  • 各位好:

           公司近来要把NT4域迁移到windows 2003(没错是nt4到2003,呵呵) 但遇到一个问题就是原域的“domain user”组不能迁移,导致迁移后的用户不能访问在文件服务器以原域“Domain user”组所加权限的文件。请各位指教。

    2015年9月1日 6:55

答案

  • 您好:

    内置帐户(如 Administrators、Users 和 Power Users)不能是 Active Directory 迁移工具 (ADMT) 的迁移对象。因为内置帐户安全标识符 (SID) 在每个域中都相同,所以将这些帐户迁移到目标域将导致单个域中出现重复的 SID。域中的每个 SID 都必须是唯一的。已知帐户(如 Domain Admins 和 Domain Users)也不能是 ADMT 迁移对象。

    您可以查看一下微软的官方文档。

    https://technet.microsoft.com/zh-cn/library/cc974368(v=ws.10).aspx

    Best Regards,

    Mary Dong


    Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2015年9月8日 5:06
    版主
  • 您好,

    当你做迁移的时候,被迁移的用户会被赋予新的SID。但是由于权限是基于SID,当SID改变,用户将不能去访问对应的资源直到被再次赋予权限。所以当你迁移到目标域时你可以选用迁移SID,这个就成为对应新目标用户的SIDHistory属性。

    而对于访问目标域或者源域的资料来说,基于的还是ACL中对应的SID,会进行 比对ACL中的访问权限来允许访问或者拒绝访问。
    当SID筛选启用,由于user1@source.local 已经变成了user1@target.local ,你以user1@target.local去访问源域中的资源,NTFS权限列表中并没有显示该账户。所以还是会被拒绝。
    只有当SID筛选禁用,不管NTFS中有没有显示该账户,SIDHistory会允许user1@target.local去访问资源。

    https://blog.thesysadmins.co.uk/admt-series-3-sid-history.html

    Best Regards,

    Mary Dong


    Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 leewj 2015年9月10日 0:43
    2015年9月9日 11:52
    版主

全部回复

  • 您好,

    请问您用的是什么样的迁移软件?

    建议您使用微软ADMT工具来做迁移。如果是其他的三方软件微软暂时不支持。

    可以看一下关于用ADMT来迁移组时的具体步骤。

    https://blog.thesysadmins.co.uk/admt-series-7-group-account-migration-wizard.html

    这是有关于从NT4迁移到server 2003的详细的导读,建议您可以参考一下。

    http://www.microsoft.com/en-us/download/details.aspx?id=2479#filelist

    Best Regards,

    Mary Dong


    Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2015年9月2日 7:35
    版主
  • 谢谢你的回答,我是用admt 3.0 的。

    在组迁移中有如下的信息:

    [对象迁移节]

    2015-09-04 14:30:16 启用帐户复制程序。
    2015-09-04 14:30:18 WRN1:7372 ADMT 不处理内置帐户或更改内置组的成员身份(如 Administrators)。跳过 Domain Users
    2015-09-04 14:30:18 完成操作。

    似乎是不可以迁移的。

    2015年9月4日 6:36
  • 您好:

    内置帐户(如 Administrators、Users 和 Power Users)不能是 Active Directory 迁移工具 (ADMT) 的迁移对象。因为内置帐户安全标识符 (SID) 在每个域中都相同,所以将这些帐户迁移到目标域将导致单个域中出现重复的 SID。域中的每个 SID 都必须是唯一的。已知帐户(如 Domain Admins 和 Domain Users)也不能是 ADMT 迁移对象。

    您可以查看一下微软的官方文档。

    https://technet.microsoft.com/zh-cn/library/cc974368(v=ws.10).aspx

    Best Regards,

    Mary Dong


    Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2015年9月8日 5:06
    版主
  • 你好:

           想请教那么既然内置帐户SID在每个域都相同的,那么在源域文件服务器用”DOMAIN USER“组加的权限,以移到目标域的用户去访问的话,情况是不能访问?检查过用户已经有sid历史。另外,在另一信任域所加的源域组的用户权限,以移到目标域的用户去(以前在源域组里,源域组已经移到目标域上)访问的话,情况是不能访问?另一信任域是否也要关闭SID筛选? 谢谢!

    • 已标记为答案 leewj 2015年9月10日 0:43
    • 取消答案标记 leewj 2015年9月10日 0:44
    2015年9月9日 9:08
  • 您好,

    当你做迁移的时候,被迁移的用户会被赋予新的SID。但是由于权限是基于SID,当SID改变,用户将不能去访问对应的资源直到被再次赋予权限。所以当你迁移到目标域时你可以选用迁移SID,这个就成为对应新目标用户的SIDHistory属性。

    而对于访问目标域或者源域的资料来说,基于的还是ACL中对应的SID,会进行 比对ACL中的访问权限来允许访问或者拒绝访问。
    当SID筛选启用,由于user1@source.local 已经变成了user1@target.local ,你以user1@target.local去访问源域中的资源,NTFS权限列表中并没有显示该账户。所以还是会被拒绝。
    只有当SID筛选禁用,不管NTFS中有没有显示该账户,SIDHistory会允许user1@target.local去访问资源。

    https://blog.thesysadmins.co.uk/admt-series-3-sid-history.html

    Best Regards,

    Mary Dong


    Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 leewj 2015年9月10日 0:43
    2015年9月9日 11:52
    版主
  • 你好:

           还是有点不明白。想请教,现有源域、目标域、还有第三个域,他们都是外部的信任关系,如果想目标域源有在第三个域文件服务器的用户权限,可以给迁移到目标域的用户访问,是否要在第三个域上禁用sid筛选?

    命令

    External trust: Netdom trust TrustingDomainName /domain:TrustedDomainName /quarantine:No /usero:domainadministratorAcct /passwordo:domainadminpwd

                                       Netdom trust 目标域 /domain:第三个域 /quarantine:No /usero:第三个域administratorAcct /passwordo:第三个域domainadminpwd

    请问对否?

    2015年9月10日 1:07