6
Dateisystem-Berechtigungen übertragen auf Server2008
Hallo allerseits, wäre über schnelle Hilfe sehr sehr sehr dankbar!!
Hallo Community,
folgendes soll bei einem Kunden durchgeführt werden:
vorhandene Domaene (2000 oder 2003) soll auf 2008 Server aktualisiert werden und zwar in der Form, dass die vorhandene Hardware beibehalten wird. Das bedeutet: wir formatieren den alten Server und setzen dann den 2008 Server neu auf.
Ist hierbei eine Uebertragung der Dateisystemberechtigungen der Daten (auf 2. Partition, Partition bleibt erhalten) und evtl. auch der User usw. auf den neuen Server moeglich ohne alles haendisch machen zu muessen?
Gibt es evtl. ein Tool das die vorhandenen Dateisystemberechtigungen grafisch/Baumstrukturmaessig darstellt/aufarbeitet falls wir die Uebertragung doch haendisch machen muessen? Sonst wird das ganze ziemlich aufwaendig
Bei Nachfragen einfach kurz melden. Waere für schnelle Hilfe sehr dankbar.
folgendes soll bei einem Kunden durchgeführt werden:
vorhandene Domaene (2000 oder 2003) soll auf 2008 Server aktualisiert werden und zwar in der Form, dass die vorhandene Hardware beibehalten wird. Das bedeutet: wir formatieren den alten Server und setzen dann den 2008 Server neu auf.
Ist hierbei eine Uebertragung der Dateisystemberechtigungen der Daten (auf 2. Partition, Partition bleibt erhalten) und evtl. auch der User usw. auf den neuen Server moeglich ohne alles haendisch machen zu muessen?
Gibt es evtl. ein Tool das die vorhandenen Dateisystemberechtigungen grafisch/Baumstrukturmaessig darstellt/aufarbeitet falls wir die Uebertragung doch haendisch machen muessen? Sonst wird das ganze ziemlich aufwaendig
Bei Nachfragen einfach kurz melden. Waere für schnelle Hilfe sehr dankbar.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 124860
Url: https://administrator.de/contentid/124860
Printed on: April 26, 2024 at 13:04 o'clock
6 Comments
Latest comment
Ein einfach gehaltenes Tool, um die Berechtigungen sichtbar zu machen, ist AccessEnum. Schau mal auf www.sysinternals.com .
Ich bin kein Experte, dennoch nachfolgend meine Einschätzung (ohne Anspruch auf Vollständigkeit und Richtigkeit):
Ich gehe mal davon aus, dass die fragliche Partition mit NTSF formatiert ist. Somit liegen die Zugangsberechtigungen im Dateisystem und sind unabhängig vom verwendeten Betriebssystem. Damit diese weiterhin funktionieren, müssen aber alle Benutzer des vorhandenen Systems in das neue importiert werden.
Vorhandene Benutzerrechte sind wertlos, wenn die bestehenden Benutzer nicht mit übernommen werden.
Ich bin kein Experte, dennoch nachfolgend meine Einschätzung (ohne Anspruch auf Vollständigkeit und Richtigkeit):
Ich gehe mal davon aus, dass die fragliche Partition mit NTSF formatiert ist. Somit liegen die Zugangsberechtigungen im Dateisystem und sind unabhängig vom verwendeten Betriebssystem. Damit diese weiterhin funktionieren, müssen aber alle Benutzer des vorhandenen Systems in das neue importiert werden.
Vorhandene Benutzerrechte sind wertlos, wenn die bestehenden Benutzer nicht mit übernommen werden.
Wenn du einen neuen DC aufsetzt, und der einen neuen DC Stamm aufbaut ( das tut er bei neuinstallation ) kannst du die Berechtigungsstruckturen gleich vergessen, da die Gruppenberechtigungen und deren ID's nicht mehr zurverfügbar stehen. Da mußt du sowieso eine neue Berechtigungsstrucktur + Gruppen und User aufbauen.
MACHE EINE VOLLSICHERUNG VON ALLEM UND JEDEM der Domain
TESTE DEINE VOLLSICHERUNG VON ALLEM UND JEDEM der Domain
HOFFE DAS DEINE VOLLSICHERUNG VON ALLEM UND JEDEM der Domain nicht brauchst
Eine Möglichkeit gibt es da aber, setzte einen 2ten DC auf ( klassischen BDC ) verschiebe alle FSMO Rollen+ DNS Dienste und Co zum BDC, mache den dan zum PDC, entferne denn alten DC aus der Domain installiere dann den neuen DC und alles wieder Retour.
!!! habe nun das obige mal fix Stichpunktartig zusammen geschrieben. !!!
Da hast du wenigstens deine kompletten Struckturen transferiert.
@ Händisch
Cacls *.* /T >c:\rechte.txt
ist der Befehl.
Cacls -> zeigt die Datei-ACLs (Access Control List) an.
*.* -> alles ( Datei + Ordner )
/T -> im Ordner und Unterordner
Ich gehe mal davon aus das das nicht sehr komfortabel sein wird, aber der nutzen ist da man hat alle Berechtigungen.
Inhalt könnte wie Folge aussehen :
C:\Deploy\factory.exe ICH\ICH:F
NT-AUTORITŽT\SYSTEM:F
VORDEFINIERT\Administratoren:F
C:\Deploy\Freu VORDEFINIERT\AdministratorenOI)(CI)F
NT-AUTORITŽT\SYSTEMOI)(CI)F
ICH\ICH:F
ERSTELLER-BESITZEROI)(CI)(IO)F
VORDEFINIERT\BenutzerOI)(CI)R
VORDEFINIERT\BenutzerCI)(Beschr„nkter Zugriff
FILE_APPEND_DATA
VORDEFINIERT\BenutzerCI)(Beschr„nkter Zugriff
FILE_WRITE_DATA
C:\Deploy\wfinf_guide.doc ICH\ICH:F
NT-AUTORITŽT\SYSTEM:F
VORDEFINIERT\Administratoren:F
C:\Deploy\Freu\freu.txt VORDEFINIERT\Administratoren:F
NT-AUTORITŽT\SYSTEM:F
ICH\ICH:F
VORDEFINIERT\Benutzer:R
MFG Metzger
MACHE EINE VOLLSICHERUNG VON ALLEM UND JEDEM der Domain
TESTE DEINE VOLLSICHERUNG VON ALLEM UND JEDEM der Domain
HOFFE DAS DEINE VOLLSICHERUNG VON ALLEM UND JEDEM der Domain nicht brauchst
Eine Möglichkeit gibt es da aber, setzte einen 2ten DC auf ( klassischen BDC ) verschiebe alle FSMO Rollen+ DNS Dienste und Co zum BDC, mache den dan zum PDC, entferne denn alten DC aus der Domain installiere dann den neuen DC und alles wieder Retour.
!!! habe nun das obige mal fix Stichpunktartig zusammen geschrieben. !!!
Da hast du wenigstens deine kompletten Struckturen transferiert.
@ Händisch
Cacls *.* /T >c:\rechte.txt
ist der Befehl.
Cacls -> zeigt die Datei-ACLs (Access Control List) an.
*.* -> alles ( Datei + Ordner )
/T -> im Ordner und Unterordner
c:\rechte.txt -> Umlenken hier in die Datei c:\rechte.txt
Ich gehe mal davon aus das das nicht sehr komfortabel sein wird, aber der nutzen ist da man hat alle Berechtigungen.
Inhalt könnte wie Folge aussehen :
C:\Deploy\factory.exe ICH\ICH:F
NT-AUTORITŽT\SYSTEM:F
VORDEFINIERT\Administratoren:F
C:\Deploy\Freu VORDEFINIERT\Administratoren
OI)(CI)FNT-AUTORITŽT\SYSTEM
OI)(CI)FICH\ICH:F
ERSTELLER-BESITZER
OI)(CI)(IO)FVORDEFINIERT\Benutzer
OI)(CI)RVORDEFINIERT\Benutzer
CI)(Beschr„nkter ZugriffFILE_APPEND_DATA
VORDEFINIERT\Benutzer
CI)(Beschr„nkter ZugriffFILE_WRITE_DATA
C:\Deploy\wfinf_guide.doc ICH\ICH:F
NT-AUTORITŽT\SYSTEM:F
VORDEFINIERT\Administratoren:F
C:\Deploy\Freu\freu.txt VORDEFINIERT\Administratoren:F
NT-AUTORITŽT\SYSTEM:F
ICH\ICH:F
VORDEFINIERT\Benutzer:R
MFG Metzger
Hi bitshop,
das wäre wohl die schlechteste Lösung die bis jetzt vorgeschlagen wurde. Alles zu löschen und neu aufzusetzen.
Also ich gehe mal davon aus das DC und Fileserver auf einem Server zusammen ist??!
So wäre ein besserer Weg, sicher erstmal einen zweiten DomainController zu installieren/konfigurieren. So sind schon mal die User und alle Gruppen gesichert.
Die Daten musst du sowieso sichern auf einen anderen Server. So würde ich um es einfach zu halten. Einen Robocopyjob machen. Mit diesem werden, wenn man die richtigen Schalter benutzt auch die Berechtigungen übernommen.
Wenn das alles erledigt ist eine SchemaUpdate und DomänenUpdate nötig. Damit eine Win2008DC zur Domäne hinzugefügt werden kann.
Nach diesen Schritten erst DCPromo am alten DC ausführen um den DC die Domänen-Rolle zu entfernen.
Wenn das erledigt ist kannst du den Server neu Aufsetzen mit WIn2008 usw.
Step by Step:
1. zweiten DomainController konfigurieren und alle MasterRollen übernehemen und zum GC machen.
2. Files mit Robocopy auf einen anderen Store kopieren
3. Schema und Domänenupdate für Win2008 Domänencontroller
4. Alten DC die Rolle eines DomänenControllers entfernen (dcpromo)
5. Alten Server neu aufsetzten und zum DC machen.
6. Daten wieder mit Robocopy auf den neu Aufgesetzten Server kopieren.
7. den zweiten DC entweder lassen oder auch mit dcpromo entfernen.
FERTIG
Zeit wenn der Filestore nicht zu gross ist 1 1/2 Tage würd ich sagen.
erich
das wäre wohl die schlechteste Lösung die bis jetzt vorgeschlagen wurde. Alles zu löschen und neu aufzusetzen.
Also ich gehe mal davon aus das DC und Fileserver auf einem Server zusammen ist??!
So wäre ein besserer Weg, sicher erstmal einen zweiten DomainController zu installieren/konfigurieren. So sind schon mal die User und alle Gruppen gesichert.
Die Daten musst du sowieso sichern auf einen anderen Server. So würde ich um es einfach zu halten. Einen Robocopyjob machen. Mit diesem werden, wenn man die richtigen Schalter benutzt auch die Berechtigungen übernommen.
Wenn das alles erledigt ist eine SchemaUpdate und DomänenUpdate nötig. Damit eine Win2008DC zur Domäne hinzugefügt werden kann.
Nach diesen Schritten erst DCPromo am alten DC ausführen um den DC die Domänen-Rolle zu entfernen.
Wenn das erledigt ist kannst du den Server neu Aufsetzen mit WIn2008 usw.
Step by Step:
1. zweiten DomainController konfigurieren und alle MasterRollen übernehemen und zum GC machen.
2. Files mit Robocopy auf einen anderen Store kopieren
3. Schema und Domänenupdate für Win2008 Domänencontroller
4. Alten DC die Rolle eines DomänenControllers entfernen (dcpromo)
5. Alten Server neu aufsetzten und zum DC machen.
6. Daten wieder mit Robocopy auf den neu Aufgesetzten Server kopieren.
7. den zweiten DC entweder lassen oder auch mit dcpromo entfernen.
FERTIG
Zeit wenn der Filestore nicht zu gross ist 1 1/2 Tage würd ich sagen.
erich
Hi Erich,
hört sich schon mal gut an. Vielen Dank erstmal für Deine Antwort.
Da dies meine 1. Migration ist bin ich sozusagen totaler Laie was AD und Replizierung etc. angeht ...
zu Deiner Frage/Feststellung: Ja, DC und Fileserver sind auf einem Server zusammengefasst, allerdings auf verschiedenen Partitionen (eine für System, AD usw. und eine für die Daten).
Inzwischen hab' ich mich auch in versch. Foren ein wenig eingelesen und hätte noch einige Fragen:
- alle meine Versuche mit 2003 Server einen 2. Domaincontroller aufzusetzen scheiterten bisher kläglich weil immer der bereits vorhandene DC 'angemeckert' wurde und somit der neue 2003er nur als alleinstehender Server zu konfigurieren war (habe den Assistenten von 2003 dafür verwendet)... Meine Frage ist also: wie ist ein zweiter Domaincontroller zu konfigurieren damit beide funktionieren? (Name und IP frei wählbar?)
- Kann der neue 2008er-DC am Ende dann denselben Namen und die selbe IP wie der ursprüngliche Server haben?
- Wenn nun der zweite DC vorhanden ist - wie erfolgt die Replizierung der Daten (überall ist zu lesen dass dies automatisch erfolgt) und woher weiß ich, wann dies Replizierung fertig ist und ich weitermachen kann? (Gibt es hierfür Tools, Erfahrungswerte etc.)
- was ist ein Schema-Update und Domänen-Update und wie werden diese Updates durchgeführt? (Habe etwas von 'Rollenübertragung' gelesen)
- Kann man dieses Programm "Robocopy" irgendwo herunterladen oder ist es evtl. auch schon im Betriebssystem integriert?Oder kann ich die Daten eventuell auch auf dem alten Server belassen (diese sind auf einer 2. Partition gelagert, unabhängig vom System - es soll nur die C:-Partition formatiert werden)? Das würde viel Zeit sparen ...
- gibt es eventuell irgendwo eine detaillierte Anleitung zu diesem Thema?
Ich weiß, viele Fragen ... aber ich informiere mich lieber vorher genau als nachher zu experimentieren.
So das war's erstmal.
Andy
hört sich schon mal gut an. Vielen Dank erstmal für Deine Antwort.
Da dies meine 1. Migration ist bin ich sozusagen totaler Laie was AD und Replizierung etc. angeht ...
zu Deiner Frage/Feststellung: Ja, DC und Fileserver sind auf einem Server zusammengefasst, allerdings auf verschiedenen Partitionen (eine für System, AD usw. und eine für die Daten).
Inzwischen hab' ich mich auch in versch. Foren ein wenig eingelesen und hätte noch einige Fragen:
- alle meine Versuche mit 2003 Server einen 2. Domaincontroller aufzusetzen scheiterten bisher kläglich weil immer der bereits vorhandene DC 'angemeckert' wurde und somit der neue 2003er nur als alleinstehender Server zu konfigurieren war (habe den Assistenten von 2003 dafür verwendet)... Meine Frage ist also: wie ist ein zweiter Domaincontroller zu konfigurieren damit beide funktionieren? (Name und IP frei wählbar?)
- Kann der neue 2008er-DC am Ende dann denselben Namen und die selbe IP wie der ursprüngliche Server haben?
- Wenn nun der zweite DC vorhanden ist - wie erfolgt die Replizierung der Daten (überall ist zu lesen dass dies automatisch erfolgt) und woher weiß ich, wann dies Replizierung fertig ist und ich weitermachen kann? (Gibt es hierfür Tools, Erfahrungswerte etc.)
- was ist ein Schema-Update und Domänen-Update und wie werden diese Updates durchgeführt? (Habe etwas von 'Rollenübertragung' gelesen)
- Kann man dieses Programm "Robocopy" irgendwo herunterladen oder ist es evtl. auch schon im Betriebssystem integriert?Oder kann ich die Daten eventuell auch auf dem alten Server belassen (diese sind auf einer 2. Partition gelagert, unabhängig vom System - es soll nur die C:-Partition formatiert werden)? Das würde viel Zeit sparen ...
- gibt es eventuell irgendwo eine detaillierte Anleitung zu diesem Thema?
Ich weiß, viele Fragen ... aber ich informiere mich lieber vorher genau als nachher zu experimentieren.
So das war's erstmal.
Andy
Hi,
Name(Servername) ist fast frei wählbar. Sollte halt nicht länger als 15Zeichen(NetBiosName) haben. IP muss fest sein.
wenn du einen neuen DC konf. dann bei der Auswah l auf erweitert gehen und zu bestehender Domäne hinzufügen. Dann sollte es eigentlich funktionieren?!
- Kann der neue 2008er-DC am Ende dann denselben Namen und die selbe
IP wie der ursprüngliche Server haben?
Ja es ist möglich wenn du den alten vorher sauber entfernt hast!
- Wenn nun der zweite DC vorhanden ist - wie erfolgt die Replizierung
der Daten (überall ist zu lesen dass dies automatisch erfolgt)
und woher weiß ich, wann dies Replizierung fertig ist und ich
weitermachen kann? (Gibt es hierfür Tools, Erfahrungswerte etc.)
Nach einer Stunde sollte alles Repliziert sein. Wenn ichs nicht eilig habe warte ich so 1 1/2std. Jedoch kann man es auch in ca. 15min. schaffen wenn man die replis mit hand macht.
Tools: replikationsmonitor: "replmon"
- was ist ein Schema-Update und Domänen-Update und wie werden
diese Updates durchgeführt? (Habe etwas von
'Rollenübertragung' gelesen)
das schema sind die attribute im AD. Dafür gibt es noch verschiedene Eben.
Die Rollen bzw. MasterRollen sind ohne jetzt näher darauf einzugehen Rollen die DC's in einer Domäne übernehmen können.
- Kann man dieses Programm "Robocopy" irgendwo
herunterladen oder ist es evtl. auch schon im Betriebssystem
integriert?Oder kann ich die Daten eventuell auch auf dem alten Server
belassen (diese sind auf einer 2. Partition gelagert, unabhängig
vom System - es soll nur die C:-Partition formatiert werden)? Das
würde viel Zeit sparen ...
Robocopy wie auch Replmon sind bei Microsoft zu bekommen.
"SupportTools" "ResourceKitTools"
Ja ist durchaus möglich nur C zu löschen. Ist zwar nicht sauber aber machbar.
- gibt es eventuell irgendwo eine detaillierte Anleitung zu diesem
Thema?
Anleitungen gibt es genug. Zu jeder Frage die du gestellt hast!
Hier die wichtigstens:
Schema Update
Master Rollen
ResourceKit
Wenn du all dies noch nie gemacht hast?! würd ich mir vielleicht eineTestfarm virtuell aufbauen. Bei zwei virtuelle Maschinen kanns auch dein PC sein. Der die VM's bereit stellt!
gruss erich
- alle meine Versuche mit 2003 Server einen 2. Domaincontroller
aufzusetzen scheiterten bisher kläglich weil immer der bereits
vorhandene DC 'angemeckert' wurde und somit der neue 2003er
nur als alleinstehender Server zu konfigurieren war (habe den
Assistenten von 2003 dafür verwendet)... Meine Frage ist also:
wie ist ein zweiter Domaincontroller zu konfigurieren damit beide
funktionieren? (Name und IP frei wählbar?)
aufzusetzen scheiterten bisher kläglich weil immer der bereits
vorhandene DC 'angemeckert' wurde und somit der neue 2003er
nur als alleinstehender Server zu konfigurieren war (habe den
Assistenten von 2003 dafür verwendet)... Meine Frage ist also:
wie ist ein zweiter Domaincontroller zu konfigurieren damit beide
funktionieren? (Name und IP frei wählbar?)
Name(Servername) ist fast frei wählbar. Sollte halt nicht länger als 15Zeichen(NetBiosName) haben. IP muss fest sein.
wenn du einen neuen DC konf. dann bei der Auswah l auf erweitert gehen und zu bestehender Domäne hinzufügen. Dann sollte es eigentlich funktionieren?!
- Kann der neue 2008er-DC am Ende dann denselben Namen und die selbe
IP wie der ursprüngliche Server haben?
Ja es ist möglich wenn du den alten vorher sauber entfernt hast!
- Wenn nun der zweite DC vorhanden ist - wie erfolgt die Replizierung
der Daten (überall ist zu lesen dass dies automatisch erfolgt)
und woher weiß ich, wann dies Replizierung fertig ist und ich
weitermachen kann? (Gibt es hierfür Tools, Erfahrungswerte etc.)
Nach einer Stunde sollte alles Repliziert sein. Wenn ichs nicht eilig habe warte ich so 1 1/2std. Jedoch kann man es auch in ca. 15min. schaffen wenn man die replis mit hand macht.
Tools: replikationsmonitor: "replmon"
- was ist ein Schema-Update und Domänen-Update und wie werden
diese Updates durchgeführt? (Habe etwas von
'Rollenübertragung' gelesen)
das schema sind die attribute im AD. Dafür gibt es noch verschiedene Eben.
Die Rollen bzw. MasterRollen sind ohne jetzt näher darauf einzugehen Rollen die DC's in einer Domäne übernehmen können.
- Kann man dieses Programm "Robocopy" irgendwo
herunterladen oder ist es evtl. auch schon im Betriebssystem
integriert?Oder kann ich die Daten eventuell auch auf dem alten Server
belassen (diese sind auf einer 2. Partition gelagert, unabhängig
vom System - es soll nur die C:-Partition formatiert werden)? Das
würde viel Zeit sparen ...
Robocopy wie auch Replmon sind bei Microsoft zu bekommen.
"SupportTools" "ResourceKitTools"
Ja ist durchaus möglich nur C zu löschen. Ist zwar nicht sauber aber machbar.
- gibt es eventuell irgendwo eine detaillierte Anleitung zu diesem
Thema?
Anleitungen gibt es genug. Zu jeder Frage die du gestellt hast!
Hier die wichtigstens:
Schema Update
Master Rollen
ResourceKit
Wenn du all dies noch nie gemacht hast?! würd ich mir vielleicht eineTestfarm virtuell aufbauen. Bei zwei virtuelle Maschinen kanns auch dein PC sein. Der die VM's bereit stellt!
gruss erich
Hallo Erich,
habe heute mal in einer Testumgebung versucht, eine Windows 2000 Domäne auf einen anderen Windows 2000-Rechner zu übernehmen. Das hat Anfangs auch gut ausgesehen, aber irgendwie hat das mit der FSMO-Rollenübergabe nicht korrekt funktioniert. Auf jeden Fall konnte ich den alten Server dann nicht herunterstufen da dieser die neue Domäne (oder den neuen DC) nicht mehr gefunden hat. Könnte das evtl. daran liegen dass ich vor der Herabstufung auf dem neuen DC bereits die Preparation für 2008 Server vorgenommen hatte?
Beim näheren nachlesen ist mir auch aufgefallen dass der Artikel für die FSMO-Rollenübernahme eigentlich für Server 2003 geschrieben wurde. Funktioniert das unter Win2000Server anders? Wenn ja - wie genau? Habe keinen richtigen Beitrag oder Artikel hierzu gefunden.
Und dann habe ich noch etwas über ein "EFS-Recovery-Zertifikat" gelesen. Muss dieses gesichert werden und wie funktioniert das? Wie wird es dann wieder eingespielt?
Vielleicht kannst Du mir helfen. Wäre echt nett.
Gruss
Andy
habe heute mal in einer Testumgebung versucht, eine Windows 2000 Domäne auf einen anderen Windows 2000-Rechner zu übernehmen. Das hat Anfangs auch gut ausgesehen, aber irgendwie hat das mit der FSMO-Rollenübergabe nicht korrekt funktioniert. Auf jeden Fall konnte ich den alten Server dann nicht herunterstufen da dieser die neue Domäne (oder den neuen DC) nicht mehr gefunden hat. Könnte das evtl. daran liegen dass ich vor der Herabstufung auf dem neuen DC bereits die Preparation für 2008 Server vorgenommen hatte?
Beim näheren nachlesen ist mir auch aufgefallen dass der Artikel für die FSMO-Rollenübernahme eigentlich für Server 2003 geschrieben wurde. Funktioniert das unter Win2000Server anders? Wenn ja - wie genau? Habe keinen richtigen Beitrag oder Artikel hierzu gefunden.
Und dann habe ich noch etwas über ein "EFS-Recovery-Zertifikat" gelesen. Muss dieses gesichert werden und wie funktioniert das? Wie wird es dann wieder eingespielt?
Vielleicht kannst Du mir helfen. Wäre echt nett.
Gruss
Andy