Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst ObjectSID bei Miration kopieren?

Mitglied: rookie

rookie (Level 1) - Jetzt verbinden

08.07.2014, aktualisiert 09.07.2014, 1559 Aufrufe, 5 Kommentare

Hallo,

ich habe gesehen, dass man mit den Quest Tools bei einer AD Migration die SID eines Benutzers auf das neue Benutzerkonto übertragen kann. Das würde ja bedeuten, dass ich zum einen keine SIDHistory mehr benötige und zum anderen, dass ich absolut keine ACEs (lokales Profil, Fileserver, Drucker usw) mehr auf die neue SID des Benutzers umschreiben muss.
Kann das wirklich sein? Dann wundert es mich, warum das ADMT das nicht kann.

Hat jemand Erfahrung?
Mitglied: emeriks
09.07.2014 um 10:14 Uhr
Hi
Zitat von rookie:

Hallo,

ich habe gesehen, dass man mit den Quest Tools bei einer AD Migration die SID eines Benutzers auf das neue Benutzerkonto
übertragen kann.
Wo?

Das würde ja bedeuten, dass ich zum einen keine SIDHistory mehr benötige und zum anderen, dass ich
Ich vermute, die meinen da auch DIE sidHistory.

absolut keine ACEs (lokales Profil, Fileserver, Drucker usw) mehr auf die neue SID des Benutzers umschreiben muss.
Musst Du nicht, wenn Du die SID mit migriert hast.

E.
Bitte warten ..
Mitglied: rookie
09.07.2014, aktualisiert um 20:51 Uhr
Hallo,

gesehen habe ich das im Handbuch und auf einem Screenshot. Es gibt bei der Behandlung der SID die Option "Replace" und dort steht auch, dass damit die SID des Zielobjekts gegen die ursprüngliche SID getauscht wird. Für de SIDHistory gibt es aber noch mal einen extra Haken.

Während der Koexistenz kann ich mit der SIDHistory arbeiten, ja. Aber beim Cleanup wird die History ja gelöscht, daher muss ich die SIDs in den ACEs umschreiben. Es wäre doch nicht sehr "sauber" wenn ich dauerhaft mit der History arbeite!?
Bitte warten ..
Mitglied: emeriks
09.07.2014, aktualisiert um 22:13 Uhr
Hi,
dort steht auch, dass damit die SID des Zielobjekts gegen die ursprüngliche SID getauscht wird. Für de SIDHistory gibt
Sorry, aber das ist Quatsch! Die SID eines Principals besteht zum Teil aus der SID der Domäne. Ein Principal kann keine objectSID haben, die nicht zur Domäne passt. Wenn Du ein Principal also von einer Domäne in eine andere migrierst, dann muss sich die objectSID des Principals ändern. Bei Inter-Forest-Migrationen wird gar ein neues Objekt angelegt, dessen SID bei Anlage neu kreiert wird. Bei Intra-Forest-Migration wird das Objekt verschoben und anschließend eine neue SID berechnet.

Während der Koexistenz kann ich mit der SIDHistory arbeiten, ja.
Auch später, wenn die alte Domäne nicht mehr da sein sollte, funktioniert die sidHistory noch, solange diese SID noch irgendwo im NTFS, Registry, AD oder sonstwo eingetragen ist. Der Benutzer bekommt beim Anfordern seines Sicherheit-Tokens seine SID, ggf. seine sidHistory, die SID's aller Gruppen, in denen er direkt oder indirekt Mitglied ist (je nach Ressource, wo authentifiziert werden muss) sowie ggf. die sidHistories dieser Gruppen. Damit kann er dann bei der Ressource hausieren gehen.

Aber beim Cleanup wird die History ja gelöscht, daher
muss ich die SIDs in den ACEs umschreiben. Es wäre doch nicht sehr "sauber" wenn ich dauerhaft mit der History
arbeite!?
Du musst nicht "säubern". Man sollte aber, um den Zugriff zu beschleunigen. Außerdem kann die sidHistory von Gruppen zu einem Problem werden, wenn der Benutzer in vielen Gruppen Mitglied ist und die Anzahl der SID's insgesamt zu groß für das Token wird. (meines Wissen max. 1015 Gruppen-SID)
Bevor Du jedoch die sidHistory entfernst musst Du sicherstellen, dass alle Ressourcen diese nicht mehr in Ihren ACL verwenden.

E.
Bitte warten ..
Mitglied: rookie
09.07.2014 um 22:19 Uhr
Hallo,

Die SID eines Principals besteht zum Teil aus der SID der Domäne. Ein Principal kann keine
objectSID haben, die nicht zur Domäne passt.
Das hatte ich auch so im Hinterkopf. Das SID Filtering bezieht sich doch nur auf das SIDHistory Attribut, richtig? Dann frage ich mich allerdings immer noch, wozu es diese Option eigentlich gibt.

Hier mal kurz aus dem Handbuch:

Replace—All entries of the target object’s security descriptor will be deleted. The entries of the source object’ security descriptor will be copied to the target object’s security descriptor.
Habe ich da was falsch verstanden?

Bevor Du jedoch die sidHistory entfernst musst Du sicherstellen, dass alle Ressourcen diese nicht mehr in Ihren
ACL verwenden.
Ohja. Auf den Moment freue ich mich ja schon ;)
Bitte warten ..
Mitglied: emeriks
10.07.2014 um 08:36 Uhr
Zitat von rookie:

Das hatte ich auch so im Hinterkopf. Das SID Filtering bezieht sich doch nur auf das SIDHistory Attribut, richtig? Dann frage ich
mich allerdings immer noch, wozu es diese Option eigentlich gibt.
Hierbei geht es um Vertrauensstellungen zu externen Domänen! Damit kannst Du festlegen, ob ein Principal aus einer vetrauten Domäne nur mit den "echten" objectSID's (seiner + Gruppen) oder auch mit den ggf. vorhandenen sidHistories auf Ressorcen der vetrauenden Domäne zugreifen kann. Beim Zugriff auf Ressourcen, welche zum "neuen" Forest gehören (also dort, wohin das Objekt migriert wurde), kommt die sidHistory-Filterung gar nicht zum Tragen.

> Replace—All entries of the target object’s security descriptor will be deleted. The entries of the source
> object’ security descriptor will be copied to the target object’s security descriptor.
Habe ich da was falsch verstanden?
Ja. Hier geht es um die Zugriffsberechtigungen auf das AD-Objekt und nicht um die Berechtigungen, die das Objekt irgendwo anders hat.
http://technet.microsoft.com/en-us/library/cc781716(v=ws.10).aspx
All objects in Active Directory, and all securable objects on a local computer or on the network, have security descriptors to help control access to the objects. Security descriptors include information about who owns an object, who can access it and in what way, and what types of access are audited. Security descriptors, in turn, contain the access control list (ACL) of an object, which includes all of the security permissions that apply to that object.


> Bevor Du jedoch die sidHistory entfernst musst Du sicherstellen, dass alle Ressourcen diese nicht mehr in
> Ihren ACL verwenden.
Ohja. Auf den Moment freue ich mich ja schon ;)
Wie gesagt, Du musst die History nicht entfernen. Wenn Du bloss ne kleine Domäne hast, und die Benutzer nur in ein paar Gruppen Mitglied sind, dann macht sich das nicht negativ bemerkbar. Wir hatte bei uns aber schon Fälle, da waren Benutzer schon vor der Migration in >750 Gruppen Mitglied (direkt oder verschachtelt). Nach der Migration der ganzen Domäne in eine andere (mit Erhalten der alten SIDs) hätte der Benutzer also >1500 Gruppen-SID in seinem Token haben müssen, was nicht geht. Also hat der Zugriff auf einige Ressourcen nicht funktioniert. Hier mussten wir bereinigen.

E.
Bitte warten ..
Ähnliche Inhalte
Microsoft
Dateien kopieren
gelöst Frage von alex53842Microsoft2 Kommentare

Hallo zusammen, wir haben hier ein sehr tolles Phänomen. Eines unserer Dokumentenarchive hat einen kleinen Fehler. Es wurde eingerichtet ...

Drucker und Scanner
Drucker kopieren?
gelöst Frage von 114068Drucker und Scanner7 Kommentare

Hallo, und nochmals ne Druckerfrage: ist es möglich unter Windows (konkret Vers. 7 - 64bit) Drucker zu kopieren? Heißt: ...

Windows Netzwerk
Verzeichnisse Kopieren
gelöst Frage von Hans3003Windows Netzwerk13 Kommentare

Hallo zusammen, erstmal mein vorhaben mit kurzer Erklärung: Es gibt im NE einen HP ILO Cube Fileserver, und einen ...

VB for Applications
Excel kopieren
Frage von anchleVB for Applications1 Kommentar

Ich öffne eine Excel-Datei (2010) und eine DBase-Datei. Die ersten beiden Spalten sollen in der DB-Datei markiert und dann ...

Neue Wissensbeiträge
iOS
IOS 11.2.6 verfügbar
Information von sabines vor 2 StundeniOS

Mit dem Update soll der Bug behoben werden, bei dem eine bestimmte Zeichenkette IOS zum Absturz gebracht hat.

Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 17 StundenSicherheit1 Kommentar

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 1 TagInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 1 TagErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server38 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1028 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgbornMicrosoft17 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

LAN, WAN, Wireless
VPN Cisco ASA5505 PaloAlto PA-200
gelöst Frage von YannoschLAN, WAN, Wireless15 Kommentare

Hallo zusammen, ich würde gerne ein Site-to-Site VPN zwischen den beiden Standorten aufbauen. PaloAlto PA200 Internetanschluss Deutsche Telekom GK ...