jeremiah
Jun 14, 2012, updated at 09:53:28 (UTC)
view4336
view11
0
Goto Top

DC und AD durch GPO verhunzt - neues AD aufsetzen erforderlich?

GermanQuestionWindows ServerMicrosoft

teils unbestätigte Infos vorab:
- Domäne existiert seit NT4 und wurde im Laufe der Zeit über w2k und w2k3 nun auf w2k8 r2 aufgestuft
- Default Domain Policy umfasste 200 Seiten, durch eine unbekannte Ursache wurden Ownership und Rechte auf unzählige Systemdateien gesetzt ala c:\windows\system32\mqsvc.exe

Hallo zusammen,

vorab entschuldige ich mich für die Wall-of-Text face-confused In dieser Domäne 'darf' ich nun administrieren und liste erstmal ein paar der auffälligsten Probleme bevor ich die oben genannte Frage aufgreife:

  • Wenn ich unter der alten Default Domain Policy Windows7 Rechner zur Domäne zufüge, können diese per DHCP keine IP übernehmen. Dies scheint ein Rechteproblem zu sein und führe ich auf den zweiten Punkt aus dem Vorwort - denn nach einiger Recherche brachte mir folgendes Abhilfe: auf dem betroffenen PC "NT-AUTORITÄT\LOKALER DIENST" und "NT-AUTORITÄT\NETZWERKDIENST" der Administratorengruppe zuzufügen. Nach einem Neustart kann der Client die ihm angebotene IP-Konfiguration per DHCP auch tatsächlich nutzen.

  • auf dem DC können diverse Eventlogs nicht genutzt werden (Anschauen Pfade, anpassen, reset, etc.) da der Zugriff verweigert wird. Betroffen sind unter anderem die Logs von: DNS Server, File Replication Service, Microsoft-Windows-DiskDiagnosticDataCollector/Operational.. Entsprechend sind die Einträge wie hier im technet behandelt. Ich werde das Gefühl nicht los, dass hier ebenfalls der zweite Punkt aus dem Vorwort greift, auch wenn das nur ein Bauchgefühl ist und bisher nicht bewiesen werden konnte.

  • Die Builtin Gruppe Remote Desktop Users heißt Remote Desktop Use~0 und verweigert den Mitgliedern leider ihre Funktion des Remote logon. Als Builtin Gruppe ist diese ja nicht änderbar, mögliche Ursachen sind wohl das Aufstufen der Domänenfunktionsebene und/oder das Vorhandensein der Gruppe vor dem dcpromo


Es gibt weitere Punkte, die mir gerade nicht detailliert genug in den Sinn kommen (Terminalserver-Lizenzserver funktioniert trotz funktionaler Konfiguration und Aktivierung der CALs nicht, unzählige Karteileichen, etc). Unter anderem scheitert das ADMT (migration Tool) wegen mangelnder Rechte..


back-to-top Letztlich wäre mir eine Domäne ohne diese Vergangenheit am angenehmsten und damit zu den Fragen:
  • Nachdem die Migration nicht funktioniert: gibt es irgendeine Möglichkeit den neu angelegten Benutzern die Passwörter aus der alten Domäne zuzuweisen? Ich rede natürlich nicht von John etc. ich will die Passwörter ja nicht wissen, aber evtl. gibt es eine Datenbank ala /etc/shadow über die man eine Zuweisung machen könnte?

  • Es existiert ein Dateiserver mit ausgiebiger Rechtevergabe. Die Idee bestünde darin sich über icacls ein Script zu schreiben in dem man die alten SID der Benutzer mit den neuen austauscht um den Zugriff auch in der neuen Domäne wieder zu ermöglichen. Machbar? Sinnvoll? Oder gibt es da eine ganz andere Lösung für?


Danke vorab für Antworten, Anregungen, Anleitungen und dergleichen ;)
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 186469

Url: https://administrator.de/contentid/186469

Printed on: April 25, 2024 at 22:04 o'clock

11 Comments
Latest comment
Goto Top
Member: Coreknabe
Coreknabe Jun 14, 2012 updated at 10:14:54 (UTC)
Goto Top
Moin Jeremiah,

erst mal Glückwunsch zur neuen Aufgabe.

Da scheinbar einfachste Grundsätze (Default Domain Policy auch als Default belassen und dort NICHTS ändern) nicht eingehalten wurden und Du die Ursache für die Probleme nicht wirklich kennst, gibt es für mich nur eine logische Antwort auf Deine Fragen: Setze die Domäne komplett neu auf. Bei der Gelegenheit auch alles gleich sauber dokumentieren! Auf eine Migration würde ich verzichten, da Du möglicherweise Probleme gleich wieder mit ins neue System nimmst. Eine schrottige Datenbank, und nichts anderes liegt Dir ja scheinbar mit dem alten AD vor, wirst Du nicht ohne weiteres in ein tolles neues AD bekommen. Meiner bescheidenen Meinung nach, lasse mich gern eines Besseren belehren.

Alternativ kannst Du auch von einem Problem ins andere rennen und einige Dinge (zumindest meiner Erfahrung nach) sind Dir jetzt noch gar nicht aufgefallen und schlagen Dir in einigen Wochen erst ins Genick.
Member: Edi.Pfisterer
Edi.Pfisterer Jun 14, 2012 updated at 11:06:36 (UTC)
Goto Top
Hallo!
ganz kurz, weil ich im Stress bin:

mit LDIFDE.exe kannst Du Deine User exportieren
passwörter werden NICHT exportiert, Anleitung gibts im Netz massig...
[ich sollte aber dazusagen, dass ich das noch nie real durchgespielt habe, da ich es noch nicht gebraucht habe...]

Anschließend den Server neu aufsetzen und Domäne neu machen

mit LDIFDE die User wieder importieren

Zuletzt die Berechtigungen auf den Shares setzen
Wenn Du Glück hast, dann folgen Deine Usernamen einem Schema, sodass Du dies per Skript machen kannst...

Hier hätte ich ein Script, dass prüft, ob der Ordnername mit einem Usernamen aus dem AD übereinstimmt und anschließend bei Übereinstimmung den Besitzer des Ordners und aller Unterordner ändert.
http://www.schulnetz.info/besitzer-von-ordnern-per-skript-andern/

gutes Gelingen,
lg
Edi
Member: Ausserwoeger
Ausserwoeger Jun 14, 2012 at 11:04:04 (UTC)
Goto Top
Also ich würde die Domain auch neu machen wenn der Aufwand nicht zu gross ist. Bei 200+ Usern würde ich die alte Domain reparieren und eine Testmigration auf 2008 machen.

Um wieviel user bzw. Aufwand handelt es sich den ?

Wenn es mehr als 200 user sind würde ich die Default Domain Policy dokumentieren und zurücksetzen.
Dann schauen was ich wirklich von diesen einstellungen brauche und dafür neue Policys anlegen da man die Default Domain Policy nicht ändert.

Der Terminalserver lizenzserver sollte nicht das Problem sein der ist in ca. 15 min neu installiert und sollte dann funktionstüchtig sein.

Nach der Aktion würde ich eine Migration versuchen und schauen welche Fehler auftreten und ob die Migration so funktioniert das man ein ordentliches AD hat. Als erstes würde ich schauen wie die Remotedesktopuser gruppe heisst.
Sollte er den namen ~0 übernehmen würde ich das AD neu machen.

Bei neu machen würde ich mir überlegen ob ich nicht einen 2003 DC mache die Servicepacks einspiele die am alten Server installiert waren und die selbe Domain anlege. Die User dann aus dem alten AD exportiere und in das neue importiere. Wie gesagt nur wenn sich der Aufwand lohnt. Nachdem du ein schönes 2003 AD hast würde ich dann die Migration auf 2008 machen. So musst du nicht alle User neu Anlegen passwörter kennen Gruppen und Verteiler neu machen usw.

Es gibt hierzu auch viele Artikel wie man die Daten Exportiert und importiert und auf was man achten muss.

LG
Member: Edi.Pfisterer
Edi.Pfisterer Jun 14, 2012 at 11:07:29 (UTC)
Goto Top
Hallo Ausserwoeger!

Die User dann aus dem alten AD exportiere und in das neue importiere. Wie gesagt nur wenn sich der Aufwand lohnt. Nachdem du
ein schönes 2003 AD hast würde ich dann die Migration auf 2008 machen. So musst du nicht alle User neu Anlegen passwörter
kennen Gruppen und Verteiler neu machen usw.

womit würdest Du die Passwörter mitexportieren?

lg
Member: Ausserwoeger
Ausserwoeger Jun 14, 2012 updated at 13:08:32 (UTC)
Goto Top
Ich kann mich dunkel erinnern das es mit ADMT 3.1 mal gemacht wurde von meiner kollegen.Genaueres müsste ich erfragen.

hier die Anleitung des tools zum Download: http://www.microsoft.com/en-us/download/confirmation.aspx?id=19188

Seite 61

und hier das Tool selbst
http://www.microsoft.com/en-us/download/details.aspx?id=17918

Genauer gesagt macht das wird das mit einem zusatztool gemacht Microsoft Password Export Server version 3.1 (x86)
hier der link dazu:
http://www.microsoft.com/en-us/download/details.aspx?id=10370

LG
Member: Edi.Pfisterer
Edi.Pfisterer Jun 14, 2012 at 13:25:00 (UTC)
Goto Top
Hallo und vielen Dank für die Tipps...
lg
Member: Ausserwoeger
Ausserwoeger Jun 14, 2012 at 13:28:18 (UTC)
Goto Top
Zitat von @Edi.Pfisterer:
Hallo und vielen Dank für die Tipps...
lg

Falls du mich meinst bitte Gerne.
Member: Edi.Pfisterer
Edi.Pfisterer Jun 14, 2012 at 14:22:31 (UTC)
Goto Top
Sorry, ja, ich meinte Dich, Ausserwoeger!
lg
Member: Edi.Pfisterer
Edi.Pfisterer Jun 14, 2012 at 14:53:39 (UTC)
Goto Top
Oh, habe gerade gelesen:
Unter anderem scheitert das ADMT (migration Tool) wegen mangelnder Rechte..

Dann wird wohl wieder mein erster Tipp mit ldifde interessant... face-wink
Member: Ausserwoeger
Ausserwoeger Jun 14, 2012 at 14:58:08 (UTC)
Goto Top
Zitat von @Edi.Pfisterer:
Oh, habe gerade gelesen:
> Unter anderem scheitert das ADMT (migration Tool) wegen mangelnder Rechte..

Dann wird wohl wieder mein erster Tipp mit ldifde interessant... face-wink

Schaut so aus oder man nimmt einfach einen User der Schema Admin rechte hat. bzw. volle Rechte auf das AD !

LG
Member: Jeremiah
Jeremiah Jun 15, 2012 at 12:08:48 (UTC)
Goto Top
Zitat von @Coreknabe:
Zitat von @Ausserwoeger:
Zitat von @Edi.Pfisterer:


Dann danke auch nochmal von meiner Seite. Da durch Fluktuation einige Karteileichen existieren kann ich eben vorerst nur schätzen, es werden wohl so 80 bis 110 Benutzer sein.
Ich werde mir LDIFDE und Script mal anschauen und dementsprechend früher oder später Fragen bzw. Ergebnis mitteilen ;)

Ein schönes Wochenende
JJ
GermanQuestionWindows ServerMicrosoft
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 Comments