Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

ObjectSID bei Miration kopieren?

Frage Microsoft Windows Server

Mitglied: rookie

rookie (Level 1) - Jetzt verbinden

08.07.2014, aktualisiert 09.07.2014, 1519 Aufrufe, 5 Kommentare

Hallo,

ich habe gesehen, dass man mit den Quest Tools bei einer AD Migration die SID eines Benutzers auf das neue Benutzerkonto übertragen kann. Das würde ja bedeuten, dass ich zum einen keine SIDHistory mehr benötige und zum anderen, dass ich absolut keine ACEs (lokales Profil, Fileserver, Drucker usw) mehr auf die neue SID des Benutzers umschreiben muss.
Kann das wirklich sein? Dann wundert es mich, warum das ADMT das nicht kann.

Hat jemand Erfahrung?
Mitglied: emeriks
09.07.2014 um 10:14 Uhr
Hi
Zitat von rookie:

Hallo,

ich habe gesehen, dass man mit den Quest Tools bei einer AD Migration die SID eines Benutzers auf das neue Benutzerkonto
übertragen kann.
Wo?

Das würde ja bedeuten, dass ich zum einen keine SIDHistory mehr benötige und zum anderen, dass ich
Ich vermute, die meinen da auch DIE sidHistory.

absolut keine ACEs (lokales Profil, Fileserver, Drucker usw) mehr auf die neue SID des Benutzers umschreiben muss.
Musst Du nicht, wenn Du die SID mit migriert hast.

E.
Bitte warten ..
Mitglied: rookie
09.07.2014, aktualisiert um 20:51 Uhr
Hallo,

gesehen habe ich das im Handbuch und auf einem Screenshot. Es gibt bei der Behandlung der SID die Option "Replace" und dort steht auch, dass damit die SID des Zielobjekts gegen die ursprüngliche SID getauscht wird. Für de SIDHistory gibt es aber noch mal einen extra Haken.

Während der Koexistenz kann ich mit der SIDHistory arbeiten, ja. Aber beim Cleanup wird die History ja gelöscht, daher muss ich die SIDs in den ACEs umschreiben. Es wäre doch nicht sehr "sauber" wenn ich dauerhaft mit der History arbeite!?
Bitte warten ..
Mitglied: emeriks
09.07.2014, aktualisiert um 22:13 Uhr
Hi,
dort steht auch, dass damit die SID des Zielobjekts gegen die ursprüngliche SID getauscht wird. Für de SIDHistory gibt
Sorry, aber das ist Quatsch! Die SID eines Principals besteht zum Teil aus der SID der Domäne. Ein Principal kann keine objectSID haben, die nicht zur Domäne passt. Wenn Du ein Principal also von einer Domäne in eine andere migrierst, dann muss sich die objectSID des Principals ändern. Bei Inter-Forest-Migrationen wird gar ein neues Objekt angelegt, dessen SID bei Anlage neu kreiert wird. Bei Intra-Forest-Migration wird das Objekt verschoben und anschließend eine neue SID berechnet.

Während der Koexistenz kann ich mit der SIDHistory arbeiten, ja.
Auch später, wenn die alte Domäne nicht mehr da sein sollte, funktioniert die sidHistory noch, solange diese SID noch irgendwo im NTFS, Registry, AD oder sonstwo eingetragen ist. Der Benutzer bekommt beim Anfordern seines Sicherheit-Tokens seine SID, ggf. seine sidHistory, die SID's aller Gruppen, in denen er direkt oder indirekt Mitglied ist (je nach Ressource, wo authentifiziert werden muss) sowie ggf. die sidHistories dieser Gruppen. Damit kann er dann bei der Ressource hausieren gehen.

Aber beim Cleanup wird die History ja gelöscht, daher
muss ich die SIDs in den ACEs umschreiben. Es wäre doch nicht sehr "sauber" wenn ich dauerhaft mit der History
arbeite!?
Du musst nicht "säubern". Man sollte aber, um den Zugriff zu beschleunigen. Außerdem kann die sidHistory von Gruppen zu einem Problem werden, wenn der Benutzer in vielen Gruppen Mitglied ist und die Anzahl der SID's insgesamt zu groß für das Token wird. (meines Wissen max. 1015 Gruppen-SID)
Bevor Du jedoch die sidHistory entfernst musst Du sicherstellen, dass alle Ressourcen diese nicht mehr in Ihren ACL verwenden.

E.
Bitte warten ..
Mitglied: rookie
09.07.2014 um 22:19 Uhr
Hallo,

Die SID eines Principals besteht zum Teil aus der SID der Domäne. Ein Principal kann keine
objectSID haben, die nicht zur Domäne passt.
Das hatte ich auch so im Hinterkopf. Das SID Filtering bezieht sich doch nur auf das SIDHistory Attribut, richtig? Dann frage ich mich allerdings immer noch, wozu es diese Option eigentlich gibt.

Hier mal kurz aus dem Handbuch:

Replace—All entries of the target object’s security descriptor will be deleted. The entries of the source object’ security descriptor will be copied to the target object’s security descriptor.
Habe ich da was falsch verstanden?

Bevor Du jedoch die sidHistory entfernst musst Du sicherstellen, dass alle Ressourcen diese nicht mehr in Ihren
ACL verwenden.
Ohja. Auf den Moment freue ich mich ja schon ;)
Bitte warten ..
Mitglied: emeriks
10.07.2014 um 08:36 Uhr
Zitat von rookie:

Das hatte ich auch so im Hinterkopf. Das SID Filtering bezieht sich doch nur auf das SIDHistory Attribut, richtig? Dann frage ich
mich allerdings immer noch, wozu es diese Option eigentlich gibt.
Hierbei geht es um Vertrauensstellungen zu externen Domänen! Damit kannst Du festlegen, ob ein Principal aus einer vetrauten Domäne nur mit den "echten" objectSID's (seiner + Gruppen) oder auch mit den ggf. vorhandenen sidHistories auf Ressorcen der vetrauenden Domäne zugreifen kann. Beim Zugriff auf Ressourcen, welche zum "neuen" Forest gehören (also dort, wohin das Objekt migriert wurde), kommt die sidHistory-Filterung gar nicht zum Tragen.

> Replace—All entries of the target object’s security descriptor will be deleted. The entries of the source
> object’ security descriptor will be copied to the target object’s security descriptor.
Habe ich da was falsch verstanden?
Ja. Hier geht es um die Zugriffsberechtigungen auf das AD-Objekt und nicht um die Berechtigungen, die das Objekt irgendwo anders hat.
http://technet.microsoft.com/en-us/library/cc781716(v=ws.10).aspx
All objects in Active Directory, and all securable objects on a local computer or on the network, have security descriptors to help control access to the objects. Security descriptors include information about who owns an object, who can access it and in what way, and what types of access are audited. Security descriptors, in turn, contain the access control list (ACL) of an object, which includes all of the security permissions that apply to that object.


> Bevor Du jedoch die sidHistory entfernst musst Du sicherstellen, dass alle Ressourcen diese nicht mehr in
> Ihren ACL verwenden.
Ohja. Auf den Moment freue ich mich ja schon ;)
Wie gesagt, Du musst die History nicht entfernen. Wenn Du bloss ne kleine Domäne hast, und die Benutzer nur in ein paar Gruppen Mitglied sind, dann macht sich das nicht negativ bemerkbar. Wir hatte bei uns aber schon Fälle, da waren Benutzer schon vor der Migration in >750 Gruppen Mitglied (direkt oder verschachtelt). Nach der Migration der ganzen Domäne in eine andere (mit Erhalten der alten SIDs) hätte der Benutzer also >1500 Gruppen-SID in seinem Token haben müssen, was nicht geht. Also hat der Zugriff auf einige Ressourcen nicht funktioniert. Hier mussten wir bereinigen.

E.
Bitte warten ..
Ähnliche Inhalte
Microsoft
Dateien kopieren
gelöst Frage von alex53842Microsoft2 Kommentare

Hallo zusammen, wir haben hier ein sehr tolles Phänomen. Eines unserer Dokumentenarchive hat einen kleinen Fehler. Es wurde eingerichtet ...

VB for Applications
Excel kopieren
Frage von anchleVB for Applications1 Kommentar

Ich öffne eine Excel-Datei (2010) und eine DBase-Datei. Die ersten beiden Spalten sollen in der DB-Datei markiert und dann ...

Drucker und Scanner
Drucker kopieren?
gelöst Frage von 114068Drucker und Scanner7 Kommentare

Hallo, und nochmals ne Druckerfrage: ist es möglich unter Windows (konkret Vers. 7 - 64bit) Drucker zu kopieren? Heißt: ...

Windows Netzwerk
Verzeichnisse Kopieren
gelöst Frage von Hans3003Windows Netzwerk13 Kommentare

Hallo zusammen, erstmal mein vorhaben mit kurzer Erklärung: Es gibt im NE einen HP ILO Cube Fileserver, und einen ...

Neue Wissensbeiträge
Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 1 StundeHumor (lol)2 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 16 StundenMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 17 StundenSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Administrator.de Feedback

Entwicklertagebuch: Die Startseite wurde überarbeitet

Information von admtech vor 19 StundenAdministrator.de Feedback10 Kommentare

Hallo Administrator User, mit dem Release 5.7 haben wir unsere Startseite überarbeitet und die Beiträge und Fragen voneinander getrennt. ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows Netzwerk
Netzwerk Neustrukturierung
Frage von IT-DreamerWindows Netzwerk16 Kommentare

Hallo verehrte Community und Admins, bei uns im Haus steht eine Neustrukturierung an. Dafür benötige ich von euch ein ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Linux
OpenSource Groupware
Frage von FA-jkaLinux13 Kommentare

Hallo, ich suche eine Groupware als Alternative zum Exchange. Wesentliche Aufgaben sind die Handhabung von E-Mails (persönliche und gemeinsam ...