Was ist der einfachste Weg, um Dateiberechtigungen (SMB/AD) zu migrieren

Question

Ich vermasselte die AD/DNS eines DC im Laufe von mehreren Jahren (von Lernerfahrungen) bis zu dem Punkt, wo ich nicht mehr beitreten oder die Domain verlassen konnte mit Kunden. Ich habe ein NAS, das über SMB an AD angeschlossen wurde, und so haben alle Benutzer (meine Familie) auf ihre Dateien zugegriffen.

Ich habe meine Infrastrukturkonfiguration von Grund auf neu erstellt, indem ich Windows 2016 mit Best Practices verwendet habe. Gibt es eine Möglichkeit, diese Berechtigungen problemlos an Benutzer in einer neuen Domäne/Gesamtstruktur zu migrieren, die dem alten Wert entsprechen?

Könnte ich möglicherweise die SIDs/GUIDs der neuen Benutzer neu erstellen, um die alten anzupassen? Ich nehme nein an, weil sie einen Windows-Installations-eindeutigen erzeugten String darin haben.

Kann ich dies möglicherweise von der NAS-Seite aus tun, ohne die Dateien jedes einzelnen Benutzers durchlaufen zu müssen, um das Eigentum zu ändern?

Vielen Dank.

Answer 1

Ein Tool, das Sie Berechtigungen übersetzen von der ursprünglichen SIDs zu neuen SIDs verwenden können, ist Microsofts SubInACL

SubInACL werden von Ihnen Informationen benötigen, die alte SID entspricht die neue SID oder Benutzernamen und ausführen Übersetzung für alle Daten auf NAS-Server . Zum Beispiel wie diese

subinacl /subdirectories "Z:\*.*" /replace=S-1-5-1-2-3-4-5=NEWDOMAIN\newuser 

Wie lange es dauern wird Übersetzung abzuschließen, hängt von der Anzahl der Dateien und Ordner, wenn es Zehntausende Stunden erwarten ist.

Es gibt auch andere Werkzeuge wie SetACL oder Powershell-Cmdlets Get-Acl/Set-Acl

Sie keine Objekte mit Original-SIDs neu erstellen können und GUIDs, wenn Sie Wiederherstellung der AD-Infrastruktur oder das Klonen tun/Migration ursprünglichen Identitäten in neue mit original SID im SidHistory-Attribut.

Wenn Sie also bereits einen Domänencontroller mit NAS in der neu erstellten Gesamtstruktur ausführen und der alte unter Problemen litt, die behoben werden sollten, wäre diese Option wahrscheinlich viel schmerzhafter und die SID-Übersetzung einfacher.