之前发表过使用ADMT进行域对象迁移的文章,连接如下:
https://blog.51cto.com/hubuxcg/1554925
https://blog.51cto.com/hubuxcg/1554927
最近再次使用ADMT进行域迁移时,碰到因SID筛选导致迁移后的用户无法访问源域中文件服务器问题,环境如下:源域:Contoso。老2008 r2,新域:Contoso。当地2008 r2。
先来介绍下SID历史,当在进行广告迁移或是重构时,SID历史将在迁移或是重构的过程中,用来保持用户对源有资源的访问权限;将对象迁移到新域时,会生成一个新的SID,因为Windows是依SID为对象分配权限,在迁移后的对象会因为生成新的SID而失去原有资源的访问权限,所以在进行域迁移时,需要将源域对象的SID迁移到新域中,作为新域对象的SID历史属性。
源域中的席德:
为了解决此问题,需要在两个信任的域之间,确认是否禁用SID筛选,参考命令:
Netdom信任TrustingDomainName/域:TrustedDomainName/检疫:No/usero: domainadministratorAcct/passwordo: domainadminpwd
如果你登录的用户有域的管理员或是企业管理员权限,则可以跳过用户名密码的选项。
先使用命令查看当然的状态:
Netdom contoso信任。本地/域:contoso。老/检疫
ADMT迁移之:在迁移过程中保留对源域资源的访问权限
