lokale Gruppen und Berechtigungen

[BradBaxter 10]

Hallo,

 

ich will von einem NT4 Memberserver die lokalen Gruppen nebst Berechtigungen und CID History ins AD übernehmen. Wer hat das schon mal gemacht, wer kennt sich damit aus?

Die Lösung u. kann zwar Gruppen und User übernehmen, die CID History allerdings nicht. Man ist genötigt die Berechtigungen separat zu bearbeiten, sehr aufwendig. Ich suche eine andere Lösung sofern es sie gibt!

 

Brad

 

 

 

>Addusers.exe aus dem ResourceKit mit Parameter /d dumpt die >benutzer und Gruppen auf dem MServer raus in eine Textdatei. >Diese ggf. bearbeiten und dann im AD wieder mit addusers >reinschiessen. Dort dann in die gewünschte OU verschieben.

>Finde, das ist der einfachste Weg

 

>grizzly999

[grizzly999 11]

Lokale Gruppen von Member Servern kann man nicht mit SID-History auf einen anderen Rechner bekommen, würde auch gar keinen Sinn machen, da die Gruppe ja nur auf dem einen Rechner eingesetzt werden kann und nur dazu dient, Berechtigungen auf DIESEM Rechner zu geben. Welchen Sinn hätte es dann, wenn ich die Gruppe mit samt ihrer ehem. SID auf einen anderen Rechner bekäme?!

 

grizzly999

[BradBaxter 10]

Die User werden doch auch mit der entsprechenden CID-History bei der Migration übernommen. Demzufolge sollte bei der Übernahme der lokalen Gruppen in das AD die Berechtigungen übernommen werden. Es gibt die Möglichkeit bei der Übernahme die alte Cid zu übernehmen und zusätzlich im Ad eine zweite anzulegen.

 

Wenn das nicht funktioniert, würde das ja einen riesen Aufwand bedeuten die alte gewachsene Struktur mit unzähligen Berechtigungen wieder anzulegen, das kann ich mir nicht vorstellen!

 

Brad

[grizzly999 11]

Für User und globale Gruppen gibt es die SID-History, die liegen ja auch in einer zentralen Datenbank und wandern in eine andere zentrale Datenbank (AD).

Aber echte lokale Gruppen wandern nicht von Rechner zu Rechner oder Domäne zu Domäne, weil sie das nicht können, deshalb sind es ja LOKALE Gruppen. Sie sind auf den loaklen Computer beschränkt, auf dem sie eingerichtet wurden. Deren SID setzt sich aus der LOKALEN Computer-SID und einem RID zusammen.

Da ich die lokale Gruppe nicht auf einen anderen Rechner transferieren kann, gibt es in logischer Konsequenz auch keine SID-History für sie.

 

grizzly999

[BradBaxter 10]

Okay...

 

hab ich also nur die eine Möglichkeit die lokalen Grupen und die Berechtigungen auszulesen und ins AD einzufügen. Ziel dieses ganzen Prozederes ist, alles von einem zentralen Administrationsplatz aus zu steuern bzw. zu administrieren.

 

Gibts keine Tools die in diese Richtung arbeiten?

 

Brad

[grizzly999 11]

hab ich also nur die eine Möglichkeit die lokalen Grupen und die Berechtigungen auszulesen und ins AD einzufügen

Lokale Gruppen auslesen und in s AD importieren ist möglich (addusers.exe aus ResKit), Berechtigungen nein, die kann man nicht ins AD übernehmen.

 

Vielleicht hilft dir ja auch das FileServer Migration Tool weiter: http://www.microsoft.com/windowsserver2003/upgrading/nt4/tooldocs/msfsc.mspx

 

grizzly999

[BradBaxter 10]

leider kenne ich das Tool nicht, aber ist es in der Lage mein Problem zu lösen? Ich will die Problematik noch einmal schildern,

wenn ich die Berechtigungsstruktur von einem Memberserver und deren lokale Gruppen ins AD schieben möchte, dann sind aus meinem Verständnis heraus folgende Schritte durchzuführen.

 

1. Übertragen der lokalen Gruppen ins AD

2. Aufnehmen der Berechtigungsstruktur.

3. Löschen der Berechtigungen auf dem Memberserver

4. Erstellen der Berechtigungen in Bezug auf die lokalen Gruppen im AD

 

wenn das Tool diesen Anspruch erfüllt, ist mein Problem erledigt.

 

Brad