我正在公司执行域迁移项目(许多单站点域合并到一个全局 AD)。
我已经迁移了用户、计算机和组(使用 Quest 按需迁移工具)。并且我已验证 SID 历史记录已正确写入用户+组帐户。我可以看到用户和组的 SIDHistory 属性都已填充正确的值。
迁移到新域的用户帐户尝试访问旧域中的文件服务器,在旧域文件服务器的日志中,我看到:
检查网络共享对象以查看是否可以授予客户端所需的访问权限。
Subject:
Security ID: NEWDOMAIN\admig2
Account Name: admig2
Account Domain: NEWDOMAIN
Logon ID: 0x1B7Dxxxx
Network Information:
Object Type: File
Source Address: 10.ab.cd.ef
Source Port: 49782
Share Information:
Share Name: \\*\SHARE
Share Path: \??\D:\SHARE
Relative Target Name: \
Access Request Information:
Access Mask: 0x80
Accesses: ReadAttributes
Access Check Results:
ReadAttributes: Not granted
我在旧域和新域中都运行了以下命令:
旧域名
netdom trust <old domain fqdn> /domain:<new domain FQDN> /enablesidhistory:yes
netdom trust <old domain fqdn> /domain:<new domain FQDN> /quarantine:no
新域名
netdom trust <new domain FQDN> /domain:<old domain fqdn> /enablesidhistory:yes
netdom trust <new domain FQDN> /domain:<old domain fqdn> /quarantine:no
已经过去几个小时了,所以所有内容都应该复制到所有地方。但是,当我尝试使用迁移用户的凭据访问文件共享时,我遇到了同样的错误:访问被拒绝,请咨询您的管理员
除了关闭 SIDfiltering 和迁移用户组之外,还有其他我需要检查的、而我在上面的帖子中遗漏的区域吗?谢谢。
其中一个测试的结果: 我相信我已经排除了 NTLM 罪魁祸首 - 不是它。当我为所有人共享新文件夹以供 R/W 时,在安全 ACL 中,我授予 OLDDOMAIN\admig2 此新共享的权限,NEWDOMAIN\admig2 可以访问此共享。它仍然是 OLDDOMAIN 加入的文件服务器。这些症状让我感到困惑。是的,OLDDOMAIN\Domain users 是一个域本地组,而 NEWDOMAIN\admig2 不是它的成员,但这是 SidHistory 应该发挥作用的地方,由于旧 SID 是 OLDDOMAIN\Domain Users 的成员,我相信这应该仍然有效,但事实并非如此。或者......?
我明天将继续测试。
问题解释及解决方法如下:
Domain Users 组是每个域特有的内置组,其 SID 不会跨域迁移或复制。这意味着即使进行了 SID 历史记录迁移,移动到域 NEWDOMAIN 的用户也不会成为域 OLDDOMAIN\Domain Users 的成员
解决方案相当简单,在新的 NEWDOMAIN 中创建通用(可以是全局的)AD 组,并将其配置为旧域加入文件服务器上的适当遍历组。
为什么在旧领域中要这样设置,这超出了(不仅仅是我)的理解范围。