Como manter o SID History dos grupos Built-in?
As ferramentas de migração de domínios (ADMT, NetIQ DMA, Quest Migrator, etc) não permitem a migração grupos Built-In (Domain Users, Domain admins, etc) do Active Directory, isso significa que permissões atribuídas a estes grupos serão perdidas durante o processo de migração. Para minimizar este impacto, recomenda-se o uso do script abaixo para adicionar o SID do grupo Built-In do domínio origem como SID History no grupo Built-In do domínio de destino.
OBS.: O script sidhist.vbs encontra-se disponível no Support Tools do WIndows Server 2003.
C:\Program Files\Support Tools>sidhist.vbs /srcdc:dc.dominio_origem /srcdom:dominio_origem /srcsam:"Domain Users" /dstdc:dc.dominio_destino /dstdom:dominio_destino /dstsam:"Domain Users"
Microsoft (R) Windows Script Host Version 5.6
Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.
Connected
Success
C:\Program Files\Support Tools>sidhist.vbs /srcdc:dc.dominio_origem /srcdom:dominio_origem /srcsam:"Domain Admins" /dstdc:dc.dominio_destino /dstdom:dominio_destino /dstsam:"Domain Admins"
Microsoft (R) Windows Script Host Version 5.6
Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.
Connected
Success
onde:
dc_dominio_origem é o FQDN do controlador de domínio do domínio origem, por exemplo: dc01.contoso.com
dominio_origem é o nome DNS do domínio origem, por exemplo: contoso.com
dc_dominio_origem é o FQDN do controlador de domínio do domínio destino, por exemplo: dc01.msft.net
dominio_destino é o nome DNS do domínio destino, por exemplo: msft.net
OBS.: Após o ajuste de permissões em todos os servidores/serviços, recomenda-se a remoção do SID History. Caso a remoção não seja feita poderão haver problemas com o tamanho do Token de usuários que pertencem a muito grupos. (ver artigo sobre MaxTokenSize).
