Domaenen Migration und ReACLing
Wie wir ja im Seminar besprochen haben kann das SIDHistory Attribut nicht beliebig weit gefüllt werden. Spätestens mit 1024 Einträgen im Access Token – zu denen auch die Einträge des SidHistory Attributs gehören - ist das Ende erreicht. Es ist also Aufräumen angesagt. Wenn das SIDHistory Attribut gehen soll ist es notwendig, die migrierten Server zu durchsuchen, um die Berechtigungen dort von den alten Einträgen zu befreien und bei Bedarf mit den neuen Domäneninformationen neu zu setzen.
Ein Tool, das sich dabei gut schlägt ist subinacl. Mit subinacl lassen sich Berechtigungen im Dateisystem, in der Registry, auf Diensten etc. setzen. Es kursiert noch immer eine Version von subinacl, die fehlerhaft ist. Ein download der aktuellen Version ist also eine gute Idee:
http://www.microsoft.com/downloads/details.aspx?FamilyID=e8ba3e56-d8fe-4a91-93cf-ed6985e3927b&displaylang=en
Um z.B. alle Nutzerverzeichnisse neu zu berechtigen könnte man folgende Schleife verwenden:
for /f %%i in ('dir "c:\" /b /ad') do @call resetfolder.cmd %%i
in resetfolder.cmd muss dann die entsprechende Berechtigung gesetzt werden, in etwa so:
subinacl /subdirectories {Verzeichnis}\%1 /grant={Domäne}\%1
Darüber hinaus gibt es noch immer sidwalker, der ein entsprechendes Mapping der Kontendurchführt, und auch nicht mehr auflösbare SIDs entfernen kann. Mit showaccs können Berechtigungen im Dateisystem, der Registry etc. gelistet werden, so dass man Einträgen mit der „alten“ Domänen-GUID schnell auf die Spur kommen kann.
Eine mögliche Prozedur um Dateiserver in eine neue Domäne umzuziehen ist wie folgt:
· Showaccs um das mapping Name - SID zu erhalten. Showaccs /r /m map.csv
· Security Migration Editor um die Übersetzungstabelle zu erstellen
· SidWalk durchführen für das Umsetzen der Berechtigungen
Im Falle das einfachen Ersetzens kann subinacl auch gute Dienste leisten
Subinacl /replace=domainAlt\Verkauf=DomainNeu\VerkaufAlt
So viele Möglichkeiten…
