Bei einer Fileserver-Migration zwischen Domänen ohne einer Vertrauensstellung steht man vor der Herausforderung, wie übertrage ich die NTFS Berechtigungen. Bei einer flachen Struktur ist das sicherlich noch manuell abbildbar, aber wie das ganze automatisieren? Grundlegend gibt es dafür zwei Tools.
Subinacl habe ich nicht zum Fliegen gebracht. Worin genau der Fehler bestand kann ich nicht sagen. Zum Glück gab es da noch SetACL. Diese Step-by-Step Anleitung soll Euch helfen die Migration möglichst schnell und automatisiert durchzuführen. Ich gehe hier davon aus, dass in beiden Domänen die gleichen Gruppen existieren bzw. angelegt wurden. Ich verwende folgende Domänen und Gruppen.
- alte Domäne: alt
- neue Domäne: neu
- AD Gruppen: FS-GG-01 bis FS-GG-50
- Migrationsdaten C:\Daten\Austausch
- Programmordner C:\Migration



Das Tool berücksichtigt natürlich auch Benutzer selbst, aber wer berechtigt im Filesystem die Benutzer? 😉 Wie läuft die Migration ab? Im ersten Schritt werden die Daten normal mit Robocopy übertragen. Anschließend müssen, in der neuen Domäne auf dem Fileserver die alten SIDs gegen die neuen Gruppen ausgetauscht werden. Das Tool bedinet sich dazu einem Mapping File (alte SID, neue Gruppe). Aber nun Schritt für Schritt. Bitte prüft bei Robocopy und SetACL ob die Parameter für Eure Umgebung zutreffen.
- Robocopy der Daten mit Übernahme der Berechtigungen
Robocopy.exe C:\Daten\Austausch Z:\Daten\Austausch /COPYALL /MIR /E /V /NP /R:2 /W:30 /LOG+:C:\Migration\robocopy\Daten.log

- In der Quelldomäne werden alle Gruppen über Powershell in eine CSV exportiert
Get-ADGroup -Filter * | select-object SID,Name | Export-Csv c:\migration\mapping.csv -Delimiter „,“

- Damit das Tool mit dem Mapping File arbeitet muss es im Syntax angepasst werden. Ich habe dazu Notepad++ verwendet.
- alle nicht relevanten Gruppen und nicht vollständige SIDs aus dem Mapping File entfernen
- Alle ersetzen von „,“ mit ,neu\

- Alle ersetzen von „ mit <kein Zeichen> (Entfernt alle Anführungszeichen)

Danach hat das Mapping File den Syntax: SID,<Domäne>\<Gruppe>.

- SetACL wird auf dem neuen Fileserver installiert und das bearbeitete Mapping File aus der alten Domäne kopiert
- Aufruf des Tools SetACL mit entsprechenden Parametern
SetACL.exe -on C:\Daten -ot file -actn trustee -trst csv:C:\mapping.csv;ta:repltrst -rec cont_obj

Nun glänzt die alte Berechtigungsstruktur in der neuen Domäne.
