Fileserver-Migration zwischen Domänen ohne Vertrauensstellung

Bei einer Fileserver-Migration zwischen Domänen ohne einer Vertrauensstellung steht man vor der Herausforderung, wie übertrage ich die NTFS Berechtigungen. Bei einer flachen Struktur ist das sicherlich noch manuell abbildbar, aber wie das ganze automatisieren? Grundlegend gibt es dafür zwei Tools.

Subinacl habe ich nicht zum Fliegen gebracht. Worin genau der Fehler bestand kann ich nicht sagen. Zum Glück gab es da noch SetACL. Diese Step-by-Step Anleitung soll Euch helfen die Migration möglichst schnell und automatisiert durchzuführen. Ich gehe hier davon aus, dass in beiden Domänen die gleichen Gruppen existieren bzw. angelegt wurden. Ich verwende folgende Domänen und Gruppen.

  • alte Domäne: alt
  • neue Domäne: neu
  • AD Gruppen: FS-GG-01 bis FS-GG-50
  • Migrationsdaten C:\Daten\Austausch
  • Programmordner C:\Migration

70

72

71

Das Tool berücksichtigt natürlich auch Benutzer selbst, aber wer berechtigt im Filesystem die Benutzer? 😉 Wie läuft die Migration ab? Im ersten Schritt werden die Daten normal mit Robocopy übertragen. Anschließend müssen, in der neuen Domäne auf dem Fileserver die alten SIDs gegen die neuen Gruppen ausgetauscht werden. Das Tool bedinet sich dazu einem Mapping File (alte SID, neue Gruppe). Aber nun Schritt für Schritt. Bitte prüft bei Robocopy und SetACL ob die Parameter für Eure Umgebung zutreffen.

  1. Robocopy der Daten mit Übernahme der Berechtigungen

Robocopy.exe C:\Daten\Austausch Z:\Daten\Austausch /COPYALL /MIR /E /V /NP /R:2 /W:30 /LOG+:C:\Migration\robocopy\Daten.log

79

  1. In der Quelldomäne werden alle Gruppen über Powershell in eine CSV exportiert

Get-ADGroup -Filter * | select-object SID,Name | Export-Csv c:\migration\mapping.csv -Delimiter „,“

73

  1. Damit das Tool mit dem Mapping File arbeitet muss es im Syntax angepasst werden. Ich habe dazu Notepad++ verwendet.
  • alle nicht relevanten Gruppen und nicht vollständige SIDs aus dem Mapping File entfernen
  • Alle ersetzen von „,“ mit ,neu\

74

  • Alle ersetzen von  mit <kein Zeichen> (Entfernt alle Anführungszeichen)

75

Danach hat das Mapping File den Syntax: SID,<Domäne>\<Gruppe>.

76

  1. SetACL wird auf dem neuen Fileserver installiert und das bearbeitete Mapping File aus der alten Domäne kopiert
  1. Aufruf des Tools SetACL mit entsprechenden Parametern

SetACL.exe -on C:\Daten -ot file -actn trustee -trst csv:C:\mapping.csv;ta:repltrst -rec cont_obj

77

Nun glänzt die alte Berechtigungsstruktur in der neuen Domäne.

78