Unidade compartilhada, copiar permissões para novas contas para exibir arquivos no servidor de domínio antigo

Navegue suas respostas
1

Ok, este é um cenário difícil.

Estamos no meio de uma migração de domínio, não estamos fazendo tudo de uma vez, o que significa que, gradualmente, moveremos os usuários de cada vez. Isso significa que precisamos permitir que as permissões dos usuários para a unidade compartilhada da empresa espelhem a nova conta.

Atualmente, a unidade compartilhada da empresa está localizada no domínio antigo.

Exemplo: Auser está em Olddomain. O Auser pode acessar diferentes pastas / arquivos no Oldcompanyshare.

O Auser agora migrará para o Newdomain. Auser recebe um novo nome de usuário para Newdomain que é NAuser. O NAuser precisa ter as mesmas permissões de pasta que o Auser precisa para visualizar arquivos dentro do Oldcompanyshare, que faz parte do Olddomain.

Por favor, ajude, caso contrário eu NAuser precisará receber permissões manualmente, o que é um grande assassino de tempo.

O compartilhamento de arquivos é baseado no Windows Server 2012 R2.

    
por Eddie15421 05.12.2017 / 23:09

2 respostas

0

As permissões nos objetos fazem referência direta aos usuários ou usam grupos? Em outras palavras, os arquivos / pastas em Oldcompanyshare têm ACLs que mencionam Auser ou usam um grupo como Accounting ? [Mais tarde, o comentário do OP revela que ambos são e que existe uma relação de confiança entre os domínios.]

Quando as permissões são atribuídas usando grupos, tudo o que você precisa fazer é colocar o NAuser no (s) grupo (s) apropriado (s) no domínio antigo.

Quando as permissões são atribuídas diretamente ao usuário, fica feio. Você precisará fazer com que algo percorra as árvores de diretórios nos sistemas antigos, procurando Auser e adicionando ou substituindo as entradas de controle de acesso (ACEs) com novas ACEs que usam outra coisa.

Você pode querer aproveitar a oportunidade para migrar para grupos no momento. É quase certo que valerá a pena a longo prazo. Como alternativa, você pode adicionar ACEs às ACLs para que NAuser e Auser sejam especificados explicitamente.

SUBINACL pode fazer qualquer coisa com trabalho suficiente. Faz uma substituição direta razoavelmente fácil. Como uma primeira aproximação, você gostaria de algo como: 

SUBINACL /subdirectories "C:\path\to\Oldcompanyshare" /replace="Olddomain\Auser"="Newdomain\Newgroup"

Isso pressupõe que você esteja se mudando para um novo grupo. Se você quiser fazer o add-and-keep-old (prolly, uma boa idéia), eu acho que você precisará despejar as ACLs em um arquivo, transformar esse arquivo para o que você deseja e, em seguida, reproduzir novamente as ACLs. Vai ser lento e pesado, mas bate manualmente editando um monte de ACLs. (Por outro lado, se você tiver apenas algumas ACLs , uma edição manual única da GUI poderá ser mais fácil.)

Faça o download do SUBINACL da Microsoft

    
por 05.12.2017 / 23:24
0

Não há nenhuma maneira interna e automatizada de fazer isso no próprio Windows, se as permissões forem atribuídas diretamente às contas de usuário. Observe que essa é uma das razões pelas quais a prática recomendada para permissões é criar grupos para permissão para recursos, grupos para funções de usuário / negócios, adicionar usuários aos grupos de funções de usuários / negócios relevantes e adicionar os grupos de funções de usuários / empresas como membros de os grupos de permissão de recursos. Não consigo encontrar o artigo da Microsoft que eu li, mas este artigo tem essencialmente as mesmas recomendações / informações.

Você provavelmente terá que converter manualmente para o estilo de melhores práticas do grupo aninhado / RBAC ou usar algum tipo de script para duplicar as permissões de usuário para cada compartilhamento / arquivo (foreach share ou file, ler nas permissões existentes, adicionar permissões para novo domínio para usuários correspondentes e recurse através de tudo ).

    
por 05.12.2017 / 23:49

Tags

MySQL através do túnel SSH Desafios no meu DNS do Windows Server