Discussion :

[casimir92400]

Bonjour,

Je bosse actuellement sur une migration ADMT (computer, user, group, server) d'un domaine A vers un domaine B (inter-domaine). [cas classique]

J'ai du mal a faire comprendre a des équipes IT local que quand il migre manuellement (sorti et basculer sur le nouveau domaine B) un server sans passer par la solution ADMT, les partages ne seront plus accessible une fois le domaine source (A) éteint. Tout ça est dû au faite que l'affichage des droits des partages (par exemple) les groupes sont déjà transformés en version domaine cible, mais en réalité via cette méthode (manuel) la translation de sécurité n'a pas eu lieu.

Vous comprenez ce que j'explique ?

Là où je veux en venir c'est que lors d'une bascule d'un server du domaine A vers B (sans migration via ADMT, juste sortir la machine d'un domaine pour la mettre dans un autre) l'affichage des partages fait apparaitre les nouveaux groupes alors que juste avant de le déplacer de domaine c’était bien les groupes du domaine A qui apparaissait.

Pffff, je suis sur que vous pipez pas un mot de mon explication ?

[A&Nexus]

En gros tu n'as pas tort.

Si tu ne passes par par ADMT (ce qui est envisageable) il faudra recréé tous les utilisateurs, mots de passes, groupes à la main.
Plus refaire de zéro chaque partage et dossiers avec des sécurité NTFS.
Plus réintégrer les machines dans le nouveau domaine.

Tout simplement parce que ton SID n'est pas conservé et pas intégré dans le nouveau domaine (comme peut le faire ADMT) et donc tu te retrouvera avec des S-1243-64634634643-43563465345345 (exemple) dans tes onglets Partage/NTFS.

[casimir92400]

C'est pire que ça, les groupes sont déjà migré dans la cible donc au moment ou l'on migre le serveur les groupes existent dans les deux domaines A et B mais avec une orthographe légèrement différente (fonctionnalité offerte par admt). Donc avant de basculer vers B on a bien l'affichage des groupes avec l'orthographe du domaine A et après la bascule (pas la migration, juste la bascule) l'affichage a changer (orthographe du domaine B).
Comment est-ce possible sans avoir réalisé la translation de sécurité qui va venir mettre à jour les permissions.


Pour moi, si je fais qu'une bascule mais pas une vrai migration, une fois dans le domaine cible B, je devrais voir des S-1234567890 à la place des noms des groupes et encore moins les groupes avec l'orthographe du domaine cible !!

vous cernez la différence ?

[A&Nexus]

C'est ce coup d'orthographe légèrement différente que j'ai du mal à saisir.
Si le SID est bon l'orthographe peut différer cela ne devrait pas poser de problèmes.

Lors de la migration ADMT il y a une case à cochée "Effectuer la migration des identificateurs SID des utilisateurs vers le domaine cible".
Il y a aussi une étape à réaliser en activant le "SID History" dans le domaine source et cible.

Lors d'une bascule ou d'une migration si les SID ont été répliqués tu vois le nom du groupe cible correspondant au SID (donc le nom légèrement modifié).
Par contre si seul le SID est répliqué mais pas ton groupe alors tu veras dans le partage ou dans NTFS le SID en brut "S-1234567890".

[casimir92400]

On est bien d'accord, SIDHistory Filtering disabled sur le domaine source sinon le mécanisme de transfert de SIDHistory ne fonctionnera pas.

De ce que je comprends dans ton précédent message, si j'ai au préalable migré mes groupes, users. Je peux très bien simplement basculer mon server du domaine source vers le domaine cible sans réellement le migrer avec ADMT, mais différents partage NTFS dans le cas d'un fileserver seront automatiquement mise à jour.

Dans ce cas quel est l'utilité de migrer les server avec ADMT ? Là j'en vois pas !

[A&Nexus]

Pour le serveur je ne pourrais pas te répondre avec certitude je n'ai transféré pour le moment que des utilisateurs

Si tu as du virtuel tu peux prendre un serveur tout simple faire un partage réseau avec des droits et des securite NTFS et faire une capture instantannée.

Comme ça tu peux tester les deux méthodes

[casimir92400]

Justement on l'a testé sans vraiment le vouloir et on a l'impression sur le serveur juste basculé (non migré avec ADMT) que les permissions sont migrées (apparaissent avec les groupes et les users du domaine cible et plus avec les objets du dom source).
Par contre étant donné que n'avons pas encore été jusqu'au bout, c'est a dire éteindre le domaine source je ne peux pas vérifier du bon fonctionnement.

[A&Nexus]

Il n'est pas nécessaire d'éteindre le domaine source pour voir la modif.
Si tu as migré ton serveur (sans ADMT) et que tu ne vois pas :
- Soit le SID en brut
- Soit le nom du groupe migré sur le domaine cible

Alors c'est qu'il faut passer par ADMT pour migrer le serveur.

[casimir92400]

Alors mon équipe local avait raison, aucun intérêt a migrer les serveurs via le process ADMT si on a au préalable déjà migré les users et tous les groupes. Au temps, juste basculer le serveur de domaine et basta.
On ne gagne rien de plus a le migrer via ADMT, si j'ai bien compris ...?