- PR -

サーバ移行の際のアクセス権について

1
投稿者投稿内容
mone
常連さん
会議室デビュー日: 2005/05/18
投稿数: 37
投稿日時: 2005-07-12 11:27
現在NTドメインから別名2003ADへADMTによる移行を計画しています。
ここで、一つ疑問がでてきたのですが
テスト環境の構築が諸事情により困難なため
ご意見をお聞かせください。

現ドメイン環境
Aドメイン:NT
Bドメイン:NT
BとAは相互に信頼

移行後ドメイン環境
Cドメイン:2003(Aサーバから移行)
Bドメイン:NT
BとCは相互に信頼

という構成にする予定なのですが
Bドメインの中のファイルサーバでアクセス権にAドメインのユーザを設定している場合移行後の環境にアクセス権を移行できないのでしょうか?
もしできないのであれば、手作業で設定するしかありませんか?

また、Aドメインの中にBドメインのユーザが使われている場合は、移行の際にADMTにいじられておかしくなることはありませんよね?

以上、お手数ですが宜しくお願いします。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-07-14 22:18
引用:

Bドメインの中のファイルサーバでアクセス権にAドメインのユーザを設定している場合移行後の環境にアクセス権を移行できないのでしょうか?

Aドメインに対して与えている権限は何も変わりませんから
移行後のドメインがAドメイン自身またはAドメインと信頼関係を結んでいれば、
そのまま使えます。
それ以外の場合、不明なアカウントに対して与えられたアクセス権として
残るだけです。

引用:

また、Aドメインの中にBドメインのユーザが使われている場合は、移行の際にADMTにいじられておかしくなることはありませんよね?

ADMTのドキュメントを読むなり、テスト実行してみればわかりますが、
移行元と移行先でのアカウント競合時に対する処理を指定するフェーズがあります。
http://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/deploy/cookbook/cookchp9.mspx


質問みてよくわからなかったのが、ドメインAとドメインCの関係です。
別ドメインで信頼関係結んでない、と読んだんですが、
・信頼関係を結べないのか
・「Cドメイン:2003(Aサーバから移行)」はどういう状態を指してるの?
 実はAドメインからCドメインへアップグレード移行?
という点が不明でした。
mone
常連さん
会議室デビュー日: 2005/05/18
投稿数: 37
投稿日時: 2005-07-17 23:38
こんにちは、moneです。

ご回答ありがとうございます^^

ちょっと自分の質問の仕方がつたなかったようで
意図がつたわらなく、申し訳ありませんでした。

今回やろうとしていることは
AドメインをCドメインへ移行し、頭を挿げ替えます。
ドメイン名も変更しますが、ユーザ、ファイルサーバなどは全て移行し
Aドメインの元DCはファイルサーバとしてCドメインに組み込まれます。
アップグレードにしないのは、その際に残るゴミが嫌だということ
また、ハードを買い換えるという理由からです。


そして、疑問に思っている事は
1.
AドメインからCドメインに移行した際に移行されたファイルサーバの中で
Aドメインと信頼関係を結んでいたBドメインのユーザは
どのように扱われるのか?

2.
Bドメインの中のファイルサーバにある
元Aドメインのユーザは移行先のCドメインのユーザとして
認識することができるのか?

ということです。

自分の認識としましては
1.
Cドメインへの移行の際に不明なユーザとして扱われる
移行後にサイドBドメインと信頼関係を結べば
正しくユーザを認識できるのではないか

2.
CドメインAD内にSIDHistoryとして旧AドメインでのSIDが残っているので
こちらもBドメインと信頼関係を結べば
AドメインのユーザであったものをCドメインのユーザとして認識して欲しいが、
これは無理そうな気がする。

です。

現在、客先で勤務しているため
テスト環境を触れないので
こちらに質問を投げさせていただきました。

基本的な事項でしたら、申し訳ありません。
また、文章の稚拙さもあわせてお詫びさせていただきます。

以上、宜しくお願いします。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-07-17 23:42
引用:

1.
Cドメインへの移行の際に不明なユーザとして扱われる
移行後にサイドBドメインと信頼関係を結べば
正しくユーザを認識できるのではないか

正解。


引用:

2.
CドメインAD内にSIDHistoryとして旧AドメインでのSIDが残っているので
こちらもBドメインと信頼関係を結べば
AドメインのユーザであったものをCドメインのユーザとして認識して欲しいが、

正解。


なので、A,B,Cドメイン間で双方向の信頼関係を確実に結ぶこと、
その際に必要となる各種名前解決環境をしっかり整えれば、
あまり面倒なことにはなりませんよ。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-07-17 23:50
こんばんわ.

最初の書き込みから気になっていたので.
「アクセス権の移行」そのものは ADMT で移行できるかもしれませんが,
アクセス権の設定は FSMT などで移行する必要があるのではないかと.
あとは新/旧 Domain が同じ対象の Domain と信頼関係を結ぶ云々は
Mattun 様のご指摘どおりでしょう.

以上,ご参考までに.
mone
常連さん
会議室デビュー日: 2005/05/18
投稿数: 37
投稿日時: 2005-07-19 08:49
おはようございます。
moneです。

Mattunさんkazさんご回答ありがとうございました。

教えていただいた内容を参考に手順の修正を行っていきます。
#時間が許すならばテストも行いたいですが・・・
#手順だけ作って他の方にお願いすることになりそうです。
1

スキルアップ/キャリアアップ(JOB@IT)