- PR -

ドメインが異なるファイルサーバの移行

1
投稿者投稿内容
gongen
会議室デビュー日: 2007/02/23
投稿数: 16
投稿日時: 2007-02-23 15:00
現在ファイルサーバがドメイン環境下で運用されています。
クライアントPCもドメインに属しています。

共有フォルダはNTFSによるセキュリティをかけており、ドメインユーザとドメインユーザをグルーピングした、
サーバのローカルグループを使用しています。
この度ドメインが廃止されることになり、各クライアントPCはWORKGROUPでログインするようになります。

そこで、新しいファイルサーバをファイルサーバ認証専用ドメイン環境(ドメインも新規構築)で構築しました。
ユーザは新ファイルサーバへ接続時、認証画面から専用ドメインのID,passを入力することにより接続します。

新環境のNTFSセキュリティはドメインユーザとドメイングループ(この点が旧環境と異なります)により、運用されます。


この度、
旧ファイルサーバ → 新ファイルサーバへユーザデータ移行をするのですが、方法について課題があります。

「現行サーバに設定されたACL情報をどのように移行するか」

私が考えているシナリオ(実績はあり、テストOK)

例、TEST$フォルダの移行

1.TEST$フォルダでのセキュリティ設定で使用されているローカルグループとドメインユーザIDのSIDを取得します。
   *getsidコマンド

2.NTbackup又はxcopyでSID情報を保持した状態で新サーバへ移行

3.subinaclでTEST$フォルダのACL情報を書き換え

コマンドとしては・・・subinacl /subdirectories U:\\*.* /replace=S-1-x-xx-xxxxxxxx-xxxxxxx-xxxxxxx-xxxxxxx=ドメイン名\\ユーザ名
 
この方法での課題は非常に手間がかかります、SIDを調べてユーザ(グループごと)にsubinaclコマンドを実行しなければなりません。
また、ローカルグループのSIDは事前にgetsidコマンドで調べられますが、ドメインIDのSIDはどのように調査するのでしょうか。


xcacls等で出力されたファイルを加工して新たに再設定するなど、何かよい方法はないでしょうか。
宜しくお願い致します。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2007-02-23 16:19
旧ファイルサーバ(ローカルグループへのACL)を
新ファイルサーバ(新ドメイングループへのACL)へ変更する、
ローカルグループは旧ドメインユーザ・グループオブジェクトを含む
ですよね?

旧ドメインと新ドメインで信頼関係を構築
旧ファイルサーバでsubinaclの/migratedomainオプションあたりで
ローカルグループ->ドメイングループへ変換
xcopy等で新ファイルサーバにACLを保持したままコピー
あたりでいけた気がします。
(大分昔に同じシナリオでsubinaclとxcopyだけで綺麗に移行した記憶だけある)

_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
gongen
会議室デビュー日: 2007/02/23
投稿数: 16
投稿日時: 2007-02-23 16:56
よい方法のご教示ありがとうございます。

やはり、信頼関係を構築することなしに実施する方法は
ありませんでしょうか。信頼関係は構築できないことになっていまして。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2007-02-23 18:19
信頼関係が無いと、sIDとユーザ名のマッピングができないってことですから、
その対応を自前準備する必要があります。
その手間をかけるか、どうにかして一時的にでも信頼関係結べるように
働きかけるか、検討してください。

ドメインユーザ/グループのsIDについては、
サーバ名指定部分でドメインコントローラのコンピュータ名を指定してください。
(getsidでローカルグループの情報取れてるならそれで伝わるはず)
ドメインユーザ/グループって、ドメインコントローラのローカルユーザ/グループと
置き換えて考えると、実はいろんなところで応用利きます。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
gongen
会議室デビュー日: 2007/02/23
投稿数: 16
投稿日時: 2007-02-26 18:10
信頼関係は結べないので、手間がかかる方法で移行しようと思います。

そこで、ドメインユーザのSID収集はどのように実施すれば宜しいでしょうか。

ドメインコントローラのローカルユーザ/グループを使ってもよいのですが、
仮にドメインユーザ/グループを使用する場合、getsidではローカルのみしか収集できないみたいです。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2007-02-26 19:22
引用:

そこで、ドメインユーザのSID収集はどのように実施すれば宜しいでしょうか。


引用:

ドメインユーザ/グループのsIDについては、
サーバ名指定部分でドメインコントローラのコンピュータ名を指定してください。

と書いた通りです。
gongen
会議室デビュー日: 2007/02/23
投稿数: 16
投稿日時: 2007-02-27 13:18
確認不足にて申し訳ありません。
ドメインユーザのSID収集できました。これで移行作業できそうです。
ありがとうございました、とても感謝しております。
1

スキルアップ/キャリアアップ(JOB@IT)