迁移文件权限的最简单方法是什么 (SMB/AD)
What is the easiest way to migrate file permissions (SMB/AD)
在几年(学习经验)的过程中,我将 DC 的 AD / DNS 搞得很糟糕,以至于我无法再加入或离开客户的域。我有一个 NAS,它曾经通过 SMB 插入 AD,这就是所有用户(我的家人)用来访问他们的文件的方式。
这次我使用 Windows 2016 年的最佳实践重新创建了我的基础架构配置。有什么方法可以轻松地将这些权限迁移给新的 domain/forest 中的用户(与旧权限的价值相同)?
我能否重新创建新用户的 SID/GUID 以匹配旧用户?我假设没有,因为他们在那里有一个 Windows 安装唯一生成的字符串。
我可以从 NAS 端执行此操作,而不必通过每个人的文件来更改所有权吗?
谢谢。
Microsoft 的 SubInACL
是一种可用于将权限从原始 SID 转换为新 SID 的工具
SubInACL 需要您提供旧 SID 对应新 SID 或用户名的信息,并对 NAS 服务器上的所有数据执行转换。比如像这样
subinacl /subdirectories "Z:\*.*" /replace=S-1-5-1-2-3-4-5=NEWDOMAIN\newuser
翻译完成需要多长时间取决于文件和文件夹的数量,如果是数万则预计需要数小时。
还有其他工具,例如 SetACL or PowerShell cmdlets Get-Acl/Set-Acl
您无法使用原始 SID 和 GUID 重新创建对象,除非您正在将 AD 基础结构或cloning/migrating 原始身份恢复为在 sidHistory 属性中具有原始 SID 的新身份。
因此,如果您已经 运行 在新创建的林中使用 NAS 的域控制器,而旧的域控制器遇到了您想要修复的问题,那么该选项可能会更加痛苦,并且更容易进行 SID 转换。
在几年(学习经验)的过程中,我将 DC 的 AD / DNS 搞得很糟糕,以至于我无法再加入或离开客户的域。我有一个 NAS,它曾经通过 SMB 插入 AD,这就是所有用户(我的家人)用来访问他们的文件的方式。
这次我使用 Windows 2016 年的最佳实践重新创建了我的基础架构配置。有什么方法可以轻松地将这些权限迁移给新的 domain/forest 中的用户(与旧权限的价值相同)?
我能否重新创建新用户的 SID/GUID 以匹配旧用户?我假设没有,因为他们在那里有一个 Windows 安装唯一生成的字符串。
我可以从 NAS 端执行此操作,而不必通过每个人的文件来更改所有权吗?
谢谢。
Microsoft 的 SubInACL
是一种可用于将权限从原始 SID 转换为新 SID 的工具SubInACL 需要您提供旧 SID 对应新 SID 或用户名的信息,并对 NAS 服务器上的所有数据执行转换。比如像这样
subinacl /subdirectories "Z:\*.*" /replace=S-1-5-1-2-3-4-5=NEWDOMAIN\newuser
翻译完成需要多长时间取决于文件和文件夹的数量,如果是数万则预计需要数小时。
还有其他工具,例如 SetACL or PowerShell cmdlets Get-Acl/Set-Acl
您无法使用原始 SID 和 GUID 重新创建对象,除非您正在将 AD 基础结构或cloning/migrating 原始身份恢复为在 sidHistory 属性中具有原始 SID 的新身份。
因此,如果您已经 运行 在新创建的林中使用 NAS 的域控制器,而旧的域控制器遇到了您想要修复的问题,那么该选项可能会更加痛苦,并且更容易进行 SID 转换。