Migration admt : droits utilisateur et sécurité

Migration admt : droits utilisateur et sécurité - Win NT/2K/XP - Windows & Software

Marsh Posté le 01-10-2010 à 08:35:47    

Bonjour,
 
J'ai effectué une migration via admt d'un domaine source S sous NT4 vers un domaine cible C sous w2k3. Tout s'est bien passé : j'ai d'abord migré les groupes, puis les utilisateurs et enfin les ordinateurs. Tout est OK, les ACLs, les bureaux, les ressources de chaque utilisateurs, les mots de passes...
 
L'entreprise possède un serveur de fichiers w2k3 (serveur membre) rattaché au domaine S. Celui-ci constitue un lecteur réseau de partage et d'échanges pour l'entreprise. Chaque utilisateur y a accès mais possède des restrictions sur chaque dossier de ce serveur, en fonction de son service. Ces droits sont toujours présents après la migration. Mais lorsque je retire les relations d'approbations, l'utilisateur ne se connecte plus simplement. Un identifiant et un mot de passe correspondant lui est demandé (celui de l'admin du domaine S). Et quand je rentre l'admin, les droits de l'utilisateur sur les dossiers du serveur de fichiers ne fonctionnent plus (surement car il est en mode admin et donc a tous les droits sur chaque dossier) :/
 
Bref, comment conserver la sécurité sur ce serveur de fichiers après la migration admt et après avoir enlevé les relations d'approbation ? Faut-il ajouter le serveur membre sur le domaine C avant/après la migration des comptes ordinateur ? Une idée de la marche à suivre et de la façon de procéder ?
 
Merci

Reply

Marsh Posté le 01-10-2010 à 08:35:47   

Reply

Marsh Posté le 07-10-2010 à 19:51:45    

Slt DjyRom  :hello:  
 
Pour répondre à ta question :

Citation :

Faut-il ajouter le serveur membre sur le domaine C avant/après la migration des comptes ordinateur ?


Tu doit te préoccupper tout d'abord des droits sur ton serveur de Partages, migrer tout tes postes clients sur le nouveau domaineC, puis au final migrer ton serveur de Partages sur le nouveau domaineC
 
J'ai eu le même cas de figure lors d'une migration assistée par ADMT.
 
Voici ce que j'ai fait :
 
* J'ai ajouté à l'identique (pour le domaine C) les droits positionnés sur tes documents et répertoires.  
Exemple : si le document test.txt à pour droits : DomaineS\toto1 et DomaineS\toto2 en lecture, il faut ajouter en plus de ces derniers leurs correspondants du DomaineC, soit DomaineC\toto1 et DomaineC\toto2 en lecture.
 
* !! Pense par la même occasion et afin de ne pas te retrouvé bloqué à l'étape suivante, à ajouter l'utilisateur "DomaineC\Administrateur" en control total sur toute l'arborescence des Partages (jusqu'au plus profond des arborescences).
 
* J'ai migrer les postes clients de l'ancien domaineS vers le nouveau domaineC un soir  
(demander à tout le monde de laisser le PC dans l'état d'attente d'ouverture d'une session)
 
* J'ai pour finir migré le serveur de Partage en le sortant du DomaineS puis en le rentrant sur le DomaineC à son tour
 
----------------------------------------------------
 
Point positif :
La continuité d'accès aux Partages est garantie tout le long de l'opération, autant pour toi (Administrateur) que pour le utilisateurs (domaineS + domaineC) ...
 
Point négatif :
Tout ceci se fait maleureusement manuellement... :( aucun outil ne semble exister pour ajouter les correspondances de droits sur des fichiers.
 
Bon courrage !  :bounce:


Message édité par rempc01 le 07-10-2010 à 20:44:21
Reply

Marsh Posté le 09-11-2010 à 15:08:33    

Merci de ta réponse Rempc01. :)
 
Lorsque je passe le serveur membre de DomaineS pour le mettre membre de DomaineC, les groupes que j'avais doublés pour la continuité de partage (ex: DomaineS\groupe1 et DomaineC\groupe1) sont bien présents une fois le passage effectué.
 
Cependant, une fois la relation d'approbation coupée, les groupes du DomaineS du genre DomaineS\groupe1 sont automatiquement transformés en DomaineS\groupe1 et je me retrouve avec la présence de doublons en apparence mais ne possédant pas le même SID.  
 
Jusqu'ici pas de problème car il me suffit de supprimer le doublon provenant de DomaineS.  
 
Mais lorsque je redémarre mon serveur membre et mon contrôleur de domaine, et que rejoins le serveur de fichier membre via un poste de travail en connectant un lecteur réseau, la sécurité affichée pour un dossier ne me donne pas les noms des groupes autorisés mais seulement les SID.
 
D'où ma question : pourquoi un tel comportement ? Il devrait tout de même afficher le nom du groupe de DomaineC ? Même si je sais reconnaitre les SID (via le soft "OBJ::SID" ), cela n'est pas correct car comment je fais si un autre admin veut gérer la sécurité du seveur membre... Pas très clean pour s'y retrouver !
 
Une solution pour cela ?  
(Si je ne me fais comprendre sur certains points, ne pas hésiter à me demander)

Reply

Marsh Posté le 13-10-2011 à 22:08:09    

Bonsoir DjyRom,
 
Je revois ce post qui date un peu (1an!!)
 
Je me dit que tu as du passer à autre chose mais je t'informe que j'ai également eu ce même soucis.  
Enfin, pas uniquement depuis les postes clients, mais depuis n'importe ou... (serveur, dc ou poste)
J'ai remarqué que les SID correspondait tous à des anciens comptes du domaineSource.
Je les ai donc tous supprimés... grand ménage !  
Il ne resta donc ensuite plus que les comptes users "lisibles" du domaineC de présent sur la sécurité des dossiers... et finalement, c'est ce qui compte !
 
Si tu n'as pas un mix de de SID, compte lisibles, c'est que la résolution de SID ne fonctionne pas, ou mal (AD ok avec des Catalogues Globaux disponibles ? les PMF sont bien déclarés sur le bon domaine ? Zone DNS ok dans les paramètres de la carte réseau ?)
 
Enfin, si tout ceci est toujours d'actualité...
J'active la notification par mail des nouveaux posts, afin de ne plus répondre 1 an plus tard ! mdr

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed