我已经运行 Windows 2003R2 AD ad1.local 一段时间了。这个域中涉及两个 DC。
一段时间后,创建了另一个 AD,即 ad2.local。此 AD 也托管在 Windows Server 2003 系统上。此 AD 上的其中一台服务器是具有 1TB RAID 驱动器的系统。不久前,两个域之间建立了信任。完成后,ad1.local 的用户可以在 ad2.local 上进行身份验证,以获取对 1Tb 驱动器的访问权限。在后者上,创建了许多目录,其组/用户权限与 ad1.local AD 不同。
这是一个麻烦的设置,尤其是现在我们有了将所有东西都迁移到新硬件上的虚拟机(终于!!!)的路线图,并且升级到 Windows 2019(如果我们想保留 ad1.local 用户帐户和其他内容,则不是直接升级)。此过程的一个步骤是将大量数据从 1Tb ad2.local 系统移动到可从 ad1.local 直接访问,但保持权限不变。
我不知道这是否可行。简单来说,我想“移动”这个 ad2.local 系统以加入 ad1.local。如果它是一个工作站,事情会很简单:离开 ad2.local AD,重新启动几次以摆脱策略,然后加入 ad1.local AD。
但在我的场景中,1TB 磁盘拥有复杂的权限(ad1.local 中的谁可以查看、写入或修改哪个子目录中的内容)。我推测,执行此操作后,所有这些信息都将丢失,退出 ad2.local -> 进入 ad1.local 域舞蹈...
我也愿意尝试其他替代方案。我确实有一个可以处理 iSCSI 共享的 NAS。我是否可以将它连接到托管 ad2.local 1tb 磁盘的系统上以进行克隆,然后将此 iSCSI 连接到我的一个 ad1.local 服务器?
真的不知道如何完成这一切。任何信息都将不胜感激!
需要说明的是,我没有在 ad1.local 中使用漫游配置文件。我确实设置了一些 GPO,以便共享磁盘出现在我的 ad1.local 用户上并指向此 ad2.local 共享磁盘,当然这可以更改。
编辑该线程已被锁定,我无法将其作为解决方案发布,但我会将其留给遇到类似问题的人:
我将磁盘从 ad2.domain 系统上的 1TB 克隆到 iSCSI 驱动器(显然物理驱动器也可以,但由于这是一个服务器系统,因此不容易物理移除磁盘,因为它们是 RAID 成员;也许外部 USB 驱动器就足够了)。然后我断开了 iSCSI 驱动器并将其连接到我的一个 ad1.domain 服务器,然后:所有权限都已存在,一切都运行正常,甚至不需要 subinacl!我唯一要做的就是创建共享,这相当容易!
答案1
您需要创建一个映射文件并使用 Active Directory 迁移工具 (ADMT)。有关如何使用 ADMT 的更多信息,请参阅以下文章:
ADMT v3.1 指南:迁移和重构 Active Directory 域 http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=19188
Active Directory 迁移工具版本 3.1 http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=17918
使用 ADMT 3.1 进行 Active Directory 迁移 http://www.sivarajan.com/admt.html
...或者使用 SUBINACL 命令。请查看 TechNet 上的此链接: https://social.technet.microsoft.com/Forums/windowsserver/en-US/f36ada21-63e9-4902-8951-36eafe62b497/migrate-file-server-to-new-domain-and-export-ntfs-permission?forum=winserverMigration