Stichwort Suche

Kategorie: 5) Windows Cross Forest

Bulk Set-ACL only with security groups – ACL Cross Forest

1) Sicherheitsgruppen anlegen und in der Beschreibung den physikalischen Pfad hinterlegen. Die Beschreibung wird genutzt um das Ziel für die jeweilige Gruppe zu finden.

 

2) Script anpassen –

Organisationseinheit in dem sich die Sicherheitsgruppen befinden ergänzen

Wenn benötigt zusätzliche Globale Gruppen ergänzen

$Permissions = Get-ADGroup -filter * -searchbase “OU=Gruppen,OU=JR,DC=rehberger,DC=local” -searchscope onelevel -Properties * | select description,name
#$FSAdmin = Get-ADGroup -Identity “Fileserver-Admins” | select name
ForEach ($line in $Permissions)
{
$acl = Get-Acl $line.description
$acl.SetAccessRuleProtection($True,$False)
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule($line.name,”Modify”, “ContainerInherit, ObjectInherit”, “None”, “Allow”)
$acl.AddAccessRule($rule)
#$rule2 = New-Object System.Security.AccessControl.FileSystemAccessRule($FSAdmin.name,”FullControl”, “ContainerInherit, ObjectInherit”, “None”, “Allow”)
#$acl.AddAccessRule($rule2)
$rule3 = New-Object System.Security.AccessControl.FileSystemAccessRule(“NT AUTHORITY\SYSTEM”,”FullControl”, “ContainerInherit, ObjectInherit”, “None”, “Allow”)
$acl.AddAccessRule($rule3)
Set-Acl $line.description $acl -Verbose
Get-Acl $line.description | select Path,AccessToString | fl
}

3) Ergebnis

 

Um die bereits gesetzen Berechtigungen anzupassen die Variable “$acl.AddAccessRule” auf “$acl.SetAccessRule” abändern.

Active Directory Struktur export/import Cross Forest

Mit  “ldifde.exe” ist es möglich die Organisationseinheiten Struktur in eine .TXT zu sichern.

1) Struktur in Quelle exportieren

ldifde -f c:\temp\OU-Export.ldf -s DomainController01.ad.domain.com -d “dc=ad,dc=domain,dc=com” -p subtree -r “(objectcategory=organizationalUnit)” -l “cn,objectclass,ou”

2) Export Datei mit Notepad anpassen

Domain Controller OU komplett entfernen – ldfifde.exe kann keine Domain Controller OU importieren.

Mit suchen und ersetzen alle “DN” so anpassen, dass diese die neue Domäne beinhalten.

Ggf. schon vorhanden Standard OU´s entfernen

2) Struktur in Ziel importieren

ldifde -i -f “<path>:\ExportOU.ldf” -s  ZielDomainController01

 

 

Fileserver Struktur Cross Forest

Um eine Fileserver Struktur zu exportieren und importieren wie folgt vorgehen:

1) Auf dem Quell Fileserver export erstellen

dir /b > c:\temp\export-folder.txt

2) Auf dem Ziel Fileserver import durchführen

Exportierte .TXT anpassen und als .CSV speichern

Name
Dir1
Dir2
Dir3
Dir4

danach

Set-Location “E:\Share\”

$Folders = Import-Csv c:\temp\export-folder.csv

ForEach ($Folder in $Folders) {

New-Item $Folder.Name -type directory
}

DFS Namespace Cross Forest migration

Um einen vorhanden DFS Namespace eins zu eins in einen neuen Forest zu übernehmen folgende Schritte ausführen:

1) Export Namespace aus der Quelle

“dfsutil /root:\\domain.com\rootname /export:c:\temp\exportedroot.txt /verbose”

Das .TXT File sieht wie folgt aus

<Root Name=”\\domain\Public” State=”1? Timeout=”300? Attributes=”64? >
<Target Server=”SERVERROOT1? Folder=”Public” State=”2? />
<Target Server=”SERVERROOT2? Folder=”Public” State=”2? />

<Link Name=”Accounting” State=”1? Timeout=”1800? >
<Target Server=”fs1? Folder=”accounting” State=”2? />
<Target Server=”fs2? Folder=”accounting” State=”2? />
</Link>

<Link Name=”utilities” State=”1? Timeout=”1800? >
<Target Server=”fs1? Folder=”utilities” State=”2? />
</Link>

<Link Name=”documentation” State=”1? Timeout=”1800? >
<Target Server=”fs2? Folder=”documentation” State=”2? />
</Link>

</Root>

2) .TXT für das Ziel anpassen und mit einem anderen Namen speichern.

<Root Name=”\\domainNEU\Public” State=”1? Timeout=”300? Attributes=”64? >

3) im Ziel DFS Namespace erstellen

Ist das Ziel noch nicht vorhanden erscheint eine Fehlermeldung bei dem Versuch die alte Konfiguration zu importieren:

System error 1168 has occurred.
Element not found.

4) .TXT importieren

Achtung! Der Import Vorgang überschreibt die Konfiguration im Ziel!

dfsutil /root:\\domainNEU.com\rootname /import: rootmodified.txt /set /verbose

Wenn alles geklappt hat erscheint eine Übersicht mit dem Ergebnis.

 

Zu beachten:
In der Coexistenz Phase zwischen zwei Forests in der DFS-Namespace Verwaltung den Ordnerziel Pfad mit FQDN angeben. Anderster wird nur der Netbios Name genutzt – dann klappt der Zugriff nicht korrekt.

 

Im Detail auch nachzulesen unter https://blogs.technet.microsoft.com/askds/2008/01/15/migrating-your-dfs-namespaces-in-three-sorta-easy-steps/