NETDOM und seine deutschen "Freunde"

Hallo, anbei schreibt Stefan seinen ersten Eintrag im „Aktiven Verzeichnis“.

Auf einem deutschen Windows Server 2008 System kann man leicht in einige Fallen innerhalb des Tools NETDOM tappen, die unsere Entwickler bei Ihrer grundsätzlich guten und wichtigen Lokalisierungsarbeit aufgestellt haben.
Beispielsweise kann es erforderlich sein, über das Tool NETDOM einige Funktionen auf einem Trust zu verwalten. Vor allem die Parameter /enableSIDHistory und /Quarantine sind häufig im Einsatz.

Versucht man nun auf einem deutschen Windows Server 2008 die SIDHistory auf einem Trust zu aktivieren, sieht ein erster Blick in die Hilfe des Tools via "NETDOM TRUST /?" vor:

Die Syntax dieses Befehls lautet folgendermaßen:

NETDOM TRUST trusting_domain_name /Domain:trusted_domain_name [/UserD:user]
[/PasswordD:[password | *]] [/UserO:user] [/PasswordO:[password | *]]
[/Verify] [/RESEt] [/PasswordT:new_realm_trust_password]
[/Add] [/REMove] [/Twoway] [/REAlm] [/Kerberos]
[/Transitive[:{yes | no}]]
[/OneSide:{trusted | trusting}] [/Force] [/Quarantine[:{yes | no}]]
[/NameSuffixes:trust_name [/ToggleSuffix:#]]
[/EnableSIDHistory[:{yes | no}]]
[/ForestTRANsitive[:{yes | no}]]
[/CrossORGanization[:{yes | no}]]
[/AddTLN:TopLevelName]
[/AddTLNEX:TopLevelNameExclusion]
[/RemoveTLN:TopLevelName]
[/RemoveTLNEX:TopLevelNameExclusion]
[/SecurePasswordPrompt]

NETDOM TRUST verwaltet oder überprüft die Vertrauensstellung zwischen Domänen.

Na dann, flugs ausgeführt zwischen den Domänen ROOT und CHILD:

NETDOM TRUST ROOT /DOMAIN:CHILD /EnableSIDHistory:yes

Der SID-Verlauf für diese Vertrauensstellung ist deaktiviert.

Der Befehl wurde ausgeführt.

Wie? Was denn? Bitte aktivieren!

Also nochmal das Kommando ausgeführt:

NETDOM TRUST ROOT /DOMAIN:CHILD /EnableSIDHistory:yes

Der SID-Verlauf für diese Vertrauensstellung ist deaktiviert.

Der Befehl wurde ausgeführt.

 

Hmmm. OK. Dann schalten wir die SIDHistory eben ab:

NETDOM TRUST ROOT /DOMAIN:CHILD /EnableSIDHistory:no

Der SID-Verlauf für diese Vertrauensstellung ist deaktiviert.

Der Befehl wurde ausgeführt.

Ok, also können wir die SIDHistory weder deaktivieren noch aktivieren? Wirft man nun einen genaueren Blick in den unteren Teil der Hilfeseiten des Tools, fällt einem folgende Beschreibung ins Auge:

/EnableSIDHistory Nur gültig für eine ausgehende Vertrauensstellung auf Gesamtstrukturebene. Durch Angabe von "ja"
können Benutzer, die von einer beliebigen anderen Gesamtstruktur an die vertrauenswürdige Gesamtstruktur migriert wurden,
mithilfe des SID-Verlaufs auf Ressourcen in dieser
Gesamtstruktur zugreifen. Dies wird nur empfohlen, wenn die Administratoren der vertrauenswürdigen Gesamtstruktur
vertrauenswürdig genug sind, SIDs dieser
Gesamtstruktur im SID-Verlaufsattribut der Benutzer
angemessen anzugeben. Bei Auswahl von "nein" sind
die migrierten Benutzer in der vertrauenswürdigen Gesamtstruktur nicht mehr in der Lage, mithilfe des SID-Verlaufs
auf die Ressourcen in der Gesamtstruktur zuzugreifen. Bei Angabe von
"/EnableSIDHistory" ohne "ja" oder "nein" wird der aktuelle
Status angezeigt.

Aha. Hier erwartet NETDOM also ein "ja" anstatt eines "yes".

NETDOM TRUST ROOT /DOMAIN:CHILD /EnableSIDHistory:ja

Der SID-Verlauf für diese Vertrauensstellung wird aktiviert.

Der Befehl wurde ausgeführt.

Bingo.

Sollte also einmal jemand über eine Verweigerung von NETDOM stolpern, obwohl die Syntax vermeintlich korrekt ist, einfach die Parameter hinsichtlich ihrer Sprache prüfen.