Como manter o SID History dos grupos Built-in?

As ferramentas de migração de domínios (ADMT, NetIQ DMA, Quest Migrator, etc) não permitem a migração grupos Built-In (Domain Users, Domain admins, etc) do Active Directory, isso significa que permissões atribuídas a estes grupos serão perdidas durante o processo de migração. Para minimizar este impacto, recomenda-se o uso do script abaixo para adicionar o SID do grupo Built-In do domínio origem como SID History no grupo Built-In do domínio de destino.

OBS.: O script sidhist.vbs encontra-se disponível no Support Tools do WIndows Server 2003.

C:\Program Files\Support Tools>sidhist.vbs /srcdc:dc.dominio_origem /srcdom:dominio_origem /srcsam:"Domain Users" /dstdc:dc.dominio_destino /dstdom:dominio_destino /dstsam:"Domain Users"

Microsoft (R) Windows Script Host Version 5.6

Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.

Connected

Success

C:\Program Files\Support Tools>sidhist.vbs /srcdc:dc.dominio_origem /srcdom:dominio_origem /srcsam:"Domain Admins" /dstdc:dc.dominio_destino /dstdom:dominio_destino /dstsam:"Domain Admins"

Microsoft (R) Windows Script Host Version 5.6

Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.

Connected

Success

onde:

dc_dominio_origem é o FQDN do controlador de domínio do domínio origem, por exemplo: dc01.contoso.com

dominio_origem é o nome DNS do domínio origem, por exemplo: contoso.com

dc_dominio_origem é o FQDN do controlador de domínio do domínio destino, por exemplo: dc01.msft.net

dominio_destino é o nome DNS do domínio destino, por exemplo: msft.net

OBS.: Após o ajuste de permissões em todos os servidores/serviços, recomenda-se a remoção do SID History. Caso a remoção não seja feita poderão haver problemas com o tamanho do Token de usuários que pertencem a muito grupos. (ver artigo sobre MaxTokenSize).