Como manter o SID History dos grupos Built-in?


As ferramentas de migração de domínios (ADMT, NetIQ DMA, Quest Migrator, etc) não permitem a migração grupos Built-In (Domain Users, Domain admins, etc) do Active Directory, isso significa que permissões atribuídas a estes grupos serão perdidas durante o processo de migração. Para minimizar este impacto, recomenda-se o uso do script abaixo para adicionar o SID do grupo Built-In do domínio origem como SID History no grupo Built-In do domínio de destino.


OBS.: O script sidhist.vbs encontra-se disponível no Support Tools do WIndows Server 2003.


 


C:\Program Files\Support Tools>sidhist.vbs /srcdc:dc.dominio_origem /srcdom:dominio_origem /srcsam:”Domain Users” /dstdc:dc.dominio_destino /dstdom:dominio_destino /dstsam:”Domain Users”


Microsoft (R) Windows Script Host Version 5.6


Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.


 


Connected


Success


 


C:\Program Files\Support Tools>sidhist.vbs /srcdc:dc.dominio_origem /srcdom:dominio_origem /srcsam:”Domain Admins” /dstdc:dc.dominio_destino /dstdom:dominio_destino /dstsam:”Domain Admins”


Microsoft (R) Windows Script Host Version 5.6


Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.


 


Connected


Success


 


 


onde:


dc_dominio_origem é o FQDN do controlador de domínio do domínio origem, por exemplo: dc01.contoso.com


dominio_origem é o nome DNS do domínio origem, por exemplo: contoso.com


dc_dominio_origem é o FQDN do controlador de domínio do domínio destino, por exemplo: dc01.msft.net


dominio_destino é o nome DNS do domínio destino, por exemplo: msft.net


 


 


OBS.: Após o ajuste de permissões em todos os servidores/serviços, recomenda-se a remoção do SID History. Caso a remoção não seja feita poderão haver problemas com o tamanho do Token de usuários que pertencem a muito grupos. (ver artigo sobre MaxTokenSize).

Comments (0)

Skip to main content