SIDHistory / SIDFiltering – German/English

Hallo zusammen,

vor einigen Tagen war ich mal wieder bei einer AD Migration tätig. Auch hier gab es wieder Verwirrung um die Einstellungen der „SID History“ und des „SID Filtering“.
Da ich nun schon häufiger damit konfrontiert worden bin, möchte ich mit diesem Post ein wenig Licht ins Dunkele bringen.

SID History:

Die SID History ist ein Active Directory Objekt Attribut, welches dafür sorgt, dass während einer Domain Migration zwischen alter und neuer Domäne Zugriffe erfolgen können.

Das Szenario sieht wie folgt aus:
Wir haben eine Domäne A (Quelle) und eine Domäne B (Ziel). Zwischen den beiden Domänen existiert ein Trust. Art der Vertrauenstellung ist an dieser Stelle erstmal uninteressant. Weiter gibt es einen ADMT Server in der Zieldomän und einen Benutzer A aus Domäne A.

Image 8

Beispiel anhand eines Benutzers:
Das ADMT Tool schreibt beim migrieren der Benutzer-Objekte zwischen Domäne A und Domäne B die SID des Benutzers A in das Attribut „SIDHistory“ des neuen Benutzers B.
Wenn sich Benutzer B nun Anmeldet, bekommt er zusätzlich zu seinen Berechtigungen in Domäne B auch alle Berechtigungen der SID aus  Domäne A hinzugefügt.

Somit wird gewährleistet, dass Zugriffe auf Ressourcen in beiden Domänen während einer Migrationsphase gegeben sind.
Kurz gesagt Benutzer B kann auf den Fileserver in Domäne A zugreifen, weil Benutzer A dort ja berechtigt ist und Benutzer B ja zusätzlich alle Berechtigungen von Benutzer A bekommen hat.
Benutzer A und B sollten in diesem Falle natürlich die selbe Person sein. 😉

SID Filtering:

Die SID Filterung ist dafür gedacht fremde SIDs aus anderen Domänen zu filtern und somit das prinzip der SID History nicht zu zu lassen. Dies hat unter gewissen Umständen einige Vorteil. Zum Beispiel wenn eine Domäne komprometiert wurde. Standardmäßig ist für eine Vertrauensstellung die Filterung eingeschaltet.

Damit aber der Zugriff während der Migration gegeben ist sollte man die SID Filterung natürlich abschalten.

External Trust:

Netdom trust DomäneB /domain:DomäneA /quarantine:No /usero:Domänen-Administrator /passwordo:*

Forest Trust:

Netdom trust DomäneB /domain:DomäneA /enableSIDhistory:yes /usero:Domänen-Administrator /passwordo:*

 Achtung:
Beim Forest Trust der von einem deutschen Domain Controller aus erstellt wurde wird der Parameter /enableSIDhistory mit „Ja“ angegeben:

Netdom trust DomäneB /domain:DomäneA /enableSIDhistory:ja /usero:Domänen-Administrator /passwordo:*

Zum überprüfen des Status kann man folgendes eingeben:

Netdom trust DomäneB /domain:DomäneA /quarantine /usero:Domänen-Administrator /passwordo:*

Netdom trust DomäneB /domain:DomäneA /enableSIDhistory /usero:Domänen-Administrator /passwordo:*

Hoffe ich konnte hiermit helfen 🙂

Gruß
Stephan

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

w

Verbinde mit %s

%d Bloggern gefällt das: