标签:ADMT Sid History Sidhistory sid筛选
之前发表过使用ADMT进行域对象迁移的文章,连接如下:
但从Windows2000(SP4)版本的Windows开始,因为安全性的要求,在两个目录林根级域之间建立林信任后,将默认应用 SID 筛选。这就会导致新域中的SID历史并不能带到旧域中,而导致ACL无法解析到SID历史记录,无法得到有效权限。
如下图:
为了解决此问题,需要在两个信任的域之前,使用Netdom trust禁用SID筛选,参考命令:
Netdom trust TrustingDomainName /domain:TrustedDomainName /quarantine:No /usero:domainadministratorAcct /passwordo:domainadminpwd
如果你登录的用户有域的管理员或是企业管理员权限,则可以跳过用户名密码的选项。
先使用命令查看当然的状态:
Netdom trust contoso.local /domain:contoso.fg /quarantine
从上图可以看出,SID 筛选是启用状态,因此,需要禁用,命令如下:
Netdom trust contoso.local /domain:contoso.fg /quarantine:no
执行完后,再次查看状态,显示为SID筛选禁用,所有SID都会生效。
修改完后还需要在源域的域控制器策略中,启用SID转换,GPO配置如下:
完成以上配置后,在使用ADMT进行域迁移时,已迁移的对象将可以继续使用源域中的所有资源,直接到完成迁移!
标签:ADMT Sid History Sidhistory sid筛选
原文地址:http://blog.51cto.com/hubuxcg/2121286
