Lors des migration de plusieurs domaines vers un seul domaine à l’aide de l’outil ADMT, vous serez surement ammené a désactiver le filtrage SID afin de laisser passer l’History SID.
Le History SID vous aide à maintenir l’accès des utilisateurs aux ressources au cours du processus de restructuration des domaines Active Directory. Lorsque vous migrez un objet vers un autre domaine, l’objet reçoit un nouveau SID. Étant donné que vous affectez des autorisations à des objets basés sur SID, lorsque le SID change, l’utilisateur perd l’accès à cette ressource jusqu’à ce que vous pouvez réaffecter des autorisations. Lorsque vous migrez des utilisateurs vers le domaine cible, vous aurez la possibilité de migrer le SID des utilisateurs vers le domaine cible. Cela devient l’attribut sIDHistory sous le nouvel objet utilisateur.
Une fois le SID migré il reste un obstacle a franchir: la désactivation du filtrage SID du domaine source.
Dans le cas d’une approbation au niveau Foret, la commande fournie par Microsoft est la suivante:
|
1 |
netdom trust trustingDomain /domain:trustedDomain /enableSIDhistory:yes /usero:domainadministratorAcct /passwordo:domainadminpwd |
Et la, avec des systèmes d’exploitation en français, c’est le drame …. la commande n’a aucun effet !
Pour vérifier cela il suffit de contrôler le masque de l’attribut « trustAttribute » de la classe trustedDomain dans le CN:System de votre Active Directory cible avec ADSIedit qui peut Cet attribut peut prendre les valeurs suivantes:
- 1 – trust is not transitive
- 2 – only Windows 2000 and above clients can use the trust
- 4 – SID filtering enabled
- 8 – the trust is a forest trust
- 16 – this is a “cross-org” trust with selective authentication enabled
- 32 – the trust is forest-internal
- 64 – this is a forest trust with SIDHistory enabled
Dans mon cas j’ai un attribut à 8, ce qui indique juste une relation au niveau foret :
Alors pourquoi ??? Ben c’est la magie des OS en Français, ou certaines commandes sont traduites…
Il faut en fait utiliser :
|
1 |
netdom trust trustingDomain /domain:trustedDomain /enableSIDhistory:<span style="color: #ff0000;">oui</span>/usero:domainadministratorAcct /passwordo:domainadminpwd |
Et alors magie, ça marche:
L’attribut passe à 48 en Hexadécimal soit 72 en décimal qui équivaut à 64 + 8 (8 – the trust is a forest trust + 64 – this is a forest trust with SIDHistory enabled )
Conclusion: n’installez jamais vos serveurs en français, vous gagnerez du temps….
Omg ! Un grand merci pour ce tips ! J’ai malheureusement hérité d’un domaine installé en FR, ca faisait 3 jours que je repassai en boucle tous les pré-requis à la migration de mes ressources, sans trouver d’ou pouvait venir mon blocage.
Encore merci à toi.
A+
Cool !!
Mille mercis !
je suis tombé sur ce bug et cela m’a tiré une épine du pied.
Mais P*$ù:, merci beaucoup
Je galère depuis ce matin avec l’accès aux fichiers et bien évidement jamais au grand jamais on recherche la soluce en francais !!!
Bonjour,
Où se trouve trustAttributes ?
Merci mille fois ! J’avais le meme problème avec l’OS en FR quelle plaie 🙂