ADMT – Filtrage SID et le Français… 5

Lors des migration de plusieurs domaines vers un seul domaine à l’aide de l’outil ADMT, vous serez surement ammené a désactiver le filtrage SID afin de laisser passer l’History SID.

Le History SID vous aide à maintenir l’accès des utilisateurs aux ressources au cours du processus de restructuration des domaines Active Directory. Lorsque vous migrez un objet vers un autre domaine, l’objet reçoit un nouveau SID. Étant donné que vous affectez des autorisations à des objets basés sur SID, lorsque le SID change, l’utilisateur perd l’accès à cette ressource jusqu’à ce que vous pouvez réaffecter des autorisations. Lorsque vous migrez des utilisateurs vers le domaine cible, vous aurez la possibilité de migrer le SID des utilisateurs vers le domaine cible. Cela devient l’attribut sIDHistory sous le nouvel objet utilisateur.

Une fois le SID migré il reste un obstacle a franchir: la désactivation du filtrage SID du domaine source.

Dans le cas d’une approbation au niveau Foret, la commande fournie par Microsoft est la suivante:

Et la, avec des systèmes d’exploitation en français, c’est le drame …. la commande n’a aucun effet !

Pour vérifier cela il suffit de contrôler le masque de l’attribut « trustAttribute » de la classe trustedDomain dans le CN:System de votre Active Directory cible avec ADSIedit qui peut Cet attribut peut prendre les valeurs suivantes:

 

  • 1 – trust is not transitive
  • 2 – only Windows 2000 and above clients can use the trust
  • 4 – SID filtering enabled
  • 8 – the trust is a forest trust
  • 16 – this is a “cross-org” trust with selective authentication enabled
  • 32 – the trust is forest-internal
  • 64 – this is a forest trust with SIDHistory enabled

 

Dans mon cas j’ai un attribut à 8, ce qui indique juste une relation au niveau foret :

 

2016-11-18-16_56_44

Alors pourquoi ???  Ben c’est la magie des OS en Français, ou certaines commandes sont traduites…

Il faut en fait utiliser :

Et alors magie, ça marche:

2016-11-18-16_55_56

 

L’attribut passe à 48 en Hexadécimal soit 72 en décimal qui équivaut à 64 + 8 (8 – the trust is a forest trust + 64 – this is a forest trust with SIDHistory enabled )

 

Conclusion: n’installez jamais vos serveurs en français, vous gagnerez du temps….

5 thoughts on “ADMT – Filtrage SID et le Français…

  1. Reply M. Nov 29,2019 17:57

    Omg ! Un grand merci pour ce tips ! J’ai malheureusement hérité d’un domaine installé en FR, ca faisait 3 jours que je repassai en boucle tous les pré-requis à la migration de mes ressources, sans trouver d’ou pouvait venir mon blocage.

    Encore merci à toi.

    A+

  2. Reply Vecteur IT Déc 15,2019 00:16

    Cool !!

  3. Reply Gérard Wendling Fév 26,2020 15:52

    Mille mercis !
    je suis tombé sur ce bug et cela m’a tiré une épine du pied.

  4. Reply Cedric FC Avr 14,2022 15:38

    Mais P*$ù:, merci beaucoup
    Je galère depuis ce matin avec l’accès aux fichiers et bien évidement jamais au grand jamais on recherche la soluce en francais !!!

  5. Reply M123 Juin 15,2022 11:10

    Bonjour,

    Où se trouve trustAttributes ?

Leave a Reply