ADMT – Filtrage SID et le Français…

Lors des migration de plusieurs domaines vers un seul domaine à l’aide de l’outil ADMT, vous serez surement ammené a désactiver le filtrage SID afin de laisser passer l’History SID.

Le History SID vous aide à maintenir l’accès des utilisateurs aux ressources au cours du processus de restructuration des domaines Active Directory. Lorsque vous migrez un objet vers un autre domaine, l’objet reçoit un nouveau SID. Étant donné que vous affectez des autorisations à des objets basés sur SID, lorsque le SID change, l’utilisateur perd l’accès à cette ressource jusqu’à ce que vous pouvez réaffecter des autorisations. Lorsque vous migrez des utilisateurs vers le domaine cible, vous aurez la possibilité de migrer le SID des utilisateurs vers le domaine cible. Cela devient l’attribut sIDHistory sous le nouvel objet utilisateur.

Une fois le SID migré il reste un obstacle a franchir: la désactivation du filtrage SID du domaine source.

Dans le cas d’une approbation au niveau Foret, la commande fournie par Microsoft est la suivante:

Et la, avec des systèmes d’exploitation en français, c’est le drame …. la commande n’a aucun effet !

Pour vérifier cela il suffit de contrôler le masque de l’attribut « trustAttribute » de la classe trustedDomain dans le CN:System de votre Active Directory cible avec ADSIedit qui peut Cet attribut peut prendre les valeurs suivantes:

 

  • 1 – trust is not transitive
  • 2 – only Windows 2000 and above clients can use the trust
  • 4 – SID filtering enabled
  • 8 – the trust is a forest trust
  • 16 – this is a “cross-org” trust with selective authentication enabled
  • 32 – the trust is forest-internal
  • 64 – this is a forest trust with SIDHistory enabled

 

Dans mon cas j’ai un attribut à 8, ce qui indique juste une relation au niveau foret :

 

2016-11-18-16_56_44

Alors pourquoi ???  Ben c’est la magie des OS en Français, ou certaines commandes sont traduites…

Il faut en fait utiliser :

Et alors magie, ça marche:

2016-11-18-16_55_56

 

L’attribut passe à 48 en Hexadécimal soit 72 en décimal qui équivaut à 64 + 8 (8 – the trust is a forest trust + 64 – this is a forest trust with SIDHistory enabled )

 

Conclusion: n’installez jamais vos serveurs en français, vous gagnerez du temps….

Leave a Reply

  

  

  

12 − 8 =