Что является самым простым способом переноса разрешений на файлы (SMB/AD)

Question

Я неправильно нарушил AD/DNS DC в течение нескольких лет (опыта обучения) до такой степени, что я больше не мог присоединиться или покинуть домен с клиентами. У меня есть NAS, который использовался для подключения к AD через SMB, и именно так все пользователи (моя семья) использовали для доступа к своим файлам.

Я обновил конфигурацию своей инфраструктуры с нуля, используя Windows 2016, используя лучшие практики на этот раз. Есть ли способ легко перенастроить эти разрешения для пользователей в новом домене/лесу (которые эквивалентны по значению старым)?

Могу ли я воссоздать идентификаторы SID/GUID новых пользователей в соответствии со старым? Я не предполагаю, потому что там есть уникальная сгенерированная Windows строка.

Могу ли я сделать это со стороны NAS, не переходя через файлы каждого человека, чтобы изменить право собственности?

спасибо.

Answer 1

Одним из инструментов, которые можно использовать для перевода разрешения от оригинальных УЛХ к новому НКДУ от Microsoft SubInACL

SubInACL потребуется от вас информации, которую старый SID соответствует какому новому SID или имя пользователя и выполнить перевод всех данных на сервере NAS , Например, как этот

subinacl /subdirectories "Z:\*.*" /replace=S-1-5-1-2-3-4-5=NEWDOMAIN\newuser 

Как долго он будет принимать для перевода, чтобы завершить в зависимости от количества файлов и папок, если это десятки тысяч часов ожидать.

Есть также другие инструменты, такие как SetACL или PowerShell командлетов Get-Acl/Set-Acl

Вы не можете воссоздать объекты с оригинальными УЛМИ и GUIDs, если вы не делаете восстановление инфраструктуры AD или клонирования/миграции оригинальных идентичностей в новые с оригинальным SID в атрибуте sidHistory.

Итак, если вы уже используете контроллер домена с NAS во вновь создаваемом лесу, а старый пострадал от проблем, которые вы хотели исправлять, этот вариант, вероятно, был бы намного более болезненным, и проще было бы перейти на SID-перевод.