Discussion:
Cambiare i Security-ID di windows 2003
(too old to reply)
xs
2005-01-27 17:53:46 UTC
Permalink
Ciao a tutti!
Entro nel merito.... Mi hanno affidato la migrazione di un dominio NT ad
un dominio 2003, direttamente... Ci siamo quasi anche se - avendo scelto
per varie ragioni di creare un dominio nuovo e importare i dati NT nel
dominio 2003 - manca la parte riguardante la copiatura dei files con
diritti associati.
Gli utenti e i gruppi ci sono, il problema e' che i dati sul server
nuovo (files e cartelle) vedono i permessi sulle shares dati ad utenti
e/o gruppi sconosciuti (cui segue il famoso SID non univoco 1-5-26...
(mi pare!) ), probabilmente per una errata importazione dei SID utenti o
vattelappesca....
Non avendo molta voglia di rimettere i diritti a mano su questi files
volevo sapere se ci fosse un modo O per associare questi SID orfani ai
SID dei rispettivi gruppi-utenti presenti sul mio DC windows 2003 (che
hanno ovviamente SID diversi dai "cloni" presenti sul PDC NT), O per
cambiare il SID dei gruppi o utenti presenti nel mio DC 2003 per farli
combaciare con quelli clonati, anche se non mi sembra il massimo dal
punto di vista della sicurezza...

Vi prego di aiutarmi perche' mi sta venendo una crisi di astinenza da
red-hat.
Grazie in anticipo e ciao!
davide.aprea
2005-01-28 07:53:56 UTC
Permalink
Ciao
non so bene se può fare al caso tuo ma la Microsoft ha rilasciato un "file
server migration toolkit" per la migrazione da NT4 a 2003.
Onestamente non l'ho mai provato.
buona fortuna

davide
Post by xs
Ciao a tutti!
Entro nel merito.... Mi hanno affidato la migrazione di un dominio NT ad
un dominio 2003, direttamente... Ci siamo quasi anche se - avendo scelto
per varie ragioni di creare un dominio nuovo e importare i dati NT nel
dominio 2003 - manca la parte riguardante la copiatura dei files con
diritti associati.
Gli utenti e i gruppi ci sono, il problema e' che i dati sul server nuovo
(files e cartelle) vedono i permessi sulle shares dati ad utenti e/o
gruppi sconosciuti (cui segue il famoso SID non univoco 1-5-26... (mi
pare!) ), probabilmente per una errata importazione dei SID utenti o
vattelappesca....
Non avendo molta voglia di rimettere i diritti a mano su questi files
volevo sapere se ci fosse un modo O per associare questi SID orfani ai SID
dei rispettivi gruppi-utenti presenti sul mio DC windows 2003 (che hanno
ovviamente SID diversi dai "cloni" presenti sul PDC NT), O per cambiare il
SID dei gruppi o utenti presenti nel mio DC 2003 per farli combaciare con
quelli clonati, anche se non mi sembra il massimo dal punto di vista della
sicurezza...
Vi prego di aiutarmi perche' mi sta venendo una crisi di astinenza da
red-hat.
Grazie in anticipo e ciao!
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Fabio Panigatti
2005-01-28 10:40:37 UTC
Permalink
Post by xs
Non avendo molta voglia di rimettere i diritti a mano su questi files
volevo sapere se ci fosse un modo O per associare questi SID orfani ai
SID dei rispettivi gruppi-utenti presenti sul mio DC windows 2003 (che
hanno ovviamente SID diversi dai "cloni" presenti sul PDC NT)
Ci son delle utilita' della stessa microsoft che permettono di mappare i
vecchi SID sui nuovi e applicare le modifiche desiderate ai file o altre
risorse. Le ho utilizzate diverse volte senza nessun problema, AFAIR.

... ah, gia': si chiamano sidwalker (uno snap-in mmc) e il suo amichetto
sidwalk.exe; anche i tool getsid e showaccs possono essere utili durante
i lavori.


Fabio
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Matteo Mancini
2005-01-29 14:00:25 UTC
Permalink
Ciao....

Per la copia dei file quando faccio delle migrazioni uso robocopy...
copia sia i sid che i permessi.
Lo trovi dentro in resource kit di w2k3
http://www.microsoft.com/downloads/details.aspx?familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en


Per migrare gli utenti, gruppi, ecc.. usa i admt di MS, ti semplificano
non poco la vita..
http://www.microsoft.com/windows2000/downloads/tools/admt/default.asp


Matteo

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
xs
2005-01-29 13:05:06 UTC
Permalink
Utilizzare i tools di microsoft che gestiscono le _migrazioni_ tra
domini mi e' impossibile visto che il DEST domain avrebbe montato
Windows 2003 Small Business che non gestisce le trust.
Vi assicuro che con il buon vecchio WmWare le ho provate tutte,
promozioni, demozioni, upgrade, tool di migrazioni...
L'ultima soluz non ancora provata era montare 2000 sul nuovo server,
fare un dominio misto NT-2000, promuovoere a PDC il 2000 migrando il
tutto, demotare il server NT, creare un dominio nativo 2k e upgradare il
2k al 2003... francamente preferirei una deportazione in Libano (scusate
la battuta).
Abbiamo deciso cosi' di creare un dominio con lo stesso nome del vecchio
su una macchina windows 2003 SBS e con lo stesso nome di macchina e lo
stesso ip, importare gli utenti con IDEAL ADMINISTRATION dalla macchina
"clone" WinNT" tramite una client 2k professional che facesse da sponda
(prima attaccato al dominio vecchio, poi a quello nuovo) e sperare che
nel trasferire i files da vecchie cassette di backup NT i diritti
rimanessero inalterati. C'e' la possibilita' in IDeal Administration di
importare anche i vecchi SID degli utenti, ma al momento del
trasferimento i diritti sulle cartelle appartenevano ad account
sconosciuti di cui mi faceva vedere solo il SID.
Sto smanettando da un po' con SubInACL che ho trovato grazie al
consiglio di Davide Aprea (Grazie Davide =) ) ma non mi pare riolva la
questione.
Ripeto: NON POSSO creare una trust relationship tra i 2 domini...

Vorrei, finito l'incubo, mettere a disposizione tutti i miei tentativi e
la desc dei passaggi che ho fatto, cosi' da facilitare ad altri la
migrazione trustless diretta da domini NT a domini 2003.

Matteo Mancini> ma posso RIASSEGNARE i SID? cioe' io copio i files da un
dominio che ha pr ex un gruppo ABCD con sid=1234 ad un dominio che ha un
gruppo con los tesso nome ABCD ma con sid diverso, in poche parole

FABIO Panigatti> Mi pare sia proprio quello che cerco... ODIO gli
snap-in, non so mai se un tool esiste o se e' uno snapin =))))
Avere una utility che mi faccia vedere le assegnazioni di diritti orfane
non sarebbe male, mentre sistemo le cose posso controllare los tato dei
lavori.
getsid e showaccs che fanno? dopo mi vado a leggere i readme... ops,
pardon, volevo dire i chm.

GRAZIE A TUTTI per i consigli !!! Non abbandonatemi in questo periglioso
cammino... =)
Matteo Mancini
2005-01-30 04:26:24 UTC
Permalink
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Ciao...

Si possono fare anche le migrazioni dei sid anche tra diversi sbs senza
nessun trust (visto che con sbs non si possono creare :\( )...

Se ti cerchi la guida sul sito di MS su come si migra un'ambiente a SBS
2003 (sorry ma non ho il link sotto mano) c'e' scritto per filo e per
segno come devi fare per usare admt senza relazioni di trust



Matteo

xs wrote:
| Utilizzare i tools di microsoft che gestiscono le _migrazioni_ tra
| domini mi e' impossibile visto che il DEST domain avrebbe montato
| Windows 2003 Small Business che non gestisce le trust.
| Vi assicuro che con il buon vecchio WmWare le ho provate tutte,
| promozioni, demozioni, upgrade, tool di migrazioni...
| L'ultima soluz non ancora provata era montare 2000 sul nuovo server,
| fare un dominio misto NT-2000, promuovoere a PDC il 2000 migrando il
| tutto, demotare il server NT, creare un dominio nativo 2k e upgradare il
| 2k al 2003... francamente preferirei una deportazione in Libano (scusate
| la battuta).
| Abbiamo deciso cosi' di creare un dominio con lo stesso nome del vecchio
| su una macchina windows 2003 SBS e con lo stesso nome di macchina e lo
| stesso ip, importare gli utenti con IDEAL ADMINISTRATION dalla macchina
| "clone" WinNT" tramite una client 2k professional che facesse da sponda
| (prima attaccato al dominio vecchio, poi a quello nuovo) e sperare che
| nel trasferire i files da vecchie cassette di backup NT i diritti
| rimanessero inalterati. C'e' la possibilita' in IDeal Administration di
| importare anche i vecchi SID degli utenti, ma al momento del
| trasferimento i diritti sulle cartelle appartenevano ad account
| sconosciuti di cui mi faceva vedere solo il SID.
| Sto smanettando da un po' con SubInACL che ho trovato grazie al
| consiglio di Davide Aprea (Grazie Davide =) ) ma non mi pare riolva la
| questione.
| Ripeto: NON POSSO creare una trust relationship tra i 2 domini...
|
| Vorrei, finito l'incubo, mettere a disposizione tutti i miei tentativi e
| la desc dei passaggi che ho fatto, cosi' da facilitare ad altri la
| migrazione trustless diretta da domini NT a domini 2003.
|
| Matteo Mancini> ma posso RIASSEGNARE i SID? cioe' io copio i files da un
| dominio che ha pr ex un gruppo ABCD con sid=1234 ad un dominio che ha un
| gruppo con los tesso nome ABCD ma con sid diverso, in poche parole
|
| FABIO Panigatti> Mi pare sia proprio quello che cerco... ODIO gli
| snap-in, non so mai se un tool esiste o se e' uno snapin =))))
| Avere una utility che mi faccia vedere le assegnazioni di diritti orfane
| non sarebbe male, mentre sistemo le cose posso controllare los tato dei
| lavori.
| getsid e showaccs che fanno? dopo mi vado a leggere i readme... ops,
| pardon, volevo dire i chm.
|
| GRAZIE A TUTTI per i consigli !!! Non abbandonatemi in questo periglioso
| cammino... =)
|
|
| ------------------------------------------------------------------------
|
| ________________________________________________________
| http://www.sikurezza.org - Italian Security Mailing List

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.0 (GNU/Linux)

iD8DBQFB/GHv/TjXD9LUVswRAqGMAKCaaR5QGSqe8yZQ1gU+BeeKRC7I/ACgoxYO
vV+O9+xJUJHN6ylHJiy2yW0=
=HPqr
-----END PGP SIGNATURE-----
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Matteo Mancini
2005-01-31 08:39:28 UTC
Permalink
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Ho trovato il link
http://www.microsoft.com/downloads/details.aspx?FamilyID=1c39e0a0-ac03-43a6-a457-81e1695e5bb6&DisplayLang=en

Ciao

Matteo

Matteo Mancini wrote:
| Ciao...
|
| Si possono fare anche le migrazioni dei sid anche tra diversi sbs senza
| nessun trust (visto che con sbs non si possono creare :\( )...
|
| Se ti cerchi la guida sul sito di MS su come si migra un'ambiente a SBS
| 2003 (sorry ma non ho il link sotto mano) c'e' scritto per filo e per
| segno come devi fare per usare admt senza relazioni di trust
|
|
|
| Matteo
|
| xs wrote:
| | Utilizzare i tools di microsoft che gestiscono le _migrazioni_ tra
| | domini mi e' impossibile visto che il DEST domain avrebbe montato
| | Windows 2003 Small Business che non gestisce le trust.
| | Vi assicuro che con il buon vecchio WmWare le ho provate tutte,
| | promozioni, demozioni, upgrade, tool di migrazioni...
| | L'ultima soluz non ancora provata era montare 2000 sul nuovo server,
| | fare un dominio misto NT-2000, promuovoere a PDC il 2000 migrando il
| | tutto, demotare il server NT, creare un dominio nativo 2k e upgradare il
| | 2k al 2003... francamente preferirei una deportazione in Libano (scusate
| | la battuta).
| | Abbiamo deciso cosi' di creare un dominio con lo stesso nome del vecchio
| | su una macchina windows 2003 SBS e con lo stesso nome di macchina e lo
| | stesso ip, importare gli utenti con IDEAL ADMINISTRATION dalla macchina
| | "clone" WinNT" tramite una client 2k professional che facesse da sponda
| | (prima attaccato al dominio vecchio, poi a quello nuovo) e sperare che
| | nel trasferire i files da vecchie cassette di backup NT i diritti
| | rimanessero inalterati. C'e' la possibilita' in IDeal Administration di
| | importare anche i vecchi SID degli utenti, ma al momento del
| | trasferimento i diritti sulle cartelle appartenevano ad account
| | sconosciuti di cui mi faceva vedere solo il SID.
| | Sto smanettando da un po' con SubInACL che ho trovato grazie al
| | consiglio di Davide Aprea (Grazie Davide =) ) ma non mi pare riolva la
| | questione.
| | Ripeto: NON POSSO creare una trust relationship tra i 2 domini...
| |
| | Vorrei, finito l'incubo, mettere a disposizione tutti i miei tentativi e
| | la desc dei passaggi che ho fatto, cosi' da facilitare ad altri la
| | migrazione trustless diretta da domini NT a domini 2003.
| |
| | Matteo Mancini> ma posso RIASSEGNARE i SID? cioe' io copio i files da un
| | dominio che ha pr ex un gruppo ABCD con sid=1234 ad un dominio che ha un
| | gruppo con los tesso nome ABCD ma con sid diverso, in poche parole
| |
| | FABIO Panigatti> Mi pare sia proprio quello che cerco... ODIO gli
| | snap-in, non so mai se un tool esiste o se e' uno snapin =))))
| | Avere una utility che mi faccia vedere le assegnazioni di diritti orfane
| | non sarebbe male, mentre sistemo le cose posso controllare los tato dei
| | lavori.
| | getsid e showaccs che fanno? dopo mi vado a leggere i readme... ops,
| | pardon, volevo dire i chm.
| |
| | GRAZIE A TUTTI per i consigli !!! Non abbandonatemi in questo periglioso
| | cammino... =)
| |
| |
| | ------------------------------------------------------------------------
| |
| | ________________________________________________________
| | http://www.sikurezza.org - Italian Security Mailing List
|
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.0 (GNU/Linux)

iD8DBQFB/e7A/TjXD9LUVswRAv8oAJ9IFskHt7WarTu9sug2i1FG/vgQzwCfRRZB
Ow/VzxOByYYIJxuZYTnCwPo=
=X11b
-----END PGP SIGNATURE-----
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Fabio Panigatti
2005-02-01 17:54:09 UTC
Permalink
Post by xs
FABIO Panigatti> Mi pare sia proprio quello che cerco... ODIO gli
snap-in, non so mai se un tool esiste o se e' uno snapin =))))
Lo snap-in "sidwalker security manager" e' comodo ma fondamentalmente
superfluo: serve soltanto per creare il file con le mappature da dare
in pasto a sidwalk per l'esecuzione dei cambiamenti. Il file e' comma
separated, con 6 campi di interpretazione abbastanza intuitiva: te ne
crei uno con mmc per vedere com'e' fatto e poi gli altri te li potrai
fare anche a mano, eventualmente con l'aiuto di showaccs.
Post by xs
Avere una utility che mi faccia vedere le assegnazioni di diritti orfane
non sarebbe male,
Si puo' fare con lo stesso sidwalk.exe. Basta fare un dry run con dei
file csv di mappatura usando l'opzione /t e poi dare un'occhiatina al
file di log: per ogni file o risorsa per cui non esiste una mappatura
verra' notificato un errore nel file di log con il nome della risorsa
e il sid per cui non c'e' mappatura. Greppando gli errori troverai il
subset delle risorse/sid orfani.
Post by xs
getsid e showaccs che fanno? dopo mi vado a leggere i readme... ops,
pardon, volevo dire i chm.
getsid serve a confrontare i sid di due utenti su due server diversi.

showaccs serve per interrogare le risorse (file, cartelle, stampanti,
condivisioni, ecc) per vederne acl e sid. La parte che ti puo' essere
utile e' la possibilita' di creare (con /m) uno scheletro per il file
delle mappature da usare in sidwalk. Crea solo "meta'" file, rispetto
allo snap-in mmc e quindi il primo e' meglio che tu lo faccia con mmc
per vedere come dovrebbe essere fatto, anche se e' banale.

Ti conviene fare un po' di prove su un subset delle risorse, tipo una
cartella di test contenente file con associati dei sid ben assortiti.
Ti crei i file delle mappature con lo snap-in o showaccs, poi provi a
applicarli con sidwalk, vedi gli output e correggi il tiro dove serve
e alla fine vai in produzione.

La documentazione microsoft e' scarna ma un'occhiatina gliela si puo'
dare.


Fabio
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

a***@libero.it
2005-01-28 18:10:23 UTC
Permalink
ciao,

se utilizzi Active Directory Migration Tool 2.0 di Microsoft (disponobile sul cd
di windows 2003) per migrare gli utenti e i gruppi,hai l'opzione di migrare il
sid (abilitare SID HISTORY). in questo modo gli utenti migrati oltre al loro
"nuovo" SID avranno anche il Sid "vecchio" e potranno accedere alle risore di
cui hanno bisogno.

ale
Post by xs
Ciao a tutti!
Entro nel merito.... Mi hanno affidato la migrazione di un dominio NT ad
un dominio 2003, direttamente... Ci siamo quasi anche se - avendo scelto
per varie ragioni di creare un dominio nuovo e importare i dati NT nel
dominio 2003 - manca la parte riguardante la copiatura dei files con
diritti associati.
Gli utenti e i gruppi ci sono, il problema e' che i dati sul server
nuovo (files e cartelle) vedono i permessi sulle shares dati ad utenti
e/o gruppi sconosciuti (cui segue il famoso SID non univoco 1-5-26...
(mi pare!) ), probabilmente per una errata importazione dei SID utenti o
vattelappesca....
Non avendo molta voglia di rimettere i diritti a mano su questi files
volevo sapere se ci fosse un modo O per associare questi SID orfani ai
SID dei rispettivi gruppi-utenti presenti sul mio DC windows 2003 (che
hanno ovviamente SID diversi dai "cloni" presenti sul PDC NT), O per
cambiare il SID dei gruppi o utenti presenti nel mio DC 2003 per farli
combaciare con quelli clonati, anche se non mi sembra il massimo dal
punto di vista della sicurezza...
Vi prego di aiutarmi perche' mi sta venendo una crisi di astinenza da
red-hat.
Grazie in anticipo e ciao!
____________________________________________________________
6X velocizzare la tua navigazione a 56k? 6X Web Accelerator di Libero!
Scaricalo su INTERNET GRATIS 6X http://www.libero.it


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Continue reading on narkive:
Loading...