sabato 30 maggio 2020

ADMT - problemi di accesso alle cartelle condivise

ADMT  - accesso alle cartelle condivise dopo la migrazione.

Dopo la migrazione di utenti da un dominio ad un altro, si possono verificare problemi di accesso alle cartelle condivise.
I primi due punti da verificare sono:

SID History
gli utenti migrati si portano dietro il sid del dominio precedente. Siccome l'accesso degli utenti alle cartelle viene gestito tramite SID, se gli utenti si portano dietro il SID storico, oltre a quello creato durante l'importazione nel nuovo dominio, dovrebbero mantenere i permessi necessari

SID Filtering
Quando viene effettuata la migrazione tra domini, e' necessario creare un trust tra il dominio sorgente e quello di destinazione. Durante questa operazione occorre disabilitare il SID filtering. SID filtering blocca l'accesso alle risorse da parte dei SID origine ameno di autorizzazioni specifiche. Lo scopo e' quello di evitare rischi di sicurezza.

N.B.
Durante la creazione del trust e' necessario che i domini origine e destinazione abbiano nomi DNS e NETBIOS differenti. Se avessero anche solo nomi NETBIOS uguali, non sarebbe possibile creare il trust, e quindi, non sarebbe possibile effettuare la migrazione.

Se l'accesso alle cartelle continua ad essere problematico protrebbe dipendere dal tipo di gruppo oppure dalle dimensioni del "token".

GRUPPI
Per risolvere i problemi di autenticazione potrebbe essere utile cambiare il tipo di gruppo, da global a domain local. Potrebbe sembrare strano, ma i gruppi domain local si portano dietro la SID History come gli utenti migrati.

TOKEN
Quando un utente effettua il logon gli viene assegnato un token che contiene anche l'appartenenza ai gruppi. Se l'utente dovesse appartenere a troppi gruppi la dimensione necessaria del token potrebbe superare quella del limite concesso, creando di problemi di autenticazione.



REFERENCE
SID Filtering - TOKEN
https://activedirectoryfaq.com/2015/10/active-directory-sid-filtering/#:~:text=Deactivate%20SID%20Filtering,of%20the%20%E2%80%9Ctrusting%20Domain%E2%80%9C.
http://www.rebeladmin.com/2015/01/configuring-trusts-part-3/
https://dirkjanm.io/active-directory-forest-trusts-part-one-how-does-sid-filtering-work/ - CONSIGLIATO
https://www.active-directory-security.com/2017/01/kerberos-token-size-calculator.html
https://www.active-directory-security.com/2014/05/An-Automated-Kerberos-Token-Size-Calculation-Tool.html
http://techgenix.com/active-directory-insights-part12/
https://social.technet.microsoft.com/Forums/lync/en-US/a8be71f1-6e46-4acd-bba6-98d3604470e7/admt-migration-users-can-not-access-shared-folders?forum=winserverDS
on
Etichette: , , , , , , ,

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)