Migración de Datos entre 2 dominios sin relación de confianza (Subinacl)

En algunos casos no muy frecuentes nos encontramos con migraciones de dominios en los que no tenemos permisos para administrar el dominio actual completamente y solo acceso a OUs donde gestionamos únicamente los usuarios dentro de ellas. En el caso que necesitemos “independizarnos” y migrar los datos a un nuevo dominio no podremos usar las herramientas comunes de Microsoft como FSMT ya que requieren una relación de confianza para poder pasar los permisos.

Lo primero que debemos tener es creados los mismos usuarios y grupos en el nuevo servidor. Para ello tenemos dos opciones: Crearlos a mano o utilizar una herramiente como ldifde que nos permitira exportarlos de las OUs que tengamos permisos a un archivo de texto e importarlos en el nuevo dominio.

Al no existir una relación de confianza no tendremos los mismos SIDs en los usuarios del dominio 1 y dominio 2 por lo que al realizar una migración de los archivos no mantendrá los permisos originales.

Para ello relizaremos los siguientes pasos:

En el servidor destino nos mapeamos el directorio de datos que queremos migrar. En este caso Z:

Realizamos un robocopy de los datos de la unidad origen al destino.

Una vez copiados los datos podemos ver como en las propiedes de un archivo cualquiera no nos reconoce los usuarios del dominio anterior. A partir de ahora es lo que debemos solucionar con la herramienta subinacl.

Instalamos la herramienta de microsoft subinacl desde aqui tanto en el servidor de datos de origen y destino.

Ejecutamos subinacl en el servidor de origen para exportar los permisos de los datos a un archivo de texto. Esto nos dara como resultado una archivo que contiene una relacion de permisos de archivos y usuarios.

Ejecutamos: subinacl /noverbose /outputlog=C:archivo.txt /subdirectories ruta*.* /display

Pasamos el archivo txt resultado del subinacl del servidor origen al destino para despues inyectarlo.

Lo que debemos hacer es lo siguiente:

-Reemplazamos en el archivo txt resultado de subinacl el nombre del dominio antiguo por el nuevo.

-Reemplazamos la ruta de los archivos por la nueva ruta donde se encuentren en el servidor destino

El archivo resultado es el que deberemos utilizar para inyectar los permisos.

Una vez terminado el reemplazo inyectamos los permisos en el nuevo servidor con: subinacl /playfile rutaarchivo.txt

Aqui podemos ver como va inyectando los permisos.

Y este es el resultado de la importacion de los permisos.


Héctor Herrero

Autor del blog Bujarra.com
Cualquier necesidad que tengas, no dudes en contactar conmigo, os intentare ayudar siempre que pueda, compartir es vivir 😉 . Disfrutar de los documentos!!!

Últimos Posts de: Héctor Herrero (ver todos)