Lecteur partagé, copier les permissions aux nouveaux comptes pour voir les fichiers dans l'ancien serveur de domaine.

Les permissions sur les objets font-elles référence aux utilisateurs directement, ou utilisent-elles des groupes ? En d'autres termes, les fichiers/dossiers sous le nom de Oldcompanyshare ont des ACL qui mentionnent Auser ou utilisent-ils un groupe comme Accounting ? [Un commentaire ultérieur du PO révèle que c'est les deux, et qu'une relation de confiance existe entre les domaines].

Lorsque les permissions sont attribuées à l'aide de groupes, il suffit de mettre la balise NAuser dans le(s) groupe(s) approprié(s) sur l'ancien domaine.

Lorsque les autorisations sont attribuées directement à l'utilisateur, les choses se gâtent. Vous aurez besoin de quelque chose pour parcourir les arborescences de répertoires sur les anciens systèmes, en recherchant les éléments suivants Auser et ajouter ou remplacer les entrées de contrôle d'accès (ACE) par de nouvelles ACE qui utilisent autre chose.

Vous pouvez profiter de l'occasion pour migrer vers les groupes à ce moment-là. Cela sera presque certainement payant à long terme. Alternativement, vous pouvez ajouter des ACEs aux ACLs afin que NAuser et Auser soient tous deux explicitement spécifiés.

SUBINACL peut faire n'importe quoi avec assez de travail. Cela rend un remplacement direct raisonnablement facile. En première approximation, vous voudriez quelque chose comme :

SUBINACL /subdirectories "C:\path\to\Oldcompanyshare" /replace="Olddomain\Auser"="Newdomain\Newgroup"

Cela suppose que vous passiez à un nouveau groupe. Si vous voulez faire l'ajout et le maintien de l'ancien (une bonne idée), je pense que vous devrez vider les ACL dans un fichier, transformer ce fichier en ce que vous voulez, puis rejouer les ACL. Ce sera lent et fastidieux, mais c'est mieux que de modifier manuellement un tas d'ACLs. (D'un autre côté, si vous n'avez qu'une seule quelques ACLs, une modification manuelle ponctuelle de l'interface graphique pourrait être plus facile).

Télécharger SUBINACL de Microsoft

Il n'existe pas de moyen intégré et automatisé de le faire dans Windows même si les autorisations sont attribuées directement aux comptes d'utilisateurs. Notez que c'est une raison pour laquelle la meilleure pratique pour les autorisations est de créer des groupes pour l'autorisation des ressources, des groupes pour les rôles d'utilisateur/d'entreprise, d'ajouter des utilisateurs aux groupes de rôles d'utilisateur/d'entreprise pertinents, puis d'ajouter les groupes de rôles d'utilisateur/d'entreprise en tant que membres des groupes d'autorisation de ressources. Je n'arrive pas à retrouver l'article de Microsoft que j'ai lu, mais cet article contient essentiellement les mêmes recommandations/informations.

Vous devrez probablement soit convertir manuellement au style de meilleures pratiques des groupes imbriqués/RBAC, soit utiliser un type de script pour dupliquer les autorisations de l'utilisateur pour chaque partage/fichier (pour chaque partage ou fichier, lire les autorisations existantes, ajouter des autorisations pour le nouveau domaine pour les utilisateurs correspondants, et faire une récursion dans le fichier). tout ).