我和我的团队都沉迷于这一个。
我们有两个工作域,OldDomain和NewDomain。 我们正在按照ParentCompany的规定,从OldDomain迁移到NewDomain。 信任是一种方式,OldDomain信任NewDomain,但NewDomain不信任OldDomain。
我们遇到的问题是来自NewDomain的用户已被添加到OldDomain中的域本地组。 因此,当有人要求我们在NewDomain中创buildUserB时,从UserA镜像权限,我们无法知道UserA是否是OldDomain中任何组的成员。
我需要一些build议,方向或直接帮助是一个工具,脚本或searchOldDomain的所有具有UserA作为成员的组的方法。 我在PowerShell,AD用户和计算机以及DSQuery和DSGet中查看了一些命令,但是我们唯一要做的就是将所有组及其成员从OldDomain转储到CSV,然后searchCSV为UserA的SID。
如果有人遇到过这个问题,并且可以给我一些信息,那将不胜感激!
如果您正在将所有内容从一个域迁移到另一个域,则应该使用Active Directory迁移工具(ADMT)。 这将允许您迁移您的用户/组对象/服务器/资源/等。您可以先将组对象复制到新的域,然后复制用户对象。
按顺序执行操作时,可以select保留组成员身份的选项。 这也将在旧域中将组的SID添加到NEW域上的组的SIDHistory属性。
这允许在新域中的组中的用户对仅应用了旧域组的资源进行authentication。
使用Get-ADUser -Identity <<samAccountName>> -Properties memberOf将返回用户所在组的所有组的数组。它输出专有名称,因此应该快速地跟踪它们。
在你的情况下,你将需要远程连接到“OldDomain”的域控制器,从Commandlet获得结果。
由于oldDomain信任newDomain,我不明白为什么你不能使用带-server参数的get-aduser指向oldDomain中的DC。
或者只是为了完成工作,一个不太整洁的方法就是将oldDomain中的组成员转储到CSV / txt文件,然后将该文件用作newDomain中的源文件,无论您希望如何