Parameter in Windows Kommandozeilentools

Windows identifiziert Benutzer, Gruppen und Computer nicht über den Namen, sondern über einen eindeutigen Wert. Dieser Wert ist der sogenannte Security Identifier oder kurz die SID. Da dieser Wert weltweit nicht eindeutig ist sondern von der Windows-Domäne abhängt, in der sich z.B. der Benutzer befindet, stellen Migrationen zwischen Domänen den Berater vor eine interessante Herausforderung. Ich möchte natürlich dass die Anwender von einer Migration möglichst wenig mitbekommen und dass sich der manuell zu erledigende Aufwand in Grenzen hält. Aus diesem Grund ist es ganz praktisch, wenn der Benutzer nach der Migration nicht nur eine neue SID hat, sondern auch noch die alte SID behalten hat. Microsoft unterstützt das mit dem Attribut SID-History.

In neuen Windows-Versionen gibt es aber nun die sogenannte SID-Filterung; hierbei werden (grob gesprochen) die „alten“ SIDs nicht berücksichtigt, wenn der Benutzer auf Ressourcen zugreift (Details erspare ich mir hier).

Stell man aber nun nicht in einem Schritt um, sondern sind User und Ressourcen (wie Fileserver) über einen gewissen Zeitraum über zwei Active Directory Gesamtstrukturen (Forests) verteilt, dann muss man die SID-Filterung abschalten.

Eigentlich ist das ein ganz einfacher Vorgang, den man mit dem Tool netdom erledigen kann.

Bei der Vorbereitung einer Migration bei einem Kunden habe ich also frohgemut den folgenden Befehl eingetippt (Domänennamen angepasst):

netdom trust quelle /domain:ziel /quarantine:no

Die Eingabe wurde auch mit „Befehl erfolgreich ausgeführt“ quittiert; nur zeigte die Kontrolle (in der GUI), dass die SID-Filterung immer noch aktiv war.

Eine längere Suche im Internet (was machen wir eigentlich ohne Google?) brachte dann den folgenden Hinweis: wenn man den Befehl auf einem deutschen Windows 2008 Server ausführt, dann muss er wie folgt lauten:

netdom trust quelle /domain:ziel /quarantine:nein

Falls sich jemand der Unterschied nicht sofort erschliesst: die Parameter werden zwar weiterhin in Englisch geschrieben, aber bei „quarantine“ muss es dann „ja“ oder „nein“ heissen.

Mir stellt sich dann nur die Frage: was muss man rauchen, um auf so etwas zu kommen?

]]>

Dieser Beitrag wurde unter Uncategorized veröffentlicht. Setze ein Lesezeichen auf den Permalink.