Проблема с миграцией
 

два домена в разных лесах
nt domain -source
w2k3 AD - target

Уже все перенес и пользователей и группы и ису и почтовый сервак. Остался только файловый сервак
Дело в том, что на некоторые папки вглуби (очень далеко) имеют права(ntfs and share) либо только на группу Domain admins, либо на domain admins и на пользователя какого-нить дополнительного.
И вот трабла такая при миграции почтового сервака права на эти самые шары не меняются относительноэтой группы (domin admins)

Помогите советом как же все таки правильно произвести миграцию чтоб перенеслись права как надо

использую admt3

Так же есть вопрос по группе "autheticated users". Проблема с этой группой чем то схожа с с DOMAIN ADMINS только я вот не пойму ей обязательно мигрироватся или она так скажем будет схватыватся обоими доменами?

всем спасибо

что никто не знает?
может кто-нить тогда знает прогу которая может взщять к примеру узнать SIDы группы "domain admins", а потом на файловом серваке заменить старый сид на новый???
сэнкс

SID можете узнать с помощью http://www.lcpsoft.com/russian/index.htm, но вот замена вряд ли получится.

сэнкс, все же интересует в конечном итоге замена

Первоисточник говорит, что SID домен-админов S-1-5-домен-512
Так что особо ничего узнавать и не надо

Поподробнее.
Вы хотите в разрешениях NTFS забрать доступ у домен-админов и дать доступ кому-то другому?
А не проще через CACLS рулить ?

я хочу у папки поменять права. Права как и на NTFS так и на шару.

есть два домена(domain1 и domain2) и соответственно по уникальной группе domain admins в каждом из доменов
допустим есть папка "folder"
на нее права :
по ntfs даны для группы "domain1\domain admins" - полные
по шаре - domain1\"domain admins" - полные

задача заменить права по ntfs и шаре(ну или хотя бы по ntfs).
то Есть на папку "folder" в конечном итоге должна иметь доступ группа "domain2\domain admins"

Если вы мигрировали пользователей с сидами, и они были включены в группу Домен админ, то независимо от прав в новом домене они будут иметь доступ к этим папкам по старым сидам.
А при переносе шар на новый сервер, нужно настроить новые права, какие нужны.

Да, я мигрировал пользователей с сидами в новый домен. а потом включил их в группу domain admins.
здесь я с вами не согласен: фактически на шару имеет доступ domain admins из старого домена, а не из нового.
то есть все те юзеры к примеру (newadmin), который мигрован с сидом в новый домен и ручками добавлен в "domain admins" нового домена
что вы здесь имели ввиду? ведь эта тема изначально и создана из-за того что проблема миграции файлового сервака возникла, а именно с теми папками у которых в ntfs правах которых как минимум кроме остльных пользователей есть группа domain admins

Если мигрированный пользователь в старом домене включен в группу Домайн админс, то он должен иметь доступ к этим ресурсам под сидом старой учетной записи, которая включена в старую группу домен админ, по крайней мере до тех пор пока сущестует старый домен.
С сервером я походу действительно не совсем понял, я предпологал что вы переливаете шары на другой сервер.

а здесь я забыл сказать, что старый домен выкидывается!

Это бы имело значение при постепенном переносе шар файлового сервера на другой ресурс.
Да в принципе и в вашем случае, просто после миграции нужно составить список папок и шар в которых нужно поменять права, с шарами все легко делается через остнаску управления сервером, а на счет прав ntfs сложнее, где-то тут недавно обсуждалась как это автоматизировать, но там помойму резь шла о w2k не знаю подайдет ли это для nt.

В общем решение найдено: все сделал при помощи утилиты SubInAcl.
Всем спасибо