ITよろづや

ITから生活の参考になる情報を備忘録代わりに残していきます

robocopyでNTFSアクセス許可権限をコピーするとSIDが表示される

robocopyNTFSアクセス許可権限をコピーするとSIDが表示される事象がありますが、これについてわかりやすい説明があったのでシェアします。

 

こちら

[SOLVED] What is the proper way to copy NTFS permissions with robocopy? - Active Directory & GPO

 

質問の抜粋です。

 

===

こんにちはSWコミュニティ!既存のドメイン prod1.local を持っています。新しいドメイン sub.prod2.com に変更していますが、新しいドメインの準備ができていません。新しいファイル サーバーは、デフォルトの WORKGROUP にすぎません。

 

ファイル共有を NTFS アクセス許可で新しいサーバーにコピーしたいのですが、robocopy を使用する場合。/E /Z /B /COPYALL を使用した後、新しいサーバー共有には、すべての AD セキュリティ グループの「不明なアカウント」があります。これは、AD セキュリティ グループが設定されておらず、新しいファイル サーバーがまだ新しいドメインに参加していないためですか?

 

これを機能させるには何が必要ですか?最初に sub.prod2.com をセットアップし、既存の AD セキュリティ グループを新しいドメインにセットアップする必要がありますか? 次に、新しいファイル サーバーを sub.prod2.com に参加させますか? その後、Robocopy を使用できますか? 現在の DC: DC1.prod1.local 現在のファイル サーバー: FS1.prod1.local 新しい DC: DC1.sub.prod2。

===

 

 

続いて、回答です。

 

===

NTFS アクセス許可は、ユーザー名とグループ名に基づくものではなく、SID (Security IDentifier) と呼ばれる一意の識別子に基づいています。各ユーザー名またはグループ名は SID にマップされ、ユーザー名またはグループ名が同じであっても、SID はドメインごとに一意になります。

 

問題が発生する理由は、ACL (アクセス制御リスト — ACL にはユーザー名ではなく SID が格納されます) の SID が新しいドメインで認識されないためです。

Active Directory 移行ツール (前述) は、Active Directory オブジェクトの SID 履歴を保持します。

 

つまり、ドメイン A に Joe Smith という名前のユーザーがいて、ADMT を使用してそのユーザーをドメイン B に移行すると、Joe Smith は新しいドメインで新しいプライマリ SID を取得しますが、古いドメインからの彼の SID は履歴 SID として新しいドメインのアカウントに引き継がれるため、コピーされたファイルの ACL の古い SID は、新しいドメインのユーザー アカウントに解決されます。

ADMT を使用しない場合は、すべてのファイルに対するアクセス許可を再構築する必要があります。

===

 

ワークグループ間でrobocopyで権限を含めてコピーするとコピー先にSIDが表示されてしまうのはこのためですね。

 

NEC ノートPC VA-N/15.6型/MS Office H&B 2019/Win 11/Core i3-4100M/wajunのWIFI/Bluetooth/HDMI/DVD/4GB/128GB SSD (整備済み品)