Beim Zusammenschluss von Unternehmen wird in vielen Fällen mit einer Active Directory Vertrauensstellung zwischen Domänen aus unterschiedlichen AD-Gesamtstrukturen gearbeitet.
Um das Arbeiten mit Ressourcen in beiden Strukturen zu ermöglichen, verfügen Active Directory Objekte über das Attribute sIDHistory. In diesem Attribut in Zieldomäne A wird die SID aus der Quell-Domäne B eingetragen. Hierdurch ist es möglich, dass ein in Domäne A migrierter Benutzer weiterhin auf Ressourcen in der “alten” Domäne B zugreifen kann.
Dies funktioniert allerdings nur, wenn die Active Directory Vertrauensstellung zwischen beiden Domänen die Nutzung der sIDHistory aktiviert ist. Aus Sicherheitsgründen ist diese Funktionen im Normal ausgeschaltet. Dies nennt man auch SID-Filterung.
Die Aktivierung der SID-History bzw. die Deaktivierung der SID-Filterung erreicht man durch folgenden Kommandozeilenbefehl:
netdom trust LOKALEDOMAIN.tld /domain:REMOTEDOMAIN.tld /enablesidhistory:yes
Problem
Wenn Sie den o.g. auf einem deutschsprachigen Windows Server Betriebssystem ausführen, erhalten Sie u.U. folgende Fehlermeldung:
"Der SID-Verlauf ist für diese Vertrauensstellung deaktiviert."
Lösung
Die Lösung ist sehr trivial. Verwenden Sie anstatt yes ein ja, um die SID-History zu aktivieren. Der folgende Kommandozeilenaufruf bringt Sie ans Ziel:
netdom trust LOKALEDOMAIN.tld /domain:REMOTEDOMAIN.tld /enablesidhistory:ja
Links
- Netdom trust
- How to troubleshoot inter-forest sIDHistory migration with ADMTv2
- SID-History attribute
Viel Spaß mit Active Directory.
