Хорошо, это немного сложный сценарий.
Мы находимся в процессе миграции домена, мы не делаем все сразу, что означает постепенное перемещение пользователей по очереди. Это означает, что у нас должна быть возможность иметь права пользователей на общий диск компании, отражающие их новую учетную запись.
В настоящее время общий диск компании находится в старом домене.
Пример: Пользователь находится в Olddomain. Auser имеет доступ к различным папкам / файлам в Oldcompanyshare.
Теперь Auser перейдет на Newdomain. Auser получает новое имя пользователя для Newdomain - NAuser. NAuser должен иметь те же права доступа к папке, что и Auser для просмотра файлов в Oldcompanyshare, который является частью Olddomain.
Пожалуйста, помогите, иначе мне NAuser нужно будет давать разрешения вручную, что является крупным убийцей времени.
Fileshare основан на Windows Server 2012 R2.
В самой Windows нет встроенного автоматического способа сделать это, если разрешения назначаются непосредственно учетным записям пользователей. Обратите внимание, что по этой причине рекомендуется создавать группы разрешений для ресурсов, группы для пользовательских / бизнес-ролей, добавлять пользователей в соответствующие группы пользовательских / бизнес-ролей, а затем добавлять группы пользователей / бизнес-ролей в качестве членов группы разрешений ресурсов. Я не могу найти статью Microsoft, которую прочитал, но Эта статья имеет по сути те же рекомендации / информацию.
Скорее всего, вам придется либо вручную преобразовать в стиль вложенной группы / RBAC, либо использовать какой-либо тип сценариев для дублирования разрешений пользователя для каждого общего ресурса / файла (для каждого общего ресурса или файла, читать существующие разрешения, добавлять разрешения для нового домена для соответствующих пользователей, и пройти через все).
Относятся ли разрешения к объектам напрямую к пользователям или они используют группы? Другими словами, делайте файлы / папки в Oldcompanyshare есть ACL, в которых упоминается Auser, или они используют такую группу, как Accounting? [Более поздний комментарий OP показывает, что это и то и другое, и что между доменами существуют доверительные отношения.]
Если разрешения назначаются с помощью групп, все, что вам нужно сделать, это поставить NAuser в соответствующей группе (группах) в старом домене.
Там, где разрешения назначаются непосредственно пользователю, становится некрасиво. Вам нужно будет что-то пройти по деревьям каталогов в старых системах в поисках Auser и добавление или замена записей управления доступом (ACE) новыми ACE, которые используют что-то еще.
Возможно, вы захотите воспользоваться возможностью перейти в группы прямо сейчас. Это почти наверняка окупится в долгосрочной перспективе. В качестве альтернативы вы можете добавить ACE в списки ACL, чтобы явно указать NAuser и Auser.
SUBINACL с достаточной работой может делать что угодно. Это делает прямую замену достаточно простой. В первом приближении вам понадобится что-то вроде:
SUBINACL /subdirectories "C:\path\to\Oldcompanyshare" /replace="Olddomain\Auser"="Newdomain\Newgroup"
Это предполагает, что вы переходите в новую группу. Если вы хотите добавить и сохранить старый (вероятно, хорошая идея), я думаю, вам нужно выгрузить ACL в файл, преобразовать этот файл в то, что вы хотите, а затем снова воспроизвести ACL. Это будет медленным и громоздким, но лучше, чем ручное редактирование кучи ACL. (С другой стороны, если у вас есть только несколько ACL, одноразовое ручное редактирование графического интерфейса может быть проще.)