ワークグループのWindowsServerのローカルグループのSIDを変更、共通化できるかということで、以前調べたことがあります。
robocopyなどでNTFSの権限をコピーすると移行先にSIDが表示されてしまいます。変更、もしくは共通化できれば移行に活用できるかと思ったのですが、
以下にわかりやすくかかれていました。
ローカルグループのSIDを変更する方法(複数のWindows系OSで共通化)
以下は質問の抜粋です。
===
会社の環境でActiveDiectoryは導入されているのですが、ドメインユーザーのみ定義し、ドメイングループは定義しない方針です。DomainAdmin権を貰えない末端部門のシステム管理者としてはどうすることも出来ません。
このため複数のファイルサーバー(Windows Storage Server 2016、2012、Windows10 Pro、7 Pro)でローカルグループにドメインユーザを登録して使用しています。しかし、グループのSIDを統一できないので、データ移行の際にACLの再設定で苦労していますが、バリバリ手作業なので、完全に再現できている自信もありません。
ローカルグループを定義する際に任意のSIDを設定する方法、もしくは後からでも変更する方法は無いものでしょうか?
同じ悩みを持っている人は昔からいくらでもいそうですが、「ローカルグループのSIDを変更する」で検索しても、ヒットするのは参照方法ばかりです。
===
以前はSIDを設定するツールがありそうでしたが、結論難しそうです。
===
ローカル グループの SID はマシン SID を含むので、ご希望の動作を実現するにはマシン SID を任意のものに構成しなければなりませんが、その方法は無いと思います。
また SID のグループごとに割り当てられる部分(最後の - の後ろの部分)を任意に指定する方法もおそらく無いでしょう。
アクセス制御にドメイングループを利用しないという運用が問題なので、そちらをより望ましい形にすることを考えた方が問いでしょう。
現行の作業を効率的に行う方法という視点であれば、以下のスレッドが参考になるでしょう。
Windows2000のローカルユーザー情報をWindows2008のローカルユーザーに移行したいのですが可能でしょうか?
※実際にそうなっていないことによる「データ移行の際にACLの再設定で苦労していますが、バリバリ手作業なので、完全に再現できている自信もありません」という状況で、どれくらいその手間によるコスト増が発生しているのか、また再現性が完全でないことによるリスク(とそれによる金銭的損失の可能性)がどの程度あるのかを具体的に明らかにすれば、経営的な判断を望めるかもしれません。
===
Windowsでデータ移行するならやはりドメイン環境が便利ですね。
 |
