使用ADMT v3.2迁移后共享资源权限丢失问题的深度解析与应对策略

1. 问题背景与表层现象

在执行Active Directory Migration Tool (ADMT) v3.2进行用户账户迁移过程中，最常见的业务中断场景之一是：用户虽能成功登录目标域，却无法访问其原有的文件服务器、共享文件夹或网络打印机。

该问题的直接表现为：

• 用户访问共享路径时提示“拒绝访问”
• NTFS权限列表中仍显示旧域用户的SID（如S-1-5-21-...）
• 即使启用了SID历史，ACL未更新导致权限不生效
• 事件查看器中出现Kerberos或SMB访问拒绝日志

2. 深层技术成因分析

权限丢失的根本原因在于Windows安全模型中的两个核心机制：访问控制列表（ACL）和安全标识符（SID）绑定关系。

当用户从源域迁移到目标域时，尽管ADMT可通过SID History保留原SID，但以下情况会导致ACL失效：

1. NTFS和共享权限ACL中存储的是原始SID，而非可解析的域名\用户名
2. SID History仅在身份验证阶段有效，不影响已有ACL的权限判断
3. 跨林迁移（Cross-Forest Migration）中无信任传递性支持自动SID映射
4. ADMT默认不主动扫描并重写所有资源上的ACL
5. 未启用“安全标识符修复”功能或遗漏运行辅助工具如sidwalk
6. 分布式文件系统（DFS）命名空间未同步更新权限模板
7. 组策略对象（GPO）中定义的文件系统权限仍引用旧域主体

3. 典型排查流程图

```mermaid
graph TD
    A[用户报告无法访问共享资源] --> B{是否已启用SID History?}
    B -- 是 --> C[检查目标域用户是否存在SID History属性]
    B -- 否 --> D[启用SID History并重新迁移]
    C --> E[登录目标域后尝试访问资源]
    E --> F{是否仍被拒绝?}
    F -- 是 --> G[检查文件服务器ACL中是否有旧SID残留]
    G --> H[运行ADMT的'安全标识符修复'功能]
    H --> I[或使用sidwalk工具批量重映射]
    I --> J[验证ACL是否更新为目标域SID]
    J --> K[测试用户访问权限]
    K --> L[问题解决]

4. 核心解决方案对比表

5. 推荐操作代码示例

以下为使用sidwalk工具进行批量ACL修复的典型命令：

# 扫描D:\Shares目录下所有ACL中包含源域SID的对象
sidwalk /path:D:\Shares /sourcedomain:OLDDOMAIN /targetdomain:NEWDOMAIN /remap

# 输出将要修改的条目到日志文件（模拟运行）
sidwalk /path:\\fileserver\share /sourcedomain:OLDDOMAIN /targetdomain:NEWDOMAIN /reportonly > audit.log

# 强制递归更新并记录变更
sidwalk /path:C:\Data /sourcedomain:OLDDOMAIN /targetdomain:NEWDOMAIN /recursive /log:c:\temp\sidfix.log
    

6. 预防性架构设计建议

为避免迁移后出现权限断裂，应在项目初期制定ACL重映射策略。推荐实践包括：

• 在迁移前对关键资源执行ACL快照备份（使用Get-Acl PowerShell cmdlet）
• 建立“权限映射矩阵”，明确源域主体与目标域主体的对应关系
• 在测试环境中先行验证SID修复流程的完整性
• 将安全标识符修复作为标准迁移作业的最后一步固化
• 对大型文件系统采用分批次、按OU维度逐步迁移与修复
• 启用SACL审核以监控迁移后的访问异常行为
• 结合Configuration Manager或Intune实现后期合规性检查