Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Перенос профиля юзеров из под домена в рабочую групп

Автор: idw
Дата сообщения: 14.07.2008 18:11
Не подскажите как можно перенести профиль пользователей: мои документы, рабочие столы и так далее из доменной учетной записи в учетную запись в рабочей группе, т.е был домен, его надо снести и перенести все данные в локальную учетную запись?
Автор: f0xter
Дата сообщения: 14.07.2008 18:49
если не задумываться над вопросом, то просто скопировать содержимое профиля пользователя домена в профиль локальной учетной записи пользователя.
Автор: Tantos
Дата сообщения: 15.07.2008 01:59
f0xter
А если подумать - делаем так:
1. Выводим машину из домена. Перезагрузка.
2. Заходим под локальным пользователем (пользователь должен существовать!). Выходим из сеанса.
3. Заходим локальным администратором.
4. Правой по "Мой компьютер"->Свойства->Дополнительно, Профили пользователей->Параметры.
5. Выделяем необходимый профиль (ориентироваться, вероятно, придется по размеру), нажимаем "Копировать".
6. Указываем путь к созданному профилю.
7. Разрешить использование - выбираем пользователя, в профиль которого копируем.
8. Жмем "ОК" и ждем, не поддаваясь на провокацию с зависанием.
Автор: KenJo
Дата сообщения: 15.09.2008 07:25
Подскажите, кнопка "копировать" неактивна, в чем дело?
Автор: grumm
Дата сообщения: 15.09.2008 09:10
KenJo
скорее всего вход произведен из под данной учетки - отсюда невозможность скопировать данный профиль
Автор: idiMAN
Дата сообщения: 15.09.2008 09:33
Вообще можно сделать несколько проще:
1) Зайти на комп под учеткой из рабочей группы
2) Зайти под админом, дать все права на папку со старым доменным профилем новому пользователю из рабочей группы
3) Загрузить в regedit под любым именем файл NTUSER.DAT, расположенный в старом профиле и добавить разрешения на эту (загруженную) ветку реестра для нового пользователя из рабочей группы
4) В реестре перейти в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList, найти раздел, в котором параметр ProfileImagePath имеет значение, ссылающееся на путь к профилю нового пользователя из рабочей группы и заменить его на путь к профилю старого (доменного) пользователя.

При этом новый пользователь будет работать абсолютно с таким же профилем, что и старый. Единственное могут слететь сохраненные в защищенном хранилище пароли, например для OutlookExpress. Но останется возможность работать с одним профилем из под двух учетных записей и из под доменной и из под локальной.
Автор: KenJo
Дата сообщения: 16.09.2008 05:52
grumm спасибо

idiMAN не мог бы ты поподробнее объяснить п.3 и еще вопрос: возможно ли провести подобную операцию в обратном порядке, то есть перенести профиль из рабгруппы в доменную учетку?

Заранее благодарен
Автор: idiMAN
Дата сообщения: 16.09.2008 14:40
KenJo

Цитата:
возможно ли провести подобную операцию в обратном порядке, то есть перенести профиль из рабгруппы в доменную учетку?

Конечно, только нужно выставить соответствующие права на файловую систему и куст реестра. И не забыть поправить соответствующий ProfileImagePath в реестре.


Цитата:
не мог бы ты поподробнее объяснить п.3

Смысл этого пункта в том, чтобы дать разрешение новому пользователю из рабочей группы на использование ветки реестра HKEY_CURRENT_USER, доставшейся в наследство от старого (в данном случае доменного) пользователя. Соответственно эта ветка (куст) реестра хранится в профиле в файле NTUSER.DAT. А дать на неё права можно с помощью regedit, предварительно загрузив этот файл, для этого в regedit ставим курсор на HKEY_USERS, далее "Файл"->"Загрузить куст"->Выбираем NTUSER.DAT из профиля старого пользователя->Имя раздела присваеваем для примера "1" (без разницы), хотя лучше для этого взять SID старого пользователя. Далее для загруженного куста добавляем права для полного доступа для нового пользователя.
Автор: evgeni666
Дата сообщения: 16.09.2008 22:12
idw
Кстати, для Windows XP и выше есть замечательное средство - мастер переноса файлов и параметров. Находится либо на инсталляционном диске (когда его просто вставляешь в загруженной винде и сразу запускаешь авторан). либо по пути пуск - программы - стандартные - служебные...

Можешь еще попробовать перенести при помощи программы transwiz либо profwiz. Обе живут по адресу http://www.forensit.com/
Автор: nuzgul
Дата сообщения: 18.08.2009 14:33
Здравствуйте всем, ситуация похожая на ситуацию топикстартера, за одним серьезным исключением: упал (в разгар рабочего дня) Active Directory, восстановлению не подлежит, только пересозданию. Пользователи в этот момент были (и до сих пор остаются) залогинены под доменными учетками. На этих учетках стоит суммарно столько софта, что если я буду все это переставлять, мне придется два месяца ночевать в офисе. Отсюда вопрос - как вывести учетки из домена таким образом, чтобы не перекрыть работу всего офиса? Пользователи предупреждены, что если они выключат компьютер, то обратно уже не войдут. Думаю, день-два они так протянут, за это время нужно придумать как их нынешние доменные учетки конвертировать в локальные без потери установленного софта и его настроек (в основном беспокоит Лотус). Profwiz - нигде не говорят, какие именно он настройки копируют, так что я пока опасаюсь.

Есть один комп "для экспериментов" - его хозяйка в момент смерти домена была под локальной учеткой, но на ее компе есть адекватная доменная учетка, которую тоже нужно будет восстановить. Остальные компы, соответсвенно, нужно будет восстанавливать только после того, как буду уверен, что разлогинившись, я что-то смогу восстановить.

Как посоветуете решить проблему?
Автор: eap
Дата сообщения: 18.08.2009 15:50
1. Из личного опыта - ноут в домене, учетная запись доменная, профиль не перемещаемый (живет на ноуте) - прекрасно грузится как сам по себе, так и подключенный к домену. Единственное - нет Инета и почты, пока Еthernet повод не подключен.
2. nuzgul У тебя пофили перемещаемые или локальные?
3. Я бы в этой ситуации поднял новый домен с тем же именем, завел бы пользователей с теми же именами, обошел все компы и последовательно: 1) отключил сетевой кабель 2) Перезагрузился под старым доменным администратором (на моих компах это проходит и при отключенном сетевом кабеле) 3) Переместил профиль Юзера ТоталКомандером на Д или еще куда в хорошее место (папки Юзер в ДокументсЭндСеттингс не должно остаться) 4) вывел комт из старогодомена в рабочую группу 5) Подключил сетевой кабель 6) Ввел в новый домен 7) Вошел под новым Юзером 8) Пергрузил комп 9) перегрузился под новым доменным админом 10) Заменил новое содержимое папки профиля Юзера на старое из хорошего места.
Автор: vimaret
Дата сообщения: 17.09.2009 10:39
А вот у меня вопрос более каверзный:
Сисадмин, укушенный какой-то мухой, вывел комп из домена в рабочую группу под учеткой юзера. При этом ни он не юзер не знают ни одного локального пароля в комп. Домен контроллер находится за океаном. Подсадить на комп учетку админа при загрузке с другого носителя тоже и провести манипуляции с учетками и профилями не удается, т.к. основной носитель зашифрован какой-то утилитой. И его (партишен) вообще не видно. Пароль на эту утилиту юзер знает.
Чтобы было понятно:
1. Если грузишься с основного носителя то появляется окно ввода пароля для шивровальной утилиты. После ввода его грузится винда и ждет ввода логин пароля локального админа или пользователя, который Х.З.
2. Если грузишься с live CD или т.п., то не видишь основного жестака.

Вот...так... доменный админ из-за океана отказывается дать пароль локального админа и права на ввод компа в домен, а предлагает отправить комп к нему на ввод в домен и т.д.

Есть мысли о более русском решении?

nuzgul
eap

Цитата:
3. Я бы в этой ситуации поднял новый домен с тем же именем, завел бы пользователей с теми же именами, обошел все компы и последовательно: 1) отключил сетевой кабель......

Я так сохранял профили. 1. делал резервную копию профиля ntbackup утилитой.
2. создавал нового доменного юзера с перемещаемым профилем.
3. входил и выходил под этим юзером.
4. входил доменным админом и копировал профиль старого юзера вместо профиля нового, как рекомендовал Tantos несколькими постами выше, но на контролер домена в папку перемещаемых профилей.
5. входил новым юзером и этот профил перемещался с контроллера домена на рабочую станцию.
6. снова входил админом (можно локальным) и восстанавливал ntbackup утилитой только папку Local Setting в новый профиль, т.к. она не перемещается.

работало все в том числе и сохраненые пароли


Автор: attaattaatta
Дата сообщения: 17.09.2009 10:44

Цитата:
Есть мысли о более русском решении?


Взять и расшифровать партицию. Чем зашифрована то ? PGP Desktop ?
Автор: Voothi
Дата сообщения: 26.09.2010 18:44
Здравствуйте, подскажите, пожалуйста.

После переноса, в новом профиле не работает Office 2003 SP3! При открытии любого файла сразу происходит крах приложения!

Система Windows 2003 Std Ru SP2 с сервером терминалов. Вся работа производилась удаленно, через RDP.

Вот такая ошибка

Тип события:    Ошибка
Источник события:    Microsoft Office 11
Категория события:    Отсутствует
Код события:    1000
Дата:        26.09.2010
Время:        9:27:24
Пользователь:        Н/Д
Компьютер:    XXX
Описание:
Faulting application excel.exe, version 11.0.8231.0, stamp 48934d57, faulting module mso.dll, version 11.0.8221.0, stamp 483c699a, debug? 0, fault address 0x008ea43a.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 41 00 70 00 70 00 6c 00 A.p.p.l.
0008: 69 00 63 00 61 00 74 00 i.c.a.t.
0010: 69 00 6f 00 6e 00 20 00 i.o.n. .
0018: 46 00 61 00 69 00 6c 00 F.a.i.l.
0020: 75 00 72 00 65 00 20 00 u.r.e. .
0028: 20 00 65 00 78 00 63 00 .e.x.c.
0030: 65 00 6c 00 2e 00 65 00 e.l...e.
0038: 78 00 65 00 20 00 31 00 x.e. .1.
0040: 31 00 2e 00 30 00 2e 00 1...0...
0048: 38 00 32 00 33 00 31 00 8.2.3.1.
0050: 2e 00 30 00 20 00 34 00 ..0. .4.
0058: 38 00 39 00 33 00 34 00 8.9.3.4.
0060: 64 00 35 00 37 00 20 00 d.5.7. .
0068: 69 00 6e 00 20 00 6d 00 i.n. .m.
0070: 73 00 6f 00 2e 00 64 00 s.o...d.
0078: 6c 00 6c 00 20 00 31 00 l.l. .1.
0080: 31 00 2e 00 30 00 2e 00 1...0...
0088: 38 00 32 00 32 00 31 00 8.2.2.1.
0090: 2e 00 30 00 20 00 34 00 ..0. .4.
0098: 38 00 33 00 63 00 36 00 8.3.c.6.
00a0: 39 00 39 00 61 00 20 00 9.9.a. .
00a8: 66 00 44 00 65 00 62 00 f.D.e.b.
00b0: 75 00 67 00 20 00 30 00 u.g. .0.
00b8: 20 00 61 00 74 00 20 00 .a.t. .
00c0: 6f 00 66 00 66 00 73 00 o.f.f.s.
00c8: 65 00 74 00 20 00 30 00 e.t. .0.
00d0: 30 00 38 00 65 00 61 00 0.8.e.a.
00d8: 34 00 33 00 61 00 0d 00 4.3.a...
00e0: 0a 00 ..

И побороть ее никак не могу.

Что пробовал:
- Изменить boot.ini - параметр \nopae
- Различные переустановки и восстановления офиса, обновления
- Стирал ветки реестра HKCU проблемного пользователя, ветки HKLM
- Проверял GPO, выводил из домена комп. Обновлял политики gpupdate
- Ставил у пользователя группу Пользователи удаленного рабочего стола, помимо группы Пользователи. Примечание: В настройках сервера терминалов стоит разрешение на вход группе Пользователи и этой же группе дано соответствующее разрешение в gpedit.msc
- Давал права Изменять на папки с офисом для группы Пользователи
- Настраивал DEP
- Утилита moveuser не работает. Выдает ошибку при копировании 1316. Концов в гугле не нашел =(
- Утилиты USMT и ASMT не осилил.

На что подозрение:
- Думаю, проблема в правах на реестр или других настройках безопасности, т.к. если пользователю добавить группу Администраторы, офис работает!

Вот описание (моя инструкция) того, что я сделал

Задача.
Перевод пользователей из доменных учетных записей на локальные с сохранением прежних профилей с настройками и др.

Решение.
1 Загрузка под учетной записью с правами Администратора домена на целевом компьютере Windows 2003.

2 Установка пакета Sysinternals Suite

3 Релогин под этим же пользователем

4 Запуск
regedit
cmd
compmgmt.msc
Открываем директорию ?:\Documents and settings\

5 Доменный пользователь, которого будем переносить, называется office\ad

6 Создаем локального пользователя в compmgmt.msc - localhost\lo

7 Входим под ним и выходим.

8 У каждого пользователя теперь существуют одноименные локальные профили на нашем сервере - ?:\Documents and settings\ad и ?:\Documents and settings\lo.

9 Завершаем работу в учетных записях office\ad и localhost\lo.

10 Начнем. Наша цель - получить в итоге возможность попеременной загрузки в один старый профиль ?:\Documents and settings\ad с учетной записи ad и lo, с сохранением исходного вида рабочего стола и всех настроек исходного профиля ad. В этом случае, мы подстрахованы, и в случае чего, можем открыть вход сотруднику по его доменной учетной записи. И нет необходимости дублировать объемный профиль одного сотрудника на две учетные записи.

На этом этапе мы настраиваем разрешения безопасности. Пользователю lo даем полный доступ к данным профиля доменного пользователя ad, назначая права на директорию ?:\Documents and settings\ad и права на куст системного реестра пользователя ad. Все работы производим под учетной записью с правами Администратора домена.

ntuser.dat - Куст системного реестра HKEY_CURRENT_USER пользователя.

- Переходим в ?:\Documents and settings\ad, жмем Свойства\Безопасность, добавляем пользователя localhost\lo и назначаем ему права Полный доступ

- Узнаем SID пользователей, которые понадобятся нам в следующем пункте, для этого в cmd вводим
psgetsid office\ad, и получаем соответствующий ему номер SID, затем
psgetsid lo, и получаем соответствующий ему номер SID

- В regedit выделяем и разворачиваем HKEY_USERS, далее Файл\Загрузить куст..., загружаем файл ntuser.dat из профиля доменного пользователя office\ad ?:\Documents and settings\ad (или по-другому загружаем куст системного реестра HKEY_CURRENT_USER пользователя ad).
Внимание! Имя раздела: вставить сюда SID от office\ad.

Примечание: Как копировать из Командной строки (cmd) в Windows - кликаем правой клавишей мышки по черной консоли и нажимаем Пометить, далее выделяем нужный нам номер белым и жмем Enter.

После этого, должна появиться новая запись в этом списке (HKEY_USERS) с соответствующим пользователю ad номером SID, который мы ввели. Для его поиска, выделяем HKEY_USERS и жмем Ctrl+F, затем вставляем наш SID из буфера обмена. Нажимаем на нем правой клавишей мышки и выбираем Разрешения, Для проверки в списке должен быть office\ad, жмем Добавить..., вводим localhost\lo, Назначаем ему Полный доступ.

- Обязательно! Теперь нам нужно выгрузить куст системного реестра пользователя office\ad. Для этого, выделяем его и выбираем Файл\Выгрузить куст..., жмем Да. Иначе, при входе под lo в конце следующего пункта, у нас появится ошибка.

11 Сейчас мы изменим в реестре у пользователя localhost\lo путь к его профилю на тот, который у пользователя office\ad, чтобы работать попеременно под этими учетными записями. Для этого, в редакторе реестра regedit переходим в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList, выделяем ProfileList, копируем SID пользователя lo из cmd, жмем Ctrl+F, затем вставляем наш SID из буфера обмена. Он находится и выделяется. Меняем для него параметр ProfileImagePath на тот, который у пользователя ad.

12 Пробуем зайти под пользователем localhost\lo и затем, выйдя из него Завершением сеанса, под office\ad. Должен загружаться один и тот же локальный профиль, в нашем случае - ?:\Documents and settings\ad.

Примечание: Пароли на почтовые ящики нужно будет вводить заново для lo, при этом, у ad они сохраняются. В lo MS Office 2003 может выдавать ошибку при открытии любого файла, в ad, при этом, все работает.

Простите за многобуквиЁ...

Страницы: 1

Предыдущая тема: Как отключить в Word Режим чтения


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.