» Внедрение домена и профили пользователей

Суть:
была машинка Win 2000 pro в рабочей группе и набором локальных пользователей;
должна стать членом домена, профили локальных пользователей перенестись и стать профилями доменными. т.е. было у меня на рабочем столе что-то, должно остаться, была настройка IE (прокси, уровни безопасности), должно остаться, были локальные почтовые папки, должны остаться, был расшарен принтер, должен остаться расшаренным.
Все это -- автоматически, т.к. компьютеров много (>300).
Как?
Главный вопрос -- сохранность профилей.
Копирование системными средствами профиля из локального профиля в профиль доменный (на том-же компьютере), например был c:\Document and Settings\yaroslav в c:\Document and Settings\yaroslav.DOMEN не привело к переносу настроек IE, почты, пакета Office (я там менял панель инструментов), ICQ, Opera вообще перестала запускаться.
Менял веточку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList там где указан путь к профилю предварительно дав права на свой профиль для всех -- результат не улучшился.
А таких компьютеров не один и не 100, а поболе.
Как переходя в домен перенести профиля локальных пользователей в профиля доменных пользователей?

Меня интересует точно такой же вопрос ....
Спецы поделитесь советом плиз ....

В составе Win2k Resource Kit есть утилитка moveuser...
Мне она помогла при перемещении профилей пользователей из одного домена в другой.

пробовал эту замечательную утилиту, но она перемещает только из домена в домен.., а мне нужно немного другое
Может я ошибаюсь в ее способностях
Будут еще варианты?

Добавлено
пробовал эту замечательную утилиту, но она перемещает только из домена в домен.., а мне нужно немного другое
Может я ошибаюсь в ее способностях
Будут еще варианты?

Добавлено
пробовал эту замечательную утилиту, но она перемещает только из домена в домен.., а мне нужно немного другое
Может я ошибаюсь в ее способностях
Будут еще варианты?

YaroslavOne

Цитата:

Копирование системными средствами профиля из локального профиля в профиль доменный (на том-же компьютере), например был c:\Document and Settings\yaroslav в c:\Document and Settings\yaroslav.DOMEN

Вопрос на засыпку: А не пробовал копировать в профиль _на контроллере домена_?

Я переносил настройки следующим образом.
Первым делом расшарил папку с текущим локальным профилем пользователя, дав полный доступ к ней по сети только доменному пользователю. Затем в АД в свойствах юзера прописал путь к предварительно расшаренному локальному профилю.
При первом входе в домен, на компе пользователя создается новый профиль, полностью повторяющий старый локальный профиль.
Теперь, независимо от того, в домене юзер или залогинен локально, профиль у него одинаковый

ясно буду пробывать ...

Цитата:

Первым делом расшарил папку с текущим локальным профилем пользователя, дав полный доступ к ней по сети только доменному пользователю. Затем в АД в свойствах юзера прописал путь к предварительно расшаренному локальному профилю.
При первом входе в домен, на компе пользователя создается новый профиль, полностью повторяющий старый локальный профиль.

Учень трудоемкий путь. Мне надо БЫСТРО перенести 1000 юзеров в домен!!!
Конечно можно напряч 4-5 человек... они перенесут по 4 чела в домен в день... работа займет месяц... не годится.

Tosteich
однако, что то не так .....
может он конечно чтото и сохроняет, но не всё ....
равносильно копированию из папки в папку ....
есть другой способ ?

YaroslavOne

Цитата:

Мне надо БЫСТРО перенести 1000 юзеров в домен!!!

Думаю тебе может помочь скриптик. (WSH+ADSI+ светлая голова + прямые руки + .....)
Вначале немного попаришься с его написанием, но зато потом ПЕСНЯ !

Все настройки пользователя хранятся в файле NTUSER.DAT он лежит в профиле пользователя чтобы профиль перенести достаточно создать в домене пользвателя с таким же именем потом завести комп в домен и дать на старый профиль разрешение доменному юзеру и самое главное на файл NTUSER.DAT (это пользовательская ветка реестра)


Цитата:

Копирование системными средствами профиля из локального профиля в профиль доменный (на том-же компьютере), например был c:\Document and Settings\yaroslav в c:\Document and Settings\yaroslav.DOMEN

а профиль с добавкой имени домена потому и создается. когда юзер начинает логинится с тем же именем что было ранише в локале система видит что профиль есть НО доступа к нему нет и создате его копию с таким же именем+приставка (в данном случае домен).

Думаю так.

По-моему,ботва это все. У меня когда-то был один домен, а потом стал другой. Мне приходилось заходить под юзером, логиниться в комп, экспортировать ветку юзеровского реестра, потом перетаскивать комп, логиниться заново в новый домен, копировать юзеровский профайл (предварительно сделав доступ для всех юзеров и поднимать юзеровскую ветку реестра. Практически все при этом поднималось. Иногда все это удавалось провернуть за 20 минут на место

YaroslavOne

Цитата:

Мне надо БЫСТРО перенести 1000 юзеров в домен!!!

copy c:\documents and settings\* \\server\share
При создании пользователя прописывай путь к профилю на \\server\share\%username%
Должно работать.

Короче, пробывал я разными способами ...
---------
1. Создал пользователя на сервере в домене под именем user.
2. Зашол на комп пользователя локально и дал доступ к папке с профилем всем админам и в том чесле доменному пользователю user.
3. Зашёл на комп локально под админам (локальным админам) и переименовал папку локального пользователя в user.
т.е. была c:\Document and Settings\Vasya, стала c:\Document and Settings\user.
4. Затем захожу в первый раз в домен под пользователем user, и наблюдаю, что он создал новуб папку профиля c:\Document and Settings\user.DOMEN.
---------
Вот один из них ...
Что я делаю не так?

Разобрался, получилось ...
Но остались вопросы ...
Делаю следующие шаги :
1. создаю пользователя в домене
2. захажу под этим пользователем (он создаёт папку со стондартным профилем)
3. захажу под админам и копирую в только что созданную папку профиль нужного мне локального пользователя, включая NTUSER.DAT
4. присваеваю пользователю домена права локального админа и захожу под этим пользователем
5. даю полные права на ветку реестра (HKEY_CURRENT_USER) пользователю домена
6. делаю обратную операцию, захожу под админам и убираю пользователя из групы лакальных админов ...
7. захожу под пользователем и всё работает с нужными мне правами
----------
Вопросы:
1. почему после проделанной опирации, в часностии на шаге 7, проподает картинка с рабочего стола?
2. может можно это сделать както проще?

Exe

Цитата:

Делаю следующие шаги :

Опишу с созданием нормального перемещаемого профиля, а то ты, кажется, не в ту степь... Да и всяческих проблем с пересаживанием пользователей за другие компы, бэкапом точно поубавится.

1) Создаем в домене пользователя (например zlobo_uzer)
2) В свойствах пользователя прописываем путь к профилю \\server\share\%username%. Соответственно папка share должна на сервере существовать и быть доступной из сети.
3) Прописываем NTFS-разрешения на share: всем - чтение, админам - дополнительно запись. По рекомендациям МС сетевые разрешения раздаём так: всем -всё.
4) Создаём в share папку с именем пользователя (zlobo_uzer).
5) Прописываем опять же NTFS-разрешения следующим образом: хозяину - всё, остальным - всё запретить. На время переноса профилей разрешаем админам писать в папку - потом по желанию: если нужно запретить админам читать чужие файлы - запрещаем доступ + настраиваем аудит на спользование привилегий.
6) Заходим пользователем на любой машине - создаётся профиль из Default User. Выходим - профиль закачивается на сервер.
7) Заходим админом и закачиваем профиль нужного локального пользователя в \\server\share\zlobo_uzer

Со следующим входом zlobo_uzer всё должно работать.

Первые пять шагов легко автоматизируются обычным bat/cmd файликом + xcacl из ResKit'а.

я делал через HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
заходил сначала под доменным пользователем, потом под админом. давал права на папку с локальным профилем и подпапки нужному доменному пользователю. и менял путь в реестре для доменного пользователя на путь к профилю локального.
и все всегда работало. ни разу еще не было проблем !

Хмм... Может я конечно туплю, но почему бы просто не прописать в оснастке "Актив Директори - пользователи и компьютеры" в свойствах пользователя, на вкладке "Профиль" путь до старого/нужного пользовательского профиля?..

griin

Цитата:

Может я конечно туплю

Не, не тупишь... Просто представь себе ситуацию: хотя бы 20 машин, 100 пользователей. Потом забибикаешься разбираться где, что и зачем. Не проще всё сразу положить в одно место?

Цитата:

copy c:\documents and settings\* \\server\share
При создании пользователя прописывай путь к профилю на \\server\share\%username%
Должно работать.

ХХе что б прописать профиль надо быть уже зарегеным И ЗА ЛОГИНЕНЫМ!! ТАК КАК ПЕРЕМЕННАЯ %username% ДОЛЖНА ХРАНИТЬ ИМЯ ЭТОГО ЮЗВЕРЯ!!!!А ТЫ ГРИШ ПРИ СОЗДАНИИ! возможно такое \\server\share\имя_его... ---Это да!!! ВОзможнО!

Я вам скажу откровенно у меня так не чо и не получилось .....
Только так как я написал выше ....

Shaun

Цитата:

ХХе что б прописать профиль надо быть уже зарегеным И ЗА ЛОГИНЕНЫМ!!

Что-то я не догоняю... Когда сидишь админом в Active Directory Users and Computers делаешь ПКМ->New->User заполняешь имя и всякую лабуду. Потом ПКМ по созданному имени->закладка Profile - прописываешь всё что нужно. Соответственно перед первым логином пользователя необходимо создать папочку с его именем.
Никаких "надо быть уже зарегеным И ЗАЛОГИНЕНЫМ!!" - всё прекрасно работает.

Exe

Цитата:

Я вам скажу откровенно у меня так не чо и не получилось .....
Только так как я написал выше ....

Попробуй проделать как я описал - хотя бы с одним юзером.

Проверьте плз, правильно ли я понял:
1. Вводим комп в домен.
2. Заходим админом домена и копируем полностью профиль локального юзера на сервер.
3. Заводим юзера в домене, указываем путь на его профиль на сервак.
4. Выходим админом, логинимся юзером доменным на компьютере... и самое важное: он копирует профиль на машину или нет? У меня не хватит места держать столько пользователей на серваке, да и нагрузка очень большая будет, поэтому надо чтобы профиль скопировался обратно на компьютер и нормально заработал.

Значит приблизительный план действий таков:
1. Заходим юзером и пытаемся скопировать его профиль в другое место(либо вместо содержимого профиля Default либо на сервер(в настройках уч. записи указываем путь к профилю)... если не получается заводим локального нового пользователя и копируем им.
2. Входим в домен
3. Если логины одинаковые - удаляем локальный профиль
4. входим доменным пользователем... его профиль автоматом копируется либо с сервера либо из папки Default.
В качестве доп. средства можно воспользоваться Windows XP Files and Settings Transfer Wizard, для копирования и восстановления профиля.

XMMS
Я бы посоветовал всё же так:
1) заводим пользователя в домене
2) прописываем профиль пользователя в \\comp_name\share (на компах надо будет расшарить Documents and Settings)

если вдруг не сработает:
1) то же
2) заходим и выходим пользователем
3) аналогично п.2 в предыдущем варианте
4) грохаем папки в Documents and Settings на сервере и клиентском компе (можно политику поставить "удалять перемещаемые профили по завершении сеанса")

И скажи, плз, нафига тебе профили на компах держать? Может проще хард расширить?
Просто очень сомнительная затея, если делать профили всё же перемещаемыми. Отдельные компы могут быть выключены - пользователь не достучится до своего профиля.

Duke Shadow
я их локальными делаю а не перемещаемыми
Твой первый вариант мне понравился, наверно так и сделаю

XMMS
Бррр...
Так, голова на месте...(с)Фрекен Бок
Чего-то не въехал...
Ты локальными их на сервере делаешь чтоли?
Зачем тогда вообще домен? Опиши задачу - может он тебе и не надо.

Duke Shadow

Цитата:

можно политику поставить "удалять перемещаемые профили по завершении сеанса")

а где эту политику найти? по англицки можно?

Duke Shadow
Я локальными их делаю на пользовательских компах %)
короче был компьютер юзера, был юзер-локальный, стало: компьютер в домене, юзер доменный. А его профиль надо перенести, врочем я уже всё решил:
1. копируем полностью профиль в другое место. Надо другим юзером, а то ругаться на отсутствие прав доступа к файлам будет.
2. Присоединяем компьютер к домену, заходим админом! домена и сносим старый локальный аккаунт.
3. Входим доменным юзером и если его имя совпадает с именем пользователя старого, то вообще всё будет в шоколаде, т.к. имена и следовательно пути к файлам - совпадут.
4. Выходим, подсовываем ему старый аккаунт и вроде всё. Так должно прокатить?

Hrist

Цитата:

а где эту политику найти? по англицки можно?

here:
computer configuration\Administrative templates\system\user profiles\delete cached cories of roaming profiles