» Правильный перенос профиля пользователя в AD

Да, я знаю что этот вопрос поднимался 100 раз. Но всётаки, люди, помогите. Пользовался поиском.... находил различные темы об AD, но нигде небыло точного ответа.

Находил ссылки на User State Migration Tool: http://www.microsoft.com/downloads/details.aspx?FamilyId=799AB28C-691B-4B36-B7AD-6C604BE4C595&displaylang=en

Active Directory Migration Tool:
http://www.microsoft.com/downloads/details.aspx?familyid=6F86937B-533A-466D-A8E8-AFF85AD3D212&displaylang=en

Но всё таки, разобраться несмог.


Пробывал прогу Forensit User Profile Wizard. проофиль переносился, но политики отказывались действовать. И юзер мог спокойно отключать сеть и редактировать настрйоки.


И всётаки. Как же перенести коректно профиль пользователя с обычной рабочей группы в AD ?

bombording
А файловая система на диске не FAT32 случаем?

нет. NTFS везде.

bombording
Ты когда машину в домен вводил, у тебя пользователь остается локальным админом?
Если остается, то тут все правильно.

Я для этой задачи всегда пользуюсь маленькой консольной утилиткой moveuser.exe из состава Support Tools for Windows 2000/2003 Server:
1) вводишь машину в домен;
2) создаешь в AD нового пользователя;
3) логинишся под новым доменый профилем на локальную машину где лежит локальный профиль пользователя, выходишь;
4) под доменным администраторором запускаешь moveuser.exe с необходимыми ключами (moveuser.exe /?)

Права локального профиля и нового доменного профиля не имеют значения.
В 9 случаях из 10 всё проходит безболезненно. Но на всякий случай перед преобразованием я сохраняю копию локального профиля.

evgeni666 - Ну да. Лок. админом. Я хотел сначало перенести профиль юзера, погонять его на AD а потом уже удалять локальный профиль....

Можно поступить следующим образом:
1) вводишь машину в домен;
2) создаешь в AD нового пользователя;
3) логинишся под новым доменным профилем на локальную машину где лежит локальный профиль пользователя, выходишь;
4) В реестре, в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList, находишь раздел (его имя запоминаешь для п.6), в котором параметр ProfileImagePath ссылается на профиль твоего доменного пользователя, и меняешь его на путь к профилю локального пользователя
5) На данную папку даёшь полные права доменному пользователю
6) В реестре находишь раздел HKEY_USERS\Имя из п.4 и даёшь разрешения для доменного пользователя на полный доступ к этому разделу или можно загрузившись из-под старого пользователя дать разрешения доменному пользователю на ветку HKEY_CURRENT_USER, что есть тоже самое.

bombording

Цитата:

Ну да. Лок. админом. Я хотел сначало перенести профиль юзера, погонять его на AD а потом уже удалять локальный профиль....

В этом случае пользователь со своей машиной может делать все, что душе угодно.

idiMAN
7) Временно делаем пользователя админом. Запускаем редактор реестра. В случае, если w2k запускаем regedt32. Становимся на ветку HKEY_CURRENT_USER и делаем пользователя владельцем (в меню "Разрешения" - Вкладка "безопасность" - Дополнительно - Владелец). Тоже самое делаем с файлами.
Делаем пользователя не админом.
Теперь смотрим как все работает.

bombording
Посмотреть действующие политики так.
Запускаем mmc. В меню "Добавить или удалить оснастку..." Добавляем "результирующая политика".
Далее разберешься.

evgeni666


Цитата:

7) Временно делаем пользователя админом.

Если выполнил п.5 и п.6, учитывая что в п.4 ты зашёл под админом, то делать больше ничего не надо, т.к доменный пользователь уже будет обладать полными правами на свой куст реестра и файлы своего профиля. И уж если ему так захочется, то можеет стать и их владельцем. И для этого ему административные права уже не потребуются, т.к. уже имеет полные права на операцию с этими объектами.

idiMAN
>6) В реестре находишь раздел HKEY_USERS\Имя из п.4
Там id пользователей, не имена + там может и не быть загружена ветка нужного нам пользователя. Проще в том же regedit под админом иль, возможно, достаточно будет прав на запись в user.dat, выбрать файл-загрузить куст, при этом курсор должен стоять на ветке HKEY_USERS, загрузить user.dat и всей этой ветке дать полные права новому юзеру, после не забыть выгрузить.

idiMAN
Скажем так, при мой вариант является продолжением немного другого сценария копирования профиля
1) вводишь машину в домен;
2) создаешь в AD нового пользователя;
3) логинишся под новым доменным профилем на локальную машину где лежит локальный профиль пользователя, выходишь;
4) логинишися локальным администратором. копируешь(переносишь) данные из старого аккаунта во вновь созднанный (включая ntuser.dat).
5) Временно делаем пользователя админом.
6) Перелогиниваемся под пользователем. Запускаем редактор реестра. В случае, если w2k запускаем regedt32. Становимся на ветку HKEY_CURRENT_USER и делаем пользователя владельцем (в меню "Разрешения" - Вкладка "безопасность" - Дополнительно - Владелец). Тоже самое делаем с файлами.
6) Делаем пользователя не админом.

Последнее - это у меня тяжелое наследие правильной политики использования домена. Нефик пользователям иметь админские права даже на своей тачке! Если прога требует повышенных прав, то либо имеем автора проги, либо находим альтенативу. Первое для честно купленных прог, второе для честно бесплатных прог. А честно украденных прог в конторе практически нет - ибо ставить их в сети приличной конторы слишком накладно.

Есть задача:
пользователь в старом домене(AD), сервер которого сдох,
нужно перетащить наименее безболезненно профиль в новый домен(AD).

t0984
Можешь сделать по моей инструкции. Должно прокатить.
Если пользователей было много, то проще забить на это дело и создать профили по новому а данные просто перенести.

ЗЫ. Бекапить состояние сервера АД не пробовал? Говорят очень сильно помогает в подобных случаях.

запоздал с сообщением, но может поможет кому:
Утилитка для переноса профиля в домен(другой домен),
сэкономила мне кучу времени:
User Profile Wizard
http://www.forensit.com/Profwiz/

t0984
Совсем немного - ровно на год
UPW - имеет небольшой баг. Если профиль, который надо перенести больше 2-3 гиг (при наличии оутлуковского pst размер может быть и больше) то при распаковске возникает ошибка. в результате прниходится руками распаковывать этот архив, потом запаковывать в архив профиля только те файлы, которые были в корне архива, и потом вручную копировать распакованные файлы профиля. Т.е. гемороя получается не меньше, чем при ручном переносе.

evgeni666

П.6 Как я понимаю на всех пользовательских папках/файлах, находящихся на HDD необходимо добавить нового владельца? А в Свойства - Безопасность - Группы и пользователи не надо давать права на Изменение?

И еще вопрос если переносить пользовательский профайл, без файлов ntuserdat вообще (все кроме них) чем черевато?

Спасибо

Carni
ntuser.dat это ветка реестра HKEY_CURRENT_USER т.е. не будет пользовательского реестра и все настройки сбросятся в прогах и т.д

удалено

Carni
Когда делаешь пользователя владельцем файла, то ты можешь делать с файлами что угодно.

evgeni666

Цитата:

5) Перелогиниваемся под пользователем. Запускаем редактор реестра. В случае, если w2k запускаем regedt32. Становимся на ветку HKEY_CURRENT_USER и делаем пользователя владельцем (в меню "Разрешения" - Вкладка "безопасность" - Дополнительно - Владелец). Тоже самое делаем с файлами.
6) Делаем пользователя не админом.

На каких файлах надо менять владельца? Просто после того как я делаю пользователя не админом и захожу под юзером, у меня в ветке реестра HKEY_CURRENT_USER становится пусто, что насколько я понимаю не есть хорошо.

Цитата:

5) Временно делаем пользователя админом.
6) Перелогиниваемся под пользователем. Запускаем редактор реестра. В случае, если w2k запускаем regedt32. Становимся на ветку HKEY_CURRENT_USER и делаем пользователя владельцем (в меню "Разрешения" - Вкладка "безопасность" - Дополнительно - Владелец). Тоже самое делаем с файлами.
6) Делаем пользователя не админом.

Именно на ветку реестра HKCR надо стать владельцем. Пока этого не сделаешь будут проблемы.

А для Windows 7 у кого есть способ?
Пробовал этим способом, не прокатывает. Каждый раз пытаясь залогиниться выкидывает обратно в К+А+Д и ещё при вопросе переноса ntuser.dll спрашивает в какую ветку его надо кинуть, в HKEY_USERS в корень я полагаю? И такой вопрос обязательно-ли всё делать под домен админом или и под локальным можно?
У меня уже от всех манипуляций Винда стала создавать временного пользователя когда в домен логинюсь пытаюсь залогиниться на новую созданную доменом папку. Как обнулить, чтоб он её заново создал? удалить ключ реестра ProfileList и папку созданную Виндой автоматом? У меня уже ключи реестра пошли с *.bak

так есть ли решение как перенести профиль с одного компьютера на другой в домене ??

Загоняете машину в новый домен, логинитесь новым юзером для которого требуется перенести старый профиль (с правами лок админа), потом выходите из системы и логинитесь тут же другим юзером домена, либо лок юзером с правами лок.админа -далее удаляете все во вновь созданном каталоге \documentandsettings\newuser или \users\newuser кроме самого каталога и копируете старый профиль во вновь созданный каталог....и все. Единственное нужно подправить пути outlook к pst (ost). Зато все говнопрограмки работают.
Проверено на winXP, win7(32-64)

Добавлено:
Загоняете машину в новый домен, логинитесь новым юзером для которого требуется перенести старый профиль (с правами лок админа), потом выходите из системы и логинитесь тут же другим юзером домена, либо лок юзером с правами лок.админа -далее удаляете все во вновь созданном каталоге \documentandsettings\newuser или \users\newuser кроме самого каталога и копируете старый профиль во вновь созданный каталог....и все. Единственное нужно подправить пути outlook к pst (ost). Зато все говнопрограмки работают.
Проверено на winXP, win7(32-64)

swts

"Единственное нужно подправить пути outlook к pst (ost)" - можно подробней расписать

А если пользователи уже перенесены с помощью проги ProfWiz, пользователи вне домена были локальными админами, как теперьих лишить локальноадминских прав? полагаю политиками??!! если так, то подскажите что и куда крутить??!!!где конкретно это запрещать??

короче вопрос решается с помощью утилиты User Profile Wizard упомянутой выше. была та же проблема, а именно: если локальная учетка изначально имеет права администратора, то после миграции с помощью User Profile Wizard, права администратора переносятся, даже если в AD пользователь с ограниченными правами. это происходит потому, что утилита добавляет в локальную группу Администраторы, пользователя из домена, на которого мигрируем и группы Администраторы домена.

РЕШЕНИЕ:
1) заходим на локальной машине с правами локального админа в "управление компьютером - локальные пользователи и группы - группы - Администраторы"
2) удаляем группу "Имя_домена\Администраторы домена" и пользователя домена, на которого настраивали миграцию "Имя_домена\имя_пользователя".
3) всё :р

Подскажите была точно такая же проблема после миграции, решение которое выше описано помогло, но почвилась следующая проблема, при установке любого приложения выскакивает окошко uac для ввода аккаунта админа, ввожу и пишет запрашиваемая операция требует повышения прав, все уже перерыл но так и не получилось((

логин\пароль администратора домена вводите?
проверьте, есть ли в группе администраторов - ДОМЕН\админстраторы домена