Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Правильный перенос профиля пользователя в AD

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2

Открыть новую тему     Написать ответ в эту тему

bombording

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Да, я знаю что этот вопрос поднимался 100 раз. Но всётаки, люди, помогите. Пользовался поиском.... находил различные темы об AD, но нигде небыло точного ответа.
 
Находил ссылки на User State Migration Tool: http://www.microsoft.com/downloads/details.aspx?FamilyId=799AB28C-691B-4B36-B7AD-6C604BE4C595&displaylang=en  
 
Active Directory Migration Tool:  
http://www.microsoft.com/downloads/details.aspx?familyid=6F86937B-533A-466D-A8E8-AFF85AD3D212&displaylang=en
 
Но всё таки, разобраться несмог.
 
 
Пробывал прогу Forensit User Profile Wizard. проофиль переносился, но политики отказывались действовать. И юзер мог спокойно отключать сеть и редактировать настрйоки.
 
 
И всётаки. Как же перенести коректно профиль пользователя с обычной рабочей группы в AD ?
Всего записей: 162 | Зарегистр. 20-07-2007 | Отправлено: 15:13 24-12-2007
evgeni666



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bombording
А файловая система на диске не FAT32 случаем?
Всего записей: 371 | Зарегистр. 22-12-2005 | Отправлено: 16:28 24-12-2007
bombording

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
нет. NTFS везде.
Всего записей: 162 | Зарегистр. 20-07-2007 | Отправлено: 16:50 24-12-2007
evgeni666



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bombording
Ты когда машину в домен вводил, у тебя пользователь остается локальным админом?
Если остается, то тут все правильно.
Всего записей: 371 | Зарегистр. 22-12-2005 | Отправлено: 18:54 24-12-2007
techtool



Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Я для этой задачи всегда пользуюсь маленькой консольной утилиткой moveuser.exe из состава Support Tools for Windows 2000/2003 Server:
1) вводишь машину в домен;
2) создаешь в AD нового пользователя;
3) логинишся под новым доменый профилем на локальную машину где лежит локальный профиль пользователя, выходишь;
4) под доменным администраторором запускаешь moveuser.exe с необходимыми ключами (moveuser.exe /?)
 
Права локального профиля и нового доменного профиля не имеют значения.
В 9 случаях из 10 всё проходит безболезненно. Но на всякий случай перед преобразованием я сохраняю копию локального профиля.
Всего записей: 82 | Зарегистр. 08-08-2003 | Отправлено: 21:00 24-12-2007
bombording

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
evgeni666 - Ну да. Лок. админом. Я хотел сначало перенести профиль юзера, погонять его на AD а потом уже удалять локальный профиль....
Всего записей: 162 | Зарегистр. 20-07-2007 | Отправлено: 23:13 24-12-2007
idiMAN

Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Можно поступить следующим образом:
1) вводишь машину в домен;  
2) создаешь в AD нового пользователя;  
3) логинишся под новым доменным профилем на локальную машину где лежит локальный профиль пользователя, выходишь;  
4) В реестре, в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList, находишь раздел (его имя запоминаешь для п.6), в котором параметр ProfileImagePath ссылается на профиль твоего доменного пользователя, и меняешь его на путь к профилю локального пользователя
5) На данную папку даёшь полные права доменному пользователю
6) В реестре находишь раздел HKEY_USERS\Имя из п.4 и даёшь разрешения для доменного пользователя на полный доступ к этому разделу или можно загрузившись из-под старого пользователя дать разрешения доменному пользователю на ветку HKEY_CURRENT_USER, что есть тоже самое.
Всего записей: 466 | Зарегистр. 05-05-2003 | Отправлено: 09:25 25-12-2007
evgeni666



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bombording

Цитата:
Ну да. Лок. админом. Я хотел сначало перенести профиль юзера, погонять его на AD а потом уже удалять локальный профиль....

В этом случае пользователь со своей машиной может делать все, что душе угодно.
 
idiMAN
7) Временно делаем пользователя админом. Запускаем редактор реестра. В случае, если w2k запускаем regedt32. Становимся на ветку HKEY_CURRENT_USER и делаем пользователя владельцем (в меню "Разрешения" - Вкладка "безопасность" - Дополнительно - Владелец). Тоже самое делаем с файлами.
Делаем пользователя не админом.
Теперь смотрим как все работает.
 
bombording
Посмотреть действующие политики так.  
Запускаем mmc. В меню "Добавить или удалить оснастку..." Добавляем "результирующая политика".  
Далее разберешься.
Всего записей: 371 | Зарегистр. 22-12-2005 | Отправлено: 10:09 25-12-2007
idiMAN

Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
evgeni666
 

Цитата:
7) Временно делаем пользователя админом.

Если выполнил п.5 и п.6, учитывая что в п.4 ты зашёл под админом, то делать больше ничего не надо, т.к доменный пользователь уже будет обладать полными правами на свой куст реестра и файлы своего профиля. И уж если ему так захочется, то можеет стать и их владельцем. И для этого ему административные права уже не потребуются, т.к. уже имеет полные права на операцию с этими объектами.
Всего записей: 466 | Зарегистр. 05-05-2003 | Отправлено: 12:00 25-12-2007
Madness

KpTeaM		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
idiMAN
>6) В реестре находишь раздел HKEY_USERS\Имя из п.4
Там id пользователей, не имена + там может и не быть загружена ветка нужного нам пользователя. Проще в том же regedit под админом иль, возможно, достаточно будет прав на запись в user.dat, выбрать файл-загрузить куст, при этом курсор должен стоять на ветке HKEY_USERS, загрузить user.dat и всей этой ветке дать полные права новому юзеру, после не забыть выгрузить.
Всего записей: 1006 | Зарегистр. 09-12-2001 | Отправлено: 16:57 25-12-2007
evgeni666



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
idiMAN
Скажем так, при мой вариант является продолжением немного другого сценария копирования профиля
1) вводишь машину в домен;  
2) создаешь в AD нового пользователя;  
3) логинишся под новым доменным профилем на локальную машину где лежит локальный профиль пользователя, выходишь;  
4) логинишися локальным администратором. копируешь(переносишь) данные из старого аккаунта во вновь созднанный (включая ntuser.dat).
5) Временно делаем пользователя админом.  
6) Перелогиниваемся под пользователем. Запускаем редактор реестра. В случае, если w2k запускаем regedt32. Становимся на ветку HKEY_CURRENT_USER и делаем пользователя владельцем (в меню "Разрешения" - Вкладка "безопасность" - Дополнительно - Владелец). Тоже самое делаем с файлами.  
6) Делаем пользователя не админом.
 
Последнее - это у меня тяжелое наследие правильной политики использования домена. Нефик пользователям иметь админские права даже на своей тачке! Если прога требует повышенных прав, то либо имеем автора проги, либо находим альтенативу. Первое для честно купленных прог, второе для честно бесплатных прог. А честно украденных прог в конторе практически нет - ибо ставить их в сети приличной конторы слишком накладно.
 
Всего записей: 371 | Зарегистр. 22-12-2005 | Отправлено: 19:41 25-12-2007
t0984

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть задача:
пользователь в старом домене(AD), сервер которого сдох,
нужно перетащить наименее безболезненно профиль в новый домен(AD).
Всего записей: 32 | Зарегистр. 06-04-2006 | Отправлено: 15:48 09-01-2008
evgeni666



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
t0984
Можешь сделать по моей инструкции. Должно прокатить.
Если пользователей было много, то проще забить на это дело и создать профили по новому а данные просто перенести.
 
ЗЫ. Бекапить состояние сервера АД не пробовал? Говорят очень сильно помогает в подобных случаях.
Всего записей: 371 | Зарегистр. 22-12-2005 | Отправлено: 08:48 10-01-2008
t0984

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
запоздал с сообщением, но может поможет кому:
Утилитка для переноса профиля в домен(другой домен),
сэкономила мне кучу времени:
User Profile Wizard
http://www.forensit.com/Profwiz/
 
Всего записей: 32 | Зарегистр. 06-04-2006 | Отправлено: 10:19 09-01-2009
evgeni666



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
t0984
Совсем немного - ровно на год
UPW - имеет небольшой баг. Если профиль, который надо перенести больше 2-3 гиг (при наличии оутлуковского pst размер может быть и больше) то при распаковске возникает ошибка. в результате прниходится руками распаковывать этот архив, потом запаковывать в архив профиля только те файлы, которые были в корне архива, и потом вручную копировать распакованные файлы профиля. Т.е. гемороя получается не меньше, чем при ручном переносе.
Всего записей: 371 | Зарегистр. 22-12-2005 | Отправлено: 10:02 11-01-2009
Carni

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
evgeni666
 
П.6 Как я понимаю на всех пользовательских папках/файлах, находящихся на HDD необходимо добавить нового владельца? А в Свойства - Безопасность - Группы и пользователи не надо давать права на Изменение?
 
И еще вопрос если переносить пользовательский профайл, без файлов ntuserdat вообще (все кроме них) чем черевато?
 
Спасибо
Всего записей: 2 | Зарегистр. 05-12-2008 | Отправлено: 11:00 14-01-2009
markers



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Carni
ntuser.dat это ветка реестра HKEY_CURRENT_USER т.е. не будет пользовательского реестра и все настройки сбросятся в прогах и т.д
Всего записей: 174 | Зарегистр. 15-11-2006 | Отправлено: 11:49 14-01-2009
MSI

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
удалено
Всего записей: 74 | Зарегистр. 06-06-2006 | Отправлено: 14:59 14-01-2009 | Исправлено: MSI, 15:00 14-01-2009
evgeni666



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Carni
Когда делаешь пользователя владельцем файла, то ты можешь делать с файлами что угодно.
Всего записей: 371 | Зарегистр. 22-12-2005 | Отправлено: 15:16 14-01-2009
Carni

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
evgeni666

Цитата:
 
5) Перелогиниваемся под пользователем. Запускаем редактор реестра. В случае, если w2k запускаем regedt32. Становимся на ветку HKEY_CURRENT_USER и делаем пользователя владельцем (в меню "Разрешения" - Вкладка "безопасность" - Дополнительно - Владелец). Тоже самое делаем с файлами.  
6) Делаем пользователя не админом.  

 
На каких файлах надо менять владельца? Просто после того как я делаю пользователя не админом и захожу под юзером, у меня в ветке реестра HKEY_CURRENT_USER становится пусто, что насколько я понимаю не есть хорошо.
Всего записей: 2 | Зарегистр. 05-12-2008 | Отправлено: 13:55 15-01-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Правильный перенос профиля пользователя в AD


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru