Migrace uživatelských profilů do nové domény

[skrzjdouci]

Zdravím, jak provést migraci uživatelských profilů na PC z jedné domény do druhé? (Na win7 a winXP)

Ideální by bylo, kdybych mohl každé PC připojit do nové domény a po přihlášení pod stejným uživatelským jménem do nové domény by se načetl uživatelský profil ze staré domény, takže by uživateli zůstaly původní data – věci na ploše, nastavení, …

Nenašel jsem způsob jak to provést (forest trust nemůžu použít), dokonce jsem si to i vyzkoušel:
po připojení PC do nové domény a přihlášení se stejným uživatelským jménem se nepoužije starý profil, ale vytvoří se nový profil (ve složce C:\users\ vznikne nový učet starynazev.neco). Starý profil je viditelný v C:\Users, ale v nástroji Profily uživatelů je starý profil vidět jako „Neznámý“.
MS má na migraci účtů utilitu Windows Easy Transfer: http://www.mustbegeek.com/migrating-user-profiles-from-old-domain-to-new-domain/
A pak jsou ještě různé nástroje třetích stran, co funguje spolehlivě?

Největší obavu mám z migrace Outlooku – nastavení a uložených zpráv – používá se POP3, soubor *.pst
Outlooky jsou různých verzí – 2007, 2010, 2013, 2016
Podle informací různě na googlu Windows Easy Transfer outlook nemigruje.

Ještě mě napadlo vykašlat se na migraci účtu jako takového a jen zkopírovat obsah složky Plocha ze starého profilu do nového, nevznikne tam problém s přístupovými právy?

[Reklama]

[Lol Phirae]

Cesta k profilu je uložena v ProfileImagePath v klíči
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\<SID>\

[Sten]

Stejné uživatelské jméno nic neznamená. Stejně jako UNIXy, i Windows identifikují uživatele pomocí IDček. Pokud jsou jiná, pak je to pro Windows jiný uživatel a uživatel z nové domény nebude mít práva číst dokumenty stejně pojmenovaného uživatele ze staré domény. Nejjednodušší by bylo přesvědčit novou doménu, aby toho uživatele vytvořila se stejným SID, ale nevím, jestli to ve Windows jde (se Sambou to jde).

[Medo]

Preskoc omacku, uz si to presne nepametam.

https://www.forensit.com/domain-migration.html
https://www.forensit.com/downloads.html

Funguje to dobre, je to free.(xp-w10)
Migroval som s tym W7 z workgrupy do domeny, islo to rychlo a na prvy sup.
Asi to vie aj domena-domena. (to z hlavy uz neviem).
Musis zistit ako to funguje: (vyskusaj si to na nejakej test masine).
Neviem teraz z hlavy, ci sa da rovno prepnut pc z domeny do domeny, alebo musi byt medziskok cez workgrupu.
V kazdom pripade, potom, co pripojis pc do novej domeny, len sa 1x prihlas pod userom, ktory chces, aby tam figuroval. Tym sa vytvoria potrebne SIDy a ine veci.

Nasledne mozes pustit ako local admin forensit tool. Budes samozrejme potrebovat domain admin account.
Tool sa ta opyta ktore konto kam. (c:\users\ferko.mkrvicka - c:\users\domena\ferko,mrkvicka.000)
Spustis a pockas.
Kompletne zoberie veci z jedneho konta do druheho (desktop, dokumenty, postu, ...) (pozor, fyzicky to premiestni, co je ok, ale niekedy to nemusi byt ziaduce).
Narazil som na 2 veci, ktore nerobilo.
1. Neprenesie to heslo do outlookoveho konta (pop3/smtp). (ok, zadat nanovo, alebo ak neviem, pregenerovat a zadat).
2. Mari sa mi, ze som musel nanovo importovat certifikaty (ak boli do nejakej banky atd)

Inac prudka pohoda. Vyborna vec.

Dokonca - mozno po pripojeni do domeny, ani netreba zakladat noveho usera, a zalozi konto sam tool (ked urcis nove konto ako nove), ale to by som kecal. Ved vyskusaj, uvidis.

[Medo]

Este dodatok:
- ale vytvoří se nový profil (ve složce C:\users\ vznikne nový učet starynazev.neco)
No ano, take mensie zlo, neviem ci sa tomu da uplne vyhnut, osobne som to neriesil, aj tak som sa odvolaval na potrebne veci cez premenne, a tam bolo jedno, kde to je fyzicky umiestnene.
(mam na mysli napr. prikaz copy %USERPROFILE%\desktop c:\nova_destinacia urobi spolahlivo co ma, ci na pozadi je ucet ferko.mrkvicka, alebo ferko.mrkvicka.000)
Stare ucty potom mozes zmazat rucne z c:\users ak ti vadia.
Userovi je to jedno kde to je a ako sa to vola, a tebe ako adminovi docvakne pri rieseni problemu, ze ferko.mrkvicka.000 je aktualny ucet.

Co sa tyka officov a otlaku, urcite to migrovalo 2010, a zda sa mi ze aj 2013.

Mozno by slo stary ucet premenovat na nieco, a novy zalozit v pozadovanom tvare pri prihlaseni do novej domeny, ale asi to zhavaruje niekde na SIDoch a bude vediet, ze uz to niekedy zalozene bolo a aj tak to zalozi pod novym nazvom.

[Reklama]

[JardaP .]

Ještě mě napadlo vykašlat se na migraci účtu jako takového a jen zkopírovat obsah složky Plocha ze starého profilu do nového, nevznikne tam problém s přístupovými právy?

To by asi bylo nejjednodussi, ale asi by stalo za to zminit, kolik PC a kolik uctu hodlate migrovat. Aby vam z toho nahodou nejeblo.

Pokud toho neni moc, tak by to melo jit. Nejlepsi by asi bylo pred migraci profily presunout z c:\users nekam do jineho adresare, nasledne je pro sichr jeste zkopirovat do dalsiho adresare a na tom pak provadet pokusy. Rekl bych, ze byste se musel prihlasit jako Admin, prevzit ownership vsech souboru v tom druhem adresari a nastavit tam prava stylu everybody cokoliv si zamane. Potom se musite prihlasit pod jednotlivymi usery a po vytvoreni profilu soubory prekopirovat (ne presunout) z toho druheho adresare. Pri kopirovani by se snad mela pouzit dedicna prava podle uzivatelskeho adresare a vlastnikem bude user, ktery kopii vytvoril. Pocitam, ze pri kopirovani vzniknou nejake konflikty, protoze v nove profilu budou nejake soubory stejneho jmena, jako treba uzivatelska vetev registry a kdovi co, takze useri prijdou o nejaka nastaveni, jako treba barvicky. Otazka je, jestli v tom je take nastaveni Utlouku. Tomu jsem se vzdy obloukem vyhybal a tak nevim, kde ma nastaveni.

BTW, po skonceni kopirovani musite smazat ten druhy adresar nebo zmenit prava, protoze jste tam nastavil uplnou cochcarnu, aby se pod userem dalo vykopirovat, co je treba.

Jinak by asi slo na profilech predelat SID uzivatelu tak, aby odpovidaly tomu, co je v nove domene. MS ma nejake strasne utility, ted jen vygooglovat tu nejmene strasnou.

Treba tady je neco o tom, jak zjistit SID usera v domene: https://blogs.msdn.microsoft.com/gaurav/2014/06/03/security-identifiersid-getsid-of-a-userobject-using-registry-wmic-powershell/ nebo https://blogs.technet.microsoft.com/heyscriptingguy/2004/12/03/how-can-i-determine-the-sid-for-a-user-account/ .

Nasledne to uz jen narvat na stary profil, coz by melo jit touto krasnou utilitkou: https://helgeklein.com/setacl/documentation/command-line-version-setacl-exe/#set-owner . Trustee v textu znamena jmeno nebo SID. Udajne to umi rekurzi, takze jednim zavolanim by to melo prechrochtat cely strom. Ale i tak bych doporucil Prozac.

Nasledne budete muset vymazat stary SID, protoze v nove domene nebude existovat a pri vypisu prav a vlastniku se vam u souboru bude zobrazovat SID namisto jmena. To by mela umet tataz utilita, viz https://helgeklein.com/setacl/documentation/command-line-version-setacl-exe/#delete-orphaned-sids .

Preji prijemnou zabavu, cekaji vas vzrusujici casy.

[skrzjdouci]

Medo:
co myslíš tou omáčkou?
díky za tip, forensit vyzkouším
staré účty můžou na disku zůstat, nijak to nevadí
mám lokálního admina na PC, doménového admina staré i nové domény, ale nemám hesla všech userů - budu je vůbec potřebovat? Když userům resetuju heslo, musí se ten user odhlásit a přihlásit, aby se to dostalo do lokální cache na heslo do domény (počítám s tím, že až budu obcházet PC a migrovat je do nové domény, tak stará doména nebude dostupná - server s novou doménou bude mít stejnou IP jako ten starý takže jeden z nich musí být vypnutý)

JardaP.
migrovat budu 21 PC: 9x W7, 12x WXP
Musím to stihnout přes víkend, v pondělí budou useři v práci

na několika pc je jen pár dokumentů a zástupců na ploše, a prohlížeč tam nechám vygenerovat nový profil a dokumenty jen zkopíruju a opravím práva

Na PC s outlookama to bude asi horší, nastavení můžu udělat znovu, ale potřebuju napojit původní soubor s *.pst se starými maily

[JardaP .]

Na PC s outlookama to bude asi horší, nastavení můžu udělat znovu, ale potřebuju napojit původní soubor s *.pst se starými maily

Presun Utlouku vypada zajimave: http://www.slipstick.com/outlook/config/moving-outlook-to-a-new-computer/

Pisi tam hezke veci:

If you use Windows Easy Transfer to move your Outlook data, you will need to recreate your Outlook profile as the move process corrupts the profile.

Nebo:

Outlook can hold PST files open for as long as 30 minutes after you close Outlook, so if you receive any errors when copying the PST, wait and try again.

Ted nevim, jestli to znamena, ze kdyz zavru Utlouk, tak ho vlastne nezavru nebo radsi to, ze Utlouk je jeste ppmalejsi, nez jsem si myslel a trva mu pul hodiny, nez se ukonci.

[skrzjdouci]

Použil jsem forensit
vypadalo to dobře, ale když se teď s migrovaným účtem přihlásím, nejde se dostat do home adresáře na serveru (nastavil jsem jej jako Z: - stejně to bylo na starém serveru) - přístup zamítnut

po každém přihlášení postupně vysakují okna:
Koš na jednotce \\server\home\user.jmeno\My videos je poškozen chcete koš této jednotky vysypat?
Koš na jednotce \\server\home\user.jmeno\My Pictures je poškozen chcete koš této jednotky vysypat?
Koš na jednotce \\server\home\user.jmeno\My Music je poškozen chcete koš této jednotky vysypat?
Koš na jednotce \\server\home\user.jmeno\My Documents je poškozen chcete koš této jednotky vysypat?

ať dám ano nebo ne, při dalším přihlášení to tam je znova.
Nějaké nápady co s tím?

[JardaP .]

Lidi by meli pouzivat anglicke Widle, ty hlasky se lip googluji, protoze najit spravny preklad neni vzdy trivialni.

Zkuste tohle: http://www.ieple.com/blog/fixing-corrupted-recycle-bin-in-redirected-folders-server-2012-r2-essentials

[Lol Phirae]

Použil jsem forensit

A přitom se stačilo lognout jako admin a změnit tu cestu k profilu... 

[skrzjdouci]

A přitom se stačilo lognout jako admin a změnit tu cestu k profilu... 

lognout jako admin lokální nebo doménový?
změnit cestu k profilu - kde a jakým způsobem?

[Lol Phirae]

A přitom se stačilo lognout jako admin a změnit tu cestu k profilu... 

lognout jako admin lokální nebo doménový?
změnit cestu k profilu - kde a jakým způsobem?

https://forum.root.cz/index.php?topic=13570.msg172279#msg172279
https://support.microsoft.com/en-us/kb/2454362

(A pochopitelně opravit práva - jak pro ty lokální složky, tak pro ty přesměrované, viz znova odkaz nahoře.)

[JardaP .]

https://forum.root.cz/index.php?topic=13570.msg172279#msg172279
https://support.microsoft.com/en-us/kb/2454362

(A pochopitelně opravit práva - jak pro ty lokální složky, tak pro ty přesměrované, viz znova odkaz nahoře.)

Jenze tohle prave bude dost opruz. Jak to zautomatizovat? To znamena zjistit vsechny SID useru ve stare domene a v nove domene a pak nejak naskriptovat upravu registry tak, aby  SID z prvni domeny, ktere budou na stroji nalezeny v registry, byly tyto nahrazeny SID z nove domeny a eventuelne byla prekopana cesta, pookud je to potreba. To je presne ten pripad, kdy by se clovek ze skriptovani ve Widlich posral. Ta jednoducha zmena cesty nebude tak jednoducha.

[Lol Phirae]

PS:

Kód: [Vybrat]

$objUser = New-Object System.Security.Principal.NTAccount("domainname", "username")
$strSID = $objUser.Translate([System.Security.Principal.SecurityIdentifier])
$strSID.Value