Light-electric.com

IT Журнал
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Перенести пользователей в другой домен

Перенести пользователей в другой домен

Привет всем!
Имеется домен на Windows 2003 Server Std SP2 R2 название домена firma (т.е. Single Label)
Сейчас возникла необходимость (в связи с переименованием организации) перенести пользователей в новый домен firma1.local (заодно и от Single label избавиться). Планирую сделать следующее
1. Поднять новый домен Firma1.local
2. Установить доверительные отношения между доменами firma и firma1.local
3. Постепенно перевести пользователей и компьютеры из домена Firma в Firma1.local
4. Когда все пользователи и компьютеры будут перенесены разорвать доверительные отношения и убрать домен firma

Важно , чтобы в процессе переноса пользователей и компьютеров из одного домена в другой не было прерывания их работы.
В сети имеется терминальный сервер 1С8, почтовик Мдаемон, развернут Symantec CE 10
Отсюда вопросы
1. Вообще возможен ли такой вариант, хотелось бы узнать мнения тех кто делал подобное.
2. Как к переносу сервера из одного домена в другой отнесется 1С8, Мдаемон, Symantec
3. Что будет с правами пользователей в NTFS на каталоги. Допустим есть каталог Ivanov туда имеет доступ сам Ivanov (ivanov@firma) и группа администраторов домена firma , теперь переносим пользователя ivanov в домен firma1.local изменятся ли права на каталог автоматически или же придется их менять вручную.
4. Спомощью какой утилиты переносить пользователей из одного домена в другой ADMT или есть какие-нибудь другие.

Странник
Важно , чтобы в процессе переноса пользователей и компьютеров из одного домена в другой не было прерывания их работы

Что в данном контексте означает «переносим» и «прерывание работы»? Если «переносим» — создание новой учетки в другом домене, то, разумеется, пользователям придется как минимум перелогиниваться с новыми реквизитами.

2. Как к переносу сервера из одного домена в другой отнесется 1С8, Мдаемон, Symantec

Им без разницы, они к домену не привязаны. В отличие от доменных аккаунтов пользователей, используемых для входа на терминальные серверы.

Допустим есть каталог Ivanov туда имеет доступ сам Ivanov (ivanov@firma) и группа администраторов домена firma , теперь переносим пользователя ivanov в домен firma1.local изменятся ли права на каталог автоматически или же придется их менять вручную.

И еще раз: что означает «переносим»? Новая учетка? И как сервер должен понимать, что новая и старая учетки принадлежат одному пользователю и должны иметь одинаковые права?

Добавление от 28.01.2008 10:56:

Lotto
Под прерыванием работы имется ввиду следующее. Домен , пользователи и компьютеры в целом должены функционировать , отдельные пользователи , учетки и компьютеры которых переносятся в другой домен могут прерывать работу на 1-2 часа.
Под «переносим» я понимал именно перенос пользовтаеля из одного домена в другой с сохранением SID , а не создание нового пользователя в другом домене с таким же именем.

Странник
на одном из этапов требуется двойная перезагрузка всех членов домена
насколько я помню, она не должна быть произведена в определенный момент
просто полноправным членом домена компьютер станет через две перезагрузки

мое мнение — переводить в другой домен гораздо проблематичнее. гораздо больше шансов огрести неделю ночной работы.

1. Такой вариант возможен.
2. 1С и Симантек абсолютно всеравно, Мдаемон не знаю, мигрировал домен с Exchange.
3. Если мигрируешь учетную запись с SID, то права сохранятся.
4. Переносить нужно при помощи ADMT с сохранением SID. Алгоритм переноса таков: переносишь все группы в которые входит пользователь кроме соответственно встроенных и локальных доменных, потом пользователя, потом компьютер пользователя.

P. S. Учетную запись старого домена, под которой будут мигрироваться пользователи, нужно будет внести во встроенную группу администраторы нового домена. Если что-то непонятно, могу расписать подробнее.

Странник
Я бы посоветовал потренироваться в виртуальной среде, дабы вообще иметь представление о том что такое миграция домена.

При переносе групп и пользователей можно указать добавление SID к SID history в новом домене.
Весь процесс можно разделить на два этапа, первый это мигрирование пользователей и групп, второй мигрирование компьютеров.
При мигрировании пользователя или группы в новом домене создается такой же объект в новым сидом, после чего сид из старого домена добавляется к SID history, следовательно NTSF права и все прочее сохраняется.
Миграция компьютеров и серверов это вообще отдельная тема, компьютер обязательно должен быть включен, ADMT после миграции учетки компа удаленно средствами RPC установит и запустит агента, который переколбасит НТФС права и профили юзерей. Ес-но надо не напутаться с ДНС-ами и прочее.

Вообщем лучше всего потренироваться если ранее этого не делал, много всяких тонкостей, всего и не объяснишь на пальцах.

Добавление от 29.01.2008 13:29:

Непонятно как и в какой момент мигрировать группы (в которых пользователи)
и OU в которых компьютеры

Странник
Как там описание поживает?

Вот, наконец закончил.

Подготовка к миграции домена:
1. Установить утилиту ADMT на контроллере домена в старом домене.
2. Удостовериться что новый домен находится в nativ mode.
3. Установить двухсторонние доверительные отношения между старым и новым доменами.
4. Настроить репликацию WINS между серверами WINS старого и нового доменов.
5. В новом домене изменить Default Domain Controllers Policy — открыть Computer Configuration/
Windows Settings/ Security Settings/ Local Policies/ Security Options/ Network access/ — включить
опцию Let Everyone permissions apply to anonymous users.
6. Добавить группу Everyone в группу Pre-Windows 2000 Compatible Access, запустив команду
net localgroup «Pre-Windows 2000 Compatible Access» Everyone /add.
7. Добавить группу Anonymous Logon в группу Pre-Windows 2000 Compatible Access, запустив команду
net localgroup «Pre-Windows 2000 Compatible Access» «Anonymous Logon» /add.
8. Перезагрузить контроллер домена.
9. Создать в старом домене (например в домене firma) пустую локальную группу firma$$$.
10. Удостовериться в том, что все подключенные сетевые диски между контроллерами старого и нового
доменов отключены.
11. На PDC старого домена в реестре создаем запись HKEY_LOCAL_MACHINESystemCurrentControlSet
ControlLsaTcpipClientSupport:REG_DWORD и задаем значение — 0х1. Этот сервер будет
выступать как исходный контейнер для пользователей, групп и компьютеров.
12. Перезагружаем контроллер домена.
13. На контроллере домена старого домена (например в домене firma.local) на котором установлен
ADMT установить дискету в дисковод а и из командной строки перейти в каталог в котором
установлен ADMT и набрать команду admt key firma.local a: * В ответ на запрос — ввести пароль.
14. С установочного диска Windows 2003 Server из каталога i386Admt запустить программу
Pwdmig.exe.
15. При запросе сохраненного файла паролей — указать путь к дискете, созданной в п. 13.
16. Учетная запись, под которой планируется осуществить миграцию домена, должна обладать
следующими правами — быть членом в группе Administrators старого домена, администратором
на всех компьютерах, которые необходимо мигрировать, членом Domain Admins в новом домене.
17. Должен быть включен аудитуправления учетными записями пользователей и групп в старом
и новом доменах.
18. С помощью утилиты Netdom необходимо разрешить применение механизма SIDHistory, выполнив
на контроллере нового домена следующую команду:
netdom trust firma.domain.old /domain:firma.domain.new /enablesidhistory:yes
19. С помощью утилиты Netdom необходимо отключить фильтрацию SID, выполнив на контроллере
нового домена следующую команду:
netdom trust firma.domain.old /domain:firma.domain.new /quarantine:no

Миграция:
1. Мигрируем глобальные и универсальные группы с включением опций Update user rights и
Migrate group SIDs to target domain.
2. Мигрируем пользователя с включенными опциями Migrate password, Enable target accounts,
Migrate user SIDs to target domain, Update user rights, Fix users group memberships.
3. Перед миграцией компьютера проверяем входит ли учетная запись под которой планируется
осуществить миграцию в группу локальных администраторов, отключаем все файерволы и
останавливаем их службы, проверяем запущены ли службы «Удаленный вызов процедур (RPC)» и
«Удаленный реестр». При миграции, если к компьютеру локально не подключены принтеры, то
устанавливаем все флажки кроме printers, если принтер подключен, то устанавливаем и этот
флажок.

Читать еще:  Домены поиска dns

Вот вроде и все. При миграции важен следующий порядок: сначала мигрируем группы, затем
пользователя и только потом компьютер на котором находится профиль пользователя, иначе
у пользователя в новом домене появится новый профиль и все его настройки потеряются.
Компьютер рекомендуется мигрировать сразу после пользователя. Необходимо иметь ввиду,
что если миграция группы и пользователя занимает несколько секунд, то миграция компьютера
может занять несколько часов, в зависимости от объема данных и мощности компьютера.

Str@nNik13
Супер.

1. Пункт 5,6,7
В статье http://support.microsoft.com/kb/326480/ru я такого не нашел, а в http://www.networkdoc.ru/active-directory/active-dir…n-tool-2.0-3.html эта опция есть. В первой статье (где опции нет) идет миграция с 2000 на 2003 , во второй статье с NT4 на 2003, я думаю если мигрировать с 2003 на 2003 , то эту опцию включать не надо. Прошу опровергнуть , если не прав.

2. Пункт 10.
У меня к каждому компьютеру политиками при загрузке цепляется сетевой диск на котором каждый пользователь имеет свою папку в которой хранит документы. Доступ на папку только у него и администраторов. Поясните необходимость при миграции отключать сетевой диск.

3. Пункт 18,19
Таких опций я не нашел ни в одной статье. Может они по умолчанию выставлены в правильный вариант?

4. Компьютеры у меня разбиты по нескольким OU , не подскажете как мигрировать OU или достаточно их просто заново создать в новом домене?

Добавление от 30.01.2008 12:56:

Не совсем понятно как быть с политиками.
Их в новом доме надо заново создать или можно ка-то перенести.

При простом переносе ПК у пользователя создается новый профиль это точно.
если перенести файлы пользователя не проблема то быстрее,
и конечно все настройки спецефичные у пользователя проподают т.к. реестр новый.
Перед перносом ПК их лучше перезагрузить(были случаи что не переносилсь без перезагрузки), пользователь не должен залогинин.

Политики создавать занаво.

Fedorm
А как OU переносить? Просто в новом домене заново создать?
И зачем сетевые диски при миграции отключать?

При миграции у нас менялась структура так, что проблем с OU не было.
Можешь скриптом структуру перенести, можешь руками создать.

Видимо чтобы не было замены прав пользователей на них.

Перенести пользователей в другой домен

Вопрос

Ответы

Формулировка вашего вопроса мягко намекает о некоторой полной вашей не компетенции в данном вопросе(логично, иначе вы бы и не спрашивали)

Если конторы маленькие (где то +- менее 50 сотрудников) — зачастую имеет смысл не заморачиваться миграцией, а просто создать новые учетки и перезагнать клиентские машинки в новый домен. мелкие объемы данных конвертнуть ручками(права там и все такое)

Более крупные (иили старые конторы с большим количеством данных) требуют более аккуратного подхода. Тут уже включаем трасты, вышеупомянутый ADMT, зачастую sid-history и все такое. Обычно вылазит куча проблем с интеграцией данных и приложений в новую среду и прочее.

В случае больших контор (навскидку от 5к народу и более) вам прямая дорога к интеграторам, реально дешевле выйдет чем самим.

  • Помечено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 19 февраля 2018 г. 8:33

Настраиваете трасты между доменами и переносите пользователей.

  • Предложено в качестве ответа Alexander Rusinov Moderator 12 февраля 2018 г. 15:21
  • Помечено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 19 февраля 2018 г. 8:33

Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку «Пометить как ответ» или проголосовать «полезное сообщение». Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.

  • Предложено в качестве ответа Alexander Rusinov Moderator 12 февраля 2018 г. 15:21
  • Помечено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 19 февраля 2018 г. 8:33

Все ответы

Настраиваете трасты между доменами и переносите пользователей.

  • Предложено в качестве ответа Alexander Rusinov Moderator 12 февраля 2018 г. 15:21
  • Помечено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 19 февраля 2018 г. 8:33

Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку «Пометить как ответ» или проголосовать «полезное сообщение». Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.

  • Предложено в качестве ответа Alexander Rusinov Moderator 12 февраля 2018 г. 15:21
  • Помечено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 19 февраля 2018 г. 8:33

Формулировка вашего вопроса мягко намекает о некоторой полной вашей не компетенции в данном вопросе(логично, иначе вы бы и не спрашивали)

Если конторы маленькие (где то +- менее 50 сотрудников) — зачастую имеет смысл не заморачиваться миграцией, а просто создать новые учетки и перезагнать клиентские машинки в новый домен. мелкие объемы данных конвертнуть ручками(права там и все такое)

Более крупные (иили старые конторы с большим количеством данных) требуют более аккуратного подхода. Тут уже включаем трасты, вышеупомянутый ADMT, зачастую sid-history и все такое. Обычно вылазит куча проблем с интеграцией данных и приложений в новую среду и прочее.

В случае больших контор (навскидку от 5к народу и более) вам прямая дорога к интеграторам, реально дешевле выйдет чем самим.

  • Помечено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 19 февраля 2018 г. 8:33

если менее 50 человек народу, несите аз из напрямую, это реально проще и не парьтесь.

  • Изменено ivldenis1 13 февраля 2018 г. 6:38

давайте будем жрать слона по частям.

Сетка пока не суть как важна, давайте определитесь с ресурсами:

есть ли в сурс домене(который вы собираетесь мигрировать в существующую инфраструктуру) следующее — Файловые сервера(включая и мигрируемыеперенаправляемые профили пользователей),Сервера приложений и БД(в случае БД какой тип аутентификации был использован), критичные приложения типа 1Ски и банковских прог следует вообще рассматривать отдельно.

Какое время вы готовы уделить самой миграции? Подход херакс-херакс и в продакшен тоже имеет место быть, однако будьте готовы к крикам юзверей что чтото не работает.

Каким образом организована система доступа пользователей и их данных? Имеет ли место быть использование пользователями локальных хранилищь и ресурсов(шаренные папки на клиентских компах, доступ до расшаренных принтеров и т.п). Практика пользователей хранить данные локально и т.п.

Насколько сильно различаются инфраструктуры пользовательских мест(различные ОС, версии офиса, антивирус, нейминг клиентских машин и прочее). Нужна ли будет стандартизация с ребилдом?

Миграция это не только ценный мех, но и возможность реорганизовать структуру(однако это затребует определенных ресурсов, времени и телодвижений). Оно вам надо или и так сойдет?

З.Ы. контроллеров домена таки желательно 2. Сурс домен насколько сильно делеко расположен географически? Нужен ли будет геореданс? Репликация данных?

Записки IT специалиста

Технический блог специалистов ООО»Интерфейс»

  • Главная
  • Active Directory — от теории к практике. Часть 4 — перенос учетных записей в домен.

Active Directory — от теории к практике. Часть 4 — перенос учетных записей в домен.

  • Автор: Уваров А.С.
  • 02.12.2012

В прошлых материалах мы рассказали как правильно развернуть и настроить инфраструктуру Active Directory, сегодня мы поговорим о том, как правильно ввести в структуру AD уже существующие рабочие станции и учетные записи пользователей. Следуя нашим рекомендациям вы сможете избежать ряда потенциальных проблем и осуществить переход к AD наиболее безболезненно.

Читать еще:  Доменное имя пк

Очень редко когда структура Active Directory создается с нуля, гораздо чаще службы каталогов разворачиваются уже на базе существующей сети, где каждый пользователь имеет свою, настроенную согласно его потребностям, учетную запись, свой набор ярлыков, папок, программ, настроек. При переходе от локальной учетной записи к учетной записи Active Directiory все эти настройки окажутся потерянными и учетную запись пользователя нужно настраивать заново.

А сколько таких учетных записей? Явно не одна и не две, а если принять во внимание, что все равно что нибудь забудете или упустите из виду, то становится понятно, что процесс перевода инфраструктуры от обычной сети к службе каталогов способен превратиться в настоящий ад, как для администратора, так и для сотрудников. Что же делать? Не спешить и, для начала, внимательно прочитать нашу статью.

К сожалению не одни только ученые записи способны вызвать затруднения при переходе на Active Directory, поэтому самое время вспомнить о том, что такое SID. SID компьютера — это уникальный идентификатор безопасности, который генерируется при установке системы и используется в качестве основы при создании прочих идентификаторов (для пользователей, групп и т.п.). Хотя в настоящее время многие специалисты считают проблему дублирующегося SID преувеличенной, например см. статью М. Руссиновича «Миф о дублировании SID компьютера», мы не рекомендуем рисковать и включать в домен машины с одинаковыми SID.

Когда может возникнуть такая ситуация? При клонировании уже установленной системы на несколько ПК, например столь любимыми многими утилитами Norton Ghost или Acronis. Появление в сети подобным машин может привести к неправильному применению групповых политик и некорректной работе некоторых сетевых служб, например WSUS. Мы не будем однозначно утверждать, что данные проблемы возникают именно от дублирующегося SID, но лучше предупредить возможные проблемы, чем потом заниматься их решением. Поэтому лучше позаботиться об уникальности SID до включения машин в домен и появления возможных проблем.

Для обеспечения уникальности SID следует использовать утилиту sysprep, о использовании которой мы рассказывали в данной статье, в Windows 7 данная утилита входит в состав системы и расположена в C:WindowsSystem32sysprep.

Также ни при каких обстоятельствах не допускайте клонирования уже включенной в домен системы — это верный способ получить вес спектр неприятностей связанных с одинаковыми идентификаторами. С этой темой тесно пересекается ситуация с заменой ПК сотрудника, когда новый компьютер должен иметь то-же самое имя, что и старый. При этом простое переименование старого ПК не даст нужного эффекта, для устранения возможных проблем старый ПК необходимо вывести из домена, ввести туда новый ПК под тем же именем, а затем снова ввести старый, но с новым именем хоста, если есть такая необходимость.

Итак, у нас есть некая рабочая станция за которой работает сотрудник Иванов и которую нужно ввести в домен. В первую очередь убедитесь что ПК имеет желаемое имя и при необходимости переименуйте компьютер, не забудьте перезагрузиться. Следующим шагом необходимо правильно настроить сеть, так как в нашей сети развернут DHCP-сервер достаточно установить автоматическое получение сетевых параметров и убедиться в получении правильных значений.

Для серверов, которые должны иметь статические сетевые параметры укажите необходимые значения вручную, особое внимание следует уделить DNS-серверам, это должны быть адреса двух любых контроллеров домена (которые совмещают роль DNS-сервера), в противном случае у вас не получится ввести такой компьютер в домен.

Если вам нужно чтобы какая-либо рабочая станция имела статический адрес, то не стоит указывать его вручную, более правильно будет использовать такую функцию DHCP-сервера как резервирование. Это позволит вам в последующем менять настройки сети без необходимости вносить изменения на каждой рабочей станции (например поменять адрес шлюза). Для резервирования откройте оснастку управления DHCP-сервером, перейдите в папку Арендованные адреса и щелкнув на нужном хосте правой кнопкой мыши выберите Добавить к резервированию. Этим вы закрепите выделенный адрес за данным компьютером на постоянной основе.

Теперь самое время включить наш компьютер в домен. Для этого перейдите в Свойства системы — Имя компьютера и нажмите кнопку Изменить. В открывшемся окне выберите Является членом домена и укажите имя домена в который мы хотим войти, затем нажмите OK, затем укажите имя и пароль пользователя имеющего право на включение компьютера в домен (по умолчанию администратор домена).

Если все сделано правильно и указанный пользователь имеет необходимые права то вы увидите следующее сообщение:

В противном случае проверьте правильность сетевых настроек, доступность контроллеров домена и наличие необходимых прав у указанного пользователя, затем повторите попытку.

После перезагрузки можно попробовать войти под доменной учетной записью, которую нужно предварительно создать на любом из контроллеров домена. Для этого откройте оснастку Active Directory — пользователи и компьютеры, перейдите в папку User и создайте там нового пользователя.

Теперь в систему можно войти под именем нового пользователя. И убедиться в том, о чем мы говорили в начале статьи: работая под локальной учетной записью пользователь Иванов имел привычным образом расположенные файлы, папки и ярлыки, программы были соответствующим образом настроены, кроме того имелась учетная запись почты, избранное браузера и т.д. и т.п. Сейчас он имеет стерильно чистый профиль, который необходимо настраивать заново.

Поэтому самое время заняться переносом профиля локальной учетной записи в доменную. Для этого следует воспользоваться инструментом User State Migration Tool, который входит в состав Пакета автоматической установки Windows (AIK), скачать его можно здесь.

Данный пакет нет необходимости устанавливать на всех ПК, вполне достаточно будет установки на компьютер администратора или один из серверов. Искомый набор утилит находится в папке C:Program FilesWindows AIKToolsUSMT нам нужно будет скопировать их на целевую систему или сделать доступными по сети.

Процесс переноса профиля состоит из двух этапов: создание файла переноса с данными и параметрами указанного пользователя и восстановление профиля из файла переноса, причем сделать это можно на любом ПК, что позволяет быстро перенести профиль с одного ПК на другой при замене компьютера.

Внимание! Вы можете перенести профиль из 32-х разрядной системы в 64-х разрядную, однако обратный перенос из 64-х разрядной в 32-х разрядную не поддерживается!

Для создания файла переноса используется утилита ScanState с синтаксисом которой можно ознакомиться здесь. В нашем случае мы будем переносить локальный профиль пользователя WWW в профиль доменного пользователя ivanov. Для создания файла переноса войдите в систему под учетной записью администратора домена, перейдите в папку с нужной версией USMT (32 или 64 бит) и выполните следующую команду:

Синтаксис команды на первый взгляд довольно сложен, но это не так. Первый аргумент указывает расположение файла переноса, ключ /i: указывает какие правила переноса следует использовать, ключ /v: задает необходимый уровень детализации лога, сочетание ключей /ue: и /ui: исключает из переноса всех пользователей кроме WWW, а ключ /l: определяет расположение лога.

Результатом исполнения команды будет короткий отчет о выполненных операциях которые должны закончиться успехом.

Итак, файл переноса создан, но не спешите переходить ко второму этапу. Если вы уже входили в систему под целевым пользователем, то необходимо удалить или переименовать папку с профилем в каталоге C:Users и удалить соответствующий профилю раздел в ветке реестра:

В противном случае при попытке восстановления профиля вы получите ошибку с кодом 71: LoadState return code: 71.

Читать еще:  Определить контроллер домена

После того, как вы выполните данные операции можно переходит к восстановлению профиля при помощи утилиты LoadState, советуем ознакомиться с ее синтаксисом здесь. Для переноса профиля используйте следующую команду:

Структура команды во многом похожа на предыдущую, одноименные ключи имеют аналогичное значение, ключ /mu: указывает исходный профиль и профиль назначения, доменные учетные записи указываются как DomainUser. В нашем случае профиль локального пользователя WWW будет восстановлен в профиль пользователя interface31.labivanov.

Теперь, выполнив вход под доменной учетной записью пользователь Иванов обнаружит привычное рабочее окружение, как видно на скриншоте ниже, перенеслось даже содержимое корзины.

Данный метод можно использовать для операционных систем Windows Vista/7, для переноса профилей в среде Windows XP также можно использовать USMT несколько изменив синтаксис команд, но лучше воспользоваться утилитой moveuser, которая входит в состав Windows Server 2003 Resource Kit Tools (скачать). Точно также, как и в предыдущем случае, нет необходимости устанавливать пакет на каждую машину, достаточно скопировать утилиту moveuser которая находится в папке C:Program FilesWindows Resource KitsTools.

Для переноса профиля также войдите на целевой ПК как администратор домена и выполните команду:

Синтаксис данной утилиты гораздо проще и его можно изучить запустив ее без аргументов. Ключ /y разрешает перезаписать профиль назначения если он существует, т.е. вы можете предварительно выполнить вход доменным пользователем на эту машину, это никак не помешает переносу, после переноса вход под локальным пользователем будет невозможен, если вы хотите продолжать использовать локальный профиль укажите дополнительно ключ /k.

Выполним вход под доменной записью пользователя Петров и убедимся что он может продолжать работу в домене с привычным рабочим окружением.

Как видим, использование специализированных утилит для переноса пользовательских профилей не вызывает затруднений и способно значительно облегчить работу системного администратора и свести к минимуму неудобства пользователей в процессе внедрения Active Directory.

Как перенести учетные записи пользователей из одного домена в другой на Windows 2008?

(Как скопировать учетные записи пользователей из одного домена в другой на Windows 2008)

Абсолютно не травильная задача особенно если хочется перенести пользователей с паролями.

Есть несколько способов от примитивных до самых изощрённых. Отличия в трудоемкости переноса и в конечном результате. (Для своей задачи рассмотрел всего лишь несколько первых попавшихся из-за ограниченности времени).

Итак, способы (обзор):

1) Командная строка и Excel.

2) Утилита CSVDE.

3) Утилиты из Resource Kit 2008 Server.

4) Active Directory Migration Tool.

5) Программа POINTDEV IDEAL Migration.

1. Командная строка и Excel

Для создания пользователей используется команда net user (Использование команды «net user»), например так

net user bob 123 /add /comment:»My user» /fullname:»Иванов Иван» /domain

Чтобы получить набор строк net user, нужно получить список пользователей, который можно обработать в Excel. Пример, вот такой список

В столбце D – формула:

=СЦЕПИТЬ(«net user «;A2;» 123 /add /comment:»;СИМВОЛ(34);»My user»;СИМВОЛ(34);» /fullname:»;СИМВОЛ(34);C2;» «;B2;СИМВОЛ(34);» /domain»)

Как получить список пользователей: Список может существовать в виде файла (админы иногда сохраняют списки пользователей в файлы). Можно с помощью программы POINTDEV IDEAL Migration, она даже в триальном варианте позволяет выгрузить пользователей в файл cvs. Можно прямо с экрана снять снимок и распознать в ABBYY FineReader, если снимок снимать SnagIt то он сам умеет распознавать.

— Пользователи создаются в примитивном варианте, большая часть полей и опций не переноситься

— Пароль не переноситься

+ Всё очень просто и может быть быстро

2. Утилита CSVDE

Позволяет импортироватьэкспортировать данные из каталога LDAP в файл cvs (в том числе и учетные записи пользователей).

Есть целый сайт посвященный описанию CSVDE Home

— Желательно знать устройство LDAP Active Directory (какие поля чего означают)

+ Бесплатно и не нужно устанавливать

3. Утилиты из Resource Kit 2008 Server

Утилиты addusers, moveuser. Addusers – аналог net user, но более функциональный, например позволяет создавать сразу кучу пользователи из файла-списка. Moveuser – позволяет перенести учетную запись прямо с одного компьютера на другой.

Описание есть здесь:

Сам набор утилит Resource Kit 2008 Server официально он продается в виде набора классных книг (сам не читал – сужу по отзывам) и CDROM диска к ним. Не официально есть на торренте.

— Нужно искать, скачивать или покупать

— Платно

+ Более функционально чем net user

4. Active Directory Migration Tool

Набор средств (утилит) для миграции Active Directory. Изучить – не просто.

— Сложно освоить (документация 263 страницы)

+ Бесплатно

+ Перенести можно наверное что угодно (например, пароли переносятся, но при установке еще каких-то дополнительных компонентов)

5. Программа POINTDEV IDEAL Migration

Позволяет переносить полные сведения домена. Программа платная. Можно получить триальный ключ за просто так, но только на 15 дней и мигрировать можно только 5 пользователей. Программа в триальном варианте позволяет просто выгрузить список пользователей в файл cvs.

При переписке с ними, прислали письмо с ключом, но сам ключ приложить забыли 🙂 поэтому даже попробовать не удалось, хотя список пользователей в Excel я выгрузить сумел.

User Profile Wizard 3.17

Простота. Масштабируемость. Низкая стоимость

Программа User Profile Wizard 3.17 — это самая последняя версия многофункциональной утилиты от компании ForensiT, используемой для переноса рабочих станций. Программа User Profile Wizard переносит профиль текущего пользователя в учетную запись нового домена с сохранением всех имеющихся данных и настроек.

Легкость масштабного переноса

Программа User Profile Wizard используется для автоматического переноса сотен тысяч рабочих станций в новые домены. Программа может использоваться для переноса рабочих станций в новый домен из любой существующей сети на базе Windows, из сети Novell NDS, а также для первоначального соединения автономных компьютеров с доменом.

Гарантия сохранности личных данных и настроек

Значимость Профилей пользователей росла по мере развития операционной системы Windows, и сейчас они являются неотъемлемым компонентом используемого Windows способа организации данных. Однако в определенных обстоятельствах подобная привязка данных к единой учетной записи может вызывать трудности.

Как правило, при соединении компьютера с новым доменом Windows создает новый профиль, что сопровождается потерей всех данных и настроек (файлов папок «Мои документы», «Мои рисунки» и «Моя музыка»), а также прочих персональных данных, например фоновых рисунков рабочего стола, избранных ссылок Интернета и списков последних открытых документов.

Программа User Profile Wizard представляет собой простое в использовании средство переноса профилей, устраняющее все вышеперечисленные затруднения. Программа разрешает совместное с использование исходного профиля с учетной записью в домене. При помощи интерфейса с командной строкой и утилиты User Profile Wizard Deployment Kit можно создать масштабируемое решение для предприятий, где требуется перенос десятков тысяч рабочих станций.

Возможность увеличения или уменьшения масштаба

В отличие от ряда альтернативных вариантов, программа User Profile Wizard не предполагает наличия каталога предприятия. Программа поддерживает разные среды, от Small Business Server до Global Domain Consolidation.

Преимущества

  • Осуществляет перенос всех данных и настроек профиля пользователя
  • Автоматически соединяет компьютер с новым доменом
  • Поддерживает перенос в домены по VPN
  • Поддерживает все домены Active Directory и Samba
  • Может использоваться для переноса из сети Novell NDS
  • Поддерживает составление сценариев для предприятий
  • Поддерживает перенос удаленных компьютеров «пушем»
  • 100% репликация профилей пользователей

Версии Corporate и Professional

Программа User Profile Wizard предлагается в двух версиях. Просмотреть сравнение функций программы User Profile Wizard для ознакомления с функциональностью версий Corporate и Professional. Версия Corporate Edition лицензируется «за рабочее место». Версия Professional лицензируется «за техника».

Ссылка на основную публикацию
Adblock
detector