Миграция пользователей в другой домен с сохранением профилей
 

Задача состоит в следующем:
1) Мигрировать пользователей из домена domen1 в домен domen2.
2) Перенесенные учетные записи должны сохранить свои профили.

Для миграции использовал ADMT. Галочку с сохранением SID в мастере ставил.
Однако настройки пользователя не остаются преждними при входе в domen2.

Контроллеры доменов организованы на Windows Server 2003. Профили являются локальными.

Подскажите, какие возможны причины данной ситуации. На что следует обратить внимание?

Если профилки локальные, то нужно потом , после создания профиля в новом домене , скопировать профиль из старого домена.
Именно потому что ЛОКАЛЬНЫЙ, он не храниться в домене а, на локальной машине.

Идея копирования профиля не подходит. Слишком много машин.

Как я уже успел обнаружить, при миграции пользователя его objectSID меняется. Скорей всего это и является причиной тому, что профили не подхватываются.

Кто нибудь делал подобное? Как сохранить SID?

Профиль не может подхватиться, потому -что профиль на локальной машине а SID -доменовая вешь.
САдеалй скрипт, который сделает копирование профиля на каойдой машине и все дела.
Но другой дороги нет.

Недавно проводил миграцию пользователей. У меня тоже не было перемещаемых профилей. Я не знаю, сколько пользователей у вас в сети, но из всех возможных вариантов мне проще было создать на новом сервере каталог Profiles а в нем завести папки для каждого пользователя. Потом я в старом домене прописал всем путь к папке хранения их профиля (очень важно правильно прописать права и сделать владельцем папки того юзера, которому он принадлежит) и сказал юзерам перезагрузиться пару раз. В результате у всех оказались переносимые профили. Можно провести миграцию, загрузить в первый раз их у всех, а потом удалить, если они не нужны.

И еще: если у пользователей почта на Outlook Express, как у большинства в моей сети ( это не я придумал ), то заранее позаботься о том, чтобы у каждого юзера была сохранена экспортированная адресная книга и учетная запись, так как после миграции Outlook Express не забирает почту, и выдает окно, где нужно ввести пароль, и если вы его знаете, то придется вводить машину в старый домен, делать экспорт, а потом снова в новый, как я по неопытности и делал. Так же вам придется скопировать каталог почты и подложить его в новую учетную запись.

Ну, на самом деле необязательно было создавать для каждого пользователя каталог с раздачей прав, достаточно сделать скрипт который пропишет всем юзерам в домене расположение профиля, в виде \\сревер\шара\%username%, каталоги сами создадутся. Только в Групповой политике надо прописать чтобы добавлялся доступ Администратору к этим папкам.
После этого всем пользователям нужно будет перелогинится и все.

Вариант с перемещаемым профилем не плох и достаточно эффективен. Но тут все упирается в свободное дисковое пространство, которого не хватит на все профили. Не ужели нет более элегантного способа? Возможно ли использования старого профиля пользователя в новом домене без промежуточного копирования?

Я, примеру, сделал шару для профилей на сервере, на файловый сервер сделал home для юзверей и перенес Мои Документы пользователей в ету папку. И пока вот нет проблем у пользователей, и профили не долго грузятся и место много на сервере не занимает. И ище, можно ограничить квотами размеры профиля, так пользователь узнает что нужно делать уборку в свой хлам. Но прошу внимания, правильно настройте доступы к шарам.

Использование перемещаемых профилей не спасло моего бедственного положения
Сделал следующее:
1) Создал шару на серевере, где будут храниться профили
2) Прописал каждому пользователю путь к профилю (как и советовал GreenIce \\сревер\шара\%username%)
3) Все перезагрузились, профили создались без проблем.
4) Перенес пользователей в новый домен с помощью ADMT
5) Зашел в новый домен под собой - ПРОФИЛЬ НЕ ПОДЦЕПИЛСЯ

К папке профилю есть полный доступ (могу читать и писать находясь в новом домене).

Что еще можно сделать?Помогите, почти неделю топчусь на одном месте.

1. При переносе пользователя, нужно поставить галочку мигрировать профиль и SID пользователя.
2. После переноса пользователя, профиль должен указывать в ту же самую папку

Если не помогло:
были ли ошибки при миграции профиля?
Есть ли права администратора на доступ к папки профиля к который переносится?
Существует ли административная шара на сервере где лежат профили, типа D$?

Пункты 1. 2. были выполнены безупречно
Ошибок при миграции профиля не было.
К папке своего профиля я имею полный доступ, т.е. могу и читать и писать.
Административная шара есть и она доступна.

Что еще можно посмотреть? Еще глупый вопрос: может быть на какие-нибудь логи следует обратить внимание?

А можно конкретнее про
В чем это выражается? Выдается сообщение об ошибке, или еще что-то.
Если в сетевом профиле положить что-нибудь на рабочий стол, после входа оно появляется на рабочем столе?
Есть ли какие-нибудь ошибки в EventLog?
Сам пользователь имеет доступ к папке профиля?

Простите за жаргон. Я имел в виду, что рабочий стол не загружается из расшаренной папки пользователя в Document&settings и соответственно не отображается должным образом. Тоже самое происходит и с меню и с "Мои документы".


Нет. В EventLog было сообщение о том, что нужно отключить автономное кэшинование на ресурсе с перемещаемыми профилями. Но это дело я исправил, после этого никаких предупреждений не было.

Пользователь, который входит в новый домен имеет полный доступ к папке профиля.

Заметил еще интересную вещь, в "Профилях пользователей", которые вызываются из "Свойства системы" профиль имеет тип перемещаемый, а состояние ЛОКАЛЬНЫЙ. Может это наталкнет на какие-нибудь мысли?

Напомню, что изначально задача заключалась в том, чтобы сохранить локальные профили пользователей при переходе в новый домен.

Используйте ADMT 3.0, и не надо никаких перемещаемых профилей.

А из какой папки отображается рабочий стол?
Проведи опыт на компьютере удалить локальный профиль пользователя, а потом зайди им и посмотри откуда он возьмет профиль, из default user или с сетевой папки.
В новом домене случайно не стоит переправлений для рабочего стола?

Посмотри обязательно, кто является владельцем папки с профилем. У меня тоже не подхватывало, даже при том, что права полные были у пользователя. Заодно назначь полные права пользователю SYSTEM, и админу. У меня тоже была такая проблема, после того, как я это проделал все заработало.

Да еще какие права стоят на расшаренную папку, там должны быть или Авторизированные пользователи или Эвриван на изменение.
И в какой домен входит компьютер?

Для миграции использовалась ADMT 3.0
После удаления локального профиля, создается новый. Из сетевой папки не загружается.
Перенаправлений не стоит.
Компьютер в ходит в новый домен.

Попробую поиграть с правами доступа.

Расшаренной папке с профилями добавил группу Все, дал ей полный доступ. Тоже самое проделал и с папкой-профилем.
Результат остался преждним.
При удалении локального профиля и последующим входе в новый домен создается профиль по умолчанию.

Что еще можно сделать?
Где можно посмотреть логи, что бы отследить по какой причине сетевой профиль не подгружается?

Нашел ошибку при миграции пользователя.
Еще интересный факт:
При терминальном входе на сервер, где хранятся профили, перемещаемый профиль загружается. Вход осуществляется в новый домен.

Так же сделаю уточнение. Старый домен держится на Windows Server 2000, а новый на 2003-м.

У кого есть какие-либо соображения?

Эта фраза говорит о том, что он не смог получить доступ к файлу NTUser.DAT в котором хранятся все настройки реестра, и как следствие не смог сконвертировать профиль для нового домена. Проверь, что пользователь под которым осуществляется миграция имеет права администратора в обеих доменах.

Для терминального входа используется профиль прописанный на вкладке терминального входа, а не основной.

Дело в том, что в старом домене моей учетной записи нет вообще. Как будет правильней ее завести или учетку тоже нужно как-то мигрировать?
На что должны быть у меня права?

Сделай владельцем папки с профилем того пользователя, которому она принадлежит. Без этого у меня тоже профиль не загружался, даже при том, что стояли полные права!!!

Наверное этот пользователь по любому имеет права в обеих доменах, иначе бы просто не удалось провести миграцию учетной записи.

to sfap
Необязательно
т.е. если он имеет права администратора в конечном домене, и права пользователя в начальном, то пользователь скопируется. Но нельзя будет перенести пароль и профиль.

http://support.microsoft.com/kb/326480/ru

Т.е. пользователь под которым запускается ADMT, должен быть включен в группу Domen Admins как в старом домене, так и на новом.

Как это можно сделать? Нужно в исходном домене создать пользователя вручную и добавить его в группу? Или как?

И еще вопрос: что лучше сначала перевести в новый домен, рабочие станции или пользователей?

Просто добавить пользователя из нового домена, на старом домене в группу администраторов.
Если между доменами настроены доверительные отношения то проблем не будет.

Заходишь в группу domen admins или enterprais admin на старом домене "говоришь" добавить пользователя, сверху выбираешь новый домен, затем пользователя и все.

ИМХО Рабочие станции, так на них сразу начнут действовать политики нового домена.

Невозможно выбрать новый домен. Его там просто-напросто нет. Почему? Домены доверяют друг другу в обоих направлениях.

Создай на старом домене локальную группу, и включи в нее пользователя из нового домена,
потом эту локальную группу включи на старом домене в группу администраторов.

Однако не добавляется в Админы домена локальная группа. Максимум куда его можно засунуть это в локальную группу админов контроллера домена.

тему так, пролистнул.
Могу предлодить для решения задачи User Profile Wizard 3.0
http://www.forensit.com/downloads.html
Суть такова: надо знать учетные данные для вывода компа из домена 1 и для ввода его в домен 2. На целевом компе должен быть выключен фаервол и включен rpc. В проге указывается им целевого компа, вышеуказанные данные, название профиля на целевом компьютере и название нового профиля (т.е. имя юзера в домене 2). Этот новый юзер в домене2 в АД должен быть уже заведён.
Все настройки сохраняются. Опробовано.


А так - можно логически подумать. Ищем в реестре нужный SID старого пользователя, Вводим комп в домен, входим под новым пользователем. Потом под учёткой лок. админа в реестре там где сид нового пользователя там параметр Profileimagepath заменяем на значение этого же параметра от сида старого пользователя, даём вссе права в реестре на этот раздел новому пользователю. А так же на саму папку с профилем старого пользователя дать фулл доступ новому пользователю. Как-то так, это я не пробовал :idontnow:

в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
каталоги - ето профили пользователей

ProfileImagePath - путь к каталогу пользователя
если у тебя после залогирования там создалась папка которая називаеться именем нового SID юзера в новом домене а в ProfileImagePath - C:\Users\*Username.domainname2* (windows 7 путь)
исправь етот путь на C:\Users\*username* (каталог старого профиля.)

после етого юзер залогиниться в свой старий профиль если у него есть необходимие права на файли профиля.
если у тебя несколько домен контролеров попробуй осуществлять миграцию на другой Домен Контроллер (target domain controller в проге ADMT)

извините за орфографию, нет русской клавиатури.

Ребят может чуть и оффтоп, но по теме все же 4то-то есть. Я переносил профиль локального пользователя через User Profile Wizard в доменный. Но перед этим перестанавливал ОС, поэтому важные файлы (а такие были только на рабочем столе) сохранил на серваке. Перестановил w7 profrssional и копирнул файлы раб стола с сервака на диск ц. Затем полсе всех настроек через User Profile Wizard переписались пути в доменный профиль. Ну и вышел из под локального профиля. Он поросил залогиниться под доменным, нуя так понял 4то пути переписались все, донастроил комп и вырезал-вставил все файлы с диска ц на раб стол доменного уже пользователя, затем ребутнул комп и...все файлы копированные пропали. Я пытался через восстановление системы вернуть всё, но не вышло, пытался через восстановление данныхз Recuvой-тоже не находит этих файлов. В итоге потерял 10 гигов информации начальника (по закону подлости комп был его как раз рабочий). Надо вернуть эти файлы. Я так понимаю они есть но путь вреестре к ним не прописан. Как мне вернуть их. Есть еще вариант : так как они были на серваке попробывать через восстановление удаленных файлов какой нить прогу, но я их не удалял а Вырезал, есть смысл ковырять сервак? В общем помогите кто чем может. Спасибо