Jump to content

Eintritt bestehender User in die Domäne

ditro

Von ditro
in Windows Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

lefg Grand Master

lefg   276

Geschrieben
Geschrieben

Hallo,

 

das einfache Kopieren eines Benutzerprofils mit dem Explorer führt zu dem beschrieben Problem.

 

Händisch macht man das in Eigenschaften des Arbeitsplatzes, Benutzerprofile, Kopieren nach... , unter Berücksichtigung von Benutzer, Ändern.

 

Der lokale Benutzer, das lokale Profil hat einen anderen SID als der Domänenbenutzer, das Domänenprofil. Weiter wäre da wohl noch eine Änderung in der User.dat, dem HKey-User dem Registry-Schlüssel des Benutzers durchzuführen.

 

Die Methode über Netzwerkeigenschaften, Benutzerprofile... löst das Problem.

 

Bei einer kleinen Benutzermenge ist das durchaus handhabbar.

Link zu diesem Kommentar
ditro Experienced

ditro   10

Geschrieben
  • Autor
Geschrieben

Aber über Eigenschaften des Arbeitsplatzen/Benutzer....hab ich doch das Problem,

dass ich nicht die lokalen Einstellungen mitsichern kann, wie z.b. den Outlook...

Ein weiteres Problem ist, dass schon ein Profil-Ordner vorhanden ist (auf dem DC) von der ersten Anmeldung des Users im AD und ich keine Rechte hab diesen zu löschen, obwohl ich mich mit den Rechten des Dom-Users anmelde, der ja zugriff auf diesen Ordner haben sollte...

Link zu diesem Kommentar
ditro Experienced

ditro   10

Geschrieben
  • Autor
Geschrieben

Du meinst den Desktop vom lokalen Benutzerkonto ??!!

Also das ist der Teil, der klappt, oder wie ???

 

nein, den normalen Desktop, den man standardmäßig beim Eintritt in die Domäne bekommt

 

D.h., Du fügst ihn im "AD Benutzer und Computer" der Gruppe "Domänen-Admins" hinzu.

 

Ja

 

Wessen Desktop ??? Den vom Benutzer oder den vom DomAdmin?

 

Wenn der Dom-Benutzer zusätzlich Dom-Admin ist, bekommt er seinen "alten" lokalen Desktop, mit allen einstellungen die gemacht würden.

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben
Aber über Eigenschaften des Arbeitsplatzen/Benutzer....hab ich doch das Problem,

dass ich nicht die lokalen Einstellungen mitsichern kann, wie z.b. den Outlook..

Dieser Ordner ist per Default nicht Bestandteil eines servergespeicherten Benutzerprofils. Das wird durch die Gruppenrichtlinie in die NTUser.ini als Excluding deklariert.

 

Bei der Konfiguration von Outlook für dem Modus Internet wird keine Möglichkeit zur Auswahl des Speicherortes von Persöliche Ordner.pst gegeben, er wird tatsächlich in eine Untermenge von Lokale Einstellungen gespeichert.

Bei der Konfiguration als Unternehmen, Arbeitsgruppe ist das anders, dort ist die Möglichkeit zum Speichern in einem anderen Ordner gegeben.

 

Ein weiteres Problem ist, dass schon ein Profil-Ordner vorhanden ist (auf dem DC) von der ersten Anmeldung des Users im AD und ich keine Rechte hab diesen zu löschen, obwohl ich mich mit den Rechten des Dom-Users anmelde, der ja Zugriff auf diesen Ordner haben sollte
Dieser Ordner, dessen Inhalt entsteht sonst doch erst nach dem ersten Abmelden des Users,. Oder irre ich mich da? Ich habe mich für diese Operation auch immer als lokaler Administrator angemeldet.
Link zu diesem Kommentar
ditro Experienced

ditro   10

Geschrieben
  • Autor
Geschrieben

Dieser Ordner, dessen Inhalt entsteht sonst doch erst nach dem ersten Abmelden des Users,. Oder irre ich mich da? Ich habe mich für diese Operation auch immer als lokaler Administrator angemeldet.

Ja, aber ich muss mich doch erst einmal als Dom-User angemeldet haben um den Ordner zu erstellen, dann meld ich mich ab, und als lokaler Admin an. Folglich ist der Ordner da...

 

wenn man diesen Ordner von Hand anlegt, hat er nicht die Berechtigungen, die er hätte, wenn man ihn anlegen läßt...

Link zu diesem Kommentar
Mark4 Contributor

Mark4   10

Geschrieben
Geschrieben

Mahlzeit!

 

Zitat von ditro

Ein weiteres Problem ist, dass schon ein Profil-Ordner vorhanden ist (auf dem DC) von der ersten Anmeldung des Users im AD und ich keine Rechte hab diesen zu löschen, obwohl ich mich mit den Rechten des Dom-Users anmelde, der ja Zugriff auf diesen Ordner haben sollte

 

@ditro

Wie meldest du dich denn "mit den Rechten des Dom-Users" an? Wenn du eine Anmeldung in der Domäne als Domänen-Benutzer machst, kannst du das Profilverzeichnis nicht löschen, sonst würdest du dem Benutzer ja im angemeldeten Zustand das Profil unter den Füßen wegziehen.

 

Zitat von lefg

Ich habe mich für diese Operation auch immer als lokaler Administrator angemeldet.

 

Als lokaler Admin am DC solltest du das Verzeichnis auf jeden Fall löschen können. Falls es nicht sofort klappt, musst du vielleicht erst noch den Besitz übernehmen und dir dann die entsprechenden Rechte geben(bin mir nicht 100% sicher, aber ich meine auch ein Admin hat per Default keinen Zugriff auf die Profilordner)

 

Zitat von ditro

wenn ich den User allerdings zum Domänen-Admin mache, bekomm ich sein gewohntes Desktop mit allen Einstellungen

 

Grundsätzlich hat die Mitgliedschaft in einer Gruppe ja keinen Einfluss auf das Profil. Daher sollte der Benutzer in der Gruppe "Benutzer" das gleiche Profil bekommen wie in der Gruppe "Domain-Admins".

Du hast ein und denselben Benutzer genommen, ihn in die Admin-Gruppe gepackt und dann bekommt er den gewünschten Desktop (also das gewünschte Profil)? Und wenn du ihn danach wieder zurück in die Benutzer-Gruppe schiebst bekommt er wieder den Default-Desktop? Wenn das tatsächlich so ist könnte ich mir nur vorstellen das etwas mit den Berechtigungen auf dem servergespeicherten Profil nicht stimmt. Der Admin hat die Rechte und bekommt Zugriff, der Benutzer hat die Rechte nicht und bekommt keinen, dafür wird dann für ihn neues Profil (lokal) mit den Default-Einstellungen angelegt. Würde also auf jeden Fall mal die Berechtigungen für den Profil Ordner auf dem Server checken.

Link zu diesem Kommentar
ditro Experienced

ditro   10

Geschrieben
  • Autor
Geschrieben

@ditro

Wie meldest du dich denn "mit den Rechten des Dom-Users" an? Wenn du eine Anmeldung in der Domäne als Domänen-Benutzer machst, kannst du das Profilverzeichnis nicht löschen, sonst würdest du dem Benutzer ja im angemeldeten Zustand das Profil unter den Füßen wegziehen.

[/Quote]

Nee, ich meine, als lokaler Admin. Indem Menüpunkt System/Benutzerprofile...da kann man angeben unter welchem Namen man das kopieren möchte.

 

Als lokaler Admin am DC solltest du das Verzeichnis auf jeden Fall löschen können.

[/Quote]

Nein, leider nicht. Ein Admin hat keinen Zugriff auf Profilordner...

 

Falls es nicht sofort klappt, musst du vielleicht erst noch den Besitz übernehmen und dir dann die entsprechenden Rechte geben(bin mir nicht 100% sicher, aber ich meine auch ein Admin hat per Default keinen Zugriff auf die Profilordner)

[/Quote]

Alles klar, wenn ich den Besitz übernehme geht es ;-)

 

Grundsätzlich hat die Mitgliedschaft in einer Gruppe ja keinen Einfluss auf das Profil. Daher sollte der Benutzer in der Gruppe "Benutzer" das gleiche Profil bekommen wie in der Gruppe "Domain-Admins".

[/Quote]

Leider nicht....

 

 

Du hast ein und denselben Benutzer genommen, ihn in die Admin-Gruppe gepackt und dann bekommt er den gewünschten Desktop (also das gewünschte Profil)? Und wenn du ihn danach wieder zurück in die Benutzer-Gruppe schiebst bekommt er wieder den Default-Desktop?

[/Quote]

Ja.

Kann es vielleicht da dran liegen, dass mit der SID was falsch ist. Hab den Weg wie vorher beschrieben versucht, das ganze vom lokalen User-Konto in das lokale User.DOMÄNE zu kopieren. Wie gesagt, als Dom-Admin klappt das ganze

 

Wenn das tatsächlich so ist könnte ich mir nur vorstellen das etwas mit den Berechtigungen auf dem servergespeicherten Profil nicht stimmt. Der Admin hat die Rechte und bekommt Zugriff, der Benutzer hat die Rechte nicht und bekommt keinen, dafür wird dann für ihn neues Profil (lokal) mit den Default-Einstellungen angelegt. Würde also auf jeden Fall mal die Berechtigungen für den Profil Ordner auf dem Server checken.

Ja, aber die wichtigen Einstellungen, also die für Outlook und das Design liegen ja eh nur lokal, da sie ja in der Exclusion List drin stehen.

Link zu diesem Kommentar
mover Proficient

mover   10

Geschrieben
Geschrieben

Entschuldigt bitte wenn ich mich wiederhole. ;)

 

Meine Vorgehensweide wäre folgende:

 

1. DomBenutzer im AD anlegen. (noch kein Servergespeichertes Profil anlegen -> Profilpfad)

2. Als DomBenutzer am PC anmelden, wo er vorher sein lok. Benutzerkonto hatte.

Daraufhin wird das DomBenutzer-Profil erstmalig am PC erstellt (nach Deafult-User-Vorgaben)

3. Als DomAdmin anmelden und im Explorer den Profilordner-Inhalt des (neu angelegten) DomBenutzers löschen.

4. Den Profilordner-Inhalt des lokalen Benutzers in den Profilordner des DomBenutzers kopieren.

Und zwar im Explorer - und nicht über Arbeitsplatz->Eigenschaften->etc.

5. Als DomBenutzer am PC anmelden -> Profil überprüfen

6. Im AD Profilpfad für Servergespeicherte Profile angeben.

7. Fertig - dauert keine 10 min. (je nach Inhalt)

 

Gruss

mover

Link zu diesem Kommentar
Mark4 Contributor

Mark4   10

Geschrieben
Geschrieben

Morgen zusammen!

 

Ich könnt mich ja auch nocheinmal wiederholen und das USMT in die Runde werfen.

Damit werden auf jeden Fall auch die Outlook-Elemente migriert. ;)

 

@mover:

Ich denke das es bei einem User kein Problem ist die Profilordner über den Explorer zu kopieren (zum Beispiel um ein zerschossenes Profil durch eine Sicherung zu ersetzen), wenn es aber zwei grundlegend verschiedene User sind (und das haben wir ja hier: einen lokalen- und einen Domönen-Benutzer, die zwar vielleicht den gleichen Namen haben, aber nicht gleich sind), könnt ich mir vorstellen das es nicht mehr klappt. Das mindeste was dann passiert wäre ja wohl die Neuanlage der ntuser.dat (weil SIDs nicht passen) und damit wären ja z.B. die Desktop-Einstellungen schon flöten gegangen.

Link zu diesem Kommentar
ditro Experienced

ditro   10

Geschrieben
  • Autor
Geschrieben
Morgen zusammen!

 

Ich könnt mich ja auch nocheinmal wiederholen und das USMT in die Runde werfen.

Damit werden auf jeden Fall auch die Outlook-Elemente migriert. ;)

 

 

Alles klar, werde das mal versuchen,

weißt du zufällig die Syntax für den Aufruf?

Ein scanstate -i:miguser.inf <server> sichert mir ja viel zu viel,

ich will ja nur einen User sichern, und nicht alles was auf dem System wie ein User aussieht...

Link zu diesem Kommentar
koli7bri Enthusiast

koli7bri   10

Geschrieben
Geschrieben

Hallo,

 

versuch mal folgenden Weg!

Domainanmeldung ist denk ich ja soweit ok. Der user meldet sich an und bekommt ein Standard-Profil. Melde dich an der Workstation mit Admin-Rechten an / anderer user also.. Lege die NTFS Berechtigungen auf den neuen Benutzer (Vollzugriff -> auch vererben..)

Dann benenne das von Windows angelegte Neue Domänen-Profil um und gib dem alten Profil mit den aktualisierten Rechten den Originalnamen des users.

Somit schaut Windows bei der Anmeldung an der Domäne nach dem userprofil mit dem ensprechdenen NAmen nach. Findet es und kann es aufgrund der Rechte nutzen..

 

Gruß

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...