10
Migrieren von Benutzerprofilen auf neuen Domain Kontroller
Hallo Community,
Stehe von einem großem Problem...
Szenario: In Unserem Unternehmen gibt es einen Domain Controller auf dem MS Server 2003 läuft. Durch die alte Hardware muß dieser in naher zukunft umgestellt werden.
Unser externer Admin hat auch schon nen neuen DC geliefert, neue Hardware aber auch MS Server2003. Er hat bereits die Domaine mit gleichem Domainnamen und gleichen Computernamen vorinstalliert. Er sagte uns beide parallel anschließen ist nicht drin, deshalb soll ich in der AD alle Benutzer und Gruppen neu anlegen (ist auch sehr gut den die alte AD hat ihre übersichtlichkeit schon vor jahren verloren). Tja problem da wir den neuen DC erst intregieren können wenn der alte DC abgeschaltet ist. muß die umstellung an einem WE stattfinden. Wie bekomme ich es hin daß die User nichts davon mitbekommen - also wenn ich nen Client in die neue Domain bringe (gleicher Domainname und Computername), soll sich am Profil nichts ändern alle Icons, sowie Outlook und IE favorieten etc. sollen so wie gewohnt bei den Usern erscheinen. (Die alten Gruppenrichtlinen werde ich neu anlegen).
Jedoch möchte ich vermeiden jedes profil am client neu einzurichten e-mail konto, favorieten...
gibt es eine lösung bzw. tool was mir hilft die Benutzerprofile zu kopieren??? hoffe konnte mein anliegen verständlich schildern und jemand von euch cracks ist motiviert mir zu helfen.
gruß texas305
Stehe von einem großem Problem...
Szenario: In Unserem Unternehmen gibt es einen Domain Controller auf dem MS Server 2003 läuft. Durch die alte Hardware muß dieser in naher zukunft umgestellt werden.
Unser externer Admin hat auch schon nen neuen DC geliefert, neue Hardware aber auch MS Server2003. Er hat bereits die Domaine mit gleichem Domainnamen und gleichen Computernamen vorinstalliert. Er sagte uns beide parallel anschließen ist nicht drin, deshalb soll ich in der AD alle Benutzer und Gruppen neu anlegen (ist auch sehr gut den die alte AD hat ihre übersichtlichkeit schon vor jahren verloren). Tja problem da wir den neuen DC erst intregieren können wenn der alte DC abgeschaltet ist. muß die umstellung an einem WE stattfinden. Wie bekomme ich es hin daß die User nichts davon mitbekommen - also wenn ich nen Client in die neue Domain bringe (gleicher Domainname und Computername), soll sich am Profil nichts ändern alle Icons, sowie Outlook und IE favorieten etc. sollen so wie gewohnt bei den Usern erscheinen. (Die alten Gruppenrichtlinen werde ich neu anlegen).
Jedoch möchte ich vermeiden jedes profil am client neu einzurichten e-mail konto, favorieten...
gibt es eine lösung bzw. tool was mir hilft die Benutzerprofile zu kopieren??? hoffe konnte mein anliegen verständlich schildern und jemand von euch cracks ist motiviert mir zu helfen.
gruß texas305
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 133377
Url: https://administrator.de/contentid/133377
Printed on: April 18, 2024 at 04:04 o'clock
10 Comments
Latest comment
Er sagte uns beide parallel anschließen ist nicht drin.
Besorgt euch einen neuen Admin. Der hier will nur Geld verdienen.
Bis auf kleine ausnahmen sollte man beide Parallel anschließen können. Falls der Servername aber unbedingt gleich sein soll geht's nicht.
An sonsten gibt's das
http://www.microsoft.com/downloads/details.aspx?familyid=6f86937b-533a- ...
An sonsten gibt's das
http://www.microsoft.com/downloads/details.aspx?familyid=6f86937b-533a- ...
Servus,
gaaanz ehrlich....
Der Weg gleicht einem das ist ein Fass ohne Boden und garantiert Probleme mit den Usern....
Einen neuen (zusätzlichen)DC in einer gleichlautenden Domain sollte man ohne viel brimborium hinbekommen.
Die sollten beide gleichzeitig laufen - um sich abgleichen zu können.
Quark - etwas übersichtlichkeit bekommt man in jede AD rein und wenn darum geht, dass da noch Leichen drin sind - ob die nun im neuen - oder alten System nicht übernommen oder gelöscht werden - ist Jacke wie Hose.
Ich würde mit dem externen mal ein Ernstes Wort reden und mir seine "Zettel" MCSx zeigen lassen.....
edit nur mal so am Rande, wird für dich ab der zeile:
Gruß
gaaanz ehrlich....
Der Weg gleicht einem das ist ein Fass ohne Boden und garantiert Probleme mit den Usern....
Einen neuen (zusätzlichen)DC in einer gleichlautenden Domain sollte man ohne viel brimborium hinbekommen.
Die sollten beide gleichzeitig laufen - um sich abgleichen zu können.
Er hat bereits die Domaine mit gleichem Domainnamen und gleichen Computernamen vorinstalliert.
- ufff - und weiß er was er da macht?
Wie bekomme ich es hin daß die User nichts davon mitbekommen
"So" garantiert nicht - denn neuer User==neue SID== neue Passwört==neue Profile usw usf.deshalb soll ich in der AD alle Benutzer und Gruppen neu anlegen (ist auch sehr gut den die alte AD hat ihre übersichtlichkeit schon vor jahren verloren).
Quark - etwas übersichtlichkeit bekommt man in jede AD rein und wenn darum geht, dass da noch Leichen drin sind - ob die nun im neuen - oder alten System nicht übernommen oder gelöscht werden - ist Jacke wie Hose.
Ich würde mit dem externen mal ein Ernstes Wort reden und mir seine "Zettel" MCSx zeigen lassen.....
edit nur mal so am Rande, wird für dich ab der zeile:
Wenn die FLZ im AD gespeichert ist, erleichtert dir die Replikation das Leben ein wenig.
interessant.Gruß
hey leutz danke für eure mühe und antworten - ich weiß die situation mit dem admin ist eigentlich unzumutbar der typ baut nur mist, ist jedoch ein sehr guter freund der GL deshalb ist an dem nichts zu rütteln. Es ist wie es ist.
ADMT hört sich sehr gut an aber daß geht doch nur bei parallel angeschloßenen DCs oder?
ADMT hört sich sehr gut an aber daß geht doch nur bei parallel angeschloßenen DCs oder?
- Tipp #1
- editiere deinen letzten Beitrag.
- /anonymisiere falls da noch was zu /anonymisieren ist
- kopiere dir den Link dieses Threads
- zeige deinem Chef morgen, was du da "zufällig" und "aktuell" gefunden hast
- und dann reden wir weiter
- vorher sollte dann aber auch mein Beitrag einen anderen Inhalt haben.
Gruß
Hallo zusammen,
ich will mich nur ungern einmischen, aber könnte es sein, dass der OP evtl. SBS 2003 meint? Würde für mich zumindest die Aussage des Admin logischer erscheinen lassen.
Gruß D.
ich will mich nur ungern einmischen, aber könnte es sein, dass der OP evtl. SBS 2003 meint? Würde für mich zumindest die Aussage des Admin logischer erscheinen lassen.
Gruß D.
Zitat von @dualhead:
Hallo zusammen,
ich will mich nur ungern einmischen, aber könnte es sein, dass der OP evtl. SBS 2003 meint? Würde für mich
zumindest die Aussage des Admin logischer erscheinen lassen.
Hallo zusammen,
ich will mich nur ungern einmischen, aber könnte es sein, dass der OP evtl. SBS 2003 meint? Würde für mich
zumindest die Aussage des Admin logischer erscheinen lassen.
Da er extra zweimal hintereinander W2k3 ohne SBS geschrieben hat...
Und selbst wenn - beim SBS wär der Externe Weg ja noch krummer - um die Ecke denkt doch keiner...
Und nein - auch der SBS kann / (aber nur kurzfristig) zusammen laufen....
moin
mal nen ganz anderen vorschlag
1. auf den neuen rechner w2k3sp2 drauf
2. in die domäne aufnehmen, als 2. dc
3. alles duplizieren
4. den alten dc rausnehmen
5. den neuen zum 1. dc machen
6. wenn verlangt auf dem alten dc die domäne entfernen und eventuell als 2. dc wieder einsetzten, zur sicherung der domänenstuktur
wenn ich mich nicht ganz irre war das der weg
gruß dirk
mal nen ganz anderen vorschlag
1. auf den neuen rechner w2k3sp2 drauf
2. in die domäne aufnehmen, als 2. dc
3. alles duplizieren
4. den alten dc rausnehmen
5. den neuen zum 1. dc machen
6. wenn verlangt auf dem alten dc die domäne entfernen und eventuell als 2. dc wieder einsetzten, zur sicherung der domänenstuktur
wenn ich mich nicht ganz irre war das der weg
gruß dirk
Ja, bevor man lange rumdiskutiert und nicht auf den alten Servernamen angewiesen ist. Den rechner schnell neu einrichten, einbinden. Alles übertragen und den alten wenn alles ruhig läuft entfernen.
Salve,
ich muss einem meiner Vorredner zu 100% zustimmen.
Auch wenn der externe ein Freund der GF ist... er gehört "geteert und gefedert"!
Nur wenn es sich um eine kleine Umgebung handelt (5 bis 10 User/Clients), wäre das vertretbar.
Das Werkzeug das du benötigst wurde dir bereits genannt und lautet ADMT.
Bei der Migration mit ADMT wird eine Namensauflösung und eine Vertrauenesstellung benötigt.
Doch bevor eine Vertrauensstellung vom Local Security Authority (LSA) Prozess auf den DCs erstellt wird, prüft dieser die Eindeutigkeit folgender Auflistung:
- Den NetBIOS Namen der Domäne
- Den Fully Qualified Domain Name (FQDN) der Domäne
- Die Security Identifier (SID) der Domäne
Diese drei Punkte müssen eindeutig sein, da ansonsten keine Vertrauensstellung zu Stande kommt.
Falls beide Domänen den gleichen Namen haben, ist es ab Windows Server 2003 möglich, eine von beiden Domänen umzubenennen.
Doch bevor man eine Domäne umbenennt, würde ich (je nach Umgebung) die Domäne neu installieren.
Wenn die Domänen-SID gleich lautet, so muss eine von beiden Domänen de- und erneut installiert werden.
Das ADMT richtet ein neues Benutzerkonto in der neuen Domäne ein und fügt die SID des alten Benutzerkontos, aus der alten
Domäne an das neue Benutzerkonto der neuen Domäne als SID-History hinzu. Damit kann das neue Benutzerkonto die alte SID als "Ausweis"
vorzeigen, wenn die neue SID des Benutzerkontos keinen Zugriff bekommt.
Wenn der Benutzer von einer Domäne in eine andere Domäne migriert wird, so wird seine SID nicht mitübernommen, denn der mittlere Part der SID ist die
Nummer der Domäne. Bei der Benutzer-Migration mit ADMT wird jedesmal ein neues Benutzerkonto mit einer neuen SID in der Ziel-Domäne eingerichtet.
Dadurch das das "neue" Benutzerkonto eine neue SID bekommen hat, bekommt das Konto nicht die gleichen Berechtigungen wie es das alte Konto hatte,
auch wenn der Benuztername gleich lautet. Denn bekanntlich sind /Namen/ "Schall und Rauch" in der IT.
Siehe dir auch in dem folgenden Thread meine soeben geschriebene Antwort an. Das Thema ist ähnlich.
[ADMT - die beste Wahl für eine Domain-Migration (Windows Server 2003 Active Directory Struktur)? - administrator]
ADMT - die beste Wahl für eine Domain-Migration (Windows Server 2003 Active Directory Struktur)?
Wenn beide Domänen gleich heißen und die Clients in der Zieldomäne bereits händisch erstellt wurden, gehen dir alle lokalen Benutzer profile verloren und du kannst die Clients nicht migrieren.
Und was ich überhaupt nicht nachvollziehen kann, warum zum Himmel erstellt der externe Berater die Computerkonten in der Zieldomäne händisch?
Ein joinen der Clients muss trotzdem durchgeführt werden. Da macht doch das vorherige händische erstellen der Computerkonten wenig Sinn...
Viele Grüße
/ > Yusuf Dikmenoglu
ich muss einem meiner Vorredner zu 100% zustimmen.
Auch wenn der externe ein Freund der GF ist... er gehört "geteert und gefedert"!
Nur wenn es sich um eine kleine Umgebung handelt (5 bis 10 User/Clients), wäre das vertretbar.
Das Werkzeug das du benötigst wurde dir bereits genannt und lautet ADMT.
Bei der Migration mit ADMT wird eine Namensauflösung und eine Vertrauenesstellung benötigt.
Doch bevor eine Vertrauensstellung vom Local Security Authority (LSA) Prozess auf den DCs erstellt wird, prüft dieser die Eindeutigkeit folgender Auflistung:
- Den NetBIOS Namen der Domäne
- Den Fully Qualified Domain Name (FQDN) der Domäne
- Die Security Identifier (SID) der Domäne
Diese drei Punkte müssen eindeutig sein, da ansonsten keine Vertrauensstellung zu Stande kommt.
Falls beide Domänen den gleichen Namen haben, ist es ab Windows Server 2003 möglich, eine von beiden Domänen umzubenennen.
Doch bevor man eine Domäne umbenennt, würde ich (je nach Umgebung) die Domäne neu installieren.
Wenn die Domänen-SID gleich lautet, so muss eine von beiden Domänen de- und erneut installiert werden.
Das ADMT richtet ein neues Benutzerkonto in der neuen Domäne ein und fügt die SID des alten Benutzerkontos, aus der alten
Domäne an das neue Benutzerkonto der neuen Domäne als SID-History hinzu. Damit kann das neue Benutzerkonto die alte SID als "Ausweis"
vorzeigen, wenn die neue SID des Benutzerkontos keinen Zugriff bekommt.
Wenn der Benutzer von einer Domäne in eine andere Domäne migriert wird, so wird seine SID nicht mitübernommen, denn der mittlere Part der SID ist die
Nummer der Domäne. Bei der Benutzer-Migration mit ADMT wird jedesmal ein neues Benutzerkonto mit einer neuen SID in der Ziel-Domäne eingerichtet.
Dadurch das das "neue" Benutzerkonto eine neue SID bekommen hat, bekommt das Konto nicht die gleichen Berechtigungen wie es das alte Konto hatte,
auch wenn der Benuztername gleich lautet. Denn bekanntlich sind /Namen/ "Schall und Rauch" in der IT.
Siehe dir auch in dem folgenden Thread meine soeben geschriebene Antwort an. Das Thema ist ähnlich.
[ADMT - die beste Wahl für eine Domain-Migration (Windows Server 2003 Active Directory Struktur)? - administrator]
ADMT - die beste Wahl für eine Domain-Migration (Windows Server 2003 Active Directory Struktur)?
Wenn beide Domänen gleich heißen und die Clients in der Zieldomäne bereits händisch erstellt wurden, gehen dir alle lokalen Benutzer profile verloren und du kannst die Clients nicht migrieren.
Und was ich überhaupt nicht nachvollziehen kann, warum zum Himmel erstellt der externe Berater die Computerkonten in der Zieldomäne händisch?
Ein joinen der Clients muss trotzdem durchgeführt werden. Da macht doch das vorherige händische erstellen der Computerkonten wenig Sinn...
Viele Grüße
/ > Yusuf Dikmenoglu
