5
Active Directory - Benutzermigration und Servergespeicherte Profile
Hallo,
im Rahmen meiner Diplomarbeit beschäftige ich mit der Benutzermigration im Active Directory.
Ich bin nun auf das folgende Problem gestoßen:
IST-Zustand: es existiert bereits eine Domäne A mit Benutzern und Ressourcen (Computern)
SOLL-Zustand: es soll zwei Domänen A und B, eine mit Benutzern, eine mit Ressourcen geben
Zu der bereits existierenden Domäne A habe ich eine neue Domäne B sowie eine bidirektionale Vertrauensstellung dazwischen erstellt. Im Anschluss wurden alle Benutzer aus der Quelldomäne A in die Zieldomäne B migriert. Die Ressourcen, also die Rechner an denen sich die Benutzer anmelden, verbleiben in der Quelldomäne A.
Bis hierher verlief alles problemlos, Benutzer können Sich anmelden und ACLs bleiben erhalten.
Das Problem ist nun, dass bei der Anmeldung der Benutzer in Domäne B das servergespeicherte Profil nicht mehr funktioniert (es wird immer ein lokales Profil verwendet). Auch Ordnerumleitungen funktionieren nicht. Ich vermute das kommt daher, dass die Anmeldung an einem Rechner (in Domäne A) erfolgt, der nicht in derselben Domäne (B) ist, wie der Benutzer und somit keine Profilpfade oder Gruppenrichtlinien übernommen werden.
Gibt es eine Lösung für dieses Problem oder lassen sich Benutzer und Ressource generell nicht in zwei verschiedenen Domänen verwalten? Ich habe leider sehr wenig praktische Erfahrung mit Active Directory, das meiste habe ich mir aus Büchern angelesen.
Vielen Dank schonmal im Voraus!
Beste Grüße,
Ruport.
im Rahmen meiner Diplomarbeit beschäftige ich mit der Benutzermigration im Active Directory.
Ich bin nun auf das folgende Problem gestoßen:
IST-Zustand: es existiert bereits eine Domäne A mit Benutzern und Ressourcen (Computern)
SOLL-Zustand: es soll zwei Domänen A und B, eine mit Benutzern, eine mit Ressourcen geben
Zu der bereits existierenden Domäne A habe ich eine neue Domäne B sowie eine bidirektionale Vertrauensstellung dazwischen erstellt. Im Anschluss wurden alle Benutzer aus der Quelldomäne A in die Zieldomäne B migriert. Die Ressourcen, also die Rechner an denen sich die Benutzer anmelden, verbleiben in der Quelldomäne A.
Bis hierher verlief alles problemlos, Benutzer können Sich anmelden und ACLs bleiben erhalten.
Das Problem ist nun, dass bei der Anmeldung der Benutzer in Domäne B das servergespeicherte Profil nicht mehr funktioniert (es wird immer ein lokales Profil verwendet). Auch Ordnerumleitungen funktionieren nicht. Ich vermute das kommt daher, dass die Anmeldung an einem Rechner (in Domäne A) erfolgt, der nicht in derselben Domäne (B) ist, wie der Benutzer und somit keine Profilpfade oder Gruppenrichtlinien übernommen werden.
Gibt es eine Lösung für dieses Problem oder lassen sich Benutzer und Ressource generell nicht in zwei verschiedenen Domänen verwalten? Ich habe leider sehr wenig praktische Erfahrung mit Active Directory, das meiste habe ich mir aus Büchern angelesen.
Vielen Dank schonmal im Voraus!
Beste Grüße,
Ruport.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 86707
Url: https://administrator.de/contentid/86707
Printed on: April 25, 2024 at 13:04 o'clock
5 Comments
Latest comment
Roaming Profiles und Ordnerumleitungen sind benutzerspezifisch. Dabei ist irrelevant, aus welcher Domäne der Rechner kommt, da die GPO's des Users angewandt werden. Ausnahme ist die Loopback-Verarbeitung von Computer-GPO's, die unter Umständen gültige User-GPO's überschreibt. Bitte prüfe die GPO in Dom. B und stelle sicher dass sie angewandt werden. Prüfe dazu das Ereignisprotokoll, nutze "gpresult.exe" und verwende die "GPMC" und die darüber erhältliche Gruppenrichtlinienergebnisse.
Die Berechtigungen zu den Profiles müssen 100% passen, die Syntax der Ordnerumleitung. Kann der Anwender wenn angemeldet auf sein servergesp. Profilordner zugreifen? Benötigt er dazu den FQDN? Und wenn ja, ist dieser in den Eigenschaften des Benutzers auch so eingetragen?
Die Berechtigungen zu den Profiles müssen 100% passen, die Syntax der Ordnerumleitung. Kann der Anwender wenn angemeldet auf sein servergesp. Profilordner zugreifen? Benötigt er dazu den FQDN? Und wenn ja, ist dieser in den Eigenschaften des Benutzers auch so eingetragen?
Ausnahme ist die Loopback-Verarbeitung von Computer-GPO's, die unter Umständen
gültige User-GPO's überschreibt. Bitte prüfe die GPO in Dom. B und stelle sicher dass sie
angewandt werden. Prüfe dazu das Ereignisprotokoll, nutze "gpresult.exe" und verwende die
"GPMC" und die darüber erhältliche Gruppenrichtlinienergebnisse.
Vielen Dank für den Hinweis, das werde ich sobald möglich überprüfen!gültige User-GPO's überschreibt. Bitte prüfe die GPO in Dom. B und stelle sicher dass sie
angewandt werden. Prüfe dazu das Ereignisprotokoll, nutze "gpresult.exe" und verwende die
"GPMC" und die darüber erhältliche Gruppenrichtlinienergebnisse.
Die Berechtigungen zu den Profiles müssen 100% passen, die Syntax der
Ordnerumleitung. Kann der Anwender wenn angemeldet auf sein servergesp. Profilordner
zugreifen? Benötigt er dazu den FQDN? Und wenn ja, ist dieser in den Eigenschaften
des Benutzers auch so eingetragen?
Ich bin mir eigl. fast sicher, dass es kein Problem mit den Berechtigungen gibt. Der migrierte Benutzer kann, wenn angemeldet, auf alle nötigen Daten zugreifen. Die servergespeicherten Profile sind direkt über den Servernamen sowie den FQDN erreichbar und die Einstellung ist auch so in den Benutzereigenschaften (durch den Migrationsvorgang) übernommen worden.Ordnerumleitung. Kann der Anwender wenn angemeldet auf sein servergesp. Profilordner
zugreifen? Benötigt er dazu den FQDN? Und wenn ja, ist dieser in den Eigenschaften
des Benutzers auch so eingetragen?
Ausnahme ist die Loopback-Verarbeitung von Computer-GPO's, die unter Umständen
gültige User-GPO's überschreibt. Bitte prüfe die GPO in Dom. B und stelle sicher dass sie
angewandt werden. Prüfe dazu das Ereignisprotokoll, nutze "gpresult.exe" und verwende die
"GPMC" und die darüber erhältliche Gruppenrichtlinienergebnisse.
Das war genau der richtige Hinweis. Ich wusste vorher nicht, wie ich GPO-Informationen über angemeldete Benutzer herausfinden konnte. Mit der nachinstallierten "GPMC" und "gpresult" war es dann aber ganz einfach, vor allem mit Hilfe des Ereignisprotokolls der "GPMC", das viele Fehler meldete.gültige User-GPO's überschreibt. Bitte prüfe die GPO in Dom. B und stelle sicher dass sie
angewandt werden. Prüfe dazu das Ereignisprotokoll, nutze "gpresult.exe" und verwende die
"GPMC" und die darüber erhältliche Gruppenrichtlinienergebnisse.
Darunter auch eine Warnung: "Gesamtstrukturübergreifende Gruppenrichtlinienverarbeitung ist deaktiviert und Loopback-Verarbeitung wurde in der Gesamtstruktur auf dieses Benutzerkonto angewendet". Nachdem ich in der globalen GPO der Quelldomäne A in der Computerkonfiguration (Administrative Vorlagen -> System -> Gruppenrichtlinien) "Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie" deaktiviert und "Gesamtstrukturübergreifende Benutzerrichtlinien und servergespeicherte Benutzerprofile zulassen" aktiviert hatte, funktionierten sowohl die Ordnerumleitungen als auch die servergespeicherten Profile!
Vielen Dank nochmal für die Hilfe,
mein Problem ist damit soweit gelöst.
Gruß, Ruport.
Zitat von @Ruport:
Zu der bereits existierenden Domäne A habe ich eine neue Domäne B sowie eine bidirektionale Vertrauensstellung
dazwischen erstellt. Im Anschluss wurden alle Benutzer aus der Quelldomäne A in die Zieldomäne B migriert. Die
Ressourcen, also die Rechner an denen sich die Benutzer anmelden, verbleiben in der Quelldomäne A.
Zu der bereits existierenden Domäne A habe ich eine neue Domäne B sowie eine bidirektionale Vertrauensstellung
dazwischen erstellt. Im Anschluss wurden alle Benutzer aus der Quelldomäne A in die Zieldomäne B migriert. Die
Ressourcen, also die Rechner an denen sich die Benutzer anmelden, verbleiben in der Quelldomäne A.
Hallo
Eine kurze Frage, wie konntest du diese Benutzer von der einen AD in Domäne A in die zweite AD in der Domäne B migrieren? Stehe in Moment vor diesem Problem
Besten Dank
Suche bei Microsoft nach ADMT (Active Directory Migration Tool). Mittlerweile in Version 3 erhältlich. Eine ausführliche Doku ist dabei.
