thomander
Goto Top

Lokale Benutzer-Profile auf Terminalserver nach Domainmigration

Terminalserver in Domain A, Benutzer vorher in Domain B und jetzt in Domain C, Trust nur einseitig von A nach B/C, Logon nicht mehr möglich

Hallo zusammen,

wir haben hier folgendes Problem:

Unsere "Hauptdomain" wird abgeschaltet und alle User werden (inkl. SID-History) in eine neue Domain verschoben, wobei der Username erhalten bleibt. Es gibt aber noch ein dritte Domain, in welcher diverse Terminalserver laufen. Diese bleibt bestehen. Also bildlich gesprochen:

Domain des TS: A
Anmeldedomain (alt): B
Anmeldedomain (neu): C

Trust einseitig von A nach B/C (d.h. Domain A vertraut B und C, aber B/C nicht A)

Die Benutzerprofile sind lokal auf dem TS gespeichert, es werden nicht die Roaming-Profile verwendet. Wenn nun ein User VOR der Migration ein solches Profil auf dem TS hat, kann er sich NACH der Migration nicht mehr einloggen. Die Meldung lautet (sinngemäss): "Windows cannot logon this user because the profile cannot be accessed"

Ich habe schon versucht, dem neuen User (d.h. migrierten User) Full Control über den Profilordner zu geben, jedoch ohne Erfolg. Hat jemand eine Ahnung, was man hier machen muss/kann?
Bisher haben wir nur die Möglichkeit, das Profil zu löschen/verschieben, sodass ein neues erstellt wird. Aufgrund der installierten Software auf dem TS müssen jedoch bestimmte Registry-Einträge und Dateien aus dem Profil erhalten bleiben...

PS: Der TS ist Win2003 und die Clients haben XP. Alte SIDs können, wohl aufgrund des Trusts, nicht mehr aufgelöst werden...

Vielen Dank und schöne Grüsse,
Thomander

Content-Key: 173103

Url: https://administrator.de/contentid/173103

Ausgedruckt am: 28.03.2024 um 11:03 Uhr

Mitglied: 60730
60730 14.09.2011 um 15:26:45 Uhr
Goto Top
moin,

PS: Der TS ist Win2003 und die Clients haben XP. Alte SIDs können, wohl aufgrund des Trusts, nicht mehr aufgelöst werden...

Das hört sich aber hier
Unsere "Hauptdomain" wird abgeschaltet
anders an - wird ist doch Zukunft...

  • Richte einen gegenseitigen Trust ein
"kopiere" in der dafür vorgesehenen Gui [Arbeitsplatz; Erweiter; Benutzerprofile] alle Profile.
und wenn der beidseitige trust funktioniert - siehst du da auch die neue Domain - im Fenster drunter - dort gibts du der Kopie des Profils dem "neuen" User die Rechte auf eben jenes gerade kopierte Profil. - Irgendwann löscht du dann das "original"
Wenn das durch ist, kannst du den geänderten Dualtrust wieder entfernen - oder auch drinlassen.

So macht man das, wenns nur wenig "verschnitt" und wenig User sind.

Von daher - um wieviel User handelt es sich denn?
Bei vielen rentiert sich ein anderer Weg, der aber "erstmal" aufwendiger ist.

gruß
Mitglied: thomander
thomander 14.09.2011 um 15:51:46 Uhr
Goto Top
Hallo,

genau das ist das Problem. Wir bekommen keinen gegenseitigen Trust, wir sind nur Betreiber unserer Domain (die mit dem TS), auf die anderen beiden haben wir keinen Zugriff...

Es handelt sich insgesamt um ca. 6000 User, welche in mehreren Wellen migriert werden. Momentan ist noch Pilotphase, und es wurden bereits etwa 50 User migriert...

Gibt es keine andere Möglichkeit?

Danke,
Thomander
Mitglied: 60730
60730 14.09.2011 um 17:43:14 Uhr
Goto Top
Moin,

Wir bekommen keinen gegenseitigen Trust

  • Dann bekommen wir auch keine saubere Lösung...


ADMT wäre dein Stichwort gewesen, aber ehrlich bei ca. 6000 User mußt du das mit deinem Chef besprechen, dass der das bei den Verantwortlichen der Domain x durchboxt. Notfalls durch verlinkung deiner Frage in einer Mail.

Also "wenn wir - die komplett nix mit deiner Organsation zu tun haben - helfen, müssen die mit dir im gleichen Boot rudern mitmachen, sonst ist das garnix.


gruß
Mitglied: thomander
thomander 15.09.2011 um 09:21:52 Uhr
Goto Top
Hallo,

das wird leider unmöglich... Um einmal einen Kollegen zu zitieren: "Das kommt davon, wenn man die Probleme globalisiert!" Wir mit unseren 6000 Usern sind nunmal leider immer noch ein recht kleiner Teil der Gesamtstruktur und die Domains werden von einer externen Firma betrieben, welche nichts (aber auch gar nichts) tut, was nicht in den SLA's vereinbart ist...

In der neuen Domain werden mehrere Länder zusammengelegt, und die Verantwortlichen sitzen nun nicht einmal mehr im selben Land wie wir!

Aber trotzdem danke!

cu,
Thomander
Mitglied: 60730
60730 15.09.2011 um 11:40:42 Uhr
Goto Top
puh...

was bin ich froh dass .....

Nungut, dann vielleicht kommen wir dann mit der Zeile weiter - obwohl das strengenommen strange wird...

Aufgrund der installierten Software auf dem TS müssen jedoch bestimmte Registry-Einträge und Dateien aus dem Profil erhalten bleiben...

Nur bitte ich dich diese Zeile nicht hier aufzudröseln, sondern in einem neuen Beitrag - gerne in Batches for Hell, denn ich hab da eine andere Idee, die aber nix mit der Überschrift "Lokale Benutzer-Profile auf Terminalserver nach Domainmigration" zu tun hat, sondern eher
exportieren von bestimmten Regkeys und Dateien aus einer Struktur, die in einer anderen Struktur genutzt / importiert werden kann.

Aber wie geschrieben - nicht hier, sonder im Bätsch Bereich.
Du kannst dann gerne einen Link zur neuen frage hier hinterlassen - aber an der Stelle passt nicht.

Gruß
Mitglied: thomander
thomander 19.09.2011 um 13:23:22 Uhr
Goto Top
Hallo,

danke für das Angebot, aber so weit wollen wir dann auch nicht gehen. Dann bekommen die User einfach ein neues Profil und wir flicken im Bedarfsfall nach. Es wäre nur eine schöne Variante gewesen, wenn die Daten aus dem alten Profil erhalten blieben wären...

Vielen Dank!

cu,
Thomander