Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Lokale Benutzer-Profile auf Terminalserver nach Domainmigration

Mitglied: thomander

thomander (Level 1) - Jetzt verbinden

14.09.2011 um 14:59 Uhr, 4056 Aufrufe, 6 Kommentare, 1 Danke

Terminalserver in Domain A, Benutzer vorher in Domain B und jetzt in Domain C, Trust nur einseitig von A nach B/C, Logon nicht mehr möglich

Hallo zusammen,

wir haben hier folgendes Problem:

Unsere "Hauptdomain" wird abgeschaltet und alle User werden (inkl. SID-History) in eine neue Domain verschoben, wobei der Username erhalten bleibt. Es gibt aber noch ein dritte Domain, in welcher diverse Terminalserver laufen. Diese bleibt bestehen. Also bildlich gesprochen:

Domain des TS: A
Anmeldedomain (alt): B
Anmeldedomain (neu): C

Trust einseitig von A nach B/C (d.h. Domain A vertraut B und C, aber B/C nicht A)

Die Benutzerprofile sind lokal auf dem TS gespeichert, es werden nicht die Roaming-Profile verwendet. Wenn nun ein User VOR der Migration ein solches Profil auf dem TS hat, kann er sich NACH der Migration nicht mehr einloggen. Die Meldung lautet (sinngemäss): "Windows cannot logon this user because the profile cannot be accessed"

Ich habe schon versucht, dem neuen User (d.h. migrierten User) Full Control über den Profilordner zu geben, jedoch ohne Erfolg. Hat jemand eine Ahnung, was man hier machen muss/kann?
Bisher haben wir nur die Möglichkeit, das Profil zu löschen/verschieben, sodass ein neues erstellt wird. Aufgrund der installierten Software auf dem TS müssen jedoch bestimmte Registry-Einträge und Dateien aus dem Profil erhalten bleiben...

PS: Der TS ist Win2003 und die Clients haben XP. Alte SIDs können, wohl aufgrund des Trusts, nicht mehr aufgelöst werden...

Vielen Dank und schöne Grüsse,
Thomander
Mitglied: 60730
14.09.2011 um 15:26 Uhr
moin,

PS: Der TS ist Win2003 und die Clients haben XP. Alte SIDs können, wohl aufgrund des Trusts, nicht mehr aufgelöst werden...

Das hört sich aber hier
Unsere "Hauptdomain" wird abgeschaltet
anders an - wird ist doch Zukunft...

  • Richte einen gegenseitigen Trust ein
"kopiere" in der dafür vorgesehenen Gui [Arbeitsplatz; Erweiter; Benutzerprofile] alle Profile.
und wenn der beidseitige trust funktioniert - siehst du da auch die neue Domain - im Fenster drunter - dort gibts du der Kopie des Profils dem "neuen" User die Rechte auf eben jenes gerade kopierte Profil. - Irgendwann löscht du dann das "original"
Wenn das durch ist, kannst du den geänderten Dualtrust wieder entfernen - oder auch drinlassen.

So macht man das, wenns nur wenig "verschnitt" und wenig User sind.

Von daher - um wieviel User handelt es sich denn?
Bei vielen rentiert sich ein anderer Weg, der aber "erstmal" aufwendiger ist.

gruß
Bitte warten ..
Mitglied: thomander
14.09.2011 um 15:51 Uhr
Hallo,

genau das ist das Problem. Wir bekommen keinen gegenseitigen Trust, wir sind nur Betreiber unserer Domain (die mit dem TS), auf die anderen beiden haben wir keinen Zugriff...

Es handelt sich insgesamt um ca. 6000 User, welche in mehreren Wellen migriert werden. Momentan ist noch Pilotphase, und es wurden bereits etwa 50 User migriert...

Gibt es keine andere Möglichkeit?

Danke,
Thomander
Bitte warten ..
Mitglied: 60730
14.09.2011 um 17:43 Uhr
Moin,

Wir bekommen keinen gegenseitigen Trust

  • Dann bekommen wir auch keine saubere Lösung...


ADMT wäre dein Stichwort gewesen, aber ehrlich bei ca. 6000 User mußt du das mit deinem Chef besprechen, dass der das bei den Verantwortlichen der Domain x durchboxt. Notfalls durch verlinkung deiner Frage in einer Mail.

Also "wenn wir - die komplett nix mit deiner Organsation zu tun haben - helfen, müssen die mit dir im gleichen Boot rudern mitmachen, sonst ist das garnix.


gruß
Bitte warten ..
Mitglied: thomander
15.09.2011 um 09:21 Uhr
Hallo,

das wird leider unmöglich... Um einmal einen Kollegen zu zitieren: "Das kommt davon, wenn man die Probleme globalisiert!" Wir mit unseren 6000 Usern sind nunmal leider immer noch ein recht kleiner Teil der Gesamtstruktur und die Domains werden von einer externen Firma betrieben, welche nichts (aber auch gar nichts) tut, was nicht in den SLA's vereinbart ist...

In der neuen Domain werden mehrere Länder zusammengelegt, und die Verantwortlichen sitzen nun nicht einmal mehr im selben Land wie wir!

Aber trotzdem danke!

cu,
Thomander
Bitte warten ..
Mitglied: 60730
15.09.2011 um 11:40 Uhr
puh...

was bin ich froh dass .....

Nungut, dann vielleicht kommen wir dann mit der Zeile weiter - obwohl das strengenommen strange wird...

Aufgrund der installierten Software auf dem TS müssen jedoch bestimmte Registry-Einträge und Dateien aus dem Profil erhalten bleiben...

Nur bitte ich dich diese Zeile nicht hier aufzudröseln, sondern in einem neuen Beitrag - gerne in Batches for Hell, denn ich hab da eine andere Idee, die aber nix mit der Überschrift "Lokale Benutzer-Profile auf Terminalserver nach Domainmigration" zu tun hat, sondern eher
exportieren von bestimmten Regkeys und Dateien aus einer Struktur, die in einer anderen Struktur genutzt / importiert werden kann.

Aber wie geschrieben - nicht hier, sonder im Bätsch Bereich.
Du kannst dann gerne einen Link zur neuen frage hier hinterlassen - aber an der Stelle passt nicht.

Gruß
Bitte warten ..
Mitglied: thomander
19.09.2011 um 13:23 Uhr
Hallo,

danke für das Angebot, aber so weit wollen wir dann auch nicht gehen. Dann bekommen die User einfach ein neues Profil und wir flicken im Bedarfsfall nach. Es wäre nur eine schöne Variante gewesen, wenn die Daten aus dem alten Profil erhalten blieben wären...

Vielen Dank!

cu,
Thomander
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk

Ordnerumleitung für Remotedesktop-Profile auf dem Terminalserver - Ordnerumleitung lokale Rechner

gelöst Frage von mksadmWindows Netzwerk6 Kommentare

Hallo zusammen, kurz zu meiner Umgebung: SRV2008 Domäne mit SRV2008 Terminalservern. Mein Ziel ist die korrekte Ordnerumleitung. Umgeleitet wird ...

Windows Userverwaltung

Lokal gespeicherte Benutzer auf Terminalserver vollständig löschen

Frage von TiTuxWindows Userverwaltung3 Kommentare

Hallo Forum, ich bin gerade auf Fehlersuche auf unseren Terminalservern (2012 R2). Dort kommt es zu Druckerproblemen. Für unsere ...

Windows Server

Roaming-Profiles auf Terminalserver

Frage von anak1mWindows Server4 Kommentare

Hallo zusammen, ich komme im Moment nicht sonderlich voran Roaming-Profiles auf Terminal-Server-Ebene einzurichten. Gedanke: 3 Terminalserver (Srv. 2008 R2) ...

Windows 7

Lokale Profile einfrieren

Frage von Lebowski23Windows 73 Kommentare

Hallo, gibt es eine Möglichkeit eine lokales Profil unter Win 7 einzufrieren. Also keine Änderungen zuzulassen oder diese nach ...

Neue Wissensbeiträge
Windows Netzwerk

CGM Praxisarchiv funktioniert auf Clients nach Update auf 4.14 nicht mehr

Tipp von MOS6581 vor 3 StundenWindows Netzwerk

Moin, ein Kunde setzt das CGM-Praxisarchiv ein. Mehrplatzinstallation mit SQL-Server. Nachdem letzte Woche auf die 4.14 aktualisiert wurde, funktionierte ...

Windows 10

Win 10 - Storage Sense - neues herstellerseitiges Cleaning-Tool statt cleanmgr

Tipp von mathu vor 10 StundenWindows 101 Kommentar

Vermutlich ab dem Oktoberrelease wird eine neue Speicherbereinigungssuftware ausgeliefert von Microsoft. Cleanmgr.exe soll angeblich aber noch weiter parallel verfügbar ...

E-Mail
Neueste Masche der Bad Guys: Offene Erpressung
Information von the-buccaneer vor 1 TagE-Mail14 Kommentare

"Warum den komplizierten Weg über einen Kryptotrojaner nehmen, wenn man die Leute auch direkt erpressen kann?" haben sich wohl ...

Viren und Trojaner
Neues ct-desinfect 2018 erschienen
Information von Lochkartenstanzer vor 1 TagViren und Trojaner

Moin, heise hat eine neues Sonderheft Desinfect veröffentlicht (9,90€/12,90€) . Falls jemand öfter mal Kisten "säubern" muß ist das ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Kombiniere mehrere 4G Router zu einem Netzwerk - Anwendung kleine LAN (10-20 Leute)
Frage von HulkTheHeroLAN, WAN, Wireless22 Kommentare

Guten Mittag liebes Administrator - Fourm, ich hoffe ich habe das richtige Thema ausgewählt - ansonsten bitte gerne verschieben ...

Firewall
Blocken illegaler Film-Streams
gelöst Frage von CoreknabeFirewall20 Kommentare

Moin Wissende, unsere kleine Hochschule möchte gern das illegale Streaming von Kinofilmen und Serien unterbinden. Wir sperren bisher alle ...

Windows Server
2012 R2 Server Keine Anmeldung möglich Meldung: Laut den Sicherheitsrichtlinien auf diesem PC sollen informationen zur letzten interaktiven Anmeldung angezeigt werden
Frage von Speedy18A4Windows Server19 Kommentare

Hallo, ich habe vor einigen Wochen einen zweiten Domain Controller zu meiner Domain hinzugefügt. Funktionierte alles wunderbar. Auch die ...

iOS
Virus auf iphone
Frage von jensgebkeniOS17 Kommentare

hallo gemeinschaft, habe einen virus auf meinem iphone es kommen zwei meldungsfenster 1. online-2018-software-free.win 2. wpform.com - please click ...