Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Fileserver Migration von Workgroup in Domäne

Frage Microsoft Windows Server

Mitglied: rookie

rookie (Level 1) - Jetzt verbinden

10.11.2014, aktualisiert 16:22 Uhr, 1035 Aufrufe, 9 Kommentare

Hallo,

ich habe eine Arbeitsgruppe mit ca. 50 Clients und einem Fileserver. Alle Benutzer arbeiten mit dem selben lokalen Benutzer. Dieser hat diverse Berechtigungen auf dem Filserver. Nun möchte ich eine Domäne aufbauen, in der der Fileserver dann zum Memberserver wird. Sämtliche Clients werden auch in die Domäne gehoben. Dann passen aber die Berechtigungen nicht mehr. Ich habe schon gesehen, dass man mit "subinacl" einiges an den ACLs anpassen kann. Ich habe allerdings keine Möglichkeit gefunden, bestehende ACLs sozusagen zu duplizieren und gleichzeitig zu ändern.

Mein Ziel ist es, vorhandene ACLs der Workgroup bestehen zu lassen, und analog zu diesen auch den Domänenaccount mit denselben Berechtigungen hinzuzufügen, damit ich auch eine Koexistenz habe, da nicht alle Clients an einem Tag migriert werden.

Das heißt zum Beispiel:

C:\Testordner -> Ändern-Recht für "Fileserver\Benutzer"

nun soll hinzugefügt werden -> Ändern-Recht für "Domäne\Benutzer".

Wie stelle ich das am geschicktesten an? Danke.
Mitglied: emeriks
10.11.2014 um 20:36 Uhr
Hi,
wenn der Fileserver z.Z. DER Server ist und Du noch keine Domäne hast, also bei Null anfängst, dann könntest Du den FS zum ersten Domaincontroller der neuen Domäne (und Gesamtstruktur) machen. Später dann einen weiteren Server zum DC promoten (der Domäne hinzufügen) und den FS wieder demoten.
Dabei würde die lokale Sicherheitsdatenbank des FS zu der der Domäne werden. Die Domäne bekommt die SID des FS und die Konten des FS sollten anschließend 1:1 in der Domäne existieren, mit denselben SID.
Damit würden schon mal die Berechtigungen des Fileserver für das (jetzt) Domänen-Konto erhalten bleiben. Die Benutzer müssten sich dann lokal mit dem Domänen-Konto anmelden (nicht mehr mit dem jeweils lokalen Konto).

Mal abgesehen davon ob die Praxis mit dem nur einen Konto bisher gut und/oder sinnvoll war und ob Du das beibehalten willst. Es hat ja offensichtlich für Eure Zwecke funktioniert. Du könntest dann so weitermachen.

Wenn Du dann aber doch auf mehrere Konten umstellen willst, dann kannst Du in der Domäne eine oder mehrere Gruppen erstellen, die Benutzerkonten dort gruppieren und dann mit

subinacl ..... /replace=[DomainName\]OldAccount=[DomainName\]NewGroup .....

die Berechtigungen ersetzen.

E.
Bitte warten ..
Mitglied: rookie
10.11.2014, aktualisiert um 20:48 Uhr
Hallo E,

danke für die Antwort. Die Sache mit dem promoten ist natürlich ein echt toller Trick. Aber die Sache hat den Haken, dass beim Heraufstufen zum DC die Workgroup Clients wiederum nicht mehr auf die Freigaben kommen. Und ehrlich gesagt möchte ich lieber "sauber" auf zwei 2012er DCs beginnen.

Bei dem Beispiel mit subinacl hab ich meinem Verständnis nach dasselbe Problem. Die Berechtigungen des lokalen Accounts werden auf den Domänenaccount übertragen. Also können Workgroup Clients wieder nicht zugreifen. Ich dachte, es gäbe irgendeine Möglichkeit nach dem Motto

subinacl /add=Server\user=domain\user

Genau das bräuchte ich

Das mit dem einzelnen Benutzer wird so beibehalten, die Rechner werden für eine Spezialanwendung benötigt, mit dem eigentlichen Betriebssystem wird nicht gearbeitet (Office etc)
Bitte warten ..
Mitglied: emeriks
11.11.2014 um 08:48 Uhr
Hi,
Aber die Sache hat den Haken, dass beim Heraufstufen zum DC die Workgroup Clients wiederum nicht mehr auf die Freigaben kommen.
Du hast geschrieben, dass die Clients auch in die Domäne sollen. Dann sind sie keine Workgroup Clients mehr und ich bin davon ausgegangen, dass dann dort mit Domänenkonten gearbeitet werden soll.

Und ehrlich gesagt möchte ich lieber "sauber" auf zwei 2012er DCs beginnen.
Was bitte ist da nicht "sauber", wenn man einen vorhandenen Server promotet?

Bei dem Beispiel mit subinacl hab ich meinem Verständnis nach dasselbe Problem. Die Berechtigungen des lokalen Accounts
werden auf den Domänenaccount übertragen. Also können Workgroup Clients wieder nicht zugreifen. Ich dachte, es
gäbe irgendeine Möglichkeit nach dem Motto

subinacl /add=Server\user=domain\user
Wenn Du beim Ersetzen eine Gruppe einträgst, dann "addest" Du hinterher zu der Gruppe!

Das mit dem einzelnen Benutzer wird so beibehalten, die Rechner werden für eine Spezialanwendung benötigt, mit dem
eigentlichen Betriebssystem wird nicht gearbeitet (Office etc)
Na dann ist das wie von mir beschrieben ein Weg.

Es geht auch so: Alle Bäume, die vor dem Wald stehen, fällen.
Wenn der FS zum Member wird, dann gehen die lokalen Konten nicht verloren. Auch nicht die NTFS-Berechtigungen dieser Konten. Also könntet Ihr 1:1 weiterhin mit dem bisher genutzten Verfahren arbeiten auch wenn Server und Clients dann in der Domäne sind. Allerdings erschließt sich mir dann nicht ganz der Sinn der Aktion, die Du da vorhast.

E.
Bitte warten ..
Mitglied: rookie
11.11.2014 um 14:00 Uhr
Hallo E,

ich habe das Ganze mal fix nachgebaut. Du hast Recht. Die Lösung mit dem Promoted des Fileservers wird wohl das beste sein. Ich war der Meinung, dass der lokale Benutzer aus der ACL rausfliegt und nur noch der Domänenbenutzer drin steht. Aber es stehen nach dem Promoten beide drin.

Danke für die Hilfe
Bitte warten ..
Mitglied: rookie
12.11.2014 um 15:38 Uhr
Jetzt habe ich gleich das nächste Problem. Die lokalen Profile sollen in der Domäne weiterverwendet werden. Meiner Theorie nach muss man dem Domänenbenutzer Vollzugriff auf das lokale Profil geben und dann den "ProfileImagePath" auf das lokale Profil setzen. Ich habe dazu auch eine wunderschöne Anleitung bei Microsoft gefunden. (http://social.technet.microsoft.com/wiki/contents/articles/24026.step-b ...)

Melde ich mich nun mit dem Domänenebenutzer an, so erhalte ich zwar das alte Profil zurück, allerdings kann ich nicht arbeiten da ich auf "explorer.exe" keinen Zugriff habe. Wenn ich die Berechtigungen über den Admin Account checke, dann dürfen "Rechner\Benutzer" darauf zugreifen. In der Gruppe Benutzer sind Domänenbenutzer. In dieser Gruppe ist auch mein Domänenbenutzer mit dem ich teste.

Irgendwas läuft da schief
Bitte warten ..
Mitglied: emeriks
12.11.2014 um 16:02 Uhr
Welche Komponenten des lokalen Profils sind denn überhaupt interessant? Desktop, Eigene Dateien, Favoriten und sowas? Die üblichen Verdächtigen? Falls es nur das ist, dann kannst Du auch jeweils mit einem neuen Profil anfgangen und nur diese Inhalte wieder bereitstellen.
Die NTUSER.DAT musst Du nur dann übernehmen, wenn Du auch Einstellungen aus der Registry des Benutzers (HKCU) übernehmen willst. Obwohl Du auch das durch Export/Import übernehmen könntest.

Export:
01.
reg.exe export HKCU HKCU_Export.reg
Import
01.
reg import HKCU_Export.reg
E.
Bitte warten ..
Mitglied: rookie
12.11.2014, aktualisiert um 16:45 Uhr
Ich wollte das Profil schon gerne 1:1 übertragen, hätte auch nicht gedacht, dass das so ein Krampf wird. Das mit dem Export/Import der Registry ist auch nicht so leicht, weil mein Domänenbenutzer keine Admin-Rechte hat.
Bitte warten ..
Mitglied: rookie
12.11.2014 um 19:45 Uhr
Ich habe jetzt einfach den Windows Easy Transfer Wizard benutzt. Damit funktioniert es wie gewünscht, wenn auch mit diversen Klicks.
Bitte warten ..
Mitglied: emeriks
12.11.2014 um 20:59 Uhr
Um HKCU zu erxportieren braucht man keine Admin-Rechte.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Userverwaltung
gelöst Programmupdates ohne Adminrechte für die User einer Domäne (3)

Frage von M.Marz zum Thema Windows Userverwaltung ...

Exchange Server
Exchange 2010 Akzeptierte Domäne löschen (4)

Frage von Rob1982 zum Thema Exchange Server ...

Windows Netzwerk
USB-Gerät ins Netzwerk (Domäne) einbinden (4)

Frage von griss0r zum Thema Windows Netzwerk ...

Windows Server
AD Replikation zwischen untergeordneten Domäne zwingend? (4)

Frage von Gien-app zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...