none
Userprofile nach Namensänderung weiterbenutzen RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    die Frage ist wahrscheinlich simpel, aber ...

    wir haben künftig mehrfach das Problem, dass Anwender den Familiennamen ändern werden. Die Mailumstellung

    ist nicht das Problem, aber ich habe noch nichts gefunden, wie ich den neuen Benutzern das Profil unter dem 'alten' Namen bereitstelle, so dass de facto keine Veränderung auftritt - außer dem Namen bei der Anmeldung. Ablaufen muss das ganze so, dass der neue Benutzer in der globalen Domäne angelegt ist und das lokal auf dem Arbeitsplatzrechner vorhandene Profil

    verwenden soll - einschließlich Oberfläche, verwendete Programme, Startprogramme beim Hochfahren des Systems usw. .

    Es gibt da eine Möglichkeit zum kopieren/verschieben des Profils - ich bin mir jedoch nicht sicher, ob dabei alle Rechte mit übernommen werden. Die Clients laufen derzeit unter XP SP3 - die lokale Domäne ist W2k3.

    Danke für die Mühe ...

    HenryNick

    Freitag, 16. Dezember 2011 07:51
    |

Alle Antworten

  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    wenn du den Namen im AD änderst, ändert sich erst einmal nichts für die bestehenden Profile.

    Als Beispiel:

    Mustermann1 wird umbenannt in Mustermann2.

    Das vorhandene Profil unter C:\Users\Mustermann1 bleibt jedoch bestehen.

    Meldet der User sich an einem anderen Rechner an, an dem er noch nicht angemeldet war,
    so wird ein neues Profil erzeugt. Dieses heißt dann natürlich C:\Users\Mustermann2.

    Wo liegt also dein Problem?

    Benutzt ihr servergespeicherte Profile?

    Probleme wirst du mit Folder Redirection bekommen.
    Hier wird die Variable %username% verwendet.

    D.h. die Verzeichnisse werden (wenn so eingestellt) verschoben.

    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Freitag, 16. Dezember 2011 09:42
    |
    Beantworter
  • Discussion
    Anmelden
    0
    Anmelden

    Das Problem dabei ist, dass die Benutzer an anderer Stelle angelegt werden ... und der Verantwortliche legt

    'Neue' Benutzer an, anstatt die alten zu ändern. Das wäre noch nicht das Problem, aber die Zugriffsrechte auf

    SAP-Server usw. werden unmittelbar auf die neuen Benutzer umgelegt und können dann nicht vom gleichen

    Benutzer verwendet werden. Serverbasierte Profile sind derzeit nicht in Nutzung, da die Mitarbeiter relativ

    'PC-Treu' sind ....

    Freitag, 16. Dezember 2011 12:06
    |
  • Discussion
    Anmelden
    0
    Anmelden
    subinacl/setacl wäre eine Möglichkeit... Du mußt in den lokal
    vorhandenen Profilverzeichnissen die SID des "alten" Users durch die SID
    des neuen Users ersetzen. Das Verzeichnis muß dazu noch so heißen wie
    die SAM-ID (Anmeldename) des neuen Benutzers.
     
    In der ntuser.dat im Profilverzeichnis mußt Du ebenfalls die SID des
    alten Benutzers durch die SID des neuen Benutzers ersetzen.
     
    Und in HKLM\Software\Microsoft\Windows NT\CurrentVersion mußt Du unter
    ProfileList und ProfileGUID alle Einträge korrigieren.
     
    mfg Martin
     
    A bissle "Experience", a bissle GMV...
    Freitag, 16. Dezember 2011 12:45
    |
    Beantworter
  • Discussion
    Anmelden
    0
    Anmelden
    >In der ntuser.dat im Profilverzeichnis mußt Du ebenfalls die SID des
    >alten Benutzers durch die SID des neuen Benutzers ersetzen.
    Ähm, wo?
    Wüsste jetzt nicht, dass die SID da irgendwo im Klartext drin steht
    (im gemounteten Zustand natürlich, nicht als Textfile :) )

    >Das Problem dabei ist, dass die Benutzer an anderer Stelle angelegt werden ... und der Verantwortliche legt

    >'Neue' Benutzer an, anstatt die alten zu ändern.

    Überlegt euch gut, ob das wirklich Sinn macht.
    Durch das Neuanlegen ändert sich die SID.

    Was zur Folge hat, das der User auch nicht mehr Besitzer der von ihm erstellten Files etc. ist.
    Einträge in irgendwelchen ALCs die sich auf den alten Benutzer beziehen funktionieren auch nicht mehr.

    EFS verschlüsselte Dateien sind ebenfalls unbrauchbar.

    Neuanlegen ist also in diesem Sinne "falsch".

    Du könntest ggf. die Einstellungen mittels USMT auf das neue Profil übertragen.
    http://technet.microsoft.com/de-de/library/dd560801(WS.10).aspx

    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Freitag, 16. Dezember 2011 15:36
    |
    Beantworter
  • Discussion
    Anmelden
    0
    Anmelden
    >  >In der ntuser.dat im Profilverzeichnis mußt Du ebenfalls die SID des
    > Wüsste jetzt nicht, dass die SID da irgendwo im Klartext drin steht
     
    In den ACLs (:
     
    > Du könntest ggf. die Einstellungen mittels USMT auf das neue Profil
    > übertragen.
     
    Wäre einfacher.
     
    A bissle "Experience", a bissle GMV...
    Freitag, 16. Dezember 2011 15:45
    |
    Beantworter
  • Discussion
    Anmelden
    0
    Anmelden

    Am 16.12.2011 16:36, schrieb Matthias Wolf [MVP]:

    Wüsste jetzt nicht, dass die SID da irgendwo im Klartext drin steht

    Rechte Maustaste -> Berechtigungen

    Das ist ja das gleiche Spiel, wie beim definieren den Default USers und
    der "Ändern" Schaltfläche, die früher bei NT4 noch "Darf benutzt werdn
    von" hiess.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Freitag, 16. Dezember 2011 16:38
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Moin,

    Am 16.12.2011 16:45, schrieb Martin Binder:

    In den ACLs (:

    In der Registry heisst es AFAIK DAC und nicht ACL, wäre ja zu einfach,
    wenn es immer Access Control List wäre :-)
    ICh glaube selbst bei MS findet man keinen, der den Unterschied kennt :-D

    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Freitag, 16. Dezember 2011 16:43
    |
  • Discussion
    Anmelden
    0
    Anmelden
    > In der Registry heisst es AFAIK DAC und nicht ACL, wäre ja zu einfach,
    > wenn es immer Access Control List wäre :-)
     
    Ich laß mich da gerne aufklären (: Bisher kenne ich DACL und SACL. Und
    "fast" immer, wenn von Rechten die Rede ist, ist die DACL gemeint. Die
    steuert die Zugriffsberechtigungen (IMHO). Die SACL steuert die
    Überwachungseinstellungen (nochmal IMHO).
     
    > ICh glaube selbst bei MS findet man keinen, der den Unterschied kennt :-D
     
    Bei MS findet man viele nicht :P
     
    mfg Martin
     
    A bissle "Experience", a bissle GMV...
    Freitag, 16. Dezember 2011 19:25
    |
    Beantworter
  • Discussion
    Anmelden
    0
    Anmelden
    >SACL steuert die
    >Überwachungseinstellungen (nochmal IMHO).
     
    Plus das Windows Integrety Gedöns...
    (http://msdn.microsoft.com/en-us/library/bb625963.aspx)
     
    >Das ist ja das gleiche Spiel, wie beim definieren den Default USers und
    >der "Ändern" Schaltfläche
     
    Naja gut, das ist ja eh wieder special...
    Hier wird ohnehin nur noch sysprep supported. (zumindest ab NT 6.1)
     
    >In der Registry heisst es AFAIK DAC

    Noch nie gehört. Wieviel Glühwein hattest du Heute schon? :)
     
    >In den ACLs (:
     
    Ok, du hast von den ACLs gesprochen (genauer ja ACEs).
    Ich dachte erst du meintest, es gäbe noch irgendwo einen Identifier.

    Quasi eine Zuordnung SID zu Profil (SID zu ntuser.dat).
    Davon wüsste ich nämlich jetzt nichts.
    MVP - Group Policy http://matthiaswolf.blogspot.com/



    Freitag, 16. Dezember 2011 22:16
    |
    Beantworter
  • Discussion
    Anmelden
    0
    Anmelden
    > Ok, du hast von den ACLs gesprochen (genauer ja ACEs).
     
    Jetzt spalte ich mal eine Erbse (:
     
    Eine ACL besteht aus einem oder mehreren ACEs.
     
    > Quasi eine Zuordnung SID zu Profil (SID zu ntuser.dat).
    > Davon wüsste ich nämlich jetzt nichts.
     
    DAS wüßte ich in der Tat auch nicht.
     
    A bissle "Experience", a bissle GMV...
    Samstag, 17. Dezember 2011 19:08
    |
    Beantworter
  • Discussion
    Anmelden
    0
    Anmelden
    >Jetzt spalte ich mal eine Erbse (:
    >Eine ACL besteht aus einem oder mehreren ACEs.
     
    Wollen wir die ACE nicht noch in die Vitamine runterbrechen? :d
     
     
    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Sonntag, 18. Dezember 2011 11:58
    |
    Beantworter
  • Discussion
    Anmelden
    0
    Anmelden
    > Wollen wir die ACE nicht noch in die Vitamine runterbrechen? :d
     
    Dafür simmer glaub im falschen Forum :p
     
    A bissle "Experience", a bissle GMV...
    Sonntag, 18. Dezember 2011 21:29
    |
    Beantworter
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    bist Du inziwschen weitergekommen?

    Gruss,
    Raul

    Raul Talmaciu, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Mittwoch, 21. Dezember 2011 09:20
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo

    entschuldigt bitte die lange Funkstille - ich war eine Zeitlang verhindert.

    Danke für die vielen Hinweise - ich bin dabei, das alles die kommenden Tage

    durchzuarbeiten und melde mich mit Ergebnissen.

    Gruß

    HenryNick

    Mittwoch, 8. Februar 2012 20:03
    |