none
Serverseitig Userprofile migrieren - Gruppenrichtlinie RRS feed

  • Frage

  • Hallo,

    wir haben folgendes Szenario, wo ich bis jetzt leider noch keine Lösung gefunden habe:

    Unsere User Profile liegen derzeit auf einen Windows 2003 Server.
    Wir haben ein Storage angeschafft, auf das wir die Profile migrieren wollen.

    Die Profile werden über Gruppenrichtlinie (ohne Basis-Ordner bzw. Profilpfad im AD) umgeleitet.

    Es werden lediglich die Dokumente (inkl. Bilder, Videos, Musik) und der Desktop umgeleitet.


    Jetzt wäre es zu einfach den Profilpfad einfach auf den neuen Speicherort zu ändern. Denn dann müssten die User Ihre Daten einfach auf den neuen Speicherort schaufeln und gut ist.
    Das Problem was sich hierbei aber stellt, ist das wir eine nicht wirklich optimale Netzwerkverbindung bzw. -Performance haben - da unser Firmengelände sehr weitläufig ist. Darauf würden für manche User Wartezeiten von einigen Stunden resultieren, was ich gerne vermeiden würde.

    Ich habe nun schon folgendes probiert bzw. stelle mir den Workflow so vor:
    - Besitz(er) bei bestehenden Profil übernehmen (Berechtigungen notieren)
    - Auf neuen Speicherplatz verschieben (nicht kopieren)
    - Besitz(er) auf User zurückstellen (inkl. Berechtigung überprüfen)
    - Neue Gruppenrichtlinie mit geänderten Speicherplatz anwenden (bzw. warten bis sie übernommen wurde)
    - Anmelden
    Ergebnis: Fehler - Profil kam nicht wirklich an...

    Ich hab dann bei den oben angeführten Punkten auch versucht anders vorzugehen (z.B.: kopieren statt verschieben) mit immer den selben Ergebnis: Nicht zufriedenstellend/Fehler...

    Habt Ihr eine andere Idee, ich hab jetzt schon einige Suchvorgänge abgesetzt, aber bis jetzt keinen Beitrag gefunden, der zu meiner Anforderung passt.


    Bin für jede Anregung/Idee/Hilfestellung dankbar... 


    Björn
    Dienstag, 5. Juli 2011 07:22

Antworten

  • Hi,

    wir leiten um:

    • Dokumente (inkl. Bilder, Videos, Musik)
    • Desktop

    Die Optionen, mit den Exklusiven Rechten und dem belassen nach dem Entfernen hab ich drinnen gelassen und mir folgendes Batch-Script zusammengebaut:

    set oldprofpath=\\bla\diblub\alt

    set newprofpath=\\bla\diblub\neu

     

     

    FOR /f "delims=" %%F IN ('dir/AD/B %oldprofpath%') do (

     IF NOT exist %newprofpath%\%%F (

     takeown /F %oldprofpath%\%%F /R /A /D J

     xcopy %oldprofpath%\%%F %newprofpath%\%%F /E /I /Y

     icacls %oldprofpath%\%%F /T /inheritance:d

     icacls %oldprofpath%\%%F /T /C /grant:r "%%F:(F)"

     icacls %oldprofpath%\%%F /T /remove:g Jeder

     icacls %newprofpath%\%%F /T /inheritance:d

    icacls %newprofpath%\%%F /setowner %%F /T

    icacls %newprofpath%\%%F /T /C /grant:r "%%F:(F)"

    icacls %newprofpath%\%%F /T /grant "Administratoren:(F)"

    icacls %newprofpath%\%%F /T /remove:g Jeder

    icacls %newprofpath%\%%F /T /remove:g Administratoren

    )

    )

     

     

    Habs mit Testusern und einen kleine ausgewählten Benutzerkreis (=Kollegen) getestet (Win 7 und WinXP-SP3) - erfolgreich.

     

    Jetzt werd ichs noch mit ein paar anderen Kollegen testen und dann den großen "Move" wagen...

     

    Irgendwas von eurer Seite noch an "Verbesserungsvorschlägen"?

     

    Schönes Wochenende

     

    Björn


    Freitag, 8. Juli 2011 12:52

Alle Antworten

  • Hallo,

    >Es werden lediglich die Dokumente (inkl. Bilder, Videos, Musik) und der Desktop umgeleitet.

    Das heißt ihr benutzt rein eine Ordnerumleitung?
    Die Profile selbst liegen lokal?

    Um welche Client Betriebssysteme geht es?

    Bei Windows 7 hast du z.B. die Möglichkeit, die Hintergrund-Synchronisierung zu nutzen:
    http://www.windowspro.de/wolfgang-sommergut/offline-files-ordnerumleitung-und-roaming-profiles-verbesserungen-windows-7

     

    >- Besitz(er) bei bestehenden Profil übernehmen (Berechtigungen notieren)
    >- Auf neuen Speicherplatz verschieben (nicht kopieren)
    >- Besitz(er) auf User zurückstellen (inkl. Berechtigung überprüfen)
    >- Neue Gruppenrichtlinie mit geänderten Speicherplatz anwenden (bzw. warten bis sie übernommen wurde)
    >- Anmelden


    Profile mittels robocopy im Backup-Mode kopieren.
    Dann musst du an den Berechtigungen gar nichts ändern.



     
     



    Dienstag, 5. Juli 2011 08:08
  • Ja, reine Ordnerumleitung (In der GroupPolicy unter: Benutzerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Ordnerumleitung)

    Glaube nicht, das die Profile lokal liegen, bzw. werden Sie nur währen die User angemeldet sind, lokal "geparkt" und die Änderungen dann hochgeladen.

     

    Sowohl Win7 (einige) als auch WinXP (Löwenanteil)

     

    Dann sollte der Workflow wie folgt ausschauen.

    • User abmelden
    • Robocopy auf neuen Speicherplatz
    • Reboot des User-Rechners (damit die neue GroupPolicy auch sicher übernommen wird)
    • User anmelden

    Richtig?

    Dienstag, 5. Juli 2011 09:21
  • >Richtig?

    Ja sollte so funktionieren.
    In der Policy musst du dann noch die Option "Den Inhalt von Desktop an den neuen Ort verschieben" Deaktivieren.

    Denke bitte außerdem daran, die Richtlinie aus eine "alten" GPMC zu erstellen, damit die fdeploy.ini konform für
    die XP-Clients ist.

    Dienstag, 5. Juli 2011 10:53
  • Klingt ja alles recht gut...

     

    Leider gibts da so ein kleines Problem mit Robocopy und Win2k8r2 - http://social.technet.microsoft.com/Forums/de-DE/windows_Serverde/thread/b8397519-da07-4007-9d15-b8ec23411bb5/

     

    Wenn ichs wie in den Artikel angesprochen mit XCOPY mach, dann stimmt das ganze dann mit der Vererbung - jedoch sind dann einige Ordner für den User vom Zugriff ausgeschlossen (so z.B. ALLE eigens angelegten Ordner in den Dokumenten bei Windows 7).
    icacls hatte auch nicht die gewünschte Auswirkung... 

    Sehr unbeeindruckend was mit Win2k8R2 alles an "Zusatzfunktionen" gibt...

     

    Sorry bin grad ein wenig gefrustet...

    Dienstag, 5. Juli 2011 13:46
  • So, jetzt hab ichs der Gaudi halber nochmal alles versucht schritt für schritt anders zu machen....

    Jetzt mit einen Win2k3r2

    • Benutzer abgemeldet
    • Rechner neu gestartet
    • Benutzer in die OU für die neuen Profile verschoben
    • xcopy von alten Verzeichniss in das neue gemacht
    • Mittels Rechtsklick die Berechtigungen und Besitzer geändert und nach unten vererbt
    • Rechner neu gestartet
    • Benutzer angemeldet

    Ergebniss: Benutzer hat bei Win 7 keine Symbole (ausser Start) in der Taskleiste mehr (Explorer und so..) Unter Arbeitsplatz komm ich nicht mehr in die Bibliothek.

     

    Wirklich prächtiger Abschluss des Tages...

    Dienstag, 5. Juli 2011 14:19
  • Ich glaube, Du mußt uns erst mal deutlich machen, was die aktuelle
    Ausgangssituation ist: Haben die User servergespeicherte oder lokale
    Profile? Welche Ordnerumleitungen mit welchen Parametern (genau!)
    existieren heute? (Profil und Ordnerumleitung sind zweierlei...)
     
    Hast Du - hoffentlich, wenn servergespeicherte Profile - "Eigentümer von
    Servergespeicherten Profilen nicht prüfen" aktiv und "Administratoren zu
    servergespeicherten Profilen hinzufügen"? Das würde in dem Fall viel
    Unbill ersparen ,_)
     
    mfg Martin
     

    Kein MVP, kein MCSE. Nur ein wenig Erfahrung.
    Dienstag, 5. Juli 2011 15:22
  • Hallo,

    die Profile der User sind derzeit mit Gruppenrichtlinie umgeleitet.

    Die Einstellungen in der Gruppenrichtlinie sind derzeit wie folgt:

    Ziel
    Einstellung: Standard - Leitet alle Ordner auf den gleich Pfad um.

    Zielordner
    Einen Ordner für jeden Benutzer im Stammpfad erstellen
    Stammerzeichnis
    \\bla\di\blub 

    [aktiviert] Dem Benutzer exklusie Zugriffsrechte für Dokumente erteilen.
    [aktiviert] Der Inhalte von Dokumente an den neuen Ort verschieben
    [aktiviert] Umleitungsrichtlinien auch auf die Betriebssysteme Windows 2000, Windows 2000 Server.....

    Entfernen der Richtlinie
    [aktiviert] Ordner nach Entfernen der Richtlinie am neuen Ort belassen

     Was wären eure/deine empfohlenen Einstellungen für die Migration?

    Mittwoch, 6. Juli 2011 06:39
  • >die Profile der User sind derzeit mit Gruppenrichtlinie umgeleitet.

    Falsch. Die Profile liegen lokal, nur die betreffenden Ordner werden umgeleitet.

    >Leider gibts da so ein kleines Problem mit Robocopy und Win2k8r2

    Einfach den obersten Ordner mit den gleichen Berechtigungen versehen wie auf dem Quellshare.
    Die ACEs die nicht geerbt werden, werden mit robocopy übernommen.

    Mittwoch, 6. Juli 2011 06:47
  • > die Profile der User sind derzeit mit Gruppenrichtlinie umgeleitet.
     
    Falsch. Profile kann man nicht umleiten... Entweder servergespeichert
    oder lokal. Umleiten kann man nur einzelne Unterordner.
     
    > Einstellung: Standard - Leitet alle Ordner auf den gleich Pfad um.
     
    Ja, schön. Und welchen Ordner leitest Du eigentlich um? Da gibts ja ein
    ganzes Rudel davon...
     
    > Einen Ordner für jeden Benutzer im Stammpfad erstellen
    > Stammerzeichnis
    > \\bla\di\blub
     
    Darf der User da auch Ordner erstellen???
     
    > [aktiviert] Dem Benutzer exklusie Zugriffsrechte für Dokumente erteilen.
     
    Nicht machen. Deaktivieren. Sorgt nur für Probleme mit Backups, die Ihr
    serverseitig hoffentlich etabliert habt.
     
    > Entfernen der Richtlinie
    > [aktiviert] Ordner nach Entfernen der Richtlinie am neuen Ort belassen
     
    Auch deaktivieren. Sonst verhält sich's manchmal zwar technisch korrekt,
    aber psychologisch unerwartet ;-)
     
    Spielt aber beides keine Rolle - die oberen beiden Punkte sind relevant.
     
    mfg Martin
     

    Kein MVP, kein MCSE. Nur ein wenig Erfahrung.
    Mittwoch, 6. Juli 2011 20:36
  • Hi,

    wir leiten um:

    • Dokumente (inkl. Bilder, Videos, Musik)
    • Desktop

    Die Optionen, mit den Exklusiven Rechten und dem belassen nach dem Entfernen hab ich drinnen gelassen und mir folgendes Batch-Script zusammengebaut:

    set oldprofpath=\\bla\diblub\alt

    set newprofpath=\\bla\diblub\neu

     

     

    FOR /f "delims=" %%F IN ('dir/AD/B %oldprofpath%') do (

     IF NOT exist %newprofpath%\%%F (

     takeown /F %oldprofpath%\%%F /R /A /D J

     xcopy %oldprofpath%\%%F %newprofpath%\%%F /E /I /Y

     icacls %oldprofpath%\%%F /T /inheritance:d

     icacls %oldprofpath%\%%F /T /C /grant:r "%%F:(F)"

     icacls %oldprofpath%\%%F /T /remove:g Jeder

     icacls %newprofpath%\%%F /T /inheritance:d

    icacls %newprofpath%\%%F /setowner %%F /T

    icacls %newprofpath%\%%F /T /C /grant:r "%%F:(F)"

    icacls %newprofpath%\%%F /T /grant "Administratoren:(F)"

    icacls %newprofpath%\%%F /T /remove:g Jeder

    icacls %newprofpath%\%%F /T /remove:g Administratoren

    )

    )

     

     

    Habs mit Testusern und einen kleine ausgewählten Benutzerkreis (=Kollegen) getestet (Win 7 und WinXP-SP3) - erfolgreich.

     

    Jetzt werd ichs noch mit ein paar anderen Kollegen testen und dann den großen "Move" wagen...

     

    Irgendwas von eurer Seite noch an "Verbesserungsvorschlägen"?

     

    Schönes Wochenende

     

    Björn


    Freitag, 8. Juli 2011 12:52
  • > FOR /f "delims=" %%F IN ('dir/AD/B %oldprofpath%') do (
     
    FOR /d %%F IN (%oldprofpath%\*) do robocopy %%F %newprofpath\%%~nF /s
    /copyall [/log:%%~nF.log]
     
    Guck Dir mal "xcopy /?" an, zweite Zeile ;-)
     
    mfg Martin
     
    (PS: Ohne Gewährleistung für Tippfehler...)
     

    Kein MVP, kein MCSE. Nur ein wenig Erfahrung.
    Sonntag, 10. Juli 2011 10:15
  • zu spät ;-)

     

    hab das Script schon laufen lassen und es scheint bis jetzt alles Gut gegangen zu sein.

     

    Ich wollte robocopy aus gutem Grund aussen vor lassen - da ich mir den Ärger wegen Vererbung usw. sparen wollte.

     

    Zusatzfrage:

    Bei meinen Tests hab ich folgendes bemerkt:

    Wenn ich das "alte" Verzeichniss lösche, dann bekommt der User eine Fehlermeldung (bei Windows 7) - das er auf den alten Pfad nicht zugreifen kann.

    Kann ich das irgendwie umschiffen (eventuell mit der Option: "Ordner nach Entfernen der Richtlinie am neuen Ort belassen"), da wir in absehbarer Zeit den alten Server abschalten (nicht löschen usw.) möchten.

    Montag, 11. Juli 2011 06:44
  • > Wenn ich das "alte" Verzeichniss lösche, dann bekommt der User eine
    > Fehlermeldung (bei Windows 7) - das er auf den alten Pfad nicht
    > zugreifen kann.
     
    Offline-Dateien am Start? -> "FormatDatabase=1".
     
    mfg Martin
     

    Kein MVP, kein MCSE. Nur ein wenig Erfahrung.
    Montag, 11. Juli 2011 16:54