none
Controllo accesso, dominio windows server sbs2008 e migrazione utenti locali RRS feed

  • Domanda

  • Salve a tutti,

    chiedo aiuto a voi, perchè a distanza di mesi non so più dove battere la testa e nessun tecnico ha mai saputo aiutarmi... provo a descrivere ciò che mi è successo...

    Siamo in una azienda dove i client sono con win7 in un dominio di rete gestito dal server con sbs 2008. il server non andava più così decido di fare un bel format al server e rieseguire una installazione completamente del server da zero.

    configurato il server, e configurati gli utenti (con lo stesso nome che avevano prima) e creando lo stesso dominio che avevano prima, scopro che i client non posso collegarsi al server... allora nei singoli client ho dovuto cambiare l'impostazione da dominio in gruppo di lavoro e dopo riagganciarmi al dominio, facendo così aggiungere il client nella rete del dominio e poter così rifare l'accesso con ctrl+alt+canc.... facendo così succede che una volta "loggati" il desktop è pulito! i client di posta uguale!!! insomma un disastro! scopro così che anche se ho chiamato l'utente di rete col medesimo nome precedente, il profilo ha un proprio id, ed essendosi ricreato uno nuovo anche se ha lo stesso nome, per il client è un nuovo utente! allora mi appoggio ad un utility di migrazione del profilo utente, dicendogli che il vecchio profilo (lo idendifico da una sigla tipo sid-234324-234234-23423-234234 etc...etc..) è questo nuovo utente... così magicamente mi ritrovo il vecchio desktop, email e tutto ciò che concerne il "vecchio" utente... sembra tutto perfetto... ma noto un problema che non ho mai avuto una risposta da nessuno... alcuni programmi che comunque funzionano, sembrano non avere privilegi di scrittura su disco... non danno errori ma non salvano per esempio le impostazioni...

    faccio un esempio ho un programma di contabilità che funzionava regolarmente, fatta la migrazione, e dopo aver sbagliato la password, nel richiedermela nonostante la metto corretta, il programma parte regolare, ma non viene memorizzata nel file ini del programma. Quando rilancio il programma devo sempre 

    reinserirla... firefox sembra non riuscire a memorizzare le "eccezioni".... girovagando nella cartella utenti, noto che il mio utente di dominio la cartella si chiama fabio.MIODOMINIO ha un lucchetto... e non credo debba averlo... gli altri utenti che vedo nella cartella non hanno il lucchetto... però nonostante abbia il lucchetto ci accedo tranquillamente... 

    io sono amministratore della rete e amministratore nel client... 

    un altro sintomo strano per esempio che avevo notato subito, era stato l'installazione di avast... dopo averlo installato al primo accesso, avast visualizza una notifica di "installazione avvenuta con successo"... questa notifica, la dovrebbe dare solo al primo accesso... mentre a me viene proposto ad ogni accesso... come se anche avast, non riesca a scrivere da qualche parte che ha completato l'installazione... 

    credo che tutto questo abbia a che fare con privilegi accessi etc..etc.. o con il fatto che il nuovo utente si chiama come il vecchio... 

    Secondo voi cosa potrebbe essere successo?

    Se avete bisogno di altre info chiedete!!!

    PS Un tecnico di quel programma di contabilità, mi ha detto che era successa una cosa simile ad un altro cliente... e avevano risolto solo formattando il client!!!!

    martedì 24 febbraio 2015 15:57

Risposte

  • Ciao, hai fatto una serie di errori nel ricreare la struttura non da poco. Non puoi formattare un Domain Controller, SBS per giunta e pensare che ricreando tutto con gli stessi nomi si riagganci tutto per magia. Ogni utente di una AD ha un id digitale SID associato che è univoco. Se anche si chiama uguale il dominio, il pc e la AD ricreata non si aggancerà mai a quella nuova AD perchè lei non conosce i SID degli utenti. Per fare una cosa corretta avresti dovuto migrare gli utenti tramite dei tools di migrazione ma se vai di format su un DC con tutti gli users agganciati sei in poche parole fritto. Il DC deve essere sempre disponibile e tu l'hai "ucciso" senza preavviso. Morale, nella tua struttura attuale nulla funzionerà mai come si deve perchè non è stata fatta in modo corretto.

    Soluzioni? Poche...la più veloce? 

    - Crei dei nuovi users sul server che non c'entrano nulla coi vecchi, magari aggiungendo le iniziali o come vuoi tu 

    - Usi un tool di migrazione tipo Prowiz per migrare l'attuale profilo utenti errati all nuovo profilo utente AD corretto.

    La reale soluzione è che sarebbe da spazzare via tutto, rifare il server, riagganciare i client. Se posso permettermi un consiglio, appoggiati ad un professionista nella tua zona perchè hai una situazione attualmente ingestibile dal punto di vista strutturale e per risolverla da solo non basta il Technet, server operare in modo pesante sulla struttura...da solo non ne esci, l'errore iniziale parla chiaro purtroppo...senza conoscenza si rischia di fare dei disastri.

    Mi spiace.

    Ciao.

    A.

    martedì 24 febbraio 2015 16:14
    Moderatore

Tutte le risposte

  • Ciao, hai fatto una serie di errori nel ricreare la struttura non da poco. Non puoi formattare un Domain Controller, SBS per giunta e pensare che ricreando tutto con gli stessi nomi si riagganci tutto per magia. Ogni utente di una AD ha un id digitale SID associato che è univoco. Se anche si chiama uguale il dominio, il pc e la AD ricreata non si aggancerà mai a quella nuova AD perchè lei non conosce i SID degli utenti. Per fare una cosa corretta avresti dovuto migrare gli utenti tramite dei tools di migrazione ma se vai di format su un DC con tutti gli users agganciati sei in poche parole fritto. Il DC deve essere sempre disponibile e tu l'hai "ucciso" senza preavviso. Morale, nella tua struttura attuale nulla funzionerà mai come si deve perchè non è stata fatta in modo corretto.

    Soluzioni? Poche...la più veloce? 

    - Crei dei nuovi users sul server che non c'entrano nulla coi vecchi, magari aggiungendo le iniziali o come vuoi tu 

    - Usi un tool di migrazione tipo Prowiz per migrare l'attuale profilo utenti errati all nuovo profilo utente AD corretto.

    La reale soluzione è che sarebbe da spazzare via tutto, rifare il server, riagganciare i client. Se posso permettermi un consiglio, appoggiati ad un professionista nella tua zona perchè hai una situazione attualmente ingestibile dal punto di vista strutturale e per risolverla da solo non basta il Technet, server operare in modo pesante sulla struttura...da solo non ne esci, l'errore iniziale parla chiaro purtroppo...senza conoscenza si rischia di fare dei disastri.

    Mi spiace.

    Ciao.

    A.

    martedì 24 febbraio 2015 16:14
    Moderatore
  • Infatti, a mie spese, ho capito di aver sottovalutato l'operazione! cmq ricreati gli utenti e riagganciati al dominio, ho utilizzato esattamente prowiz e ho ripristinato gli utenti con lo stesso nome... solo che appunto ho la sensazione che "i nuovi utenti" abbiano qualche problemino sul client.... come ho scritto sopra! funziona tutto ripeto.. solo ho situazione tipo avast, mozilla e il mio programma di contabilità che presentano dei problemini, come se appunto non avessero accesso a scrivere... ma non riportano errori...e poi sul mio client per esempio vedo nella cartella utenti su c:, il lucchettino sul mio utente di dominio... però nonostante cio, posso tranquillamente entrare senza nessuna evidente notifica...

    ps tutti gli utenti sono amministratori in locale

    Ho creato un altro utente con nome diverso, e tutto funziona regolarmente! avast,mozzilla il prog. di contabilità... 


    • Modificato SOF DENAB mercoledì 25 febbraio 2015 09:11
    mercoledì 25 febbraio 2015 07:11

  • Ho creato un altro utente con nome diverso, e tutto funziona regolarmente! avast,mozzilla il prog. di contabilità... 


    Naturale, l'utente nuovo appartiene al nuovo dominio, i tuoi sono mezzo e mezzo e non andranno mai bene..quindi se migrandoli non vanno perfetti (come è giusto che sia in questo caso...) o li rifai oppure li tieni così...curiosità, ma su quell'sbs non usavi Exchange vero? perchè se no...

    Ciao!

    A.

     
    mercoledì 25 febbraio 2015 15:30
    Moderatore
  • no no l'sbs lo usavo solo come DC per condividere file e cartelle con controllo accesso degli utenti e stop!

    invece di windows server potevo tranquillamente usare un nas della qnap o synology!!!

    cmq, da come mi dici però, il problema è sul client che avendo lo stesso nome del vecchio, fa un po di casino... giusto? ma non c'è un modo per ripulire il "vecchio" e aggiustare le cose? chiaro ho capito che facendo un utente nuovo risolvo, ma poi dovrei riconfigurare e spostare dati di 8 client... vorrei usare profwiz ma ho paura che possa succedere confusione anche con il nuovo utente... dagli sviluppi di ieri, avevo pensato di creare nuovi utenti e usare profwiz... ma qualcosa mi frena! ho già perso un sacco di tempo e alla fine i problemi li ho solo io che cmq riesco a gestire (mi sono fatto un nuovo utente e lo uso quando ho necessita)... 

    Pensavo che fosse un problema di facile risoluzione... alla fine è localizzato sul client, perchè succede? alla fine io ho migrato con profwiz da un sid ad un altro... perchè win7 deve avere problemi? Centra il registro di win?

    centrano i permessi,proprietari etcc? 

    PS Però win7, quando mi sono riagganciato al dominio, ha creato nuovi utenti, infatti per

    esempio il mio utente di dominio si chiamava Fabio, quando il client è stato riagganciato al dominio,

    win ha creato un nuovo profilo di Fabio, il desktop ed applicazioni non erano presenti nonostante avesse lo stesso nome del vecchio... con profwiz, ho ripescato il vecchio sid e l'ho messo sul nuovo... 

    non è che sia stato profwiz a fare confusione, proprio perchè andando a lavorare su file cartelle ACL etc.. etc.. magari abbia qualche bug se il nome del nuovo profilo è uguale ad il nome di un profilo già esistente sulla macchina.... lo so che dovrebbe operare in base al sid... ma se non lo facesse sempre?

    provo ad indagare su profwiz...


    • Modificato SOF DENAB giovedì 26 febbraio 2015 07:46
    giovedì 26 febbraio 2015 07:40
  • guarda...il povero prowiz non ha colpa...è solo un tool di migrazione. Se vai a fare delle modifiche del genere alla tua rete senza sapere cosa è una AD e come gestirla poi ti trovi in questa situazione, l'errore è abbastanza grossolano. Semplicemente NON PUOI FARE QUELLO CHE HAI FATTO TU. 

    Prowiz serve per migrare profili quando la struttura è a posto ad un'altra che è a posto...se tu uccidi la struttura iniziale fine.

    Tu pensavi che una AD fosse come un Workgroup ecco dove sta il problema, non eri a conoscenza che un SBS è un server AD per forza...invece nel tuo caso comanda tutto, come deve essere. Quindi è chiaro che ti crea un nuovo profilo utente quando accedi alla nuova AD...li potresti utilizzare di nuovo prowiz per "sostituirlo" col vecchio e ritrovarti il tuo desktop e la tua roba. 

    detto questo non puoi scaricare la colpa al tool di migrazione. Lo usiamo da anni, mai sbagliato un colpo.

    Per gestire i server servono anni di esperienza e studio e volendo..certificazioni...se bastasse un formattone e poi una facile soluzione perchè tutti noi dovremmo investire le nostre vite in questo? 

    :-)

    ciao.

    A.

    giovedì 26 febbraio 2015 11:52
    Moderatore
  • Si ho approfondito meglio profwiz e confermo ovviamente quello che dici sul tools!

    Lungi da me dal sminuire la categoria!!! non l'ho mai pensato! e ho chiaramente detto che avevo preso un po sotto gamba il problema!

    Detto questo, dato che sono arrivato alla conclusione che il problema (e non so ancora quale sia) risiede sul client, mi chiedevo se qualcuno sapeva darmi 2 dritte su cosa fare! 

    L'errore è sicuramente l'aver assegnato (credo) il nuovo profilo che si è creato al riaggancio al "nuovo dominio" con lo stesso nome utente... ed è li che sono nati i problemi... dico cio' perchè creando un nuovo utente di dominio e facendo il join dalla macchina "incriminata" tutto funziona "meravigliosamente bene!!!

    quindi sicuramente il vecchio utente di nome fabio con il vecchio sid, va cozzare qualcosa (non so cosa di windows) con il nuovo utente che si chiama sempre fabio con il nuovo sid... 

    quindi credo si possa affermare (qui correggimi se sbaglio) che win 7 ha sicuramente "dati sporchi" fra vecchio e nuovo e fa si che al momento di join al dominio, fa si che neghi qualche operazione o non dia qualche privilegio all'utente appena loggato nonostante sia admin in locale e in rete... 

    stesso problema si ripresenta anche su tutti gli altri client... dato che ho usato la stessa procedura....

    Non disprezzarmi, capisco bene cosa dici e cosa vuoi dire, ma noi siamo una azienda di artigiani che negli ultimi anni si è dovuta attrezzare con computer... per centralizzare i dati ci è venuta la bella idea di mettere un server per condividere quest'ultimi e basta... abbiamo provato con professionisti nel tempo passato o meglio si definivano tali, ma oltre a presentarci conti salatissimi, spesso non risolvevano neppure loro il problema e o stavano ore e ore a fare tentativi (che io pagavo 70 euro l'ora) oppure concludevano con " hai poche cose ci conviene formattare"!!! così mi sono rimboccato le maniche e nonostante sia un programmatore ho zero esperienza e conoscenza e nessun corso o attestato nel campo delle reti aziendali e questo è chiaro altrimenti non ero in questo posto a porre queste domande!!! 

    Per quello che è la nostra azienda, è sempre andato benissimo così più che sufficiente anzi pure troppo! ripeto se avessi preso un NAS la nostra azienda lavorava bene lo stesso e spendendo molti meno soldi e tempo! così è andata e tutto sommato siamo pure soddisfatti!!!

    Se avessi creato nomi di utenti di dominio diversi, non avrei avuto alcun problema!

     

    giovedì 26 febbraio 2015 16:18
  • il tuo discorso è condivisibile anche se non mi trova d'accordo. Non basta scottarsi una volta per andare di fai-da-te perchè, come vedi, il risultato forse è peggiore dei precedenti. ci sono tanti colleghi competenti, concordo che trovarne non è immediato, ma basta fare un giro online, vedere i nomi, andarli a cercare, credo tu possa capire la differenza. detto questo concordo sul fatto che i tuoi utenti sono "sporchi" come ti dicevo se crei dei nuovi profili sul server con nomi diversi e migri prowiz a quelli e non funziona non hai altre soluzioni al momento se non tenerteli così o rimboccarti le maniche e migrare i desktop/dati/documenti sui nuovi dai vecchi a manina, questo per risparmiare tempo e denaro, l'altra soluzione è di chiamare un professionista serio che sistemi, certo coi suoi costi. sul discorso Nas...be' un server non gli va nemmeno vicino, una Nas è solo più semplice da usare ma appoggiare un'azienda su un Nas nemmeno se ha due utenti..piuttosto un Microserver ma Windows senza alcun dubbio, se ti muore un Nas con un sistema linux come hanno tutti coi dischi in ext4 allora si che sei nei guai, altro che formattone. :)

    ciao.

    A.

    giovedì 26 febbraio 2015 19:37
    Moderatore

  • ps tutti gli utenti sono amministratori in locale



    accidenti! altra perla...

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    sabato 28 febbraio 2015 20:00
    Moderatore
  • premesso che condivido tutte le risposte che ti ha dato Alessandro aggiungo solo che se il problema è circoscritto al tuo account utente "fabio", ti consiglio di "segare" quel profilo e di rifarlo.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    sabato 28 febbraio 2015 20:08
    Moderatore

  • ps tutti gli utenti sono amministratori in locale



    accidenti! altra perla...

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org


    :)

    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    sabato 28 febbraio 2015 22:51
    Moderatore