none
Перенос пользователей локальных в АД RRS feed

  • Общие обсуждения

  • Имеем server 2003 с DHCP с кучей (~100) локальных юзеров с настройками прав доступа, группами, паролями.

    Имеем server 2008 r2 с AD+DNS+DHCP

    вопрос, как перенести локальных пользователей с первого сервера на второй или в данном случае перенос возможен только ручками?

    1 ноября 2012 г. 8:46

Все ответы

  • Имеем server 2003 с DHCP с кучей (~100) локальных юзеров с настройками прав доступа, группами, паролями.

    Имеем server 2008 r2 с AD+DNS+DHCP

    вопрос, как перенести локальных пользователей с первого сервера на второй или в данном случае перенос возможен только ручками?

    Например:
    Поднять отдельный лес AD на server 2003, предварительно исключив его из существующего домена. В этом случае все локальные пользователи и группы окажутся в новом лесу, затем их мигрировать, с момощью admt в существующий домен.

    Ну или воспользоваться инструментами, вроде Ideal Migration.

    1 ноября 2012 г. 9:06
    Отвечающий

  • Например:
    Поднять отдельный лес AD на server 2003, предварительно исключив его из существующего домена. В этом случае все локальные пользователи и группы окажутся в новом лесу, затем их мигрировать, с момощью admt в существующий домен.


    Это как снимать штаны через голову, нет варианта типа импорт/экспорт юзеров?в оснастке есть такая функция как экспорт списка, но, к сожалению, она только имена и описания юзеров берет, без настроек да и импорта обратно такого списка не предусмотрено.

    Со списком DHCP я сделал через дам, на 2003 снял а на 2008 востановил, вроде бы все настройки встали нормально.

    Возможно есть команды для дампа юзеров?

    1 ноября 2012 г. 9:18
  • Немного уточню.

    На данный момент сервер 2003 является сервером DHCP в сети и задействован в раздаче IPшников. 2008 в данный момент вообще к сети не подлючен т.к. готовится на замену 2003 (старое железо) а потому настройки все уже сделаны по анологии.

    1 ноября 2012 г. 9:21

  • Например:
    Поднять отдельный лес AD на server 2003, предварительно исключив его из существующего домена. В этом случае все локальные пользователи и группы окажутся в новом лесу, затем их мигрировать, с момощью admt в существующий домен.


    Это как снимать штаны через голову, нет варианта типа импорт/экспорт юзеров?в оснастке есть такая функция как экспорт списка, но, к сожалению, она только имена и описания юзеров берет, без настроек да и импорта обратно такого списка не предусмотрено.

    Со списком DHCP я сделал через дам, на 2003 снял а на 2008 востановил, вроде бы все настройки встали нормально.

    Возможно есть команды для дампа юзеров?


    Ну сначала же нужно одеть штаны через голову, создав кучу локальных пользователей на доменной машине и прописав их в ACL : ).
    Экспортом\импортом вы не решите проблему сохранности паролей и SID юзеров, что равнозначно повторной раздаче прав доступа.
    1 ноября 2012 г. 9:23
    Отвечающий
  • Проблема перемещения пользователей из одной среды в другую совсем не кроется в проблеме создании пачки пользователей это решается скриптом.

    Проблема в том, что после того, как созданы пользователи в AD и компьютеры из рабочей группы просто введены в домен это доступ до профиля. В рабочей группе во всех ACL были записи ACE пользователей из SAM, когда пользователей зайдет на машину с помощью доменной учетной записи у него просто-напросто создаться новый профиль и доступа к его документам не будет :)

    Тоесть с пользователями надо:

    1. СОздать пользователей в AD

    С машинами:

    1.ввести в домен

    2. Перемапить локальные профили к доменным учетным записям.

    Для Windows XP используется move user - почитайте в гугле

    Для Windows 7 можно использовать скрипт, если напишите в почту я отправлю свой, который накарябал перед такой вот миграцией.

    Предложенный вариант с поднятием леса не избавит вас от маппинга локальных профилей и доменных, тут мне кажется проще 100 пользователей одним простеньким скриптом создать.
    • Изменено ЮА 1 ноября 2012 г. 9:39
    1 ноября 2012 г. 9:30
  • Немного уточню.

    На данный момент сервер 2003 является сервером DHCP в сети и задействован в раздаче IPшников. 2008 в данный момент вообще к сети не подлючен т.к. готовится на замену 2003 (старое железо) а потому настройки все уже сделаны по анологии.


    То есть сервер 2003 сейчас в рабочей группе, server 2008 "свежий" и без пользователей? Я правильно понимаю?
    1 ноября 2012 г. 9:37
    Отвечающий
  • да 2003 в группе работает, 2008 уже поднят AD но без юзеров
    1 ноября 2012 г. 9:56
  • Пока ни кто не торопится юзеров в домен заводить, у них локальные профили, заводить их будем позже, когда сделаем для всех подразделений обязательные профили
    1 ноября 2012 г. 9:59
  • да 2003 в группе работает, 2008 уже поднят AD но без юзеров

    создание пользователей в AD скриптом

    ввод в домен машин

    маппинг локальных профилей к доменным учетным записям.

    При наличие SCCM можно автоматизировать.

    По крайней мере мы с консалтингом пользовались этим методом, если у кого есть более оптимальный будет интересно узнать..

    1 ноября 2012 г. 10:01
  • да 2003 в группе работает, 2008 уже поднят AD но без юзеров

    В таком случае все проще

    1. Понижаете 2008 до сервера в рабочей группы

    2. Поднимаете КД на server 2003 - все локальные пользователи и группы оказываюся доменными. Все пароли и права доступа сохраняются.

    3. Включаете машину server 2008 в домен, затем подготавливаете лес\домен для перехода на 2008 server

    4. Поднимаете на 2008 server КД - передаете все роли и ГК с server 2003.

    5. Понижаете server 2003 до уровня обычного сервера в домене.

    1 ноября 2012 г. 10:07
    Отвечающий
  • да 2003 в группе работает, 2008 уже поднят AD но без юзеров

    В таком случае все проще

    1. Понижаете 2008 до сервера в рабочей группы

    2. Поднимаете КД на server 2003 - все локальные пользователи и группы оказываюся доменными. Все пароли и права доступа сохраняются.

    3. Включаете машину server 2008 в домен, затем подготавливаете лес\домен для перехода на 2008 server

    4. Поднимаете на 2008 server КД - передаете все роли и ГК с server 2003.

    5. Понижаете server 2003 до уровня обычного сервера в домене.

    omg..Откуда у вас такая уверенность что на сервере присутствуют все 100 пользователей в рабочей группе и они соответствуют тем что работают на АРМах пользовательских?

    Ну и даже если это окажется, в чем я лично сомневаюсь после 5 пункта у вас останется - домен с кучей не аудированных учетных записей и 100 АРМов которые в этот домен не входят и маппинг профилей так и не решен.

    Т.е. фактически ваши 5 пунктов решают вопрос только создание 100 пользователей(20 минут) и назначение разрешений на максимум 20 общих папок(переназначение 30 минут) только нужно будет делать доп. операции повышения, понижения, обновления схем..процедуры может быть и описаны но ошибки на этих этапах не исключены...кажется не оптимально, как считаете?

    1 ноября 2012 г. 10:20
  • Это решение правельное но не выполнимое, проблемам в том, что в сети у нас находятся еще 3 сервера на которых крутятся разные програмулины как они будут работать под AD никто не знает поэтому с начальством так решили, поднимаем 2ой сервер в выходные подключаем его вместо старого, если все работает нормально оставляем и переводим всех в домен, если будут проблемы подключаем назад старый и ищем решения..

    Ладно, наверно в ручную перебою тогда юзеров.

    1 ноября 2012 г. 10:22
  • Это решение правельное но не выполнимое, проблемам в том, что в сети у нас находятся еще 3 сервера на которых крутятся разные програмулины как они будут работать под AD никто не знает поэтому с начальством так решили, поднимаем 2ой сервер в выходные подключаем его вместо старого, если все работает нормально оставляем и переводим всех в домен, если будут проблемы подключаем назад старый и ищем решения..

    Ладно, наверно в ручную перебою тогда юзеров.

    Я бы не сказал что оно не правильное, потому что в случае если так сделать с одним сервером получиться какое то кол-во пользователей в AD, далее 100 армов не в AD, далее еще два сервера не в AD. 

    А как вы хотите переводить юзеров в ручную?

    1 ноября 2012 г. 10:25
  • omg..Откуда у вас такая уверенность что на сервере присутствуют все 100 пользователей в рабочей группе и они соответствуют тем что работают на АРМах пользовательских?

    Не люблю фантазировать и предполагать. Автор поставил задачу - я предложил решение.

    Вопрос был про перенос пользователей.

    1 ноября 2012 г. 10:52
    Отвечающий
  • Ну вы же понимаете что автор мог не знать всей подноготной переноса в вашем случае получился бы домен с нескольким пользователями(ну потому что в рабочей группе на две общие папки все ходят под user, никто там 100 пользователей не будет создавать,  если это хотя бы не терминальный сервер, как правило :) ) и с другой стороны набора серверов и набора станций что ни привело бы к какому то приближенному конечному результату. А перемещение пользователей в этой ситуации 100 человек решается созданием пользователей скриптом. тем более что у коллеги оказалось еще два сервера..

    • Изменено ЮА 1 ноября 2012 г. 11:00
    1 ноября 2012 г. 10:59
  • обычно, список экспортирую, по списку создам юзеров, пароли у нас в сторонней программе есть, возьму от туда. Права так буду поглядывать.

    Если специализированы програмы работать будут нормально, начну заводить пользователей в домены с локальным профилем, потом когда сделаю обязательный профиль начну на него переключать .

    1 ноября 2012 г. 11:03
  • начну заводить пользователей в домены с локальным профилем

    Вот тут то и засада, как пользователей с локальным профилем ввести в домен..

    P.S. по остальному согласен..создание пользователей, права можно посмотреть даже вручную если общих папок не много.

    1 ноября 2012 г. 11:11
  • А как можно глянуть скрипт?

    bumblebee

    26 марта 2014 г. 10:24