Ich sage es gleich vorweg: Die in diesem Beitrag beschriebenen Schritte sind experimentell und führen nicht unbedingt zum vollen Erfolg! Aber nun zur Sache:
Bei einem Neukunden sind wir auf folgende Situation gestoßen:
Bis vor ca. zwei Jahren gab es eine Active Directory-Domäne auf Basis eines Windows Small Business Servers 2003 Standard. Der vorangegangene IT-Dienstleister hatte den alten SBS-Server ersetzt, aber lediglich eine Arbeitsgruppe aufgebaut.
Aus bislang ungeklärten Gründen wurden aber verschiedene Computer, die seinerzeit Domänen-Mitglieder waren, nicht aus der alten Domäne rausgenommen, so das Diese lediglich aufgrund der zwischengespeicherten Anmeldedaten (cached credentials) bis zuletzt überhaupt noch funktionierten.
Nun wurde eine neue Domäne auf Basis eines Windows Server 2008 R2 Foundation aufgebaut. Die betreffenden Computer aus der alten, nicht mehr vorhandenen Domänen herauszunehmen und in die neue Domäne aufzunehmen stellte dabei kein Problem dar.
Schwierig bis unlösbar wurde es allerdings bei den bestehenden Benutzerprofilen. Da sich die Sicherheitskennungen (User-SID) der Benutzer durch die neue Domäne änderten, waren die alten Profile nicht mehr verwendbar.
Möglichkeit 1 – Nutzdaten übernehmen
Geht es nur darum, den Inhalt in Form von Nutzdaten wie Eigene Dateien, Office Dokumente, zum Teil auch Anwendungsdaten (AppData) etc. zu übernehmen, so erstellt man am einfachsten ein neues Profil bzw. Dieses wird automatisch neu erstellt, sobald man sich an der Domäne anmeldet und kein Profil gefunden wird und kopiert die betreffenden Dateien und Ordner einfach um.
Bis Windows XP findet man die Benutzerprofile in der Regel unter
C:\Dokumente und Einstellungen
Ab Windows Vista unter
C:\Users
bzw.
C:\Benutzer
Handelt es sich um umfangreichere Strukturen, so kann man z.B. robocopy verwenden.
Achtung: Um eine Endlosschleife zu vermeiden, unbedingt den Paramter “/XJ” angeben, andernfalls folgt robocopy jeder Verknüpfungen (Link) und das führt zu voran gegangenen Problem.
Möglichkeit 2 – Berechtigungen anpassen
Entsprechen der alte und der neue Benutzernamen dem gleichen Wert, so hat man die Chance, innerhalb der neuen Domäne, dem Benutzer das Profil der alten Domänen zu geben. Der “Trick” besteht darin, vor der ersten Anmeldung die Berechtigungen im Dateisystem (NTFS) als auch in der Registrierung anzupassen.
NTFS-Berechtigungen anpassen
Unter den oben genannten Pfaden das entsprechende Profil mit der rechten Maustaste anklicken, Eigenschaften auswählen und zur Registerkarte “Sicherheit” wechseln.
In der Liste der Berechtigten Benutzer sieht man vermutlich entweder “Unbekanntes Konto” oder eine lange Zahlenkolonne. Dies entspricht dem Benutzerkonto der alten Domäne, folglich kann man Dieses entfernen und die gleichen Berechtigungen dem Benutzer der neuen Domäne geben.
Achtung: Den Besitzer nicht vergessen!
Gibt es dennoch Unterschiede zwischen alten und neuen Benutzername oder hat man sich bereits innerhalb der neuen Domäne angemeldet, so kann man in der Registrierung den Pfad ändern, welches Benutzerprofil verwendet werden soll. Dazu wie folgt vorgehen:
- Unter “Start – Ausführen/Suchen” den Befehl “regedit” ausführen.
- Zu folgenden Schlüssel wechseln:
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ProfileList
- Bei der entsprechenden User-SID den Eintrag “ProfileImagePath” ändern.
Berechtigungen in der Registrierung anpassen
Bevor das alte Profil verwendet werden kann, müssen neben den NTFS-Berechtigungen auch die Berechtigungen innerhalb der Registrierung, genauer gesagt im Benutzer-Teil angepasst werden.
- Unter “Start – Ausführen/Suchen” den Befehl “regedit” ausführen.
- “HKEY_USERS” auswählen.
- Auf “Datei – Struktur laden…” klicken.
- Aus dem alten Benutzerprofil die Datei “ntuser.dat” auswählen.
- Einen Namen eingeben, z.B. ALT.
- Mit der rechten Maustaste den entsprechenden Schlüssel anklicken und “Berechtigungen…” auswählen.
- Nun wie zuvor bei den NTFS-Berechtigungen vorgehen.
- Abschließend muss die Struktur unter “Datei – Struktur entfernen…” ausgehängt werden.
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Artikel (RSS)
XING
Ich habe schon sehr gute Erfahrung mit diesem Tool gemacht:
http://www.forensit.com/de/
Danke für den Tipp.
Sieht im Handbuch erstmal nicht schlecht aus.
Würde das aber wie in so einem dem Fall wie im Beitrag überhaupt funktionieren?
Da ja die alte Domain überhaupt nicht mehr da ist.
Ja, bei mir war die alte Domain auch nicht mehr da und der Rechner war auch schon in der neuen Domain.
Ich kann dir aber nicht mehr sagen, ob sich der User zuvor einmal anmelden muss oder nicht, müsstest du mal testen.