Миграция локального профиля пользователя в домен.
Совсем недавно столкнулась с необходимостью переноса локальных профилей пользователя в домен и сохранением правильных разрешений на локальном компьютере. В общем задача из серии все свое ношу с собой.
Моя лень и природное желание работать поменьше привели меня к давно знакомым тулам от MS: moveuser и Subinacl
Moveuser изменяет HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindows NT CurrentVersionProfileList, после чего изменяется идентификатор SID, ассоциированный со старым профилем пользователя, и вуаля - есть доступ к профилю пользователя из новой учетной записи.
Через Subinacl "заменяем" SID в acl листах.
А теперь самое простое:
! Пользователи которых будем мигрировать не должны быть залогинены а доменный пользователь уже должен быть создан.
! Все лучше делать из под учетки с админ правами.
! Необходимо заранее сделать текстовый файл сопоставления старых и новых логинов в формате olduser=newuser
1. Вводим компьютер в домен (желательно не перегружаться).
В принципе если совсем все лень - используем djoin или netdom для ввода в домен.
2. Из под прав доменного админа (нам нужен доступ к пользовательской учетной записи в домене) запускаем следующие команды:
moveuser /k OldUSer DomainName\NewUser
Subinacl /subdirectories c:\* /changedomain=%compname%=DomainName=Name.txt
При необходимости замены разрешений в реестре просто изменяем ключик на /subkeyreg
3. Перегружаем компьютер. Для пользователя изменился только метод входа, но не мусор на его рабочем столе. :-)
И самое большое счастье будет запустить это чудо удаленно.
Лень - двигатель прогресса!
Комментарии