ruport
Goto Top

Active Directory - Benutzermigration und Servergespeicherte Profile

Hallo,

im Rahmen meiner Diplomarbeit beschäftige ich mit der Benutzermigration im Active Directory.
Ich bin nun auf das folgende Problem gestoßen:

IST-Zustand: es existiert bereits eine Domäne A mit Benutzern und Ressourcen (Computern)
SOLL-Zustand: es soll zwei Domänen A und B, eine mit Benutzern, eine mit Ressourcen geben

Zu der bereits existierenden Domäne A habe ich eine neue Domäne B sowie eine bidirektionale Vertrauensstellung dazwischen erstellt. Im Anschluss wurden alle Benutzer aus der Quelldomäne A in die Zieldomäne B migriert. Die Ressourcen, also die Rechner an denen sich die Benutzer anmelden, verbleiben in der Quelldomäne A.

Bis hierher verlief alles problemlos, Benutzer können Sich anmelden und ACLs bleiben erhalten.

Das Problem ist nun, dass bei der Anmeldung der Benutzer in Domäne B das servergespeicherte Profil nicht mehr funktioniert (es wird immer ein lokales Profil verwendet). Auch Ordnerumleitungen funktionieren nicht. Ich vermute das kommt daher, dass die Anmeldung an einem Rechner (in Domäne A) erfolgt, der nicht in derselben Domäne (B) ist, wie der Benutzer und somit keine Profilpfade oder Gruppenrichtlinien übernommen werden.

Gibt es eine Lösung für dieses Problem oder lassen sich Benutzer und Ressource generell nicht in zwei verschiedenen Domänen verwalten? Ich habe leider sehr wenig praktische Erfahrung mit Active Directory, das meiste habe ich mir aus Büchern angelesen.

Vielen Dank schonmal im Voraus!

Beste Grüße,
Ruport.

Content-ID: 86707

Url: https://administrator.de/contentid/86707

Ausgedruckt am: 22.11.2024 um 12:11 Uhr

prival
prival 30.04.2008 um 10:16:25 Uhr
Goto Top
Roaming Profiles und Ordnerumleitungen sind benutzerspezifisch. Dabei ist irrelevant, aus welcher Domäne der Rechner kommt, da die GPO's des Users angewandt werden. Ausnahme ist die Loopback-Verarbeitung von Computer-GPO's, die unter Umständen gültige User-GPO's überschreibt. Bitte prüfe die GPO in Dom. B und stelle sicher dass sie angewandt werden. Prüfe dazu das Ereignisprotokoll, nutze "gpresult.exe" und verwende die "GPMC" und die darüber erhältliche Gruppenrichtlinienergebnisse.

Die Berechtigungen zu den Profiles müssen 100% passen, die Syntax der Ordnerumleitung. Kann der Anwender wenn angemeldet auf sein servergesp. Profilordner zugreifen? Benötigt er dazu den FQDN? Und wenn ja, ist dieser in den Eigenschaften des Benutzers auch so eingetragen?
Ruport
Ruport 02.05.2008 um 08:47:01 Uhr
Goto Top
Ausnahme ist die Loopback-Verarbeitung von Computer-GPO's, die unter Umständen
gültige User-GPO's überschreibt. Bitte prüfe die GPO in Dom. B und stelle sicher dass sie
angewandt werden. Prüfe dazu das Ereignisprotokoll, nutze "gpresult.exe" und verwende die
"GPMC" und die darüber erhältliche Gruppenrichtlinienergebnisse.
Vielen Dank für den Hinweis, das werde ich sobald möglich überprüfen!

Die Berechtigungen zu den Profiles müssen 100% passen, die Syntax der
Ordnerumleitung. Kann der Anwender wenn angemeldet auf sein servergesp. Profilordner
zugreifen? Benötigt er dazu den FQDN? Und wenn ja, ist dieser in den Eigenschaften
des Benutzers auch so eingetragen?
Ich bin mir eigl. fast sicher, dass es kein Problem mit den Berechtigungen gibt. Der migrierte Benutzer kann, wenn angemeldet, auf alle nötigen Daten zugreifen. Die servergespeicherten Profile sind direkt über den Servernamen sowie den FQDN erreichbar und die Einstellung ist auch so in den Benutzereigenschaften (durch den Migrationsvorgang) übernommen worden.
Ruport
Ruport 06.05.2008 um 17:17:05 Uhr
Goto Top
Ausnahme ist die Loopback-Verarbeitung von Computer-GPO's, die unter Umständen
gültige User-GPO's überschreibt. Bitte prüfe die GPO in Dom. B und stelle sicher dass sie
angewandt werden. Prüfe dazu das Ereignisprotokoll, nutze "gpresult.exe" und verwende die
"GPMC" und die darüber erhältliche Gruppenrichtlinienergebnisse.
Das war genau der richtige Hinweis. Ich wusste vorher nicht, wie ich GPO-Informationen über angemeldete Benutzer herausfinden konnte. Mit der nachinstallierten "GPMC" und "gpresult" war es dann aber ganz einfach, vor allem mit Hilfe des Ereignisprotokolls der "GPMC", das viele Fehler meldete.

Darunter auch eine Warnung: "Gesamtstrukturübergreifende Gruppenrichtlinienverarbeitung ist deaktiviert und Loopback-Verarbeitung wurde in der Gesamtstruktur auf dieses Benutzerkonto angewendet". Nachdem ich in der globalen GPO der Quelldomäne A in der Computerkonfiguration (Administrative Vorlagen -> System -> Gruppenrichtlinien) "Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie" deaktiviert und "Gesamtstrukturübergreifende Benutzerrichtlinien und servergespeicherte Benutzerprofile zulassen" aktiviert hatte, funktionierten sowohl die Ordnerumleitungen als auch die servergespeicherten Profile!

Vielen Dank nochmal für die Hilfe,
mein Problem ist damit soweit gelöst.

Gruß, Ruport.
piikei
piikei 23.03.2010 um 10:06:36 Uhr
Goto Top
Zitat von @Ruport:

Zu der bereits existierenden Domäne A habe ich eine neue Domäne B sowie eine bidirektionale Vertrauensstellung
dazwischen erstellt. Im Anschluss wurden alle Benutzer aus der Quelldomäne A in die Zieldomäne B migriert. Die
Ressourcen, also die Rechner an denen sich die Benutzer anmelden, verbleiben in der Quelldomäne A.



Hallo

Eine kurze Frage, wie konntest du diese Benutzer von der einen AD in Domäne A in die zweite AD in der Domäne B migrieren? Stehe in Moment vor diesem Problem

Besten Dank
prival
prival 23.03.2010 um 10:18:04 Uhr
Goto Top
Suche bei Microsoft nach ADMT (Active Directory Migration Tool). Mittlerweile in Version 3 erhältlich. Eine ausführliche Doku ist dabei.