macleod
Goto Top

Migration Benutzerkonten

Hallo
Bei einem Neukunden stellt sich mir folgende Aufgabe. In einem Server 2016 Domänen Netzwerk gab es bislang nur wenige eingerichtete Benutzer. Diese wurden als Gruppenlogins verwendet, d.h. die Benutzer haben sich bislang nur als Produktion/Verkauf/Buchhaltung etc. angemeldet. Zum Glück war jeder Benutzer immer fest an einem Arbeitsplatz unterwegs. Da das natürlich nicht so bleiben kann wird alles umstrukturiert auf eine vernünftige Hierarchie und personenbezogene Accounts.

Wie stelle ich es am einfachsten an, daß man an den einzelnen Arbeitsplätzen die bestehenden Benutzerprofile zu dem neuen Benutzer migriert, sodaß die Einstellungen, Links Desktop etc. erhalten bleiben. Also PC1 soll Domäne\Verkauf in Domäne\max.mueller migriert werden, an PC2 Domäne\Verkauf zu Domäne\hanna.meier und so weiter.

Weil es sich um mehr als 150 PCs handelt wäre es gut wenn es eine solide Lösung gibt, die sich vielleicht scripten lässt. Gibt es dafür spezielle Software? Muss nicht umsonst sein.
Vielen Dank,
MacLeod

Content-ID: 667175

Url: https://administrator.de/contentid/667175

Ausgedruckt am: 21.11.2024 um 17:11 Uhr

StefanKittel
Lösung StefanKittel 29.05.2021 um 23:36:30 Uhr
Goto Top
Hallo,

das einzige Tool was ich kenne ist dies hier.
https://www.forensit.com/domain-migration.html

Hat seine Sache bei KMU-Kunden gut gemacht.
Bei größeren Kunden kommen meist Skripte und gut gewählte "Auto"-Werte zum Einsatz die auch bei neuen MA helfen.

Stefan
RenWin
Lösung RenWin 30.05.2021 um 09:03:14 Uhr
Goto Top
Forensit ist ganz cool.
Jedoch eine Info vorweg, da ich mich damit leider auch schonmal beschäftigen musste. Das Tool gibt den Benutzern den alten Profilordner. (Keine schöne Sache)

Wir haben es folgendermaßen angestellt:
- Shared Profiles angelegt via Gruppenrichtlinie
- Die neuen Benutzer via Powershell und Excelliste angelegt
- Die alten Profile in das neue Verzeichnis via Script verschoben und Rechte passend vergeben
- Die Restlichen Sachen via Autoconfig realisiert
- Für das Thema Outlook auf Office 365 umgestiegen
Lochkartenstanzer
Lochkartenstanzer 30.05.2021 um 09:31:35 Uhr
Goto Top
Zitat von @MacLeod:

Hallo
Bei einem Neukunden stellt sich mir folgende Aufgabe. In einem Server 2016 Domänen Netzwerk gab es bislang nur wenige eingerichtete Benutzer. Diese wurden als Gruppenlogins verwendet, d.h. die Benutzer haben sich bislang nur als Produktion/Verkauf/Buchhaltung etc. angemeldet. Zum Glück war jeder Benutzer immer fest an einem Arbeitsplatz unterwegs. Da das natürlich nicht so bleiben kann wird alles umstrukturiert auf eine vernünftige Hierarchie und personenbezogene Accounts.

Wieso kann das nicht so bleiben. das ist eine durchaus übliche vorgehensweise, wenn der jeweiligen person die jeweilige Funktion zugeordnet ist. Solange keine anderen Gründe dafür sprechen, das zu ändern, sollte man das so lassen. Das hat auch durchaus seine Vorteile, wenn z.B. der Mitarbeiter für die Buchhaltung oder den vertrieb wechselt, daß dann nicht alle Kunden mit neuen Mailadressen versorgt werden müssen. Solange der Betrieb klein genug ist, ist das also kein Problem.


Wie stelle ich es am einfachsten an, daß man an den einzelnen Arbeitsplätzen die bestehenden Benutzerprofile zu dem neuen Benutzer migriert, sodaß die Einstellungen, Links Desktop etc. erhalten bleiben. Also PC1 soll Domäne\Verkauf in Domäne\max.mueller migriert werden, an PC2 Domäne\Verkauf zu Domäne\hanna.meier und so weiter.

Du solltest erst prüfen, ob das überhaupt notwendig ist. Ich habe den verdacht, daß Du Kosten verursachst, die nicht notwendig sind.

Ansonsten gibt es Migrationstools z.B. von Forensit den User Profile Wizard, die die Aufgabe mit ein paar Klicks lösen.


Weil es sich um mehr als 150 PCs handelt wäre es gut wenn es eine solide Lösung gibt, die sich vielleicht scripten lässt. Gibt es dafür spezielle Software? Muss nicht umsonst sein.

s.o.

o.k. bei 150 PCs scheine da doch etwas mehr Mitarbeiter als Funktionen da zu sein. Trotzdem würde ich da prüfen, wo ein Funktionsaccount sinnvoll ist und den ggf beibehalten.

lks
Lochkartenstanzer
Lochkartenstanzer 30.05.2021 um 09:32:29 Uhr
Goto Top
Zitat von @RenWin:

Forensit ist ganz cool.
Jedoch eine Info vorweg, da ich mich damit leider auch schonmal beschäftigen musste. Das Tool gibt den Benutzern den alten Profilordner. (Keine schöne Sache)

Das ist aber manchmal beabsichtigt. face-smile


lks
148656
148656 30.05.2021 um 09:37:11 Uhr
Goto Top
Moin Moin,

Ich würde dies schlicht und einfach mit GPO's und GPP's abdecken.
Lokales Benutzerprofil zerpflücken, analysieren, dokumentieren und im AD einpflegen.

Die Namenskonvention der AD-Accounts würde ich ebenfalls überdenken. Eine Namesgleichheit zweier Personen kommt öfters vor als es sich ein Admin wünschen würde. Auch bei einer Hochzeit/Scheidung/Transgender muss auch der Admin ran. Die Profilordner und einiges mehr müssen angepasst werden.

Gruß,
C.C.
mayho33
mayho33 30.05.2021 aktualisiert um 09:51:37 Uhr
Goto Top
Hi!

UserStateMigrationTool (USMT). Damit kann man bis ins kleinste Detail die Profile von Benutzern sichern. Lässt sich auch in Verbindung mit SCCM nutzen und ist dort bereits integriert.

Der Aufwand eine Config zu basteln bzw. die Arbeitsweise vorher zu verstehen ist aber relativ hoch.

Für nur ~150 PC lohnt sich der Aufwand gerade so. Ist aber scriptbar und solide.

Grüße!
148656
148656 30.05.2021 um 11:28:07 Uhr
Goto Top
Hi,

Zitat von @mayho33:
...
Der Aufwand eine Config zu basteln bzw. die Arbeitsweise vorher zu verstehen ist aber relativ hoch.
Eine Migration ist immer aufwändig, teuer und massiv Frustrationsbelastet. face-smile
Der zuständige Operator sollte immer verstehen und wissen, was auf seinen Büchsen los ist. face-wink

Für nur ~150 PC lohnt sich der Aufwand gerade so
Ich wünsche jedem Unternehmen, dass es wächst&gedeiht und mehr Menschen einen Arbeitsplatz sowie ein sicheres Einkommen anbieten kann.
Also ist der einmalige Auswand eine langfristig angelegte Investition. Gewinnausschüttung erfolgt in Form von frühem Feierabend und ruhigen Nächten.

Gruß
C.C.
mayho33
mayho33 30.05.2021 um 12:17:05 Uhr
Goto Top
Zitat von @148656:

Hi,

Zitat von @mayho33:
...
Der Aufwand eine Config zu basteln bzw. die Arbeitsweise vorher zu verstehen ist aber relativ hoch.
Eine Migration ist immer aufwändig, teuer und massiv Frustrationsbelastet. face-smile
Der zuständige Operator sollte immer verstehen und wissen, was auf seinen Büchsen los ist. face-wink


Und doch machen Viele einfach irgendwas. Schon erlebt und die Korrektur war noch aufwändiger.

Für nur ~150 PC lohnt sich der Aufwand gerade so
Ich wünsche jedem Unternehmen, dass es wächst&gedeiht und mehr Menschen einen Arbeitsplatz sowie ein sicheres Einkommen anbieten kann.
Also ist der einmalige Auswand eine langfristig angelegte Investition. Gewinnausschüttung erfolgt in Form von frühem Feierabend und ruhigen Nächten.


Ganz deiner Meinung!

Gruß
C.C.

Ebenfalls
MacLeod
MacLeod 30.05.2021 um 12:17:36 Uhr
Goto Top
@Lochkartenstanzer
Hallo
Ja, das muss so sein. Erstens mal wegen DSGVO und weiterhin weil die ganze Firma umstrukturiert wird. Es werden Zugriffsrechte neu definiert und über GPO vergeben und vieles mehr. Volles Programm eben. Es war ja in der Vergangenheit extrem problematisch mit Mailaccounts etc.
Letztendlich gibt es auch von ganz oben entsprechende Richtlinien wie die Zulieferbetriebe gestrickt sein müssen damit die Anbindung an das zentrale SAP sauber läuft. Funktionsaccounts bleiben nur auf den Maschinensteuerungen.
LG
MacLeod
MacLeod
MacLeod 30.05.2021 um 12:24:42 Uhr
Goto Top
Hallo
Das Forensit scheint mir genau das richtige zu sein. Danke für die Info. Laut Anleitung besteht die Einschränkung nur in der Personal Edition. In den beiden anderen kann man den Profilordner sauber umbenennen und kopieren. Mit 450 Euronen ist die Corporate Edition ein fairer Preis für die Aktion. Man muss gegenrechnen wie lange die Mitarbeiter sonst mit dem kopieren ihres Krimskrams auf einen Übergabeordner beschäftigt wären. Und die ganzen anderen Sachen die der Admin dann im Hintergrund noch einzeln richten soll.
Nichts ist teurer als ein Mitarbeiter, der nicht produktiv arbeitet in der Zeit.
LG, MacLeod

PS: Office 365 ist in diesem Konzern tabu. Europaweit
148656
148656 30.05.2021 um 12:41:18 Uhr
Goto Top
Zitat von @mayho33:

...
Und doch machen Viele einfach irgendwas. Schon erlebt und die Korrektur war noch aufwändiger.
Solche "IT-Experten" darf man sich nicht zum Vorbild nehmen. Man sollte Sie bei der erst besten Gelegenheit mit dem Handbuch traumatisieren. Oder war es konfrontieren, ich verwechsle das immer. face-smile
Man hat ja dem Kunden versprochen, dass man besser ist face-smile

Schönes Wochenende face-big-smile
StefanKittel
StefanKittel 30.05.2021 um 13:44:13 Uhr
Goto Top
Ein Tipp am Rande zu dem Tool wenn man von Domäne A nach Domäne B wechselt.

Es konvertiert an einem PC ein Profil von alt nach neu.
z.B. c:\users\m.mustermann

Auf anderen PCs könnten aber auch solche Profilordner vorhanden sein (servergespeicherte Profile)
Also wird bei der Anmeldung so eines Benutzers ein neues Verzeichnis erstellt.
z.B. c:\users\m.mustermann.001

Das ist technisch sowei korrekt.

Leider gibt es einige Programme, z.B. Outlook mit IMAP-OST-Dateien, die den vollständigen Pfad verwenden und auf einem solchen PC nicht mehr starten.

Also alle anderen Nicht-System-Profilordner löschen oder verschieben und in der Registry löschen.

Stefan
Lochkartenstanzer
Lochkartenstanzer 30.05.2021 um 14:22:25 Uhr
Goto Top
Zitat von @MacLeod:

@Lochkartenstanzer
Hallo
Ja, das muss so sein. Erstens mal wegen DSGVO und weiterhin weil die ganze Firma umstrukturiert wird. Es werden Zugriffsrechte neu definiert und über GPO vergeben und vieles mehr. Volles Programm eben. Es war ja in der Vergangenheit extrem problematisch mit Mailaccounts etc.

Sollte kein Vorwurf sein. Nur der Hinweis, daß es manchmal einen guten Grund hat, warum statt personenbezogenen funtktionsbezogene Konten angelegt werden. Allerdings ist bei 150PCs (und damit vermutlich auch entsprechend viele Nutzer) nciht mehr davon auszugehen, daß man mit reinen Funktionskonetn weit genug kommt. Meinen Kommentar hatte ich geschrieben bevor ich das mit den 150PCs erkannt habe.

Letztendlich gibt es auch von ganz oben entsprechende Richtlinien wie die Zulieferbetriebe gestrickt sein müssen damit die Anbindung an das zentrale SAP sauber läuft. Funktionsaccounts bleiben nur auf den Maschinensteuerungen.

Bei den Maschinensteuerungen haben sich auch Funktionskonten durchaus bewährt. da würde ich das nciht anders machen wollen.

lks
148656
148656 30.05.2021 aktualisiert um 14:58:10 Uhr
Goto Top
Man muss gegenrechnen wie lange die Mitarbeiter sonst mit dem kopieren ihres Krimskrams auf einen Übergabeordner beschäftigt wären.

Bei dem Satz, würde ich gern einmal ein Blick auf den Migrationsplan werfen.face-smile
Warum sollte ein Mitarbeiter Daten hin und her schieben?
Mein Migrationsplan würde aus Sicht des Users so ablaufen.
1. User meldet sich ab
2. Client führt Backup durch
3. Client bekommt via PXE das OS neu installiert
4. User meldet sich mit neuen Account an.

Was im Hintergrund für Aufwand steckt… sind die magischen Fähigkeiten des Hexers namens "Admin"

Nichts ist teurer als ein Mitarbeiter, der nicht produktiv arbeitet in der Zeit.
Können wir uns darauf einigen, dass wir uns in diesem Punkt uneinig sind? face-big-smile

Schönes WE
C.C.
MacLeod
MacLeod 30.05.2021 um 16:07:00 Uhr
Goto Top
@c.c.
???
Ich merke Du hast Die Aufgabenstellung nicht komplett durchschaut face-smile
- Ein komplett neues OS Deployment nur wegen der Änderung jeweils eines Benutzerprofiles?
- Die Vorbereitungszeit eines aktuellen Deployments.
- Die Netzbelastung für das Deployment von 150x ca 45GB komprimiert vom PXE Server
- Die Netzbelastung beim Deployment über VPN in 2 angeschlossene Produktionshallen für ca 30 Profile davon.
- Der Zeitverlust für die ganzen Aktionen
- Und das Klassenziel hast Du damit komplett verfehlt, daß keine einzige benutzerindividuelle Einstellung erhalten bleibt.

Mit Forensit muss kein User Daten selbst angreifen. Ich bereite das im Hintergrund vor. Er meldet sich ab und meldet sich mit neuem Namen sofort wieder an. Fertig! Genau das was ich brauche. Und danach werden die alten Profile gelöscht. Auch im Hintergrund.

Können wir uns darauf einigen, daß Du offenbar noch nie in einer Konzernstruktur nach Lastenheft ergebnis-, zeit- und kostenorientiert gearbeitet hast?
Schönes Wochenende,
MaLeod

Wie immer danke ich denjenigen, die konstruktiv zu Lösung beigetragen haben.
148656
148656 30.05.2021 um 16:56:09 Uhr
Goto Top
- Ein komplett neues OS Deployment nur wegen der Änderung jeweils eines Benutzerprofiles?
Nicht nur, warum sollte ein Dienstleister sich irgendwelchen Schmarrn vom Vorgänger auf seine Problemliste holen?
- Die Vorbereitungszeit eines aktuellen Deployments.
Welche Vorbereitungszeit? Als Dienstleister hält man sich doch ein Image vor, für das man im K-Fall auch die Hand ins Feuer legt.
- Die Netzbelastung für das Deployment von 150x ca 45GB komprimiert vom PXE Server
Auch nicht mehr Netzbelastung, als bei den wöchentlichen Vollbackups der Clients
- Die Netzbelastung beim Deployment über VPN in 2 angeschlossene Produktionshallen für ca 30 Profile davon.
Ein Pi sollte finanziell drin sein. Zur Not tut es auch ein alter PC.
- Der Zeitverlust für die ganzen Aktionen
Welcher Zeitverlust? User geht Freitag und kommt Montag wieder. Wäre ein super Wartungsfenster.
- Und das Klassenziel hast Du damit komplett verfehlt, daß keine einzige benutzerindividuelle Einstellung erhalten bleibt.
Sicher? Bitte lies nochmal meine Kommentare. face-smile

Schönen Sonntag
C.C.
MacLeod
MacLeod 30.05.2021 um 17:52:19 Uhr
Goto Top
Ich bleibe bei meiner vorigen Aussage.
Du hast es einfach nicht verstanden!

"Nicht nur, warum sollte ein Dienstleister sich irgendwelchen Schmarrn vom Vorgänger auf seine Problemliste holen?"
Not our Job. Wir sind für die Benutzerumstellung, die Migration und die neuen Richtlinien beauftragt. Wir sind keine Nachfolger von irgendwem. Wir haben ein konkretes Lastenheft bekommen. Was der hausinterne Admin macht ist seine Sache. Die PCs sind in Ordnung und auf dem neuesten Stand. Dafür steht er gerade und hat das unterschrieben.

"Welche Vorbereitungszeit? Als Dienstleister hält man sich doch ein Image vor, für das man im K-Fall auch die Hand ins Feuer legt."
Auch nicht unser Job. Ob der Admin für jede Maschine ein Image vorhält wage ich zu bezweifeln. Interessiert uns auch nicht.

"Auch nicht mehr Netzbelastung, als bei den wöchentlichen Vollbackups der Clients"
Negativ. Backup Proxies und Backup Repos sind an jedem Standort lokal. Das haben wir zur Sicherheit überprüft. Nix geht ins Hauptgebäude davon Ist technisch auch nicht machbar bei 50/50.

"Ein Pi sollte finanziell drin sein. Zur Not tut es auch ein alter PC."
Wie man mit einem Pi oder einem alten PC die Übertragungsgeschwindigkeit einer VPN zwischen 2 Firewalls erhöhen kann würde ich gerne lernen face-smile Ich denke die Firewalls würden darüber nicht lachen.

"Welcher Zeitverlust? User geht Freitag und kommt Montag wieder. Wäre ein super Wartungsfenster."
Super Plan. Warum sollen wir am Wochenende arbeiten wenn es gar nicht nötig ist? Der lokale Admin ist auch nicht vor Ort um Pxe Bootreihenfolgen zu checken oder so ein Quatsch.


Sorry nicht böse sein. Mir fällt dazu nur der gespielte Witz a la Hallervorden ein.

CC als Admin in einem Autohaus im Gespräch mit seinem Niederlassungsleiter.
NL zu CC:
Stuttgart hat entschieden, daß sich jeder Mitarbeiter ab nächstem Monat mit einem personenbezogenen Profil anmelden muss. 2FA wird überall eingeführt. Finden sie eine Lösung, die möglichst wenig kostet, um die benutzerindividuellen Einstellungen möglichst zu erhalten.
CC zu NL:
Ich hab 'ne Supa Idee. Ich bastel neue Images für unzählige Variationen, ziehe einen PXe Server hoch und mache dafür am Wochenende 48 Stunden Turnschuhnetzwerk um jeden PC sauber im Bios einzustellen und zu booten. Dazu bringe ich meinen alten VOBIS Pc mit, weil, das ist ein tolles Ding was alles schneller macht.
Darf ich dazu auf dem Feldbett im Schraubenlager schlafen? Und darf ich ihr E-Bike benutzen um in die Montagehalle, das Reifenlager und das Lackierzentrum zu radeln? Und die Schlüssel für alles brauche ich auch. Und die Alarmanlage bitte ausschalten.
NL zu CC:
Ist das wirklich alles nötig? Bleiben nur auf diese Weise die individuellen Einstellungen bei Profilwechsel erhalten?
CC zu NL:
Nee, die Einstellungen gehen verloren. Aber sowas wollte ich schon immer mal machen. Ist das nicht eine geile Idee?
NL zu CC:
Wie lange arbeiten Sie schon in unserem Betrieb? Den heutigen Tag nicht mehr mitgerechnet...
148656
148656 30.05.2021 aktualisiert um 19:01:49 Uhr
Goto Top
Zitat von @MacLeod:

Sorry nicht böse sein. Mir fällt dazu nur der gespielte Witz a la Hallervorden ein.

Und mich an einen Song der WiseGuys face-big-smile

CC als Admin in einem Autohaus im Gespräch mit seinem Niederlassungsleiter.
Bist du nun festangestellter Admin oder beauftragter Dienstleister?
NL zu CC:
Stuttgart hat entschieden, daß sich jeder Mitarbeiter ab nächstem Monat mit einem personenbezogenen Profil anmelden muss. 2FA wird überall eingeführt. Finden sie eine Lösung, die möglichst wenig kostet, um die benutzerindividuellen Einstellungen möglichst zu erhalten.
CC zu NL:
Cool, da brauche ich meinen Urlaub in 2 Wochen nicht verschieben.

NL zu CC:
Ist das wirklich alles nötig? Bleiben nur auf diese Weise die individuellen Einstellungen bei Profilwechsel erhalten?
CC zu NL:
Nicht nur das, es wird zukünftig alles Zentral verwaltet und gesichert. Spart Personal in der IT
Wenn ein PC den Geist aufgibt oder unfreiwillig das Unternehmen verlässt. Auch nicht schlimm. Ist nix wichtiges drauf. Neuen Rechner hin und 2mal Booten lassen.
NL zu CC:
So habe ich mir das vorgestellt face-smile
148656
148656 30.05.2021 um 18:54:23 Uhr
Goto Top
Zitat von @MacLeod:
...
Ich hab 'ne Supa Idee. Ich bastel neue Images für unzählige Variationen, ziehe einen PXe Server hoch und mache dafür am Wochenende 48 Stunden Turnschuhnetzwerk um jeden PC sauber im Bios einzustellen und zu booten. Dazu bringe ich meinen alten VOBIS Pc mit, weil, das ist ein tolles Ding was alles schneller macht.

Es gibt Regionen auf dieser Welt, in der man dies als "BIOS-Problem" bezeichnet face-smile
MacLeod
MacLeod 07.06.2021 um 10:02:42 Uhr
Goto Top
Hallo
Nach einer Woche hier mein Feedback. Wir haben die Software von Forensit gekauft und zwar zuerst in der Pro Version. Hiermit konnten wir prima testen. Die Software macht exakt das was wir haben wollten. Sie kopiert den Account auf einen neuen Account mit beliebigen Namen, Domäne, Arbeitsgruppe. Der Mitarbeiter loggt sich aus und loggt sich mit neuem Namen wieder ein; fertig.
Der Rest der Umstrukturierung kommt dann automatisch über die GPOs der neuen Struktur.
In der Pro geht das einzeln über GUI Oberfläche mit ein paar Klicks über remote.
Danach haben wir die Corporate Version erworben, die sich sauber scripten lässt. Läuft wie am Schnürchen.
Vielen Dank für den guten Tipp,
MacLeod
RenWin
RenWin 10.06.2021 um 08:58:53 Uhr
Goto Top
Die Antwort rettet mein Wochenende.
Hätte mich tatsächlich für ein neues Projekt nun an neue Scripte setzen müssen.

Ich wusste nicht das die Umbenennung nun implementiert wurde. Kunde freut sich ebenfalls in Zeiten von Corona.

Wenn sich jetzt auch noch alle mal die Hand geben, dann haben wir hier im Forum auch noch ein Paar Probleme weniger. 😄
Lochkartenstanzer
Lochkartenstanzer 10.06.2021 um 09:01:21 Uhr
Goto Top
Zitat von @RenWin:

Wenn sich jetzt auch noch alle mal die Hand geben, ...

geht nicht, ist Corona. face-smile

lks