5
Probleme bei Benutzermigration zwischen zwei Domänen
Hallo Zusammen.
Nach langen Tagen und viiiieeel lesen und probieren (ohne die Lösung gefunden zu haben) hoffe ich nun auf euer fundiertes Wissen.
Die Situation ist folgende:
Wir müssen mit unserer bestehenden Domäne (123.local) zu einer neuen Domäne (abc.local) migrieren. Soweit so gut.
123.local :
- Win2K8 R2 Server (Funktionsebene Domäne und Gesamtstrucktur Windows 2K8 R2)
- SID-Filterung deaktiviert
- Vertrauensstellung mit der Domäne abc.local eingerichtet und funktional
- Administrator aus abc.local Mitglied der Gruppe Administratoren in 123.local
- GPO -- default domain controller policy laut admt handbuch angepaßt
- Password Export Server installiert
- Testuser / Testgruppe (Global) angelegt
abc.local :
- Win2016 Server (Funktionsebene Domäne und Gesamtstrucktur Windows 2016)
- Vertrausensstellung mit der Domäne 123.local eingerichtet und funktional
- GPO ebenfalls entsprechend angepaßt / mittels GPP werden noch Freigaben auf einem Dateiserver in der alten Domäne zur Verfügung gestellt
- admt installiert mit SQL-DB auf seperatem SQL-Server
Namensauflösung (DNS) funktioniert.
Mittels admt habe ich nun den Testuser / Testgruppe in die neue Domäne mirgriert (mit SIDHistory... geprüft und ist identisch mit der auf Domäne 123.local).
- Mit den Testuser kann ich mich nun an der neuen Domäne anmelden, bekomme jedoch keinerlei Zugriff auf die Ressourcen (Freigaben) in der
alten Domäne !!??
Die Laufwerke die ich mittels GPP verbinde werden im explorer angezeigt, wenn ich jedoch darauf zugreifen will kommt die Meldung ich hätte dazu
keine Berechtigung!! (Den Zugriff hatte ich zuvor natürlich in der alten Domäne geprüft)
Was mir noch aufgefallen ist, wenn ich im admt die Option "Servergespeicherte Profilekonvertieren" aktiviere, bekomme ich die Meldung im Log das im
angegebenen Pfad keine NTUser.dat zu finden wäre. (Diese ist aber definitv vorhanden)
Wenn ich als Admin in der neuen Domäne abc.local auf einem Server angemeldet bin und dann im explorer z.B. \\Dateiserver aufrufe (Dieser steht noch in der alten
Domäne) bekomme ich alle Freigaben angezeigt, aber darauf zugreifen kann ich auch nicht!! (obwohl der Benutzer ja Mitglied in der Gruppe Administratoren
auf 123.local ist)
Mit solch einer Migration habe ich wirklich nicht viel Erfahrung und bin nun auch am Ende mit meinem Latein.
Ich hoffe jetzt das mir hier jemand weiterhelfen kann.
Vielen Dank schonmal im vorraus.
VG
Oliver
Nach langen Tagen und viiiieeel lesen und probieren (ohne die Lösung gefunden zu haben) hoffe ich nun auf euer fundiertes Wissen.
Die Situation ist folgende:
Wir müssen mit unserer bestehenden Domäne (123.local) zu einer neuen Domäne (abc.local) migrieren. Soweit so gut.
123.local :
- Win2K8 R2 Server (Funktionsebene Domäne und Gesamtstrucktur Windows 2K8 R2)
- SID-Filterung deaktiviert
- Vertrauensstellung mit der Domäne abc.local eingerichtet und funktional
- Administrator aus abc.local Mitglied der Gruppe Administratoren in 123.local
- GPO -- default domain controller policy laut admt handbuch angepaßt
- Password Export Server installiert
- Testuser / Testgruppe (Global) angelegt
abc.local :
- Win2016 Server (Funktionsebene Domäne und Gesamtstrucktur Windows 2016)
- Vertrausensstellung mit der Domäne 123.local eingerichtet und funktional
- GPO ebenfalls entsprechend angepaßt / mittels GPP werden noch Freigaben auf einem Dateiserver in der alten Domäne zur Verfügung gestellt
- admt installiert mit SQL-DB auf seperatem SQL-Server
Namensauflösung (DNS) funktioniert.
Mittels admt habe ich nun den Testuser / Testgruppe in die neue Domäne mirgriert (mit SIDHistory... geprüft und ist identisch mit der auf Domäne 123.local).
- Mit den Testuser kann ich mich nun an der neuen Domäne anmelden, bekomme jedoch keinerlei Zugriff auf die Ressourcen (Freigaben) in der
alten Domäne !!??
Die Laufwerke die ich mittels GPP verbinde werden im explorer angezeigt, wenn ich jedoch darauf zugreifen will kommt die Meldung ich hätte dazu
keine Berechtigung!! (Den Zugriff hatte ich zuvor natürlich in der alten Domäne geprüft)
Was mir noch aufgefallen ist, wenn ich im admt die Option "Servergespeicherte Profilekonvertieren" aktiviere, bekomme ich die Meldung im Log das im
angegebenen Pfad keine NTUser.dat zu finden wäre. (Diese ist aber definitv vorhanden)
Wenn ich als Admin in der neuen Domäne abc.local auf einem Server angemeldet bin und dann im explorer z.B. \\Dateiserver aufrufe (Dieser steht noch in der alten
Domäne) bekomme ich alle Freigaben angezeigt, aber darauf zugreifen kann ich auch nicht!! (obwohl der Benutzer ja Mitglied in der Gruppe Administratoren
auf 123.local ist)
Mit solch einer Migration habe ich wirklich nicht viel Erfahrung und bin nun auch am Ende mit meinem Latein.
Ich hoffe jetzt das mir hier jemand weiterhelfen kann.
Vielen Dank schonmal im vorraus.
VG
Oliver
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 415680
Url: https://administrator.de/forum/probleme-bei-benutzermigration-zwischen-zwei-domaenen-415680.html
Ausgedruckt am: 23.04.2025 um 09:04 Uhr
5 Kommentare
Neuester Kommentar
Hallo Oliver,
für die Migration von Profilen in eine andere Domäne kannst du dieses Tool nutzen.
User Profile Wizard
für die Migration von Profilen in eine andere Domäne kannst du dieses Tool nutzen.
User Profile Wizard
Hallo,
mal davon abgesehen: Eine Domäne mit .local einzurichten ist epic fail.
Gruss Penny
mal davon abgesehen: Eine Domäne mit .local einzurichten ist epic fail.
Gruss Penny
Es ist halt wie es ist. ... dafür hat der epic fail die letzten Jahre ohne Probleme funktioniert.
@goscho : das Profil wird ja übertragen. Irgendwo hakt es ja mit den Rechten!!?? Oder was macht die Software anders?
@goscho : das Profil wird ja übertragen. Irgendwo hakt es ja mit den Rechten!!?? Oder was macht die Software anders?
Moin,
Spätestens wenn du Zertifikate kaufst oder mit LE arbeiten möchtest, fängt das Basteln an. Abgesehen davon wird .local für andere Services genutzt.
Gruß,
Dani
Es ist halt wie es ist. ... dafür hat der epic fail die letzten Jahre ohne Probleme funktioniert.
Das mag sein, aber warum den selben Fehler nochmals machen, wenn man ihn verhindern und die Empfehlungen von Microsoft umsetzen kann.Spätestens wenn du Zertifikate kaufst oder mit LE arbeiten möchtest, fängt das Basteln an. Abgesehen davon wird .local für andere Services genutzt.
Gruß,
Dani
Ok.... augenscheinlich hat zu der eigentlichen Frage bis jetzt niemand eine Idee... das ganze wäre nur interessant wenn dies die Lösung wäre.
