Stellen wir uns eine Situation vor, in der wir kürzlich beschlossen haben, in unserem Unternehmen eine Active Directory-Domäne (Active Directory-Domänendienste) einzuführen. Wir haben bereits einen Server gekauft, Windows Server-Software darauf installiert, sogar eine eigene Domäne erstellt und alle Computer im Unternehmen hinzugefügt.
Wir können unseren Benutzern den Wechsel von der Anmeldung mit lokalen Konten zur Verwendung von Domänenkonten erleichtern, indem wir einfach ihre Profile ändern (unter Beibehaltung aller Einstellungen). Nachfolgend finden Sie eine Beschreibung des Verfahrens zur Anwendung einer solchen Änderung. Es wird jedoch empfohlen, neue Einstellungsprofile zu erstellen. Das Hauptargument ist, dass dieser Änderungsprozess nicht automatisiert werden kann.
Unsere Benutzer waren an ihre lokalen Profile gewöhnt und speicherten alle ihre Unternehmensdaten hauptsächlich auf dem „Desktop“ und „Meine Dokumente“ des lokalen Profils. Dies macht eine komfortable Archivierung ihrer Daten unmöglich und birgt die Gefahr, dass sie verloren gehen, z. B. durch einen Festplattenausfall des Computers. Die Lösung für dieses Problem besteht darin, Profile auf den Server zu migrieren.
Profiländerung
Wir ändern das erstellte Domänenprofil, sodass der Benutzer über denselben „Desktop“, dieselben Dateien und Einstellungen verfügt. Leider handelt es sich hierbei um eine spezielle Lösung, die Zugriff auf den Computer des Benutzers erfordert.
Anforderungen:
- das Benutzerdomänenkonto wurde erstellt,
- Wir müssen mit einem Domänenkonto auf dem Computer des Benutzers angemeldet sein.
- Im Verzeichnis %HOMEDRIVE%\Users (für Win7 usw.) bzw. %HOMEDRIVE%\Documents and Settings (für WinXP usw.) befindet sich ein Ordner mit dem Profil unseres lokalen Benutzers „testuser“ und des Domänenbenutzers „testuser“. @contonso.com“.
Wir gewähren dem Benutzer „testuser@contonso.com“ im Ordner „testuser“ vollständige NTFS-Berechtigungen und aktivieren die Option „Alle Berechtigungseinträge von untergeordneten Objekten durch geerbte Berechtigungseinträge von diesem Objekt ersetzen“.
(„Ersetzen Sie Berechtigungseinträge für alle untergeordneten Objekte durch die hier angezeigten Einträge, die für untergeordnete Objekte gelten.“)
- Öffnen Sie die Registry: „Start\Ausführen“ und geben Sie „regedit“ ein. Wählen Sie im geöffneten Editor „HKEY_LOCAL_MACHINE“ aus und klicken Sie auf „Datei\Hive laden“.
Wir wählen NTUSER.DAT aus dem Profilordner des lokalen Benutzers aus.
Der Registrierungseditor fordert uns auf, einen Namen einzugeben. Geben Sie „ntuser“ ein.
Wählen Sie im neu hinzugefügten Zweig der Registrierung die Option „Berechtigungen“ aus dem Kontextmenü und geben Sie dem Domänenbenutzer „testuser@contono.com“ „Vollzugriff“ und ändern Sie die Vererbungsberechtigungen wie für den Profilordner im vorherigen Schritt .
(Option: Erweitert – aktivieren Sie das Kontrollkästchen „Alle Berechtigungseinträge für untergeordnete Objekte durch geerbte Berechtigungseinträge von diesem Objekt ersetzen“.)
Wählen Sie nach dieser Änderung „Datei\Hive entladen“.
- Ohne den Registrierungseditor zu schließen, gehen wir zum Zweig:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
Dieser Zweig enthält Verzeichnisse mit allen Benutzern. Wir müssen hier den lokalen Profilzweig finden. Dies sollte keine schwierige Aufgabe sein, auch wenn die Verzeichnisse mit Benutzer-SIDs benannt sind. Der Schlüssel, den wir im „ProfileImagePath“-Schlüssel suchen, hat den eingegebenen Wert: %SystemDrive%\Users\testuser oder %SystemDrive%\Documents and Settings\testuser (abhängig von der Betriebssystemversion).
Wir kopieren den Inhalt dieses Schlüssels in die Zwischenablage und suchen dann den Domänenprofilzweig, der den im Schlüssel „ProfileImagePath“ eingegebenen Wert hat: %SystemDrive%\Users\testuser.CONTONSO oder %SystemDrive%\Documents and Settings\testuser .CONTONSO. Diesen Wert ersetzen wir durch den aus der Zwischenablage.
Der Zweck dieses Schritts besteht darin, den „ProfileImagePath“-Schlüssel des Domänenkontos so zu ändern, dass er auf das lokale Profilverzeichnis verweist.
- Wir müssen lediglich den Computer neu starten und schon ist das Profil geändert.
Migration von Profilen auf den Server
Erstellen des sogenannten „Floating-Profile“ (Roaming-Profile) ermöglichen es uns, Einstellungen und Dateien von lokalen Benutzerprofilen auf einer Netzwerkressource zu speichern, die wir regelmäßig archivieren.
In einer solchen Situation, wenn der Computer des Benutzers dauerhaft beschädigt wird (z. B. durch Überschwemmung, die auch die Festplatte beschädigt), kann sich unser Mitarbeiter an einem anderen Computer anmelden und sein Profil wird vom Server importiert.
Anforderungen:
- ein Server mit viel freiem Speicherplatz,
- häufiger Kontakt von Computern mit dem Unternehmensnetzwerk, um Profile zu synchronisieren,
- angemessene Trennung der migrierten Konten im Active Directory (getrennte Organisationseinheiten mit migrierten Benutzern).
Wir erstellen einen Ordner für Benutzerprofile. Nachdem wir uns am Server angemeldet haben, wählen wir den Pfad, in dem wir die Profildaten speichern möchten, und erstellen das entsprechende Verzeichnis.
Anschließend erteilen wir der Ressource entsprechende Berechtigungen.
Wählen Sie die Registerkarte „Erweitert“, klicken Sie auf „Berechtigungen ändern“, deaktivieren Sie dann das Kontrollkästchen „Vererbbare Berechtigung vom übergeordneten Objekt des Objekts einschließen“ und wählen Sie „Hinzufügen“ (um die Standardeinstellungen beizubehalten und nur die Vererbung zu deaktivieren).
Wir ändern die Berechtigungen für „CREATOR OWNER“ auf vollen Zugriff auf Unterordner und Dateien.
Wir ändern auch die Berechtigungen für Benutzer, sie sollen nur für diesen Ordner gelten. Optionen wie unten dargestellt (die nicht sichtbaren sind deaktiviert).
Wie Sie sehen, geben wir dem Benutzer nicht nur die folgenden Berechtigungen: „Vollzugriff“, „Dateien erstellen/Daten schreiben“, „Unterordner und Dateien löschen“, „Löschen“, „Berechtigungen ändern“.
Gehen Sie zur Registerkarte „Freigabe“, wählen Sie „Erweiterte Freigabe“, ändern Sie das Feld „Freigabename:“ z. B. in „profile$“ und aktivieren Sie „Diesen Ordner freigeben“.
Klicken Sie auf die Schaltfläche „Caching“ und aktivieren Sie die Option „Es sind keine Dateien oder Programme offline verfügbar“. Anschließend erteilen wir der Gruppe „Jeder“ die vollständigen Berechtigungen.
Abhängig von unseren Fähigkeiten und Bedürfnissen haben wir zwei Möglichkeiten zur Auswahl.
a) Schnellmethode (keine zusätzlichen Verwaltungsoptionen):
Alle Benutzerkonten, die wir auf den Server migrieren möchten, befinden sich in der Organisationseinheit: „\contonso.com\employees\migration“. Anschließend erstellen wir ein einfaches Skript, das den Profilpfad zu den Eigenschaften des Benutzers in AD hinzufügt. Speichern Sie es einfach als *.ps1-Datei und führen Sie es mit Administratorrechten auf dem Domänencontroller aus.
Das erste Abmelden eines Benutzers kann je nach Netzwerkgeschwindigkeit und Datenmenge im Profil eine Weile dauern. Nur bei der ersten Synchronisierung wird das gesamte Benutzerprofil kopiert, bei weiteren Synchronisierungen werden nur Änderungen an Dateien/Ordnern kopiert.
Der Vorteil dieser Option ist der volle Zugriff auf Ressourcen auch auf Computern ohne Netzwerkzugriff.
b) Komplexere Methode, die eine vollständige oder nur teilweise Migration ermöglicht:
Wir öffnen den Gruppenrichtlinien-Manager und erstellen eine neue OU-Richtlinie mit zu migrierenden Benutzern.
Wählen Sie im Richtlinieneditor: Benutzerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Ordnerumleitung.
Hier können wir einzelne Ordner auswählen, die wir migrieren möchten. Klicken Sie mit der rechten Maustaste, wählen Sie „Eigenschaften“ und konfigurieren Sie jeden Einstellungsordner wie im Bild unten:
Als „Root Path“ geben wir natürlich \\file_srv\profile$ ein (wobei „file_srv“ der Name unseres Dateiservers ist, auf dem sich die Ressource befindet).
Deaktivieren Sie auf der Registerkarte „Einstellungen“ die Option „Dem Benutzer exklusive Rechte für AppData (Roaming) gewähren“ und lassen Sie die Optionen wie folgt ausgewählt:
Nachdem Sie die Einstellungen für Ordner geändert haben, ist unsere Richtlinie fertig.
Wenn der Benutzer nicht mit dem Firmennetzwerk verbunden ist, kann er sich weiterhin in sein Profil einloggen, die migrierten Daten stehen ihm jedoch möglicherweise erst dann zur Verfügung, wenn er mit unserem Netzwerk verbunden ist (z. B. über ein entsprechendes VPN).
Um dies zu vermeiden, lohnt es sich, Offlinedateien zu verwenden. Darüber hinaus wird das Laden Ihres Profils beschleunigt. Für Desktop-Systeme sind sie standardmäßig aktiviert, es empfiehlt sich jedoch, sie zusätzlich zu konfigurieren.
Erstellen Sie für ältere Windows-Versionen eine Richtlinie unter: „Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Netzwerk“ und aktivieren Sie die Option: „Unterordner immer offline verfügbar“:
Für neuere Benutzer: Setzen Sie die Option im gleichen Pfad: „Slow-Link-Modus konfigurieren“ auf „Aktiviert“, klicken Sie dann auf der Registerkarte „Optionen“ auf die Schaltfläche „Anzeigen“ und geben Sie den Pfad unserer Ressource mit Profilen im Feld „ ein. Geben Sie im Feld „Wert“ „Latenz =1“ ein und bestätigen Sie:
Durch den Einsatz dieser Lösung verfügen wir zudem über eine ganze Reihe von Möglichkeiten, die wir verwalten können.
Aus Sicherheitsgründen können wir die Erstellung eines temporären Profils für ein beschädigtes Profil deaktivieren. Wir ändern: Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> System -> Benutzerprofile -> Benutzer nicht mit temporären Profilen anmelden.
Active Directory-Dienst – Zusammenfassung:
Vorteile:
- Benutzermobilität, um an verschiedenen Computern zu arbeiten,
- Sicherheit der Benutzerdaten.
Mängel:
- Netzwerklast beim Synchronisieren von Benutzerprofilen,
- Aufgrund des Gewichts der Profile kann es sein, dass viele Festplattenressourcen auf dem Server benötigt werden.
- Wenn ein Benutzer gleichzeitig an mehreren Computern angemeldet ist, besteht die Gefahr, dass die Integrität einiger Daten beschädigt wird.
Die obigen Beispielgrafiken wurden auf der polnischsprachigen Version von Windows 8.1 Enterprise und dem englischsprachigen Windows Server 2008 R2 Professional erstellt. In verschiedenen Systemversionen, insbesondere in Windows Server, befinden sich einige Optionen möglicherweise an leicht unterschiedlichen Orten oder unter anderen Namen.
Quellen:
- Eigene Studie
- Microsoft TechNet
- Microsoft Social TechNet
Support Online bietet professionelles IT-Outsourcing , unterstützt Benutzer und überwacht die Funktionsfähigkeit von IT-Systemen.
Benötigen Sie Unterstützung mit Active Directory? Wir bieten umfassende technische Unterstützung bei der Implementierung und Konfiguration des Dienstes. Bitte kontaktieren Sie uns .
Kacper Kondraciuk