[2k] opnieuw opbouwen domein, hoe lokale profielen behouden?

Lieve mensen, op mijn werk zit ik met een probleem waar ik al bijna een dag mee aan het spelen ben, maar waar ik echt niet uit kom.

Wij hadden een Windows 2003-domeincontroller en een Windows 2000-fileserver draaien. De Windows 2003-bak wordt straks voor iets anders ingezet en daarom moet de Windows 2000-machine ook domeincontroller worden. Het domein op de 2003-machine was in 2003 native mode, dus moest op de 2000-machine opnieuw opgebouwd worden. Daarna moesten alle pc's (ongeveer 40) zich even opnieuw op het domein aanmelden (zowel geprobeerd van afstand met netdom uit de resource kit, als op de pc's zelf). Tot zover geen vuiltje aan de lucht.

Nu staan op al die pc's één of meer lokale gebruikersprofielen (met wat settings, een Outlook PST-file voor het IMAP-account, enzo). Die kan ik niet met de 'Copy to'-functie kopiëren naar de nieuwe profielen, want het zijn 'Unknown accounts' omdat de oude domeincontroller inmiddels is gedemote (achteraf vrij stom inderdaad) en dan is het knopje daarvoor grijs.

Ik heb op een aantal manieren geprobeerd die bestaande gebruikersprofielen te koppelen aan een 'nieuwe' domeinuser (met een nieuwe SID dus):
* Kopiëren van volledige mapinhoud van het oude profiel naar de nieuwe profielmap
* Kopiëren van volledige mapinhoud van het oude profiel naar de nieuwe profielmap muv de user-registry (ntuser.dat), en die met regedt32 overhangen (op aanraden van een artikel in de nieuwsgroepen)
* Eerst inloggen als de domeinuser, dan in HKLM\Software\MS\Windows NT\CurrentVersion\ProfileList bij de betreffende user-SID het pad van het profiel (ProfileImagePath) veranderen

De eerste twee opties werken niet. De laatste werkt prima... als de gebruiker Administrator is. Zo niet, dan wordt er netjes ingelogd, maar kan er daarna vrijwel niets meer. Outlook start niet op met de error dat mapi32.dll niet gevonden kan worden of beschadigd is (is niet zo, werkt prima onder Administrator - Analyse&herstel ook geprobeerd), Outlook Express is zijn identiteiten volledig kwijt terwijl deze gewoon in een mapje staan, en allerlei andere applicaties draaien niet meer.

Natuurlijk heb ik de bestandspermissies doorgelopen. Met 't tooltje subinacl uit de resource kit heb ik zelfs geprobeerd alle permissies en ownership op de oude en de nieuwe homedirectory aan de gebruiker te geven. En de groep Domain Users is gemapt naar de lokale groep Users, en moet dus gewoon programma's en dll's kunnen lezen. Ik heb dus geen flauw idee waar ik het probleem nog moet zoeken - hoe kan het dat iemand met dezelfde permissies op het nieuwe domein als op het oude, ineens niet meer kan wat hij kon?

Onze gebruikers zijn nu aan het werk op een leeg nieuw profiel (want inloggen op het domein lukt wel gewoon, het probleem zit blijkbaar echt lokaal) en kunnen op die manier wel bij hun bestanden en mail, maar ik wil zsm die oude lokale profielen fatsoenlijk terugzetten. Wat zie ik over het hoofd? Of kan ik op een andere manier lokale profielen fatsoenlijk aan een user koppelen, als de oude user aan wie het profiel hing niet meer bestaat?
Bvd... (en sorry voor de wat lange introductie, maar dan heb ik in elk geval al het relevante gemeld)

[ Voor 6% gewijzigd door Kjev op 05-08-2004 15:15 ]

Gambit schreef op 05 augustus 2004 @ 15:20:
Ik heb hier iets soortgelijks gehad.
Ik heb toen de meeste dingen uit de oude profielen van de gebruikers (zoals desktop enz.) gewoon gekopieerd naar het nieuwe profiel. Dus gewoon letterlijk van het ene mapje in het andere.

Op de één of andere manier blijf ik ook dan dus zitten met gigantische permissieproblemen - voor zover het kopiëren dan al vlekkeloos gaat. Van beide mappen (oud en nieuw) zijn de users in kwestie eigenaar en hebben ze full control, en toch kunnen de bestanden van bijv. OE en Outlook niet gevonden worden.

Verwijderd schreef op 05 augustus 2004 @ 15:52:
Waarom wil je 2003 server ergens anders voor inzetten. Je haalt je zo enorm veel werk op de hals. Werkt die 2003 server niet goed genoeg??

2003 server werkt op zich prima als dc, maar wordt straks (test-) terminal server. De fileserver, die al 2000 draait, krijgt dus de rol van dc erbij.

mutsje schreef op 05 augustus 2004 @ 19:46:
wel eens van User State Migration Tool gehoord? kun je bulk users van 1 domain naar ander domain pompen.
zie Tools Used in the Migration Process

De USMT voor Windows 2000 kan iig alleen users van NT/Wn9x migreren naar Win2k.
Kan de USMT van de Windows XP-CD gebruikers migreren van en naar Win2k? (Alle werkstations draaien Win2k.)

BackSlash32 schreef op 07 augustus 2004 @ 00:59:
USMT bij XP/2003 kan dat ja.
Toch vraag ik me af of je niet beter een migration had kunnen doen (ADMTv2) maar daar is het nu al te laat voor

Dat kan alleen maar W2k -> W2k3, en niet terug als de W2k3-server in native mode draait.

Maar uhm, ik heb een oplossing gevonden en post 'm bij deze hier voor mensen die soortgelijke vreemde permissie- en conversie-problemen hebben. Oftewel:

---
Hoe wijs ik een bestaand lokaal profiel toe aan een nieuwe domein-user zonder vreemde permissieproblemen als mijn oude domein al weg is?

• Log in als de domein-user in kwestie, zodat er een nieuw lokaal profiel wordt aangemaakt. Controleer wat de profieldirectory is van het oude en het nieuwe lokale profiel (bijv username.DOMAIN en username.DOMAIN.000). Log vervolgens in als domain-admin.

• Zoek in HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Profile List de key op van het nieuwe profiel (dat zie je bijv. aan de optie ProfileImagePath, die het profielpad laat zien). Verander in deze key het ProfileImagePath naar het pad van het oude profiel. Sla de SID die hierbij hoort, dus de keyname, op het clipboard op (rechtsklikken -> Copy Key Name)

• Zorg dat je het tooltje subinacl bij de hand hebt (er zit een installatie aan vast, maar eenmaal uitgepakt kun je subinacl.exe ook los gebruiken). Dit tooltje is heel handig om o.a. ownership en permissies recursief goed te zetten.
Gebruik de volgende commando's op het oude profiel:

subinacl /subdirectories "c:\documents and settings\username.DOMAIN\*" /setowner=DOMAIN\username
subinacl /subdirectories "c:\documents and settings\username.DOMAIN\*" /grant=DOMAIN\username=F

• Start nu regedt32 (da's wat anders dan regedit onder Win2k, in Windows XP kun je gewoon regedit gebruiken), ga in HKEY_USERS staan en klik op File -> Load hive... Laad het bestand oudprofielpad\ntuser.dat in, met als keyname de keynaam die je nog op je clipboard hebt staan van stap 2 (wel even het eerste stuk eraf halen, zodat je alleen S-1-5-enz overhoudt)

• Ga op de key staan en klik vervolgens op Security -> Permissions... en geef Full Control permissies voor deze key aan Everyone (vergeet niet op Advanced... te klikken en het hokje 'Reset permissions on all child objects' aan te vinken). Dit is geen security risk - bij mij althans werden de permissies voor de key automatisch goed gezet toen de user voor de eerste keer inlogde.

De stappen mbt ntuser.dat zijn niet nodig als een user local administrator is. Maar als hij dat niet is, heeft hij onvoldoende rechten op zijn oude user registry (ntuser.dat) - daar heeft immers alleen zijn oude domeinaccount rechten op. De user kan dan niet inloggen of krijgt moeilijkheden met applicaties - z'n registry is immers niet of niet goed leesbaar. Registry-rechten staan blijkbaar volkomen los van file-permissies op ntuser.dat... (ben ik de enige die dat niet zo logisch vindt )

---

Iedereen bedankt voor het meedenken, en zorg dat je nooit in zo'n fucked up situatie terecht komt

[ Voor 6% gewijzigd door Kjev op 08-08-2004 01:15 ]