После миграции домена из Win2000SERVER SP4 на Win2003 пользователь, как будто бы получает новую учетную запись. То есть голый рабочий стол, неподключенные сетевые диски и, что самое печальное, почтовый клиент, будь то Outlook Express, или The Bat (что у меня в сети редкость) при загрузке под новой учетной записью предлагает создать новый аккаунт. При миграции пользователей было сделано все по инструкции. Был установлен флажок "Мигрировать SID пользователя в конечный домен", а до этого было сделано все, чтобы после установки этого флажка не вылезала мессага о том, что "Фильтрация SID включена" пользователи в домене в основном не имеют переносимых профилей. После миграции ошибки не выдаются. Но профиль, получается после миграции совершенно новый, и привязки к старому SID получается, что нет..... Вероятно я делаю что-то не так, или что-то не доделываю.

Операционная система почти у всех пользователей Windows2000Professional SP4, за исключением нескольких человек ( WIN XP SP2). Migration tools версия 2 Пробовал подменить каталог C:\Documents and settings\"username" на каталог из учетной записи в старом домене, и назначить на нее права- результат тот- же, только ярлычки на рабочем столе появились. К стати, насколько я знаю, что, если бы SID не остался старым, то после такой операции вообще не удалось бы загрузииться под этой учетной записью (если я не ошибаюсь) Может быть можно, или нужно подменить ветку реестра Current User полностью, но у меня получилось только выгрузить файл из старой учетной записи, а при попытке добавить в новый ругается, (из под защищенного режима не пробовал)

Подскажите, кто знает: что нужно сделать, чтобы каждый пользователь, войдя в новый домен не заметил ничего и увидел свой родной рабочий стол с работающими программами....

Migration tools версия 2

Вторая версия не ахти как работает, если еще есть время, попробуйте первую. На второй были баги с паролями и профилями.

если еще есть время, попробуйте перв

Как раз-то времени у меня, к сожалению и нет. Пароли не проблема- сделаю новые, да и профиля, если вы имеете в виду переносимые-тоже, потому, что у меня в сети почти ни у кого их нет, главное, чтобы процесс миграции проходил правильно. Дело, как раз в том, что при миграции ни на что не ругается- ошибок 0, а результат такой, как будто бы я просто вручню завел новую учетную запись в домене для всех пользователей. Может после миграции еще нужно что-то копировать из старого профиля, назначать где-то еще права, и ветки реестра может какие-нибудь переносить надо? Знаю человека, который тоже с помощью второй версии мигрировал- у него все получилось, но у него профили- переносимые для всех пользователей, на которых он это тестировал.....

Посмотрел в ветке реестра, выяснил, что SID после миграции у пользователя не такой, как был в старом домене. (смотрел, на компьютере одного из пользователей). С чем это может быть связано? Опцию переноса SID я включил, ошибок после миграции не было....... :(

sfap

Надеюсь ты читал подобные статьи (http://www.oszone.net/119/) перед началом миграции и всё делал согласно инструкциям?

1. Пользоваться надо Active Directory Migration Tool v3.0 http://www.microsoft.com/downloads/details.aspx?FamilyID=6f86937b-533a-466d-a8e8-aff85ad3d212&DisplayLang=en
2. Мало мигрировать user-a нужно ещё мигрировать комп. При миграции компа происходит подмена разрешений на профили пользователя, если этого не делать то естественно будет создан новый профиль
3. При миграции пользователя он естественно получает новый SID, а старый сохраняется в поле SID-history, для того чтобы пользователь мог получить доступ к ресурсам в исходном домене

SID-History можно посмотреть с помощью ldp.exe из Windows server 2003 Resource Kit Tools

Миграция паролей тоже возможно читаем внимательно хелп к Active Directory Migration Tool v3.0

для уже заведенных пользователей можно скриптом поправить SID-hisroty с помошью sidhist.vbs из Support Tools
читаем clonepr.doc из Support Tools

С проблемой разобрался, хотя, не без помощи добрых людей :) Проблема заключалась в том, что я мигрировал только учетные записи прользователей, а миграцию компьютеров не проводил.

Выложите, пожалуйста первую версию Migration Tools, у кого она есть- может быть кому- нибудь поможет. В инете найти ее не получилось.

sfap
http://www.microsoft.com/technet/prodtechnol/windows2000serv/downloads/w2kadmt.mspx
Прошу прощения, бес попутал )))) Первая версия NT=>2000, вам надо второй и пользоваться. По третьей были неувязки.

Да, то, того. что мигрировать нужно еще и компьютер я дошел сам, в целом огромное спасибо. Я еще заметил, что, после миграции и юзера и компьютера все равно иногда получается то же самое, причем это относится к пользователям, которые входили в какие-нибудь группы. Наверное это связано с тем, что я по незнанию переименовал группы после миграции. Сегодня проведу правильную миграцию групп с пользователями, и отпишусь о результатах.

А, насчет Пользоваться надо Active Directory Migration Tool v3.0- у меня этот вариант сразу отпал, потому, что думал, что ставить Migration Tools надо на оба контроллера, домена, а она не становилась на исходный, так как там Win2000. Как, выяснилось позже- это совсем не обязательно......

Active Directory Migration Tool v3.0- у меня этот вариант сразу отпал

а зря, я сам имею два домена , один на win2000, на win2003
и именно использую Active Directory Migration Tool v3.0 для миграции. все шоколадно
в исходном домене на DC устанавливаем службу Password Export Server Service для миграции паролей
естественно, между доменами должны быть доверительные отношения, и настроены корректно DNS

Для сохранения членства в глобальных группах необходимо перенести глобальные группы до миграции пользователей.
Замечание. Не следует переносить глобальные группы в рабочее время. Процесс миграции глобальных групп задействует большое количество сетевых и системных ресурсов на контролере домена, на котором запущен ADMT.

С пользователями, входящими в какие-либо группы, кроме пользователи домена ситуация так и не разрешилась. Может быть нужно еще какие-то объекты мигрировать?

А что есть глобальная группа? При создании групп- я видел, что можно выбрать локальная она, или глобальная..... И еще вопрос есть. Что нужно кроме этих вещей мигрировать? Мне не хотелось бы переносить групповую политику со старого сервера, так как она там совсем не настроена. И еще мне не понятно: нужно ли переносить стандартные группы BUILTIN, или только те, что руками создавал- и этого будет достаточно для работы.

Из вышесказанного я понял, что нужно переносить группы без пользователей, а только потом мигрировать пользователей. Или я не совсем правильно понял?

Так же в описании написано, что в исходном домене должна быть группа {SourceNetBIOSDom}$$$. А с ней нужно что-нибудь делать? Я ее завел, но ее миграцию не проводил......

Пробовал создать глобальную группу, поместить в нее все объекты, которые, только возможно, произвел ее миграцию, потом миграцию группы, в которую входил проблеммный пользователь, а потом миграцию самого пользователя- не помогло. Пробовал делать это и третьей версией Migration Tools- тоже не помогло.... Мысли закончились............... :(

А что есть глобальная группа?

Читаем статьи по AD на данном сайте



1. Настаиваешь доверительные отношения между доменами
2. отключаешь SID filtering с помощью утилиты netdom (http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ru/library/ServerHelp/7b075a25-9f29-4856-883c-f230a8ccd681.mspx?mfr=true)
3. группа {SourceNetBIOSDom}$$$.

http://support.microsoft.com/kb/322970/en-us

так же читаем хелп по ADMT, там все что нужно документированно

4. переносятся сервисные учетные записи
http://technet2.microsoft.com/WindowsServer/en/library/27ccdf86-f6e9-46e6-b69d-3f98f23b80151033.mspx?mfr=true

5. переносятся глобальные группы

6. переносятся пользователи/или компы

Я, тут уже чудес натворил: Убил всех юзеров в новом домене (все- равно они не правильно перенеслись). Случайно кильнул юзера, который был перенесен успешно. Начал его заново переносить, а после миграции у него уже другой SID и опять ерунда получилась. Я не понимаю: как такое может быть? Хочет- переносит SID, а хочет- выдает новый........ :(

А ссылки, приведенные выше- несомненно вещь-полезная, но с них я и начинал. И, я думаю, что, если бы я неправильно настроил доверительные отношения, то ни один пользователь бы вообще не смог мигрировать, а у меня некоторые очень даже удачно мигрировали... Может такие глюки из-за того, что я много раз переустанавливал Migration tools, пробуя различные версии? Положение усугубляется тем, что несколько человек уже работают в новом домене, и сейчас- даже откат системы делать как-то не хочется....

К стати, фильтрацию SID я не отключал из командной строки, сделал это только сейчас, хотя, не думаю, что она была включена, так как некоторые юзеры все-таки мигрировали удачно. Сейчас попробую, момогло ли отключение......

Хочет- переносит SID, а хочет- выдает новый.......

В том то и дела что при миграции, всегда будет новый SID, старые будут сохранятся в атрибуте user-a SID-History

Кстати , когда переносишь глобальную группу выставляй галочки Update user rights, Fix membeship of group, Migrate group SIDs to target domain
Для пользователя ставишь галочки Migrate user SIDs to target domain

ADMT запоминает настройки с которым ты мигрировал в прошлый раз, так что если ты в первый раз выполнил миграцию не с теми настройками, а после просто нажимал NEXT, то ву тебя получится как в первый раз.

группа {SourceNetBIOSDom}$$$
должна быть просто Domain Local Security
Пользователь под которым производишь миграцию должен быть Domain Admin в целевом домене , а группа Domain Admins из целевого домена, должна быть в группе Builtin\Administrators исходного домена

Пользователь под которым производишь миграцию должен быть Domain Admin в целевом домене , а группа Domain Admins из целевого домена, должна быть в группе Builtin\Administrators исходного домена

А я провожу миграцию от имени админа исходного домена- хотя в целевом он тоже является админом......... Попробую таким образом.....

В том то и дела что при миграции, всегда будет новый SID, старые будут сохранятся в атрибуте user-a SID-History

Не понял я этой фразы. Я думал, что суть миграции как-раз в сохранении SID, ведь там даже есть опция мигрировать SID в новый домен. К стати, как можно почистить SID History, а то я некоторых пользователей уже мигрировал раз по 20, так и ничего не получилось.........?