Wie ändere ich am geschicktesten die Berechtigung der Userregistry?

[Overdose 10]

Hallo zusammen,

ein Kunde hat einen neuen DC mit neuer Domäne (Gesamtsruktur) bekommen. Nun müssen alle User (~35) auf dem Server neu angelegt werden. Die Roamingprofile werden einfach auf den neuen Server kopiert und der neue Pfad dann entprechend als Profile in den Benutzereigenschaften angegeben.

 

Die Test haben aber nun ergeben, dass die Anmeldung zwar funktioniert, aber die Registry dann nicht geladen werden kann. Zwar hat der User berechtigung auf die ntuser.dat aber eben nicht auf die enthalteten Reigstryschlüssel, sprich man müsste jede Registry laden und dort nochmal die Berechtigungen geben.

 

Meine Frage ist nun, wie ich das am geschicktesten automatisiere? Ich habe bereits hier im Forum ein Skript gefunden, nämlich dass hier von lefg (http://www.mcseboard.de/windows-forum-ms-backoffice-31/y-z-vertauschung-kopierten-benutzerprofilen-6-79932.html)

reg load hku\%username% \\1server\%group%\%username%profil\ntuser.dat
SetACL.exe users\%username% /registry /revoke Lubeca\%username% /full
SetACL.exe users\%username% /registry /set 2lubeca\%username% /full
reg unload hku\%username%

 

Allerdings komme ich damit noch nicht so ganz zu recht. Zum einen verstehe ich nicht was das 2lubeca in der dritten Zeile ist und zum anderen bin ich mir nicht sicher, wie das Skript angewednet werden soll.

In diesem Fall sieht mir das nach Anwendung übers Startskript aus.

Da ich ja die Profile alle Servergespeichert habe, denke ich, dass es vielleicht sinnvoll wäre, auch gleich die Berechtigungen durch ein Skript am Server zu vergeben.

 

Dazu müsste ich den Namen aller Ordner im Profileornder auslesen und nach ein ander in eine Variable schreiben. Dann könnte ich per reg load hku\variable die Registry vom User laden und die Berechtigungen vergeben. Leider weiß ich nur noch nicht so ganz wie ich das hinbiegen soll?

 

Alternative dazu wäre wohl wirlich ein Startskript, seht ihr da irgendwelche Vorteile?

 

Freue mich auf eure Antworten. :)

[grizzly999 11]

Für eine Usermigration samt Roaming Profiles in eine neue Domäne/forest nimmt man ein Migrationstool wie ADMT von Microsoft (oder Löhnware von Quest u.a.), aber nichts manuell machen. Das ist nur Gepfriemel und fehlerbehaftet.

 

grizzly999

[Overdose 10]

Klingt gar nicht verkehrt. :) Sehe ich das richtig, dass es da auch nichts macht wenn das alte AD gesponnen hat, da man sagen kann ich möchte nur die Profile selbst übernehmen?

 

Edit:

Ah ich seh grade das sich die Server dafür vertrauen müssen. Das könnte bei dem halbkaputten alten Server durchaus ein Problem darstellen, könnte ich mir vorstellen.

[grizzly999 11]

Ja, für das Tool braucht man die Namensauflösung zwischen den Domänen und den Trust als Grundvoraussetzung. Dann allerdings bietet das ADMT Tool auch an, Roaming Profiles bei der Benutzermigration entsprechend "mit zu migrieren".

 

 

grizzly999

[Overdose 10]

Nochmal zu dem "kaputten AD", zum Beispiel sind die Rollen (PDC etc.) nicht mehr korrekt verteilt, also da kommen halt Fehler. Meinst du nicht, dass ich da noch massive Probleme bekommen werde?:shock:

[grizzly999 11]

Das kann durchaus Fehler geben, und müsste zuerst gerichtet werden. Hängt auch ein wenig davon ab, was für ein Typ die alte Domäne ist, NT oder AD. Bei AD sollte in der alten Domäne alles in Butter sein bzgl. PDC-Emulator, DNS-Einträgen usw.

 

 

grizzly999

[Overdose 10]

Ist AD (Win2000), denke nicht das ich da alles wieder so hinbekomme, dass es "in Butter" ist - oder nur mit mehraufwand. :suspect: