- musimy być zalogowani kontem domenowym na komputerze użytkownika.



Podobne dokumenty
Z pojedynczym obiekcie zasady grupy znajdziemy dwa główne typy ustawień:

Rozwiązanie Zadania egzaminacyjnego egzamin praktyczny z kwalifikacji e13 styczeń 2015

Instalacja i konfiguracja serwera IIS z FTP

Konfiguracja oprogramowania w systemach MS Windows dla kont z ograniczonymi uprawnieniami

Konfiguracja oprogramowania w systemach MS Windows dla kont z ograniczonymi uprawnieniami

Instalacja Webroot SecureAnywhere przy użyciu GPO w Active Directory

Zanim zaczniesz. Warto ustawić kartę sieciową naszego serwera.

DLA DREAMBOX & FLASHWIZARD

Ustalanie dostępu do plików - Windows XP Home/Professional

Budowa i administracja systemów operacyjnych Laboratorium 15 Administrowanie kontami użytkowników

Ewidencja Wyposażenia PL+

Ćwiczenie: Planowanie i przypisywanie uprawnień NTFS

Windows Server Active Directory

Instalacja Active Directory w Windows Server 2003

Ćwiczenie 2 Badanie praw dostępu do zasobów w systemie Windows 2000.

Grzegorz Cygan. Zarządzanie prawami plików i folderów w systemie operacyjnym Windows z systemem plików NTFS

Zasady grupy (GPO) Windows Server 2008 R2. Przykładowa grupy.

Jak używać funkcji prostego udostępniania plików do udostępniania plików w systemie Windows XP

Konta uŝytkowników. Konta uŝytkowników dzielą się na trzy grupy: lokalne konta uŝytkowników, domenowe konta uŝytkowników, konta wbudowane

Ćwiczenie 2 Badanie praw dostępu do zasobów w systemie Windows 2000.

Tomasz Greszata - Koszalin

Laboratorium Systemów Operacyjnych

6. Cel: Sprawdzenie drogi protokołu TCP/IP

Instalacja PPPoE w systemie Windows XP za pomocą kreatora nowego połączenia sieciowego

pasja-informatyki.pl

Użycie pakietów instalacyjnych.msi w oprogramowaniu WYWIAD Plus

Materiały dla studentów Sieci Komputerowe. Aby zainstalować usługę Active Directory dla nowej domeny, należy wykonać następujące kroki:

Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x?

Ćwiczenie 1 Przypisywanie uprawnień NTFS

Kopie bezpieczeństwa. Wykorzystaj moc NAS-A.

PORADNIK KORZYSTANIA Z SERWERA FTP ftp.architekturaibiznes.com.pl

Laboratorium A: Korzystanie z raportów zasad grupy/klucz do odpowiedzi

Systemy operacyjne. Zasady lokalne i konfiguracja środowiska Windows 2000

Ustawienia personalne

Memeo Instant Backup Podręcznik Szybkiego Startu

Ćwiczenie 7a - Active Directory w pracowniach MEN

Korzystanie z edytora zasad grupy do zarządzania zasadami komputera lokalnego w systemie Windows XP

Laboratorium 16: Udostępnianie folderów

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Procedura wygenerowania paczki instalacyjnej oprogramowania F-Secure

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

INSTRUKCJA KONFIGURACJI KLIENTA POCZTOWEGO

Administrowanie Sieciowymi Systemami Operacyjnymi

Tomasz Greszata - Koszalin

Tworzenie oraz zarządzanie użytkownikami w AD -Win Serwer 2008

Zadanie 3. Tworzenie i odnajdowanie obiektów w Active Directory

Różnice pomiędzy kontami lokalnymi a domenowymi. Profile mobilne.

Procedury techniczne modułu Forte Kontroling. Ustawienia IIS

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

[1/15] Chmury w Internecie. Wady i zalety przechowywania plików w chmurze

Zadanie 2. Tworzenie i zarządzanie niestandardową konsolą MMC

PRACA W SIECI TYPU KLIENT-SERWER

Administrowanie systemami sieciowymi Laboratorium 3

oprogramowania F-Secure

asix Autoryzacja dostępu do zasobów WWW systemu asix (na przykładzie systemu operacyjnego Windows 2008)

Konfiguracja połączenia VPN w systemie Windows 7 z serwerem rozgrywki wieloosobowej gry Medal Of Honor: Wojna na Pacyfiku: Pacyfik.

Praca w sieci równorzędnej

Pracownia internetowa w każdej szkole (edycja jesień 2005)

Instrukcja instalacji Control Expert 3.0

Płace Optivum. 1. Zainstalować serwer SQL (Microsoft SQL Server 2008 R2) oraz program Płace Optivum.

POLITECHNIKA POZNAŃSKA

Kadry Optivum, Płace Optivum. Jak przenieść dane na nowy komputer?

- w związku ze stwierdzoną usterką właściciel firmy wezwał serwis komputerowy w celu jej zdiagnozowania i usunięcia,

DESlock+ szybki start

Windows Serwer 2008 R2. Moduł 8. Mechanizmy kopii zapasowych

Tworzenie i zarządzanie kontami użytkowników

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Jeżeli w komputerze była już zainstalowana inna wersja Javy może pojawić się komunikat

podstawowa obsługa panelu administracyjnego

Zalecana instalacja i konfiguracja Microsoft SQL Server 2016 Express Edition dla oprogramowania Wonderware

Windows Server 2012 Active Directory

Kadry Optivum, Płace Optivum. Jak przenieść dane na nowy komputer?

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Wprowadzenie do Active Directory. Udostępnianie katalogów

Tomasz Greszata - Koszalin

Zarządzanie Infrastrukturą IT. Jak ręcznie utworzyć instancję EAUDYTORINSTANCE na SQL Serwerze

Kancelaria Prawna.WEB - POMOC

NIE WYŁACZANIE PROTOKOŁU TCP/IP POWODUJE ZNACZNE SPOWOLNIENIE DZIAŁANIA SIECI!!! PROSZĘ O TYM PAMIĘTAĆ!

1.1 Szablony zabezpieczeń ZABEZPIECZENIA ZAKRES PRAC

Konfiguracja Javy. Jak prawidłowo skonfigurować środowisko Java. Jak zacząć? Poradnik dla systemów Windows 7,8, 8.1 i 10. Wersja 1.

Pracownia internetowa w każdej szkole (edycja jesień 2005)

Windows Server 2008 Standard Str. 1 Ćwiczenia. Opr. JK. I. Instalowanie serwera FTP w Windows Server 2008 (zrzuty ekranowe z maszyny wirtualnej)

Szybka instrukcja tworzenia testów dla E-SPRAWDZIAN-2 programem e_kreator_2

Wraz z wersją R2 dla systemu Windows 2008 Server nazewnictwo usług terminalowych uległa zmianie. Poniższa tabela przedstawia nową nomenklaturą:

Zarządzanie dostępem do zasobów

MikroTik Serwer OpenVPN

HELIOS pomoc społeczna

Ćwiczenie 1 Praca w grupie roboczej

Instrukcja instalacji aplikacji i konfiguracji wersji sieciowej. KomKOD

FAQ Systemu EKOS. 1. Jakie są wymagania techniczne dla stanowiska wprowadzania ocen?

Wykonać Ćwiczenie: Active Directory, konfiguracja Podstawowa

Systemy operacyjne. Tworzenie i zarządzanie kontami użytkowników

T: Instalacja systemu Windows 2008 Serwer w maszynie wirtualnej VirtualBox.

Kalipso wywiady środowiskowe

-Próba otworzenia pliku bezpośrednio z płyty CD także kończy się niepowodzeniem, pojawia się komunikat System Windows nie może otworzyć tego pliku.

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Windows Server 2012 Hyper-V Replica.

Przygotowanie środowiska Java do prawidłowej obsługi podpisu elektronicznego w epuap

Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH.

Transkrypt:

Przygotowanie do migracji do domeny Active Directory: Modyfikacja konta lokalnego użytkownika na domenowe oraz przeniesienie profilu na serwer (roaming user profile). Wyobraźmy sobie sytuację, iż niedawno zdecydowaliśmy się wprowadzić domenę Active Directory w naszym przedsiębiorstwie. Zakupiliśmy już serwer, zainstalowaliśmy na nim oprogramowanie Windows Server, stworzyliśmy nawet własną domenę i dodaliśmy do niej wszystkie komputery w firmie. Możemy ułatwić naszym użytkownikom przejście z logowania za pomocą kont lokalnych na korzystanie z kont domenowych tylko przez modyfikację ich profili (z zachowaniem wszystkich ustawień). Poniżej znajduje się opis procedury zastosowania takiej modyfikacji. Zaleca się jednak tworzenie nowych profili ustawień. Głównym argumentem jest fakt, iż tego procesu modyfikacji nie można zautomatyzować. Nasi użytkownicy byli przyzwyczajeni do swoich lokalnych profili, a wszelkie firmowe dane trzymają głównie na pulpicie i w moich dokumentach profilu lokalnego. Uniemożliwia to wygodne archiwizowanie ich danych i stwarza ryzyko ich utraty np. poprzez awarię dysku twardego komputera. Rozwiązaniem tego problemu jest migracja profili na serwer. Modyfikacja profili Modyfikujemy stworzony profil domenowy tak, aby użytkownik miał ten sam pulpit, swoje pliki oraz ustawienia. Niestety jest to specyficzne rozwiązanie, które wymaga dostępu do komputera użytkownika. Wymagania: - konto domenowe użytkownika zostało stworzone, - musimy być zalogowani kontem domenowym na komputerze użytkownika. 1. W katalogu %HOMEDRIVE%\Users (dla Win7 itp.) lub %HOMEDRIVE%\Documents and Settings (dla WinXP itp.) znajduje się folder z profilem naszego lokalnego użytkownika testuser oraz użytkownika domenowego testuser@contonso.com. Strona 1 z 10

Nadajemy pełne uprawnienia NTFS użytkownikowi testuser@contonso.com na folderze testuser, oraz zaznaczamy opcję Zamień wszystkie wpisy uprawnień obiektów podrzędnych na dziedziczone wpisy uprawnień z tego obiektu. ( Replace permission entries on all child objects with entries shown here that apply to child objects. ) 2. Otwieramy rejestr: Start\Uruchom oraz wpisujemy regedit. W otwartym edytorze zaznaczamy HKEY_LOCAL_MACHINE i klikamy Plik\Załaduj gałąź Rejestru ( Load Hive ). Wybieramy NTUSER.DATz folderu profilu użytkownika lokalnego. Edytor rejestru poprosi nas o podanie nazwy, wpisujemy ntuser. Na świeżo dodanej gałęzi w rejestrze wybieramy opcję Uprawnienia z menu kontekstowego oraz nadajemy pełną kontrolę użytkownikowi domenowemu testuser@contono.com, zmieniając uprawnienia dziedziczenia tak, jak dla folderu z profilem w poprzednim kroku. (Opcja: Zaawansowane zaznaczamy pole Zamień wszystkie wpisy uprawnień obiektów podrzędnych na dziedziczone wpisy uprawnień z tego obiektu.) Po tej zmianie, wybieramy Plik\Zwolnij gałąź Rejestru ( Unload Hive ). 3. Nie zamykając edytora rejestru, przechodzimy do gałęzi: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList Strona 2 z 10

W tej gałęzi znajdują się katalogi ze wszystkimi użytkownikami. Musimy znaleźć tutaj gałąź profilu lokalnego. To nie powinno być trudnym zadaniem, mimo iż katalogi są nazwane SID ami użytkowników. Ten, którego szukamy w kluczu ProfileImagePath, będzie miał wpisaną wartość: %SystemDrive%\Users\testuser lub %SystemDrive%\Documents and Settings\testuser (w zależności od wersji systemu operacyjnego). Kopiujemy zawartość tego klucza do schowka, a następnie znajdujemy gałąź profilu domenowego, który w kluczu ProfileImagePath będzie miał wpisaną wartość: %SystemDrive%\Users\testuser.CONTONSO lub %SystemDrive%\Documents and Settings\testuser.CONTONSO. Zamieniamy tą wartość na tą ze schowka. Celem tego kroku jest zmiana klucza ProfileImagePath konta domenowego tak, aby wskazywało na katalog z profilem lokalnym. 4. Pozostaje nam ponowne uruchomienie komputera i profil jest już zmodyfikowany. Migracja profili na serwer Tworzenie tzw. profili pływających (roaming profiles) umożliwia nam przechowywanie ustawień i plików z lokalnych profili użytkowników na zasobie sieciowym, który regularnie archiwizujemy. W takiej sytuacji, jeśli komputer użytkownika zostanie trwale uszkodzony (np. poprzez zalanie uszkadzające także dysk twardy), nasz pracownik może zalogować się na innym komputerze, a jego profil zostanie zaimportowany z serwera. Strona 3 z 10

Wymagania: - serwer z dużą ilością wolnego miejsca dyskowego, - częsty kontakt komputerów z siecią firmową w celu synchronizacji profili, - odpowiednia segregacja migrowanych kont w Active Directory (oddzielne OU z migrowanymi użytkownikami). Tworzymy folder na profile użytkowników. Po zalogowaniu się na serwer wybieramy sobie ścieżkę, gdzie chcemy przechowywać dane profili oraz tworzymy odpowiedni katalog. Następnie nadajemy odpowiednie uprawnienia do zasobu. Wybieramy zakładkę Advanced, klikamy Change permissions, a następnie odznaczamy pole Include inheritable permission from the object s parrent i wybieramy Add (aby zachować domyślne ustawienia, wyłączając jedynie dziedziczenie). Zmieniamy uprawnienia dla CREATOR OWNER na pełen dostęp do podfolderów i plików. Strona 4 z 10

Zmieniamy także uprawnienia dla użytkowników, mają dotyczyć tylko tego folderu. Opcje tak, jak widać poniżej (te, których nie widać są odznaczone). Strona 5 z 10

Jak widać, nie dajemy użytkownikowi jedynie uprawnień: full control, create files/ write data, delete subfolders and files, delete, change permissions. Przechodzimy do zakładki Sharing, wybieramy Advanced Sharing, zmieniamy pole Share name: np. na profile$ oraz zaznaczamy Share this folder. Klikamy przycisk Caching i zaznaczamy opcje No files or programs are avaliable offline. Następnie nadajemy pełne uprawnienia grupie Everyone. Mamy do wyboru dwie opcje, w zależności od naszych możliwości i potrzeb. a) Metoda szybka (brak dodatkowych możliwości zarządzania): Wszystkie konta użytkowników, które chcemy migrować na serwer znajdują się w OU: \contonso.com\pracownicy\migracja. Następnie tworzymy prosty skrypt, który doda za nas ścieżkę z profilem do właściwości użytkownika w AD. Wystarczy go zapisać jako plik *.ps1 oraz uruchomić z uprawnieniami administratora na kontrolerze domeny. IMPORT-MODULE ACTIVEDIRECTORY $OU = "OU=MIGRACJA,OU=PRACOWNICY,DC=CONTONSO,DC=COM" $PROPERTIES = "PROFILEPATH" GET-ADUSER -FILTER * -SEARCHBASE $OU -PROPERTIES $PROPERTIES FOREACH-OBJECT { $PROFILEPATH = "\\FILE_SRV\PROFILES\%USERNAME%\" SET-ADUSER $_.SAMACCOUNTNAME -PROFILEPATH $PROFILEPATH } Pierwsze wylogowanie użytkownika może chwilę potrwać, w zależności od szybkości sieci i ilości danych na profilu. Tylko przy pierwszej synchronizacji jest kopiowany cały profil użytkownika, a przy następnych tylko zmiany na plikach/folderach. Zaletą tej opcji jest pełen dostęp do zasobów nawet na komputerach bez dostępu do sieci. b) Metoda bardziej złożona umożliwiająca pełną lub tylko częściową migrację: Otwieramy Group Policy Menagera i tworzymy nową polisę na OU z użytkownikami do migracji. W edytorze polisy wybieramy: User Configuration -> Policies -> Windows Settings -> Folder Redirection. Strona 6 z 10

Możemy tu wybrać poszczególne foldery, które chcemy migrować. Klikamy prawym przyciskiem myszki i wybieramy properties oraz konfigurujemy każdy folder ustawień jak na obrazku poniżej: Strona 7 z 10

Jako Root Path wpisujemy oczywiście \\file_srv\profile$ (gdzie file_srv to nazwa naszego serwera plików gdzie znajduje się zasób). W zakładce Settings odznaczamy Grant the user exclusive rights to AppData(Roaming), zostawiając zaznaczone opcje jak poniżej: Po zmianie ustawień dla folderów nasza polisa jest gotowa. W sytuacji, gdy użytkownik nie będzie podpięty do sieci firmowej, nadal będzie mógł się zalogować do swojego profilu, lecz zmigrowane dane mogą być dla niego niedostępne do czasu podpięcia się do naszej sieci (np. przez odpowiedni VPN). Aby to ominąć, warto zdecydować się na korzystanie z plików offline. Dodatkowo przyśpieszy to ładowanie się profilu. Dla systemów desktopowych są one domyślnie włączone, lecz dobrze jest je dodatkowo skonfigurować. Dla starszych wersji systemu Windows tworzymy polisę w: Computer Configuration -> Policies - > Administrative Templates -> Network, oraz włączamy opcję: Subfolders always available offline : Strona 8 z 10

Dla nowszych ustawiamy w tej samej ścieżce opcję: Configure slow-link mode na Enabled, po czym w zakładce Options wciskamy przycisk Show i wpisujemy ścieżkę naszego zasobu z profilami, w polu Value wpisując Latency=1 i zatwierdzamy: Korzystając z tego rozwiązania, mamy dodatkowo całą gamę opcji, którymi możemy administrować. Możemy dla bezpieczeństwa wyłączyć tworzenie tymczasowego profilu przy uszkodzonym profilu. Zmieniamy: Computer Configuration -> Policies -> Administrative Templates -> System -> User Profiles - > Do not log users on with temporary profiles. Strona 9 z 10

Podsumowanie: Zalety: - mobilność użytkownika do pracy na różnych komputerach, - bezpieczeństwo danych użytkownika. Wady: - obciążenie sieci podczas synchronizacji profili użytkownika, - ze względu na wagę profili, może wymagać to sporo zasobów dyskowych na serwerze, - jeśli użytkownik jest zalogowany na kilku komputerach na raz, istnieje ryzyko, iż uszkodzi integralność niektórych danych. Powyższe przykładowe grafiki zostały przygotowane na polskojęzycznej wersji Windows 8.1 Enterrprise oraz anglojęzycznym Windows Server 2008 R2 Professional. W różnych wersjach systemów, zwłaszcza Windows Server, niektóre opcje mogą znajdować się w nieco innych miejscach bądź pod innymi nazwami. Źródła: 1. Opracowanie własne 2. Microsoft TechNet 3. Microsoft Social TechNet Artykuł opracował: Kacper Kondraciuk, Support Online Sp. z o.o. Support Online Sp. z o.o. świadczy szeroki zakres usług informatycznych dla firm oraz instytucji: kompleksowa i częściowa obsługa informatyczna, projekty informatyczne, helpdesk IT 24h, audyty informatyczne, telefonia VoIP, wdrożenia Office 365 i wiele innych. Jeśli jesteście Państwo zainteresowani współpracą w tym zakresie lub innymi usługami informatycznymi zapraszamy do kontaktu. Support Online Sp. z o.o. www.support-online.pl e-mail: support@so.com.pl tel. + 48 22 335 28 00 Strona 10 z 10

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres