Case study migrations and backups
Kacper Kondraciuk | 2015-01-27

Migracja logowania do usługi Active Directory

Wyobraźmy sobie sytuację, iż niedawno zdecydowaliśmy się wprowadzić domenę Active Directory (active directory domain services) w naszym przedsiębiorstwie. Zakupiliśmy już serwer, zainstalowaliśmy na nim oprogramowanie Windows Server, stworzyliśmy nawet własną domenę i dodaliśmy do niej wszystkie komputery w firmie.

Możemy ułatwić naszym użytkownikom przejście z logowania za pomocą kont lokalnych na korzystanie z kont domenowych tylko przez modyfikację ich profili (z zachowaniem wszystkich ustawień). Poniżej znajduje się opis procedury zastosowania takiej modyfikacji. Zaleca się jednak tworzenie nowych profili ustawień. Głównym argumentem jest fakt, iż tego procesu modyfikacji nie można zautomatyzować.

Nasi użytkownicy byli przyzwyczajeni do swoich lokalnych profili, a wszelkie firmowe dane trzymają głównie na ‘pulpicie’ i w ‘moich dokumentach’ profilu lokalnego. Uniemożliwia to wygodne archiwizowanie ich danych i stwarza ryzyko ich utraty np. poprzez awarię dysku twardego komputera.  Rozwiązaniem tego problemu jest migracja profili na serwer.

Modyfikacja profili

                Modyfikujemy stworzony profil domenowy tak, aby użytkownik miał ten sam ‘pulpit’, swoje pliki oraz ustawienia. Niestety jest to specyficzne rozwiązanie, które wymaga dostępu do komputera użytkownika.

Wymagania:

  • konto domenowe użytkownika zostało stworzone,
  • musimy być zalogowani kontem domenowym na komputerze użytkownika.
  1. W katalogu %HOMEDRIVE%\Users (dla Win7 itp.) lub %HOMEDRIVE%\Documents and Settings (dla WinXP itp.) znajduje się folder z profilem naszego lokalnego użytkownika „testuser” oraz użytkownika domenowego „testuser@contonso.com”.

Nadajemy pełne uprawnienia NTFS użytkownikowi „testuser@contonso.com” na folderze „testuser”, oraz zaznaczamy opcję „Zamień wszystkie wpisy uprawnień obiektów podrzędnych na dziedziczone wpisy uprawnień z tego obiektu”.

(„Replace permission entries on all child objects with entries shown here that apply to child objects.”)

  1. Otwieramy rejestr: „Start\Uruchom” oraz wpisujemy „regedit”. W otwartym edytorze zaznaczamy „HKEY_LOCAL_MACHINE” i klikamy „Plik\Załaduj gałąź Rejestru” („Load Hive”).

Wybieramy NTUSER.DATz folderu profilu użytkownika lokalnego.

Edytor rejestru poprosi nas o podanie nazwy, wpisujemy „ntuser”.

Na świeżo dodanej gałęzi w rejestrze wybieramy opcję „Uprawnienia” z menu kontekstowego oraz nadajemy „pełną kontrolę” użytkownikowi domenowemu „testuser@contono.com”, zmieniając uprawnienia dziedziczenia tak, jak dla folderu z profilem w poprzednim kroku.

(Opcja: Zaawansowane – zaznaczamy pole „Zamień wszystkie wpisy uprawnień obiektów podrzędnych na dziedziczone wpisy uprawnień z tego obiektu”.)

Po tej zmianie, wybieramy „Plik\Zwolnij gałąź Rejestru” („Unload Hive”).

  1. Nie zamykając edytora rejestru, przechodzimy do gałęzi:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

W tej gałęzi znajdują się katalogi ze wszystkimi użytkownikami. Musimy znaleźć tutaj gałąź profilu lokalnego. To nie powinno być trudnym zadaniem, mimo iż katalogi są nazwane SID’ami użytkowników. Ten, którego szukamy w kluczu „ProfileImagePath”, będzie miał wpisaną wartość: %SystemDrive%\Users\testuser lub %SystemDrive%\Documents and Settings\testuser (w zależności od wersji systemu operacyjnego).

Kopiujemy zawartość tego klucza do schowka, a następnie znajdujemy gałąź profilu domenowego, który w kluczu „ProfileImagePath” będzie miał wpisaną wartość: %SystemDrive%\Users\testuser.CONTONSO lub %SystemDrive%\Documents and Settings\testuser.CONTONSO. Zamieniamy tą wartość na tą ze schowka.

Celem tego kroku jest zmiana klucza „ProfileImagePath” konta domenowego tak, aby wskazywało na katalog z profilem lokalnym.

  1. Pozostaje nam ponowne uruchomienie komputera i profil jest już zmodyfikowany.

Migracja profili na serwer

Tworzenie tzw. ‘profili pływających’ (roaming profiles) umożliwia nam przechowywanie ustawień i plików z lokalnych profili użytkowników na zasobie sieciowym, który regularnie archiwizujemy.

W takiej sytuacji, jeśli komputer użytkownika zostanie trwale uszkodzony (np. poprzez zalanie uszkadzające także dysk twardy), nasz pracownik może zalogować się na innym komputerze, a jego profil zostanie zaimportowany z serwera.

Wymagania:

  • serwer z dużą ilością wolnego miejsca dyskowego,
  • częsty kontakt komputerów z siecią firmową w celu synchronizacji profili,
  • odpowiednia segregacja migrowanych kont w Active Directory (oddzielne OU z migrowanymi użytkownikami).

Tworzymy folder na profile użytkowników. Po zalogowaniu się na serwer wybieramy sobie ścieżkę, gdzie chcemy przechowywać dane profili oraz tworzymy odpowiedni katalog.

Następnie nadajemy odpowiednie uprawnienia do zasobu.

Wybieramy zakładkę „Advanced”, klikamy „Change permissions”, a następnie odznaczamy pole „Include inheritable permission from the object’s parrent” i wybieramy „Add” (aby zachować domyślne ustawienia, wyłączając jedynie dziedziczenie).

Zmieniamy uprawnienia dla „CREATOR OWNER” na pełen dostęp do podfolderów i plików.

Zmieniamy także uprawnienia dla użytkowników, mają dotyczyć tylko tego folderu. Opcje tak, jak widać poniżej (te, których nie widać są odznaczone).

Jak widać, nie dajemy użytkownikowi jedynie uprawnień: „full control”, „create files/ write data”, „delete subfolders and files”, „delete”, „change permissions”.

Przechodzimy do zakładki „Sharing”, wybieramy „Advanced Sharing”, zmieniamy pole „Share name:” np. na „profile$” oraz zaznaczamy „Share this folder”.

Klikamy przycisk „Caching” i zaznaczamy opcje „No files or programs are avaliable offline”.   Następnie nadajemy pełne uprawnienia grupie „Everyone”.

Mamy do wyboru dwie opcje, w zależności od naszych możliwości i potrzeb.

a)      Metoda szybka (brak dodatkowych możliwości zarządzania):

Wszystkie konta użytkowników, które chcemy migrować na serwer znajdują się w OU: „\contonso.com\pracownicy\migracja”. Następnie tworzymy prosty skrypt, który doda za nas ścieżkę z profilem do właściwości użytkownika w AD. Wystarczy go zapisać jako plik *.ps1 oraz uruchomić z uprawnieniami administratora na kontrolerze domeny.

Pierwsze wylogowanie użytkownika może chwilę potrwać, w zależności od szybkości sieci i ilości danych na profilu. Tylko przy pierwszej synchronizacji jest kopiowany cały profil użytkownika, a przy następnych tylko zmiany na plikach/folderach.

Zaletą tej opcji jest pełen dostęp do zasobów nawet na komputerach bez dostępu do sieci.

b)      Metoda bardziej złożona umożliwiająca pełną lub tylko częściową migrację:

Otwieramy Group Policy Menagera i tworzymy nową polisę na OU z użytkownikami do migracji.

W edytorze polisy wybieramy: User Configuration -> Policies -> Windows Settings -> Folder Redirection.

Możemy tu wybrać poszczególne foldery, które chcemy migrować. Klikamy prawym przyciskiem myszki i wybieramy „properties” oraz konfigurujemy każdy folder ustawień jak na obrazku poniżej:

Jako „Root Path” wpisujemy oczywiście \\file_srv\profile$ (gdzie „file_srv” to nazwa naszego serwera plików gdzie znajduje się zasób).

W zakładce „Settings” odznaczamy „Grant the user exclusive rights to AppData(Roaming)”, zostawiając zaznaczone opcje jak poniżej:

Po zmianie ustawień dla folderów nasza polisa jest gotowa.

W sytuacji, gdy użytkownik nie będzie podpięty do sieci firmowej, nadal będzie mógł się zalogować do swojego profilu, lecz zmigrowane dane mogą być dla niego niedostępne do czasu podpięcia się do naszej sieci (np. przez odpowiedni VPN).

                Aby to ominąć, warto zdecydować się na korzystanie z plików offline.  Dodatkowo przyśpieszy to ładowanie się profilu. Dla systemów desktopowych są one domyślnie włączone, lecz dobrze jest je dodatkowo skonfigurować.

Dla starszych wersji systemu Windows tworzymy polisę w: „Computer Configuration -> Policies -> Administrative Templates -> Network”, oraz włączamy opcję:  „Subfolders always available offline”:

Dla nowszych – ustawiamy w tej samej ścieżce opcję: „Configure slow-link mode” na „Enabled”, po czym w zakładce „Options” wciskamy przycisk „Show” i wpisujemy ścieżkę naszego zasobu z profilami, w polu „Value” wpisując „Latency=1” i zatwierdzamy:

Korzystając z tego rozwiązania, mamy dodatkowo całą gamę opcji, którymi możemy administrować.

Możemy dla bezpieczeństwa wyłączyć tworzenie tymczasowego profilu przy uszkodzonym profilu. Zmieniamy: Computer Configuration -> Policies -> Administrative Templates -> System -> User Profiles -> Do not log users on with temporary profiles.

Usługa Active Directory - Podsumowanie:

Zalety:

  • mobilność użytkownika do pracy na różnych komputerach,
  • bezpieczeństwo danych użytkownika.

Wady:

  • obciążenie sieci podczas synchronizacji profili użytkownika,
  • ze względu na wagę profili, może wymagać to sporo zasobów dyskowych na serwerze,
  • jeśli użytkownik jest zalogowany na kilku komputerach na raz, istnieje ryzyko, iż uszkodzi integralność niektórych danych.

                 Powyższe przykładowe grafiki zostały przygotowane na polskojęzycznej wersji Windows 8.1 Enterrprise oraz anglojęzycznym Windows Server 2008 R2 Professional. W różnych wersjach systemów, zwłaszcza Windows Server, niektóre opcje mogą znajdować się w nieco innych miejscach bądź pod innymi nazwami.

Źródła:

  1. Opracowanie własne
  2. Microsoft TechNet
  3. Microsoft Social TechNet

Support Online oferuje profesjonalny outsourcing informatyczny, zapewniając wsparcie dla użytkowników oraz monitorując funkcjonowanie systemów informatycznych.
Potrzebujesz wsparcia dotyczącego usługi Active Directory? Zapewniamy kompleksowe wsparcie techniczne we wdrożeniu i konfiguracji usługi. Zapraszamy do kontaktu.


 

Kacper Kondraciuk -
Related articles
Case study
| migrations and backups Case Study: Implementing Hardened Backup in Microsoft Azure. Read more
Article
| career Employee training and development in Support Online Read more
Article
| migrations and backups Veeam Hardened Repository – What is it and how does it protect backups against ransomware in 2026? Read more
Your IT.
our
support.
Contact us

The administrator of your personal data is Support Online sp. z o.o. Your personal data will be processed to respond to your inquiry and, if you consent, also to send the SOL newsletter. You can read about the detailed rules for personal data processing by our organization in our Privacy Policy.

FAQ
What does an IT company do? What IT solutions do we use at Support Online? When is it worth using an IT company? Why is it worth hiring an IT company rather than a freelance IT specialist? What are the advantages of working with IT Support Online?

An IT company, or IT firm, deals with information technology in a broad sense. This includes, among other things:

  1. Software design and development: An IT company can create custom applications for other companies or software products for the mass market. Depending on their specialization, these can include mobile applications, desktop applications, web applications, or embedded systems.
  2. Consulting services: An IT company often provides experts to advise on implementing new technologies, optimizing business processes, or selecting appropriate technological solutions.
  3. Cloud solutions: Many IT companies specialize in implementing and managing cloud solutions, such as data storage, application hosting, and data analysis platforms.
  4. IT security: Protection against cyberattacks, security audits, implementing security policies, and network monitoring are just some of the IT companies' responsibilities in this area.
  5. IT infrastructure management: In this area, a company may manage servers, databases, networks, and endpoints.
  6. Technical Support and Service: An IT company may provide support for its own products or general IT support for other companies, managing their technology on a daily basis.
  7. Training: Many IT providers also offer training in software use and secure technology use.
  8. Hardware Solutions: Some IT companies may also provide and configure computer, server, or network hardware.

Depending on their specialization and size, an IT company may offer one, several, or all of the above solutions. When choosing a provider, it's important to thoroughly understand their services and tailor them to your individual needs.

At Support Online, we have been supporting companies for years with

  1. comprehensive user support (both on-site and remotely),
  2. we service computers, phones, tablets, and related network issues,
  3. we specialize in server administration: Windows, Linux/Unix,
  4. we support virtualizers such as KVM, Hyper-V, VMWare, and Proxmox,
  5. we support cloud services, particularly solutions such as Azure, Microsoft 365, and AWS,
  6. we monitor servers and devices on the internet,
  7. we consult on development, DRP, and support the stability of your business in the IT layer.

If you're looking for a good IT company, Support Online is the right place to grow your business.

It's worth using an IT company like Support Online when:

  1. You plan to implement new technologies or software in your company.
  2. You need specialized technology consulting.
  3. You want to optimize existing IT processes.
  4. You struggle with digital security issues.
  5. You need support in managing your IT infrastructure.
  6. You lack internal resources or expertise to implement certain technology projects.

Using external IT experts can bring benefits in terms of saving time and resources, and ensuring high-quality solutions.

Hiring an IT company like Support Online offers several key benefits over an IT freelancer:

  1. Support from the entire team: An IT company has a full team of specialists, from DevOps specialists and Cyber ​​Security Specialists to IT Helpdesk Specialists, who possess diverse skills and experience, enabling faster problem resolution and the implementation of more complex projects.
  2. Reliability and stability: IT companies have an established reputation and track record, which can translate into greater reliability and stability of services.
  3. Maintenance and support: An IT company can offer service contracts, warranties, and after-sales support, which may be more difficult to obtain from an individual freelancer.
  4. Resources: Companies have access to more resources, tools, and technologies that can accelerate and improve project execution.
  5. Long-term availability: The risk of a freelancer disappearing or changing careers is greater than the risk of a well-established company going out of business.

However, it's worth noting that the choice between a company and a freelancer depends on your specific needs and situation. If you value peace of mind and a quick response to unexpected problems, it is worth choosing an IT company such as Support Online.

Partnering with IT Support Online offers the following advantages:

  1. Professional IT outsourcing: The company guarantees high-quality IT outsourcing services for businesses of all sizes.
  2. Comprehensive IT support: IT Support Online provides comprehensive IT support that meets the diverse needs of businesses.
  3. Saves time and money: With our support, clients can focus on their core business activities while reducing the costs associated with information technology management.
  4. Serving a diverse range of businesses: The company specializes in serving both small and medium-sized enterprises and large corporations, demonstrating its flexibility and ability to adapt to diverse client needs.
  5. Leadership in IT outsourcing: The company is recognized as a leader in IT outsourcing, particularly in the Poznań and Warsaw regions.

By partnering with our company, IT Support Online, businesses can count on a high standard of service and professionalism at every stage of the relationship.

Free consultation
22 335 28 00