Samba PDC, cestovní profily - přesun mezi doménami

Dobrý den,

jaký je správný postup, pokud chci cestovní profil WinXP přesunout z jedné domény do druhé?

Konkrétně: uživatel USER1 se přihlašuje do domény DOMENA1 (Samba jako PDC) a používá cestovní profil (/home/USER1).

Nyní potřebuji tento profil používat pod stejným přihlášením, ale v doméně DOMENA2 (jiná Samba jako PDC). Řešil jsem to překopírováním home adresáře z jednoho serveru na druhý (při zachování ACL). To zdá se funguje, ale s jedním nedostatkem - když se USER1 přihlásí do nové DOMENY2, tak se mu nastaví národní prostředí ve WinXP do angličtiny, ačkoliv dříve bylo v češtině. Postupoval jsem podle tohoto návodu.

Je to správný postup? Děkuji.

Moj osobny nazor je, ze pokial zachovate Domain SID a User SID (teda rovnake v oboch domenach - lebo ratam s tym, ze staru asi chcete vypnut uplne), tak v principe ziadnu migraciu riesit nemusite a staci proste prekopirovat profily do noveho PDC.

22.11.2012 11:53 jan.rok | skóre: 21
Rozbalit Rozbalit vše Re: Samba PDC, cestovní profily - přesun mezi doménami

Bohužel Domain SID a User SID jsou na nové doméně vygenerované znovu. Původní záměr totiž byl, že se profily nebudou přenášet vůbec a začne se s čistými profily. Ale teď se ukazuje, že u některých uživatelů to je potřeba zachovat.

Co teď s tím?

22.11.2012 12:28 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Samba PDC, cestovní profily - přesun mezi doménami

vygenerovane su sice nanovo, ale daju sa prestavit. "net setdomainsid"

22.11.2012 12:32 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Samba PDC, cestovní profily - přesun mezi doménami

a samozrejme, user-id's musia byt tiez rovnake ako na povodnom stroji. Ked mate LDAP ako backend, nieje problem to skriptom prestavit hromadne (Lebo vsak UserSID je sucastou kazdeho user objektu). Ked je backend tdbsam, tak user-sid su (opat podla mojho nazoru, lebo tdbsam moc nepoznam) asi vzdy "vyratavane" - teda ze staci mat spravny Domain SID a User ID (uidNumber) a User SID bude demonom nalezite vyratane vzdy podla potreby.

22.11.2012 12:44 jan.rok | skóre: 21
Rozbalit Rozbalit vše Re: Samba PDC, cestovní profily - přesun mezi doménami

Používám LDAP. Ale nerad bych do něj zasahoval - ta změna by se týkala jen asi 10% všech uživatelů. Předpokládám, že Domain SID bych musel změnit potom u všech.

Nedá se to udělat spíš obráceně? Že bych zachoval SID v novém LDAPu, ale změnil bych SID jen v těch 10% cestovních profilů? Myslím nějak zmodifikovat NTUSER.DAT v profilech, zapsat tam SID té nové domény a nově definovaných uživatelů.

Děkuju.

22.11.2012 12:56 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Samba PDC, cestovní profily - přesun mezi doménami

Aha, takze sa to tyka len casti... nemozete teda jednoducho spravit trust relationship medzi domenami? Zachovate status quo a zbavite sa problemov.

Pokial viem, tak s NTUSER.DAT je problem prave v opravneniach. Postup na migraciu je dost pracny (nakolko neviem o automatizovanom mechanizme). Je potrebne si ten .DAT file namapovat v registry editore a spravne nastavit opravnenia (==teda novy User SID na Full access, podla vzoru povodneho User SID). Inak si myslim ze nikde inde v NTUSER.DAT by sa nemalo nic dalsie riesit/zabezpecovat.

Mozno na to existuje automatizovany postup, pripadne nejake best practices od pouzivatelov samby, ale ja o nom neviem.

22.11.2012 12:59 jan.rok | skóre: 21
Rozbalit Rozbalit vše Re: Samba PDC, cestovní profily - přesun mezi doménami

Trust udělat nemůžu, původní server se bude rušit.

Nicméně děkuji za všechny informace, pokusím se z toho vyvodit nějaké řešení.

Dotaz: Samba PDC, cestovní profily - přesun mezi doménami

Odpovědi