Перенос учетных записей в домен

Надоело переносить учетки пользователей из локальных в доменные при внедрении Active Directory. Решил найти автоматизированное решение. Оказывается не я первый озадачился этой проблемой =) Есть как минимум 5 вариантов автоматизации. Рассмотрим их по порядку.User State Migration Tool. Бесплатная утилита от Microsoft. Поставляется в комплекте Windows Automated Installation Kit. Используется из консоли. Мануал. У меня не получилось выполнить сохранение профиля - scanstate встал на последнем этапе на 1% и никак не реагировал.

Active Directory. Некоторые вопросы безопасности.

При добавлении компьютера в домен AD необходимо его предварительное размещение (создание учетной записи компьютера в AD). Это обусловлено некоторыми аспектами безопасности.При присоединении компьютера к домену без его предварительного размещения, учетная запись компьютера создается в контейнере по умолчанию (Computers). Этот контейнер уступает по возможностям организационному подразделению и соответственно к компьютеру, включенному в этот контейнер не будут применяться объекты групповой политики, скрипты входа и выхода. Чтобы сменить контейнер по умолчанию, необходимо выполнить команду redircmp “DN_подразделения для новых объектов компьютеров” (например так redircmp ou=newcomputerou,dc=domainname,dc=com).

Windows и Active Directory. Особые объекты идентификации

В Windows и Active Directory поддерживаются особые объекты идентификации, членством которых в группах управляет ОС. Их нельзя добавлять в группы, просматривать и модифицировать их параметры. Однако, их можно использовать для назначения прав и разрешений доступа.Анонимный вход (Anonymous Logon). Представляет подключения к компьютеру и ресурсы, созданные без предоставления пользовательского имени и пароля. До Win Server 2k3 эта группа была членом группы Все. Начиная с 2k3 она не входит в группу Все.Прошедшие проверку (Authenticated Users).

Active Directory. Группы по умолчанию

В Windows Server создаётся множество локальных групп по умолчанию. Рассмотрим те из них, которым предоставлены права, связанные с управлением Active Directory.Администраторы предприятия (Enterprise Admins) в контейнере Users корневого домена леса. Эта группа - член группы Администраторы (Administrators) в каждом домене леса; она предоставляет полный доступ к конфигурации всех контроллеров домена. Данная группа также является владельцем раздела Конфигурация каталога и имеет полный доступ к содержимому именования домена во всех доменах леса.Администраторы схемы (Schema Admins) в контейнере Users корневого домена леса.

Группы в Active Directory. Чтобы не забыть

В AD существует несколько типов групп. По рекомендациям от МС и вообще “православно” следующее распределение:Пользователи по какому-либо признаку (географическому, бизнес-подразделения) группируются в глобальные группы.По правам доступа создаются локальные доменные группы.Пример:В компании существует отдел Бухгалтерия. Всем пользователям этого отдела требуется доступ на запись к сетевому ресурсу “Бухгалтерские документы” и доступ на печать к принтеру, находящемуся в их офисе.1. Создаём глобальную группу Бухгалтерия, членами которой будут являться сотрудники бухгалтерии.2. Создаём локальную доменную группу ACL_Buhgalteria_Share_RW.