Re: Samba und mehrfacher Domainmaster im gleichen Netz

To: debian-liste <debian-user-german@lists.debian.org>
Subject: Re: Samba und mehrfacher Domainmaster im gleichen Netz
From: Johannes Studt <debian@studt-consulting.de>
Date: Wed, 15 Jan 2003 20:57:29 +0100
Message-id: <[🔎] 20030115195729.GB16670@fileserver02.chdintern.de>
Mail-followup-to: debian-liste <debian-user-german@lists.debian.org>
In-reply-to: <[🔎] 20030115181857.GA23181@blancke.de>
References: <[🔎] 20030115064757.GA19077@blancke.de> <[🔎] 3E25402A.1070503@gmx.net> <[🔎] 20030115181857.GA23181@blancke.de>

On Wed, Jan 15, 2003 at 07:18:57PM +0100, Peter Blancke wrote:
> Am 15.01.2003 12:04:10, Andreas Behnert schrieb:
> > Ausser das die servergespeicherten Profile weg sind,
> 
> Das ist sehr beunruhigend. Genau das darf nicht passieren, da steckt
> naemlich eine Menge Arbeit drin und die jagen mich, wenn es nicht
> klappt, am Montag vom Hof -- mit der Eisenstange!

Das liegt unter anderem daran, dass, im Falle der Verwendung von
NTFS für die Systempartition, die Dateien des Benutzerprofils wie
auch Teile der Registryhives mit Permissions ausgestattet sind, die
auf den Benutzeraccount ALTEDOMAIN\username verweisen. Da NT die
Benutzer anhand einer SID identifiziert, die eindeutig ist, ist ein
Useraccount NEUEDOMAIN\username trotz gleichen Namens eben leider
nicht derselbe. Ich vermute, dass der WinNT-Client während des
Versuchs, das Profil vom Server zu laden (ich gehe davon aus, dass
Du roaming profiles verwendest), feststellt, dass ihm hierzu die
Permissions fehlen, und daher aus dem "Default User"-Profil der
Workstation ein neues Userprofil erstellt.

Um das zu umgehen, könntest Du versuchen, die Profile vor dem
Kopieren auf den neuen Server anzupassen. Also a) die NTFS-
Permissions der Profildateien (standardmässig bei NT unter
C:\Winnt\Profiles\<username>, bei Win2K/XP in C:\Dokumente und
Einstellungen\<username>) auf "Jeder:Full" stellen, und mittels des
Registry-Editors (die "alte" Version namens regedt32.exe, der neue
kann das nicht) den gesamten Hive HKCU ebenfalls mit allen
Sub-Ebenen auf "Jeder:Full" berechtigen. Damit ist sichergestellt,
dass jeder Benutzeraccount, der an der Domainsecurity teilnimmt
(wichtiger Punkt, "Jeder" heisst nicht "jeder", sondern nur "jeder
bekannte") die Dateien und die Registry-Einstellungen lesen und
schreiben kann. Daher wirst Du sicherlich auch eine
Vertrauensstellung zwischen den Domains einrichten müssen.

Falls das nix fruchtet (d.h. der Client immer noch stumpf selbst ein
Profil erzeugt), lass ihn beim Abmelden dieses auf den Server
zurückschreiben, lösche die lokal auf dem Client gespeicherte Kopie
des Profils und ersetze auf dem Server das Profil durch die
bearbeitete Version aus der alten Domain.

Anmerkung: das alles habe ich nicht getestet, es sind nur so
unausgegorene Gedanken, die mir da grade während des Schreibens
kommen...

Falls was nicht funzt, sag Bescheid, dann versuch ich nochmal drüber
nachzudenken. Vielleicht fällt mir ja noch was ein...

Hannes

Reply to:

Follow-Ups:
- Re: Samba und mehrfacher Domainmaster im gleichen Netz
  - From: Johannes Studt <debian@studt-consulting.de>

References:
- Samba und mehrfacher Domainmaster im gleichen Netz
  - From: Peter Blancke <blancke@gmx.de>
- Re: Samba und mehrfacher Domainmaster im gleichen Netz
  - From: Andreas Behnert <abehn@gmx.net>
- Re: Samba und mehrfacher Domainmaster im gleichen Netz
  - From: Peter Blancke <blancke@gmx.de>

Prev by Date: fehlermeldung
Next by Date: Re: Emacs und Shell
Previous by thread: Re: Samba und mehrfacher Domainmaster im gleichen Netz
Next by thread: Re: Samba und mehrfacher Domainmaster im gleichen Netz
Index(es):
- Date
- Thread