The Will Will Web

記載著 Will 在網路世界的學習心得與技術分享

將現有電腦加入 AD 網域的最佳實務 ( 對應 User Profile )

一般來說公司若是首次導入 AD 網域,在 AD 網域建立完成後就要開始將現有的電腦一一加入 AD 網域了,當電腦加入網域後第一次用 AD 帳號登入在電腦內會新增一個獨立的網域使用者(Domain User)帳號,而這個網域帳號與舊有的本機帳號是完全不一樣的,除了所在目錄不一樣之外,每台電腦的 User SID 也不一樣,所以通常都需要大費周章的將原本帳號下的檔案與資料搬移到新帳號中,這過程耗時又費力,今天我將分享另一種更好的方式,讓現有電腦加入 AD 網域更有效率的方法。

由於一般 PC 使用者都享有完整的電腦掌控權,而我今天介紹的方法僅適用於「加入 AD 後也一樣具有完整的本機掌控權」,如果你希望導入後能限制使用者使用電腦的權力,那應該使用我這個方法可能會發生一些權限的問題。

整個加入的流程有兩大步驟說明如下:

第一大步驟:建立帳號與修正檔案、目錄、Hive 控制檔權限

  1. 先在 Domain Controller 中新增使用者帳號 ( 假設帳號名稱AD1\UserA )
    備註: AD 中的使用者會有一個自己的 SID
  2. 現有電腦設定加入 AD 網域 ( 假設現有電腦名稱為 PC1 )
  3. PC1網域使用者(AD1\UserA)的身份登入 ( 假設使用者名稱User1 ),此時在 PC1 中會建立一組新的使用者設定檔(User Profile),接著直接登出
  4. 然後在用具有本機管理者權限的身分登入 PC1 ( 例如:Domain Admins 或 Local Administrator )
  5. User1 加入 PC1 的本機系統管理者群組
  6. [開始]\[執行]  regedt32 開啟 "登錄編輯器" 視窗
  7. 選取 "HKEY_USERS",並點檔案選單的 "載入HIVE 控制檔",然後選擇您舊 Profiles 下的ntuser.dat 檔案。例如:C:\Documents and settings\User1\ntuser.dat
    選取 "HKEY_USERS",並點檔案選單的 "載入HIVE 控制檔",然後選擇您舊 Profiles 下的ntuser.dat 檔案。例如:C:\Documents and settings\User1\ntuser.dat
  8. 然後給一個機碼名稱 "User1" (使用者的名稱),且您也可以在 HKEY_USERS 下看到此 "User1" 的機碼。
    您也可以在 HKEY_USERS 下看到此 "User1" 的機碼。
  9. 使用滑鼠右鍵點選 "User1",再點選 "使用權限"
    使用滑鼠右鍵點選 "User1",再點選 "使用權限"
  10. 請在權限的地方新增您在 AD 中建立的使用者 ( AD1\UserA ) 並設定為 "完全控制",再按"確定"
  11. 請使用滑鼠點選 "User1",再點選 檔案選單的 "HIVE 解除載入"。注意:此步驟非常重要!!
    請使用滑鼠點選 "User1",再點選 檔案選單的 "HIVE 解除載入"。注意:此步驟非常重要!!
  12. 關閉 "登錄編輯器"。

第二大步驟:修改 User Profile 與 SID 的對應關係

這個步驟主要是將 AD1\UserA 的 SID 對應到的 User Profile 目錄改變到原本的 User Profile目錄下。

  1. 以登入本機管理者權限登入
    ( 需具有 Local Administrator 或 Domain Account 具有 Local Administrator 權限 )
  2. 登入需查詢這個 Domain User ( AD1\UserA ) 的 SID 是多少,你可以利用 Sysinternal 工具組中的 PsGetSid 工具幫你查出該使用者的 SID。
    如下範例可取出 SID 為 S-1-5-21-1734555294-521365412-12323243404-5525
  3. C:\>psgetsid AD1\UserA
    
    PsGetSid v1.43 - Translates SIDs to names and vice versa
    Copyright (C) 1999-2006 Mark Russinovich
    Sysinternals - www.sysinternals.com
    
    SID for ad1\UserA:
    S-1-5-21-1734555294-521365412-12323243404-5525
  4. [開始]\[執行]  regedt32 開啟 "登錄編輯器" 視窗
  5. 找到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
  6. 然後找到跟這個第2步查到的 SID 一樣名稱的機碼
  7. 然後找到 ProfileImagePath 這個「可擴充字串值」後,修改路徑到原本使用者的 Profile 路徑。
    例如:%SystemDrive%\Documents and Settings\User1

---

囉唆的步驟終於完成。但畢竟只要麻煩這一次,不用再辛辛苦苦的搬移個人檔案的資料了。