Skip to main content

Переезд в Active Directory с локальных учетных записей

Техническая настройка серверов — это 20% работы. А 80% — это «Миграция тети Гали» так, чтобы вас не прокляли.

Входить в чистый профиль — это катастрофа для бизнеса.

  • Исчезают вкладки в браузере.
  • Слетают сохраненные пароли.
  • Сертификаты ЭЦП (для бухгалтерии и торгов) перестают видеться.
  • Настройки Outlook, 1С, фон рабочего стола — всё по нулям.

Ручное копирование файлов из папки C:\Users\Galya в C:\Users\Galya.JINNVL — это ад. Ломаются права доступа, реестр не подхватывается, софт глючит.

Решение: Миграция профиля (Profile Migration)

Существует «Золотой стандарт» (Best Practice) для малого и среднего бизнеса, который позволяет сделать переезд бесшовным.

Мы не будем копировать файлы. Мы сделаем хитрее: мы скажем Windows: «Вот эта старая папка пользователя теперь принадлежит новому доменному пользователю».

Инструмент, который должен стать вашим лучшим другом на ближайшую неделю — Profwiz (User Profile Wizard) от компании ForensiT.

Как это выглядит на практике (Сценарий переезда)

Представим компьютер бухгалтера Галины.

  • Локальная учетка: BUH-PC\Galina
  • Рабочий стол завален файлами, в Chrome 100 вкладок, в 1С прописаны базы.

Ваши действия с Profwiz:

  1. Подготовка в AD: Вы создаете учетку MYSITE\galina на сервере.
  2. Запуск на клиенте: Вы приходите к Галине, вставляете флешку с утилитой Profwiz (она весит копейки и не требует установки).
  3. Магия:
    • Запускаете программу.
    • Она показывает список профилей на этом ПК. Вы выбираете Galina (тот, в котором она работала).
    • Программа спрашивает: «В какую доменную учетку это превратить?». Вы пишете: ad.mysite.ru и galina.
    • Программа спрашивает пароль доменного админа (вашего adm.ivanov) для ввода ПК в домен.
  4. Процесс:
    • Программа сама вводит компьютер в домен.
    • Программа переписывает ACL (права доступа) на все файлы, папки и ветки реестра старого профиля, назначая владельцем нового доменного юзера.
  5. Финал: Компьютер перезагружается.
  6. Вход: Галина вводит свой новый доменный пароль.
  7. Результат: Она видит свой старый рабочий стол.
    • Картинка на месте.
    • Документы на месте.
    • Вкладки Chrome на месте.
    • 1С запускается как раньше.

Для пользователя ничего не изменилось, кроме экрана ввода пароля.

Нюансы и "Подводные камни" (О чем надо знать)

Даже с таким мощным инструментом есть риски. О чем нужно помнить:

  1. Сохраненные пароли (Web Credentials / Windows Vault):
    • Пароли в Chrome/Firefox обычно выживают.
    • А вот пароли, сохраненные в самой Windows (например, для доступа к старым сетевым папкам или RDP), зашифрованы на основе пароля пользователя. При смене типа учетки они могут стать недоступны.
    • Решение: Предупредить, чтобы знали пароли от почты/сайтов, если они вдруг "слетят".
  2. КриптоПро и Сертификаты (Бухгалтерия):
    • Это самое больное. Контейнеры ключей часто привязаны к SID (идентификатору) пользователя.
    • При миграции SID меняется.
    • Решение: Перед миграцией бухгалтерии обязательно скопировать контейнеры ключей на флешку (средствами КриптоПро -> Сервис -> Скопировать). После миграции, если не увидит, установить с флешки.
  3. Битлокер (BitLocker):
    • Если диск зашифрован, миграция может сбойнуть.
    • Решение: Приостановить (Suspend) BitLocker перед запуском Profwiz.
  4. Локальный Админ:
    • После ввода в домен старая локальная учетка Galina формально исчезает (она превращается в доменную).
    • Если Галина была локальным админом, она может потерять эти права (зависит от настроек Profwiz, там есть галочка "Set as default logon").
    • Но мы же внедряем безопасность? Пользователи не должны быть админами.

Стратегия перехода (План)

Не пытайтесь перевести всех 30 человек за один вечер.

  1. Этап "Подопытный кролик":
    • Найдите лояльного сотрудника (не бухгалтера!).
    • Отработайте на нем Profwiz.
    • Посмотрите, что отвалилось.
  2. Этап "IT-десант":
    • Идите отдел за отделом. (Сегодня — Логистика, Завтра — Кадры).
    • 3-5 компьютеров в день.
  3. Этап "VIP и Бухгалтерия":
    • Их оставляем на конец, когда рука уже набита.
    • Делаем полный бэкап их систем перед миграцией (Acronis/Veeam).

Итог разговора:
Нам не нужно переучивать пользователей и перенастраивать софт с нуля. Мы будем использовать миграцию профилей. Это стандарт индустрии.

Back to top