... ich kann es zwar selbst nicht wirklich glauben, aber ich werde nun tatsächlich einen Artikel über Windows und das kopieren / übertragen von dessen Profilen schreiben! Ich hoffe der Internet Explorer klettert in meinen Zugriffsstatistiken trotzdem nicht auf Platz 1 ;D

Dieser Artikel entstand, weil ich auf der Arbeit gerade einen neuen PDC implementiere und hierfür selber eine Lösung gesucht habe, wie ich die bestehenden Profile (lokal und Domänen-Roaming-Profile) dabei möglichst nahtlos in die neue Domäne übernehmen kann. Besonders tricky hierbei war, das die aktuelle Domäne nicht wirklich fehlerfrei funktioniert und nun ein Wildwuchs aus lokalen Profilen (da nicht jede Anmeldung an der Domäne funktionierte) und Domänenprofilen besteht und wir nun von Roaming Profiles auf lokale Profile wechseln.
... mal ehrlich: Hat _irgendjemand_ schonmal Roaming Profiles benutzt ohne entweder dazu überzugehen den PC nicht mehr abzuschalten oder(/und?) Dateien nur noch ausserhalb der eigentlich zum speichern vorgesehenen Ordner abzulegen? Wenn ja: Ich hoffe er kriegt seine Medizin ;D

Ich habe nun für alle drei aktuellen Windowsversionen (XP, Vista und 7 - Wer noch <=2000 im Unternehmensumfeld einsetzt bekommt hoffentlich psychologische Hilfe und vorallem Prügel ;D ... "Das ist das stabilste Betriebssystem überhaupt - seit 5 Jahren habe ich keine Sicherheitsupdates mehr einspielen müssen!" ... ihr armen, armen irren Kacknoob-Möchtegern-Admins ... ) einen mehr oder weniger einheitlichen Weg gefunden dieses zu realisieren! Vieles basiert auf dieser (englischsprachigen) Anleitung, jedoch bevorzuge ich für meine Zwecke eher eine hybride Variante aus dieser und einer zweiten Methode.
Keine Sorge, das hier wird eine Schritt-für-Schritt - Anleitung und keiner muss sich diese beiden Englischen Artikel durchlesen. Ich erwähne diese hier nur, damit ich mich nicht mit fremden Federn schmücke.

Am Ende dieses Artikels findet Ihr eine chronologische Screenshotreihe, welche diese Anleitung verdeutlichen soll.

Ich gehe im folgenden davon aus, das ein Profil aus einer alten Domäne (MFC2) für einen identischen Account (mr) in einer neuen Domäne (MFC3) bereitgestellt werden soll. Die Screenshots stammen, sofern nicht anders erwähnt, von einem Windows XP. Die Dialoge und die Vorgehensweise ist in den unterschiedlichen Windowsversionen jedoch nahezu identisch. Daher beschreibe ich auch zunächst einmal das grundsätzliche Vorgehen und erwähne hinterher, welcher Punkt unter Vista/7 einer kleine Abweichung bedarf.
Damit man diesem Guide gut folgen kann, sollte man sich die alte und die neue SID des zu migrierenden Accounts notieren, ehe man anfängt. Passiert das ganze von einem Samba-Server auf einen Samba-Server, ist es einfach: Einfach auf beiden DC folgenden Befehl ausführen:

pdbedit -Lv mr | egrep '\^User SID'

Diese Zeichenketten notiert man sich nun und nicht vergessen zu vermerken, welche die alte und welche die neue ist.

Ich gehe davon aus, das der User, dessen Profil migriert werden soll, sich bereits früher am System angemeldet hat und das gecachedte Profil sich somit bereits auf der lokalen Festplatte befindet. Sollte dem nicht so sein, weil der PC z.B. gleich mit erneuert werden soll, oder weil man diesen Guide erstmal "durchspielen" will, sollte man dieses also zunächst tun, damit das Profil auf das System kopiert wird.

Die folgenden Schritte führt man am besten als ein Domänenadmin aus - Mit dem lokalen Admin geht es nicht, da dann die Domänen-SID-Username Mappings nicht zur Verfügung stehen.

NACHTRAG 02.11.2011: Es ist hierbei sehr wichtig, das der folgende Schritt nicht mit dem User gemacht wird, dessen Profil kopiert werden soll! Benutzt hierfür einen anderen; der User, dessen Profil kopiert werden soll, darf währenddessen nicht eingelogged sein.

Zunächst muss das bisherige Profil des Users kopiert werden.
Unter Windows XP navigiert man dazu nach : Systemsteuerung -> System -> Tab: Erweitert -> Benutzerprofile: Einstellungen.
Unter Windows Vista und 7 navigiert man dazu nach : Systemsteuerung -> Benutzerkonten -> Erweiterte Benutzerprofileinstellungen konfigurieren.

Es öffnet sich jeweils ein Fenster namens "Benutzerprofile" mit einer Liste der bestehenden Userprofile. Man wählt hier nun das zu kopierende Profil aus; im Beispiel: MFC2\mr.
... nun würde man gerne auf "Kopieren nach" klicken, richtig? Aber ratet mal: Dieser Weg war Microsoft zu einfach. Also hat man es einfach kurzerhand deaktiviert und verweist stattdessen auf den KB 973289. Damit nicht genug die Funktion zu deaktivieren: Diese Sadisten grauen den nur aus statt zu entfernen, um allen unter die Nase zu reiben "So leicht könnt's sein ...". Aber glücklicherweise kommt uns genau diese Tatsache nun zu gute:

Ich weise an dieser Stelle darauf hin, das mir zwar keine Meldung bekannt ist, das das folgende Verfahren irgendwo einmal zu einem Problem geführt hat. Jedoch handelt es sich nicht um das offizielle Microsoft - Vorgehen und jeder handelt dabei auf eigene Gefahr.
Zunächst läd man das kleine Tool "Windows Enabler" herunter. Es handelt sich dabei um ein kleines Programm, welches nicht installiert werden muss. Dieses tut man schließlich auch. Achtung: Unter Windows 7/Vista bitte unbedingt "Ausführen als Administrator" auswählen. In der Systemleiste neben der Uhr erscheint daraufhin ein kleines, blaues Icon. Klickt man 1x darauf, erscheint "On" darin. Klickt man nun auf die ausgegraute "Kopieren nach" Schaltfläche, wird sie verfügbar -> Verarscht! ;)

Wir klicken nun auf die neu verfügbare "Kopieren nach" - Schaltfläche. In dem sich daraufhin öffnendem Dialog wählen wir als Ziel "Dokumente und Einstellungen\<username>.<neue_domäne>" (im Beispiel: "Dokumente und Einstellungen\mr.MFC3"; unter Vista/7: "Users"- o. "Benutzer"\<username>.<neue_domäne>). Dieser Ordner kann nicht im sich hier öffnendem Dialog angelegt werden, daher dieses bitte zuvor selbst im Explorer tun. Bei großen Profilen kann es sein, das das Fenster eine zeitlang den Eindruck macht es sei abgestürzt; einen Fortschrittsbalken gibt es nicht. Aber das ist glaube ich eine Sache, mit der man in einer eigentlich deaktivierten Funktion ganz gut leben kann ;)

Ist dieses abgeschlossen, bringt man den PC in die neue Domäne und startet neu. Anschließend meldet man sich am besten als Domänenadmin an - Mit dem lokalen Admin geht es nicht, da dann die Domänen-SID-Username Mappings nicht zur Verfügung stehen.
Man klickt den neuen Profilordner nun mit rechts an und wählt "Eigenschaften"; im sich öffnendem Fester wechselt man zum Tab "Sicherheit". Man sieht hier nun mindestens eine SID mit einem weißen Symbol. Diese User entfernt man zunächst, indem man ihn durch einen Klick auswählt und anschließend auf "Entfernen" klickt. Das sind die Useraccounts der alten Domäne, die der neue Domänencontroller natürlich nicht auflösen kann.
Der nächste Schritt besteht nun darin, das man dem neuen User rekursiv Vollzugriff auf diesen Profilordner gewährt. Hierzu klickt man auf "Hinzufügen" und gibt im Feld "Geben Die die zu verwendenden Objektnamen ein" den Usernamen ein (Im Beispiel: mr). Hierbei ist darauf zu achten, das im Feld "Suchpfad" der Name der neuen Domäne angezeigt wird. Nach einem Klick auf "OK" taucht der User in der Rechteliste auf, sofern er in der neuen Domäne gefunden wird.
Man wählt diesen Eintrag nun an und setzt danach im Feld "Berechtigungen für USERNAME" alle Haken auf "Zulassen". Anschließend klickt man auf "Erweitert" und setzt den Haken bei "Berechtigungen für alle untergeordneten Objekte durch die angezeigten Einträge, sofern anwendbar, ersetzen.". Nun bestätigt man alle Dialoge mit "OK". Es kann anschließend zu einer Fehlermeldung kommen, das nicht alles richtig gesetzt werden konnte. Das kann man jedoch in der Regel ignorieren.

Als letzten Schritt muss man eine kleine Anpassung in der Registry vornehmen. Die Datei "NTUSER.dat" im neuen Profil hat nun zwar bereits die passenden Berechtigungen für den neuen User, jedoch hat diese Datei in sich auch nocheinmal eine Berechtigungsstruktur, die wir nun setzen.
Hierzu öffnet man zunächst den Registrierungs-Editor ("regedit" eingeben unter Start->Ausführen) und wählt den Schlüssel "HKEY_LOCAL_MACHINE" durch anklicken aus. Anschließend klickt man auf "Datei" und wählt "Struktur laden ..." aus. Man navigiert nun in den neuen Profilordner. Hierin befindet sich eine Datei namens "NTUSER.dat". Es kann sein, das sie garnicht oder ohne ".dat" angezeigt wird. Das kommt darauf an, ob man in Windows die Anzeige von bekannten Dateiendungen und Systemdateien aktiviert hat, oder nicht. Wie auch immer: Diese Datei muss nun ausgewählt werden. Anschließend wird man aufgefordert, sich einen temporären Namen für diese Struktur auszudenken. Das Originaltutorial empfiehlt hier "chickenfucker" - tatsächlich sind der Phantasie hier jedoch keine Grenzen gesetzt und hat keinerlei Auswirkungen, da es nur temporär benutzt wird ;)
Die geladene Struktur wird nun mit dem soeben vergebenem Namen unter  "HKEY_LOCAL_MACHINE" eingebunden. Man öffnet nun mit einem Rechtsklick auf diesen Namen das Kontextmenü und wählt "Berechtigungen...". Es öffnet sich nun derselbe Dialog wie wir ihn schon vom setzen der Berechtigungen auf den neuen Profilordner her kennen. Man setzt nun einfach dieselben Rechte erneut und entfernt die Alt-Domain SIDs. Auch hier kann man den Hinweis, das einige Teile nicht gesetzt werden konnten, ignorieren.
Achtung! Der folgende Schritt ist sehr wichtig: Ist das ganze durchgelaufen, klickt man erneut auf "Datei" und wählt "Struktur entfernen ...".

Das war's! Meldet sich nun der User an, für den wir auf diesem Wege das Profil vorbereitet haben, sollte er genau dieselben Einstellungen vorfinden, wie er sie auch in der alten Domäne hatte; inklusive Hintergrundbild und sogar Anordnung der Desktop-Symbole ;)
Sollte das nicht der Fall sein, könnte es daran liegen, das Windows einen anderen Ordner für das Profil gewählt hat als wir es gedacht haben. In freier Wildbahn ist mir so z.B. schon "user.domäne.000" begegnet.
In diesem Fall meldet man sich als Admin an (dieses Mal kann es ruhig der lokale Admin sein); es muss aber unbedingt ein anderer User sein als der, dessen Profil man umbiegt! Diesen meldet man vor dem folgendem Schritt ab.
Man startet nun erneut den Registrierungs-Editor ("regedit" eingeben unter Start->Ausführen) und navigiert zur Struktur "HKEY_LOCAL_Machine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList". Darin befinden sich eine Menge Unterschlüssel, beginnend mit "S-1-5-21-". Diese Namen stehen für SIDs, daher brauchen wir nun die Liste der SIDs vom neuen Domänencontroller, die man zu Beginn dieses Artikels auslesen sollte. Sucht nach dem Schlüssel, der 1:1 identisch mit der SID des Users auf dem Domänencontroller ist und klickt darauf. Darin befindet sich unter anderem ein REG_EXPAND_SZ mit dem Pfad zum zu verwendendem Domänenprofilcache als Wert. Dieser Wert kann einfach auf den richtigen Profilordner geändert werden.
Nach einem Neustart sollte schließlich das richtige Profil geladen werden.

[gallery link="file"]

Die Benutzerkontensteuerung, auch als "User Account Control" (UAC) bekannt, ist eine Technik und Sicherheitsinfrastruktur, die seit Windows Vista von Microsoft verwendet wird, um die Sicherheit des Betriebssystems zu erhöhen. Meistens äußert sich dieses dadurch, das man das hier aufgeführte Fenster angezeigt bekommt, sobald man ein Programm starten möchte:

[caption id="attachment_542" align="alignleft" width="150" caption="UAC Warnhinweis beim starten des Firefox Webbrowsers"]{.size-thumbnail .wp-image-542 width="150" height="91"}[/caption]

Ich hatte bei mir den Fall, das seitdem ich Windows 7 einsetze, der Firefox immer mit diesem Fenster startete. Kein Weltuntergang, aber allemal nervig. Abstellen, bzw. die UAC - Stufe senken wollte ich jedoch nicht. An sich finde ich das eine nicht unbedingt verkehrte Funktion. Gerade in diesem Fall, wie sich gleich zeigen wird.

Ich hatte bis eben keine Ahnung, wieso dieses Fenster immer und immer wieder kam. Es gibt ja auch keinen Hacken, mit dem man ein bestimmtes Programm von diesem Test ausnehmen kann oder ähnliches.
Jetzt weiß ich aber, wie man das ganze loswird! Der Firefox installiert sich scheinbar mit der Voreinstellung immer mit administrativen Rechten gestartet zu werden. Ein Verhalten, das eigentlich gerade bei Browsern aus Sicherheitssicht nicht gerade wünschenwert ist. Man wird dieses Fenster mit ein paar kleinen Klicks ganz einfach los:

1. Rechtsklick auf die Firefox - Verknüpfung oder die ausführbare Datei des Firefox im Installationsordner.
2. Eigenschaften anklicken.
3. Zum Reiter Kompatibilität wechseln.
4. Ganz unten findet man den Bereich Berechtigungsstufe. Der Haken bei Programm als Administrator ausführen muss entfernt werden. Sollte dieser Bereich ausgegraut dargestellt werden und somit nicht verfügbar sein, kann man auf den darunterliegenden Button Einstellungen für alle Benutzer ändern klicken. Es öffnet sich nun erneut ein Dialogfeld, in dem das Feld Programm als Administrator ausführen verfügbar sein sollte. [caption id="attachment_543" align="alignright" width="106" caption="Kompatibilitäts-einstellungen unter Windows 7"]{.size-thumbnail .wp-image-543 width="106" height="150"}[/caption]
5. Schließt man die Dialogfelder mit einem Klick auf OK sollte die UAC Meldung nicht mehr erscheinen.

Gerade bei Browsern sollte man nicht dauerhaft mit administrativen Rechten arbeiten. Dieses macht es den Betreibern von Malware-Sites nur noch einfacher Einfluß auf das System zu nehmen.
In Ausnahmefällen, wo administrative Rechte benötigt werden um beispielsweise ein Plugin oder ähnliches Systemweit zu installieren, kann man das entsprechende Programm mit einem Rechtsklick und dem Kontextmenüpunkt Als Administrator ausführen jederzeit manuell mit administrativen Rechten starten.

Ich entschuldige mich hiermit dafür so einen n00b - Tipp in mein Blog zu schreiben. Ich habe diese Meldung aber zugegebener Maßen nun monatelang nicht weggekriegt, da ich überhaupt nicht wusste, das diese mit der Berechtigungsstufe zusammen hängt. Ich war vielmehr davon ausgegangen, das im System ein mangelhaftes Zertifikat der Mozilla Corp. vorliegt oder ähnliches. So simpel hatte ich garnicht gedacht und war bis jetzt zu faul das zu google'n ;D