Вопрос или проблема
В настоящее время я вхожу в свою компьютер, используя учетную запись Active Directory, связанную с компанией A.
Компания A была приобретена, поэтому домен CompanyA.com вскоре будет деактивирован. Я не смогу войти в свой компьютер, несмотря на то, что у меня будет такая же работа.
Как я могу сохранить доступ ко всем своим файлам и настройкам, когда домен будет деактивирован?
Человек, контролирующий домен, готов помочь, но нам не удалось найти способ преобразовать учетную запись домена в локальную учетную запись.
Вы не можете преобразовать всю учетную запись пользователя (так как локальные учетные записи должны иметь локальный SID, и это трудная часть), но вы можете использовать различные инструменты миграции (в основном сторонние), чтобы создать резервную копию всех данных и восстановить их в другом профиле. Я нашел предложения на Reddit:
- https://www.reddit.com/r/sysadmin/comments/nnrzgn/best_tool_to_migrate_user_profile_data/ предлагает Forensit или USMTGUI.
Этот процесс на самом деле не нужен для обычных файлов (кто-то с правами локального администратора может просто переместить их на рабочий стол локальной учетной записи и изменить право собственности), но один из этих инструментов должен быть в состоянии обработать общий экспорт реестра, а также изолированные настройки приложений UWP/Appx.
(Если бы не приложения UWP, то это было бы легко осуществимо без каких-либо инструментов, кроме icacls и regedit, но начиная с Win8, старый ручной процесс, к сожалению, ломает вещи.)
На работе, когда мы делали обратное преобразование (локальное в AD), часто не было много настройки, поэтому мы просто перемещали пользовательские файлы – включая профиль Firefox – вручную в чистую учетную запись и обновляли ACL с помощью icacls /setowner.
Тем не менее, хотя я не имел дела с объединениями AD, я верю, что AD действительно имеет метод преобразования учетной записи из одного домена в учетную запись другого домена – установив временный лесной доверительный союз между двумя доменами AD, затем переместив записи учетных записей пользователей из одного домена в другой с помощью ADMT (если он все еще существует?), чтобы они сохранили свой старый SID как “SID History”. (Локальная учетная запись не может хранить историю SID, но учетная запись домена может, так что ваша перемещенная учетная запись AD автоматически сохранит доступ к старому профилю – по крайней мере, это то, как я понимаю, что это должно работать.)
Ответ или решение
Для сохранения доступа к файлам и настройкам после деактивации домена Company A в Windows 10, важно понять, что вы не можете просто конвертировать учетную запись домена в локальную. Тем не менее, есть несколько подходов, которые могут помочь вам сохранить данные и настройки.
1. Создание локальной учетной записи
Первоначально, вам нужно будет создать новую локальную учетную запись на вашем компьютере. Для этого вам понадобятся права администратора.
- Перейдите в "Настройки": Откройте меню «Пуск», выберите «Настройки» (значок шестерёнки).
- Учетные записи: Перейдите в раздел «Учетные записи» и выберите «Семья и другие пользователи».
- Добавить другого пользователя: Нажмите "Добавить другого пользователя на этом компьютере" и выберите "У меня нет данных для входа этого человека". Затем выберите «Добавить пользователя без учетной записи Microsoft».
- Создание учетной записи: Введите имя пользователя и пароль для вашей новой локальной учетной записи.
2. Перенос данных
После создания локальной учетной записи вам придется перенести ваши файлы и настройки. Для этого можно использовать несколько инструментов.
Инструменты миграции
Рекомендуется использовать третьесторонние инструменты для резервного копирования и восстановления данных, такие как:
- Forensit User Profile Wizard: Позволяет переносить профили пользователей, включая настройки, коды доступа и файлы.
- USMT (User State Migration Tool) и USMTGUI: Это инструменты командной строки, которые позволяют переносить данные и настройки между учетными записями.
Эти инструменты помогут перенести не только стандартные файлы, но и специфические настройки приложений UWP/Appx, которые могут быть не доступны при ручном переносе.
3. Ручной перенос
Если вы хотите переместить файлы вручную:
- Перейдите в папку профиля пользователя: Обычно это
C:\Users\Имя_пользователя. - Перенесите данные: Скопируйте необходимые файлы (документы, изображения, рабочий стол и т.д.) в соответствующие папки новой локальной учетной записи.
- Изменение прав доступа: После копирования данных используйте команду
icacls /setownerдля изменения владельца папок, чтобы ваша новая учетная запись имела доступ к ним.
4. Настройки приложений и конфигурации
Обратите внимание, что некоторые настройки могут не перенестись автоматически, особенно те, которые хранятся в реестре Windows. Рекомендуется:
- Экспортировать реестр: Используйте
regedit, чтобы экспортировать ключи реестра, связанные с вашими программами, и импортировать их в новую учетную запись. - Проверка настроек приложений: Некоторые программы, такие как браузеры, имеют собственные профили, которые также нужно будет перенести вручную.
5. Сохраняем SID при миграции учетных записей
В случае, если ваш администратор имеет возможность настроить временное доверие между доменами, это также может быть опцией. Используя инструменты для миграции Active Directory, такие как ADMT (Active Directory Migration Tool), можно сохранить SID и тем самым получить доступ к вашему старому профилю.
Заключение
Переход от учетной записи домена к локальной требует внимательности и правильного подхода к миграции данных. Если следовать приведённым рекомендациям и использовать предложенные инструменты, вы сможете сохранить все необходимые файлы и настройки, не теряя важной информации. Помните о важности создания резервных копий перед началом процесса миграции, чтобы избежать потерь данных.