Эмигрируем из домена в домен или как пережить переезд

Все известно, что компании особенно молодые имеют свойство быстро развиваться/разрастаться (по ряду не входящих в данную статью причин). Вследствие увеличения кол-ва работников происходит увеличение парка машин за которыми эти работники трудятся. И сразу же возникает вопрос, что делать? Внедрить Active Directory или продолжать использовать Workgroup. Конечно если ПК не так много (до 10) AD скорее роскошь, чем необходимость, но мы рассматриваем ситуацию когда пк больше.

Дано:

15-35 (ПК — рабочая группа) Да, именно 35, сам на своей практике видел такие случаи.

Требуется:

1. Внедрить в уже имеющуюся сеть с устоявшейся структурой Домен контроллер.
2. Минимизировать время на выполнение работ.

Доп. условия.

Как обычно ПК не однородные ( имеется ввиду что все люди занимаются разными направлениями: дизайнеры рисуют, редакторы правят и верстают, бухгалтерия считает, а директорат смотрит, и как оно и положено у всех разное железо стоит.) — по этому заливка готового образа может оказаться еще более проблематичной задачей.

Решение:
Как настраивать домен и заводить в нем пользователей я рассказывать не буду. Начнем все по пунктам.

1. Ввести ПК (жертву) в домен.
2. Завести учетную запись пользователя в каталоге AD.
3. Войти под доменной учетной записью (например vasya.example.com) на пользовательский ПК.
4. После чего нужно зайти под пользователем обладающим права администратора (к примеру, доменного админа) на тот же самый ПК.
5. Выдать права Локального Администратор доменной учетной записи (vasya.example.com) пользователя.
6. Далее заходим в реестр и идем в следующую папку.
   HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList\ Там мы видим папки. Каждая из них это настройки профиля пользователя. Мы находим нужного нам локального юзера (того которого мы переносим в домен) ищем ключ под названием ProfileImagePath и копируем путь до профиля.
   После чего заходим в папку доменного пользователя (vasya.example.com) и меняем ему путь ProfileImagePath на тот, что мы скопировали.
7. После чего идем в каталог на диске %SystemDrive%\Documents and Settings\. Тут мы находим каталог нужного нам локального пользователя и в закладке безопасность выдаем права на полный доступ пользователю (vasya.example.com) (выдать права на все подкатологи и папки).
   Есть один момент. Если в компьютере больше чем 1 логический диск нужно выдать либо полный доступ всем, либо только данному доменному пользователю на все остальные диски.
8. Перезагружаем ПК.
9. Заходим под доменной учетной записью (vasya.example.com) и видим рабочий стол нужного нам локального юзера.
10. Заходим в реестр и выдаем разрешения на полный доступ к ветке HKCU данному доменному пользователю.
11. После чего снимаем с доменного пользователя права локального администратора. И перезаходим под ним в систему.

Если мы все сделали правильно, мы увидим тот же самый рабочий стол и набор программ с их настройками.

Нюансы.

1. В Outlook XP-2007 не сохраняться пароли от учеток пользователей.
2. Если на ПК использовались крипто системы аля CryptoPro могут возникнуть проблемы с правами доступа к ветке реестра HCLM\Software\CryptoPro\Keys\ и HKCU\Software\CryptoPro\keys\
3. Также, если вы используете онлайн банковские системы с личными сертификатами, то возможно их придется заново импортировать в систему.