Migrer un profil local vers un profil sur un domaine Active directory à l'échelle d'une PME

Net-Pro Par : GHAOUTI Mohamed

03/02/2009 1/14 [email protected]

Resume

Cette article est une procédure complète qui vous permettra de migrer unprofil local d’un utilisateur vers le profil de son nouveau compte d'un domaineActive Directory. Cette procédure récupère son profil complet ainsi que ses motsde passe afin que la migration sur le domaine soit entièrement transparente pourl'utilisateur. De plus, une partie de cette article proposera un ensemble descripts complets et détaillés afin d'automatiser au mieux cette procédure pour lamigration à l'echelle d’une PME d’une centaine de postes.

Sommaire

Introduction 1. La migration du poste et la création de l’utilisateur

o 1.1 Les pré-requiso 1.2 Mise sur le domaine de l'ordinateuro 1.3 Devenir administrateur local

2. La migration du profil et des mots de passeo 2.1 Sauvegarde de l'ancien profilo 2.2 Sauvegarde de tous les mots de passeo 2.3 La migration du profil de l'utilisateuro 2.4 La récupération des mots de passe

3. L’automatisation des tâcheso 3.1 Les scripts d'automatisationo 3.2 Le mot de passe Outlook et Outlook Expresso 3.3 La procédure d'éxécution des scripts

Conclusion

Introduction

L'administration d'un parc informatique d'une PME devient de plus en pluscomplexe de nos jours. Grâce à Windows Server 2003 et à Active Directory, sagestion est très largement simplifiée. Mais lorsque que l'on souhaite mettre son



domaine en production, une étape importante et indispensable est la migrationdes postes vers le domaine qui doit se faire de manière complètementtransparante pour les utilisateurs. De plus cette étape peut être longue si le parcatteint une centaine de postes. Cette article vous facilitera grandement la tâche !

1. La migration du poste et la création de l’utilisateur

1.1 Les pré-requis

1. Le nouveau compte utilisateur du domaine doit être crée dans ActiveDirectory.

2. Il faut avoir un compte avec les droits d'administrateur en local surl'ordinateur et être administrateur du domaine avec ce même compte.

3. Disposer d'un partage avec l’exécutable moveuser.exe et netdom.exe duWindows Ressource Kit Tools, accessible depuis tous les postes à migrer, pour lamigration du profil. (Fichier rktools.exe) Lien pour le téléchargement.

4. Disposer d'un partage avec l’exécutable pspv.exe accessible depuis tous lespostes à migrer, pour la récupération des mots de passe de l’utilisateur. Lienpour le téléchargement.

NB : Nous noterons dans l'article le partage : \\Server\Partage\

1.2 Mise sur le domaine de l'ordinateur

1. Se loguer avec un compte administrateur en local. Cliquer droit sur Poste deTravail, et cliquer sur Propriétés.

2. Cliquer sur l'onglet nom de l'ordinateur puis modifier. Cliquer le radio buttonDomaine et entrer dans le champ « MONDOMAINE.LOCAL ». Vérifieréventuellement les DNS (dans les connexions réseau) si le contrôleur de domainen'est pas accessible.

3. Paramétrer éventuellement le proxy internet (dans Internet Explorer).

4. Pour inscrire l’ordinateur dans Active Directory, il faut entrer l’identifiant et lemot de passe d'un administrateur du domaine.



5. Valider touts les avertissements qui suivent et redémarrer l'ordinateur.

6. Redémarrez l’ordinateur.

1.3 Devenir administrateur local

1. Se loguer avec le compte administrateur local.

2. Clique droit sur le Poste de travail, Gérer.

3. Dans Utilisateurs et Groupes, cliquer sur Groupes et double cliquer surAdministrateurs.



4. Ajouter le groupe Administrateurs locaux du domaine domaine.local (groupecrée auparavant dans Active Directory). Entrez éventuellement le login et le motde passe d'un utilisateur administrateur du domaine pour accéder à la recherched’entités sur le domaine.



2. La migration du profil et des mots de passe

2.1 Sauvegarde de l'ancien profil

1. Se loguer avec un compte ayant les droits d'administrateur en local ( Icifaisant parti du groupe Admins locaux dans Active Directory). Vider le cacheInternet pour réduire le temps de sauvegarde du profil en lançant InternetExplorer puis en cliquant sur Outils, Options Internet et Supprimer les fichiers etcocher la case « Supprimer le contenu hors connexion » pour valider en cliquantsur Ok. Puis taper sur Ok pour fermer les options.

En effet, il peut y avoir plus de 1Go de cache Internet et cela peut ralentir trèsnettement la sauvegarde du profil !

2. Lancer l'utilitaire de sauvegarde en cliquant sur Démarrer, Exécuter. TapezNtbackup puis ok.



3. Cliquer sur Suivant, puis suivant de nouveau. Verifier que "Mes documents etparamètres" sont bien séléctionnés.



4. Cliquer sur Suivant. Dans la fenêtre Type, nom et Description de lasauvegarde, cliquer sur Parcourir afin de spécifier l'emplacement de lasauvegarde du profil puis cliquer sur enregistrer.

NB ! Ne mettez pas la sauvegarde dans un dossier contenu dans le profil del’utilisateur à migrer au quel cas si la migration échoue, il serait impossibled’utiliser la sauvegarde (Par exm=emple : Bureau, Mes documents et toutdossier de C:\Documents And Settings\Utilisateur) ! Mettez-le à la racine depréférence.

5. Cliquer sur suivant puis terminer.



2.2 Sauvegarde de tous les mots de passe

1. Démarrer, exécuter et taper les lignes de commande suivante :

\\Server\Partage\pspv.exe /exp c:\temp.tmpattrib +H +S +A +R c:\temp.tmp

Ceci permet de sauvegarder tous les mots de passe de l’utilisateur dans unfichier nommé temp.tmp et d’ajouter les attributs suivants à ce fichier pour lecamoufler :H : cachéS : systèmeA : archiveR : lecture seule

On pourrait crypter ce fichier à l’aide d’un logiciel de cryptage mais dans lamesure ou il sera effacé à la fin de la procédure, ce n’est pas nécessaire.



2.3 La migration du profil de l'utilisateur

1. Se loguer avec le nouveau compte utilisateur du domaine afin de charger lesparamètres par défaut du profil. Se déloguer.

2. Redémarrer la machine pour éviter que des processus liés au compteutilisateur du domaine existent encore et empêche la migration du profil.

4. Se loguer avec un compte ayant les droits d'administrateur local et dudomaine.

5. Démarrer, éxécuter et taper la ligne de commande suivante (utilisateur estl’utilisateur local de la machine, util_domaine est le nouveau compte del’utilisateur sur le domaine. Astuce pour ne pas se tromper dans les noms desprofils: Démarrer, Exécuter, « c:\Documents and settings » puis entrer) :

\\Serveur\Partage\moveuser.exe “utilisateur” “domaine\util_domaine” /y /k

/y : écrit par-dessus le nouveau profil/k : conserve l’ancien profil



2.4 La récupération des mots de passe

Pour que la procédure soit totalement transparente pour l’utilisateur, il reste à luirécupérer les mots de passe réseaux, internet et mail.

1. Démarrer, éxécuter et taper les lignes de commande suivante :

attrib -H –S –A -R c:\temp.tmp\\Serveur\Partage\pspv /imp c:\temp.tmpdel c:\temp.tmp

La procédure est terminée. Lors du prochain login de l'utilisateur sur le domaine,il récupèrera l'ensemble de ses paramètres, documents, favoris et mots depasse, etc...

Attention ! Il faut néanmoins entrer à nouveau le mot de passe des mails dansOutlook ou Outlook Express. En effet, cette procédure ne permet pas derécupérer le mot de passe des mails.

Il est aussi possible de connecter Outlook ou Outlook Express à l’annuaired’Active Directory pour les adresses de messagerie en ajoutant un carnetd'adresse LDAP dans Outlook depuis les comptes. Il faut activer l'authentificationet renseigner le nom du domaine en écrivant "dc=domaine, dc=local".(remplacer suivant votre nom de domaine).



3. L’automatisation des tâches

3.1 Les scripts d'automatisation

a. Script 1 : Joindre un domaine

" \\Serveur\Paratge\netdom.exe join "computername% /d:mondomaine.local/ud:"DOMAINE\Admin du domaine" /pd:motdepasseadmin" "

b. Script 2 : La sauvegarde

Ajout d’un groupe de sécurité pour avoir les droits d’administrateur en local,suppression des fichiers temporaries internet pour accélerer la sauvegarde duprofil, exportation des mots de passes de l’utilisateurs (réseaux, internetexplorer..), camoufflage du fichier de mot de passe et sauvegarde du profil del’utilisateur.

echo off

REM ajoute le groupe DOMAINE\Admins locaux en admin du pcnet localgroup Administrateurs "DOMAINE\Admins locaux" /ADD

"REM enlève les attributs lecture seule, système et caché des fichiers internettemporaires profil en cours "attrib -R -S -H "%USERPROFILE%\Local Settings\Temporary Internet Files\*"

"REM enlève les attributs lecture seule, système et caché des fichierstemporaires du profil en cours "attrib -R -S -H "%USERPROFILE%\Local Settings\Temp\*"

REM efface les fichiers internet temporaires du profil en coursdel "%USERPROFILE%\Local Settings\Temporary Internet Files\*" /F /Q /S

REM efface les fichiers temporaires du profil en coursdel "%USERPROFILE%\Local Settings\Temp\*" /F /Q /S

REM exporte tous les mots de passes windows\\Server\Partage\pspv /exp c:\temp.tmp



REM cache et ajoute l'attribut système au fichier des mots de passe exportésattrib +H +S c:\temp.tmp

REM effectue la sauvegarde du profil local à la racinentbackup backup "%USERPROFILE%" /f "c:\sauvegarde.bkf"

c. Script 3 : Migration du profil

Migration du compte avec l’outil moveuser.exe pour récupérer le profil local versle profil du domaine

echo off

REM Demande l’utilisateur localset /p olduser=utilisateur local ?

REM Demande le nouvel utilisateur du domaineset /p newuser=utilisateur du domaine ?

\\Server\Partage\moveuser.exe "%olduser%" "domaine\%newuser%" /y /k

set /p variable=Merci

d. Script de récupération des mots de passe

REM enlève les attributs caché et système au fichier des mots de passe exportésattrib -H -S c:\temp.tmp

REM importe tous les mots de passes windows\\Server\Partage\pspv.exe /imp c:\temp.tmp

REM efface le fichier des mots de passe exportésdel c:\temp.tmp

3.2 Le mot de passe Outlook et Outlook Express

Le seul désavantage de la procédure est qu'elle ne permet pas de récupérer lemot de passe de Outlook ! Il faut donc soit le reinitialiser après la procédure soitle sauvegarder avant. Dans tous les cas, il est important de le renseigner aprèsla procédure.



3.3 La procédure d'éxécution des scripts

Demander à l'utilisateur son login et mot de passe pour sa session local.

Se connecter avec le compte de l'utilisateur. Ouvrir une connexion Bureau àDistance sur un contrôleur de domaine pour modifier le mot de passe du nouvelutilisateur sur le domaine.

Lancer le script 1 pour joindre l'ordinateur au domaine. Ce script prend en entréele mot de passe de l'utilisateur local qui est administrateur sur la machine et lemot de passe de d'un administrateur de domaine.

Redémarrer le PC. Se connecter avec le compte de l'utilisateur local à migrer.

Lancer le script 2 pour effectuer la sauvegarde du profil et l'export des mots depasses de la session.

Récupérer le nom exact de l'utilisateur local à migrer dans les utilisateurs du PC.

Se connecter avec le nouveau compte de l'utilisateur sur le domaine pourcharger son profil local.

Redémarrer le PC. Se connecter avec le compte administrateur de domaine etlocal.

Lancer le script 3 pour effectuer la migration du profil de l'ancien utilisateur. Ilprend en entrée le login de l'ancien utilisateur et son nouveau login sur ledomaine.

Se connecter avec le nouvel utilisateur sur le domaine.

Lancer le script 4 pour récupérer les mots de passes.

Renseigner le mot de passe pour les mails.

Cette procédure permet de rendre entièrement transparent pour l’utilisateur lamigration de sa machine et de son compte vers un domaine Active Directory.

Conclusion



Cette procédure permettra de faire gagner beaucoup de temps à tous ceuxqui souhaite migrer en quantité des postes vers un domaine et conserver lesprofils et mots de passe. Elle est sûre, rapide et efficace, mise à l'épreuve surune centaine de postes dans une PME.

Migrer un profil local vers un profil sur un domaine Active directory à l'échelle d'une PME

Documents

Transcript of Migrer un profil local vers un profil sur un domaine Active directory à l'échelle d'une PME