“Клиентская служба групповой политики перестала работать. Доступ входа в систему запрещен” при копировании профилей роуминга в новый сервер. (Samba)
У нас есть совершенно рабочие профили роуминга на Samba 3.3.10 (SuSE) с клиентами Windows 7. Мы настроили наш новый сервер с тем же доменным именем, Samba 4.1.11 (Debian).
На новом сервере, для недавно созданных профилей, это работает отлично, мы можем войти в систему, выйти из системы, профили создаются и сохраняются. Но если мы хотим скопировать существующий профиль от текущего сервера до нового, невозможно войти в систему, мы получаем следующую ошибку: "Клиентская служба групповой политики перестала работать. Доступ входа в систему запрещен".
Права на файлах корректны на сервере, но мы задаемся вопросом, должны ли некоторые данные в профиле быть изменены? Например, в реестре или любом другом файле...
Единственным предупреждением, которое мы имеем в Windows, является "Поиск", который не может получить доступ к "csc": с SID. Это - реестр Windows Search.
Обновление: Мы попытались "смонтировать" пользовательскую структуру данных реестра на другом компьютере, заменили всего пользователя старый SID новым и даже изменили права на реестре. Затем мы сохранили его в профиле. Та же проблема.
Иначе сказанный, в дополнение к копированию файлов профилей к новому серверу, что мы должны сделать, чтобы иметь старую загрузку профилей правильно?
Не стесняйтесь просить больше деталей, чтобы Вы могли найти полезным для понимания/решения этой проблемы, которая должна возникнуть для какой-либо миграции профилей роуминга, я предполагаю?
Большое спасибо за любую справку!
Благодаря помощи людей на (скрытых), это решение проблемы:
Для всех, у кого есть такая же проблема и которые читают это в будущем, я кратко изложу решение здесь .
Резюме:
- Если вы хотите установить новый сервер, полностью заменив текущий,
- сохраняя то же доменное имя,
- особенно если у вас есть перемещаемые профили и вы хотите, чтобы ваши пользователи оставались такими же профиль на новом сервере,
Решение:
- тогда вы должны настроить новый сервер с тем же SID домена. (Наличие того же доменного имени с другим идентификатором безопасности рассматривается Windows как другой домен.)
- После создания пользователей на новом сервере вам придется изменить их SID на тот же SID, что и на старом сервере. (В противном случае вы получите указанную выше ошибку. Невозможно зарегистрировать профиль пользователя, если SID сервера и профиля не совпадают)
- Примечание: напротив, вы можете изменить группы (включая SID) без проблем, если вы хотите.
Чтобы выполнить миграцию после того, как все было протестировано:
- На каждом ПК выйдите из домена текущего сервера.
- Завершите работу текущего сервера.
- Запустите новый сервер.
- Введите все ПК в новый домен.
- Скопируйте все профили на новый сервер с сохранением прав.
- Вот и вы!
P. S. Я не знаю, есть ли способ избежать выхода и входа в домены.