Net-Pro Par : GHAOUTI Mohamed

Resume

Cette article est une procédure complète qui vous permettra de migrer un
profil local d’un utilisateur vers le profil de son nouveau compte d'un domaine
Active Directory. Cette procédure récupère son profil complet ainsi que ses mots
de passe afin que la migration sur le domaine soit entièrement transparente pour
l'utilisateur. De plus, une partie de cette article proposera un ensemble de
scripts complets et détaillés afin d'automatiser au mieux cette procédure pour la
migration à l'echelle d’une PME d’une centaine de postes.

Sommaire

 Introduction
 1. La migration du poste et la création de l’utilisateur
o 1.1 Les pré-requis
o 1.2 Mise sur le domaine de l'ordinateur
o 1.3 Devenir administrateur local
 2. La migration du profil et des mots de passe
o 2.1 Sauvegarde de l'ancien profil
o 2.2 Sauvegarde de tous les mots de passe
o 2.3 La migration du profil de l'utilisateur
o 2.4 La récupération des mots de passe
 3. L’automatisation des tâches
o 3.1 Les scripts d'automatisation
o 3.2 Le mot de passe Outlook et Outlook Express
o 3.3 La procédure d'éxécution des scripts
 Conclusion

Introduction

L'administration d'un parc informatique d'une PME devient de plus en plus

complexe de nos jours. Grâce à Windows Server 2003 et à Active Directory, sa
gestion est très largement simplifiée. Mais lorsque que l'on souhaite mettre son

03/02/2009 1/14 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

domaine en production, une étape importante et indispensable est la migration

des postes vers le domaine qui doit se faire de manière complètement
transparante pour les utilisateurs. De plus cette étape peut être longue si le parc
atteint une centaine de postes. Cette article vous facilitera grandement la tâche !

1. La migration du poste et la création de l’utilisateur

1.1 Les pré-requis

1. Le nouveau compte utilisateur du domaine doit être crée dans Active

Directory.

2. Il faut avoir un compte avec les droits d'administrateur en local sur

l'ordinateur et être administrateur du domaine avec ce même compte.

3. Disposer d'un partage avec l’exécutable moveuser.exe et netdom.exe du

Windows Ressource Kit Tools, accessible depuis tous les postes à migrer, pour la
migration du profil. (Fichier rktools.exe) Lien pour le téléchargement.

4. Disposer d'un partage avec l’exécutable pspv.exe accessible depuis tous les
postes à migrer, pour la récupération des mots de passe de l’utilisateur. Lien
pour le téléchargement.

NB : Nous noterons dans l'article le partage : \\Server\Partage\

1.2 Mise sur le domaine de l'ordinateur

1. Se loguer avec un compte administrateur en local. Cliquer droit sur Poste de

Travail, et cliquer sur Propriétés.

2. Cliquer sur l'onglet nom de l'ordinateur puis modifier. Cliquer le radio button
Domaine et entrer dans le champ « MONDOMAINE.LOCAL ». Vérifier
éventuellement les DNS (dans les connexions réseau) si le contrôleur de domaine
n'est pas accessible.

3. Paramétrer éventuellement le proxy internet (dans Internet Explorer).

4. Pour inscrire l’ordinateur dans Active Directory, il faut entrer l’identifiant et le

mot de passe d'un administrateur du domaine.

03/02/2009 2/14 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

5. Valider touts les avertissements qui suivent et redémarrer l'ordinateur.

6. Redémarrez l’ordinateur.

1.3 Devenir administrateur local

1. Se loguer avec le compte administrateur local.

2. Clique droit sur le Poste de travail, Gérer.

3. Dans Utilisateurs et Groupes, cliquer sur Groupes et double cliquer sur

Administrateurs.

03/02/2009 3/14 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

4. Ajouter le groupe Administrateurs locaux du domaine domaine.local (groupe

crée auparavant dans Active Directory). Entrez éventuellement le login et le mot
de passe d'un utilisateur administrateur du domaine pour accéder à la recherche
d’entités sur le domaine.

03/02/2009 4/14 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

2. La migration du profil et des mots de passe

2.1 Sauvegarde de l'ancien profil

1. Se loguer avec un compte ayant les droits d'administrateur en local ( Ici

faisant parti du groupe Admins locaux dans Active Directory). Vider le cache
Internet pour réduire le temps de sauvegarde du profil en lançant Internet
Explorer puis en cliquant sur Outils, Options Internet et Supprimer les fichiers et
cocher la case « Supprimer le contenu hors connexion » pour valider en cliquant
sur Ok. Puis taper sur Ok pour fermer les options.

En effet, il peut y avoir plus de 1Go de cache Internet et cela peut ralentir très
nettement la sauvegarde du profil !

2. Lancer l'utilitaire de sauvegarde en cliquant sur Démarrer, Exécuter. Tapez

Ntbackup puis ok.

03/02/2009 5/14 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

3. Cliquer sur Suivant, puis suivant de nouveau. Verifier que "Mes documents et
paramètres" sont bien séléctionnés.

03/02/2009 6/14 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

4. Cliquer sur Suivant. Dans la fenêtre Type, nom et Description de la

sauvegarde, cliquer sur Parcourir afin de spécifier l'emplacement de la
sauvegarde du profil puis cliquer sur enregistrer.

NB ! Ne mettez pas la sauvegarde dans un dossier contenu dans le profil de

l’utilisateur à migrer au quel cas si la migration échoue, il serait impossible
d’utiliser la sauvegarde (Par exm=emple : Bureau, Mes documents et tout
dossier de C:\Documents And Settings\Utilisateur) ! Mettez-le à la racine de
préférence.

5. Cliquer sur suivant puis terminer.

03/02/2009 7/14 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

2.2 Sauvegarde de tous les mots de passe

1. Démarrer, exécuter et taper les lignes de commande suivante :

\\Server\Partage\pspv.exe /exp c:\temp.tmp

attrib +H +S +A +R c:\temp.tmp

Ceci permet de sauvegarder tous les mots de passe de l’utilisateur dans un

fichier nommé temp.tmp et d’ajouter les attributs suivants à ce fichier pour le
camoufler :
H : caché
S : système
A : archive
R : lecture seule

On pourrait crypter ce fichier à l’aide d’un logiciel de cryptage mais dans la

mesure ou il sera effacé à la fin de la procédure, ce n’est pas nécessaire.

03/02/2009 8/14 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

2.3 La migration du profil de l'utilisateur

1. Se loguer avec le nouveau compte utilisateur du domaine afin de charger les

paramètres par défaut du profil. Se déloguer.

2. Redémarrer la machine pour éviter que des processus liés au compte

utilisateur du domaine existent encore et empêche la migration du profil.

4. Se loguer avec un compte ayant les droits d'administrateur local et du

domaine.

5. Démarrer, éxécuter et taper la ligne de commande suivante (utilisateur est

l’utilisateur local de la machine, util_domaine est le nouveau compte de
l’utilisateur sur le domaine. Astuce pour ne pas se tromper dans les noms des
profils: Démarrer, Exécuter, « c:\Documents and settings » puis entrer) :

\\Serveur\Partage\moveuser.exe “utilisateur” “domaine\util_domaine” /y /k

/y : écrit par-dessus le nouveau profil

/k : conserve l’ancien profil

03/02/2009 9/14 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

2.4 La récupération des mots de passe

Pour que la procédure soit totalement transparente pour l’utilisateur, il reste à lui
récupérer les mots de passe réseaux, internet et mail.

1. Démarrer, éxécuter et taper les lignes de commande suivante :

attrib -H –S –A -R c:\temp.tmp
\\Serveur\Partage\pspv /imp c:\temp.tmp
del c:\temp.tmp

La procédure est terminée. Lors du prochain login de l'utilisateur sur le domaine,

il récupèrera l'ensemble de ses paramètres, documents, favoris et mots de
passe, etc...

Attention ! Il faut néanmoins entrer à nouveau le mot de passe des mails dans
Outlook ou Outlook Express. En effet, cette procédure ne permet pas de
récupérer le mot de passe des mails.

Il est aussi possible de connecter Outlook ou Outlook Express à l’annuaire

d’Active Directory pour les adresses de messagerie en ajoutant un carnet
d'adresse LDAP dans Outlook depuis les comptes. Il faut activer l'authentification
et renseigner le nom du domaine en écrivant "dc=domaine, dc=local".
(remplacer suivant votre nom de domaine).

03/02/2009 10/14 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

3. L’automatisation des tâches

3.1 Les scripts d'automatisation

a. Script 1 : Joindre un domaine

" \\Serveur\Paratge\netdom.exe join "computername% /d:mondomaine.local

/ud:"DOMAINE\Admin du domaine" /pd:motdepasseadmin" "

b. Script 2 : La sauvegarde

Ajout d’un groupe de sécurité pour avoir les droits d’administrateur en local,
suppression des fichiers temporaries internet pour accélerer la sauvegarde du
profil, exportation des mots de passes de l’utilisateurs (réseaux, internet
explorer..), camoufflage du fichier de mot de passe et sauvegarde du profil de
l’utilisateur.

echo off

REM ajoute le groupe DOMAINE\Admins locaux en admin du pc

net localgroup Administrateurs "DOMAINE\Admins locaux" /ADD

"REM enlève les attributs lecture seule, système et caché des fichiers internet
temporaires profil en cours "
attrib -R -S -H "%USERPROFILE%\Local Settings\Temporary Internet Files\*"

"REM enlève les attributs lecture seule, système et caché des fichiers
temporaires du profil en cours "
attrib -R -S -H "%USERPROFILE%\Local Settings\Temp\*"

REM efface les fichiers internet temporaires du profil en cours

del "%USERPROFILE%\Local Settings\Temporary Internet Files\*" /F /Q /S

REM efface les fichiers temporaires du profil en cours

del "%USERPROFILE%\Local Settings\Temp\*" /F /Q /S

REM exporte tous les mots de passes windows

\\Server\Partage\pspv /exp c:\temp.tmp

03/02/2009 11/14 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

REM cache et ajoute l'attribut système au fichier des mots de passe exportés
attrib +H +S c:\temp.tmp

REM effectue la sauvegarde du profil local à la racine

ntbackup backup "%USERPROFILE%" /f "c:\sauvegarde.bkf"

c. Script 3 : Migration du profil

Migration du compte avec l’outil moveuser.exe pour récupérer le profil local vers
le profil du domaine

echo off

REM Demande l’utilisateur local

set /p olduser=utilisateur local ?

REM Demande le nouvel utilisateur du domaine

set /p newuser=utilisateur du domaine ?

\\Server\Partage\moveuser.exe "%olduser%" "domaine\%newuser%" /y /k

set /p variable=Merci

d. Script de récupération des mots de passe

REM enlève les attributs caché et système au fichier des mots de passe exportés
attrib -H -S c:\temp.tmp

REM importe tous les mots de passes windows

\\Server\Partage\pspv.exe /imp c:\temp.tmp

REM efface le fichier des mots de passe exportés

del c:\temp.tmp

3.2 Le mot de passe Outlook et Outlook Express

Le seul désavantage de la procédure est qu'elle ne permet pas de récupérer le

mot de passe de Outlook ! Il faut donc soit le reinitialiser après la procédure soit
le sauvegarder avant. Dans tous les cas, il est important de le renseigner après
la procédure.

03/02/2009 12/14 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

3.3 La procédure d'éxécution des scripts

Demander à l'utilisateur son login et mot de passe pour sa session local.

Se connecter avec le compte de l'utilisateur. Ouvrir une connexion Bureau à

Distance sur un contrôleur de domaine pour modifier le mot de passe du nouvel
utilisateur sur le domaine.

Lancer le script 1 pour joindre l'ordinateur au domaine. Ce script prend en entrée

le mot de passe de l'utilisateur local qui est administrateur sur la machine et le
mot de passe de d'un administrateur de domaine.

Redémarrer le PC. Se connecter avec le compte de l'utilisateur local à migrer.

Lancer le script 2 pour effectuer la sauvegarde du profil et l'export des mots de

passes de la session.

Récupérer le nom exact de l'utilisateur local à migrer dans les utilisateurs du PC.

Se connecter avec le nouveau compte de l'utilisateur sur le domaine pour

charger son profil local.

Redémarrer le PC. Se connecter avec le compte administrateur de domaine et

local.

Lancer le script 3 pour effectuer la migration du profil de l'ancien utilisateur. Il

prend en entrée le login de l'ancien utilisateur et son nouveau login sur le
domaine.

Se connecter avec le nouvel utilisateur sur le domaine.

Lancer le script 4 pour récupérer les mots de passes.

Renseigner le mot de passe pour les mails.

Cette procédure permet de rendre entièrement transparent pour l’utilisateur la

migration de sa machine et de son compte vers un domaine Active Directory.

Conclusion

03/02/2009 13/14 napster_simon@hotmail.com

Net-Pro Par : GHAOUTI Mohamed

Cette procédure permettra de faire gagner beaucoup de temps à tous ceux

qui souhaite migrer en quantité des postes vers un domaine et conserver les
profils et mots de passe. Elle est sûre, rapide et efficace, mise à l'épreuve sur
une centaine de postes dans une PME.

03/02/2009 14/14 napster_simon@hotmail.com