林内域或者林间域之间的账户计算机迁移实际操作经验Word下载.docx
- 文档编号:4775285
- 上传时间:2023-05-04
- 格式:DOCX
- 页数:37
- 大小:3.96MB
林内域或者林间域之间的账户计算机迁移实际操作经验Word下载.docx
《林内域或者林间域之间的账户计算机迁移实际操作经验Word下载.docx》由会员分享,可在线阅读,更多相关《林内域或者林间域之间的账户计算机迁移实际操作经验Word下载.docx(37页珍藏版)》请在冰点文库上搜索。
WindowsServer2003DC(域名DomainA.com,NetBIOS域名DomainA)
目标域(新建域):
WindowsServer2003DC(域名DomainB.com,NetBIOS域名DomainB)
要求:
平滑迁移,用户在迁移过程中始终能访问源域的资源<
注意:
以下步骤都是以这个环境为中心展开的,如果环境不一样,需根据具体情况调整相应步骤。
>
一.ADMT迁移之前的准备工作
1.为了更好的降低风险,备份源域DC、要迁移的服务器、VIP客户机(比如领导的)和目标域DC的系统状态和系统盘数据(系统盘数据中包括本地用户配置文件),步骤如下:
a.单击开始,指向程序,指向附件,指向系统工具,然后单击备份。
b.取消选择“总是以向导模式运行”,单击“取消”关闭备份工具,重新打开备份工具。
c.单击备份选项卡。
d.单击以选中C:
(假设系统盘为C:
)、系统状态。
如果是ExchangeServer,还需选中MicrosoftExchangeServer\ServerName\MicrosoftInformationStore。
e.指定备份媒体或文件名,开始备份。
2.在开始迁移之前,请执行如下的测试迁移步骤:
创建测试用户,将该测试用户添加到合适的全局组,然后在迁移之前和之后验证资源的访问权限。
3.对利用加密文件系统(EFS)方式加密的文件进行解密。
解密加密文件失败将导致迁移后无法访问加密文件。
请确保告知最终用户必须解密所有加密的文件,否则他们将无法访问那些文件。
4.请确保要从中迁移对象的每个域中的系统时间都是同步的。
时间偏差将导致Kerberos身份验证失败。
二.为迁移配置环境
1.配置源域和目标域以满足迁移需求
1)请验证是否建立了相应的信赖关系。
推荐在源帐户域和目标域之间建立双向信任关系,使源域和目标域相互信任。
但最少源域要信任目标域。
如下图
应该是要按AGDLP来实施,用户才可以登录
2)为执行迁移任务分配相应的凭据:
要执行迁移,您必须是安装有ADMT的计算机上的Builtin\Administrators组成员。
要迁移用户,您必须是源域和目标域中的Builtin\Administrators组成员。
要迁移计算机,您必须是源域和目标域中的Administrators组成员以及每台要迁移的计算机上的Administrators组成员。
要与SID历史一起迁移,您必须是源域中的Administrators组成员以及目标域中的DomainAdmins组成员。
的domainadmins同时是B.CN和C.B.CN的本地administrators成员。
和的domainadmins同时的A.COM本地administrators成员。
不然输入后无法显示器C的域控制器
将目标域administrator加入entadmins和schadmins。
【本人自己加的】
一个满足上述所有权限的简单做法:
a.在目标域的DC上,把源域的DomainAdmins组加入目标域的Administrators组
b.在源域的DC上,把目标域的DomainAdmins组加入源域的Administrators组
c.把ADMT安装在目标域DC上,要执行迁移时,在ADMT计算机上用属于源域的内置Administrator帐号登录源域,然后执行迁移操作。
【按此方法登录后,执行ADMI报错】
3)为管理迁移对象配置目标域组织单位(OU)结构。
4)建议提升源域域功能级别为Windows2000本机模式或WindowsServer2003,目标域域功能级别必须是Windows2000本机模式或WindowsServer2003。
提升域功能级别一定要慎重,此过程不可逆,要先确保没有其他低版本域控制器存在并且以后不需提升低版本的域控制器。
5)双方DNS互为转发器,双方DNS主要区域建立了对方辅助区域【本人自己加的】
2.配置源域和目标域以迁移SID历史
要配置源域和目标域以从ActiveDirectory域迁移SID历史,请完成以下过程:
1)在源域中创建支持审核的本地组
在源域中,创建本地组DomainA$$$。
不要向此组中添加成员;
否则,SID历史迁移将失败。
2)启用对源域PDC模拟器的TCP/IP客户端支持(从WindowsServer2003域迁移到其他WindowsServer2003域,可以忽略此步骤)
a.在源域中持有PDC模拟器操作管理器角色的域控制器上,单击“开始”,然后单击“运行”。
在“打开”中,键入regedit,然后单击“确定”。
b.在“注册表编辑器”中,定位到以下注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
修改数据类型REG_DWORD的注册表项TcpipClientSupport,将该值设置为1。
c.关闭“注册表编辑器”,然后重新启动计算机。
3)在WindowsServer2003域中启用审核
a.以管理员的身份登录到目标域中的任何域控制器上。
b.单击“开始”,依次指向“所有程序”和“管理工具”,然后单击“ActiveDirectory用户和计算机”。
c.在控制台树中,扩展该域,右键单击“域控制器”OU,然后单击“属性”。
d.在“组策略”选项卡上,单击“默认域控制器策略”,然后单击“编辑”。
e.依次双击“计算机配置”、“Windows设置”、“安全设置”、“本地策略”和“审核策略”。
f.双击“审核帐户管理”,然后选中“成功”和“失败”复选框。
g.单击“应用”,然后单击“确定”。
h.在源域中重复第a步到第g步。
【2008R2上没有操作】
3.配置密码迁移
执行林间迁移时,可以使用密码导出服务器(PES)服务迁移密码。
PES服务可以安装在支持128位加密(Win2000SP3后就支持)的源域中的任何域控制器中。
源域中的PES服务安装需要加密密钥,但您必须在目标域中运行ActiveDirectory迁移工具v3(ADMTv3)的计算机上创建加密密钥。
1)在安装ADMT的目标域DC上创建加密密钥
进入命令行中,输入下列内容:
cd/dc:
mdadmt
admtkey/option:
create/sourcedomain:
domainA/keyfile:
c:
\admt.pes/keypassword:
ms123
2)在源域中配置PES服务
a.把ADMT计算机上生成的c:
\admt.pes文件以及PES目录(默认%windir%\ADMT\PES)复制到源域中将要运行PES服务的域控制器。
b.运行Pwdmig.msi。
在“需要密钥密码”对话框中提供创建密钥时给出的密码“ms123”,然后单击“下一步”。
c.在选择运行PES服务所使用的帐户时不要使用LocalSystem帐号,请指定内置Administrator帐号。
源域的域管理员b\administrator
d.安装完成后,重新启动域控制器。
e.域控制器重新启动后,若要启动PES服务,请指向“开始”,指向“所有程序”,指向“管理工具”,然后单击“服务”。
在详细信息窗格中,右键单击“PasswordExportServerService”,然后单击“启动”。
请只在迁移密码时运行PES服务。
完成密码迁移后请停止PES服务。
在目标域上用源域的administrator登录并执行。
【子域和父域】
netdomtrust/domain:
/quarantine:
no
/enablesidhistory:
yes
/keyfile:
\cbadmt.pes/keypassword:
4.禁用SIDFiltering
SIDFiltering功能若启用将阻止受信任域(目标域)用户访问信任域(源域)资源。
为了禁用SIDFiltering,在ADMT计算机上用源域Administrator登录,运行:
netdomtrustdomainA.com/domain:
domainB.com/quarantine:
确认得到提示:
Thecommandcompletedsuccessfully.
5.启用SIDHistory
SIDHistory功能若禁用将阻止受信任域(目标域)用户使用SIDHistory访问信任域(源域)资源。
为了启用SIDHistory,在ADMT计算机上用源域Administrator登录,运行:
domainB.com/enablesidhistory:
三.正式开始迁移
1.迁移用户账户和组
使用用户帐户迁移向导迁移用户帐户
1)在ActiveDirectory迁移工具控制台中,单击“操作”,然后单击“用户帐户迁移向导”。
2)使用下表中的信息完成用户帐户迁移向导。
向导页操作
域选择在“域”下拉列表中的“源”下,键入或选择源域的NetBIOS或域名系统(DNS)名称。
在“域控制器”下拉列表中,键入或选择域控制器的名称,或选择“任何域控制器”。
在“域”下拉列表中的“目标”下,键入或选择目标域的NetBIOS或DNS名称。
在“域控制器”下拉列表中,键入或选择域控制器的名称,或选择“任何域控制器”,然后单击“下一步”。
用户选择选项单击“从域中选择用户”,然后单击“下一步”。
在“用户选择”页中,单击需要迁移的一批用户帐号,单击“添加”,然后单击“下一步”。
组织单位选择在“目标OU”中,确保默认情况下列出正确的目标组织单位(OU)。
如果它不正确,则键入正确OU的可分辨名称,或者单击“浏览”。
在“浏览容器”对话框中,找到目标域和OU,然后单击“下一步”。
密码选项选择“迁移密码”密码选项,然后单击“下一步”。
帐户转换选项对于目标域,单击“禁用目标帐户”
最后,请选中“将用户SID迁移至目标域”复选框,然后单击“下一步”。
用户帐户在“用户名”、“密码”和“域”中,键入包括源域中的Administrator帐户的信息,然后单击“下一步”。
用户选项要自定义用户迁移,请选中以下用户选项的复选框,然后单击“下一步”:
转换漫游配置文件(如果有漫游配置文件)
更新用户权利
迁移关联的用户组
修复用户的组成员身份(必须选,否则用户将和组脱离)
冲突管理要指定如何处理迁移冲突,请单击迁移并合并冲突对象
单击“迁移并合并冲突对象”,并选择在合并前删除现有目标帐户的用户权利
完成选择选项后,请单击“下一步”。
完成用户帐户迁移向导复查您的选择,然后单击“完成”。
点了3个YES
建议分批迁移用户帐号,比如50个为一批。
迁移漫游配置文件(非本地配置文件)也在这一步做。
选择“迁移关联的用户组”选项以同时迁移组。
选择修复用户的组成员身份以保证用户和组关联。
先禁用目标用户帐号,等到用户配置文件迁完再启用,否则用户若提前使用目标用户帐号登录目标域,用户配置文件迁移将失败。
默认情况下,迁移后的目标域用户帐号必须在下次使用时修改密码,如不需要等迁移后在用户帐号属性中手动取消这个选项。
用户迁移成功
2.迁移用户计算机帐号和安全(包括本地用户配置文件)
确保要迁移的用户计算机开机并接入网络,使用计算机迁移向导迁移计算机帐户
1)在ActiveDirectory迁移工具控制台中,单击“操作”,然后单击“计算机迁移向导”。
2)使用下表中的信息完成计算机迁移向导。
域选择在“域”中的“源”下,键入源域的NetBIOS或域名系统(DNS)名称,或者单击下拉列表中的名称。
在“域控制器”中,单击域控制器的名称,或单击下拉列表中的“任何域控制器”。
在“域”中的“目标”下,键入目标域的NetBIOS或DNS名称,或者单击下拉列表中的名称。
在“域控制器”中,单击域控制器的名称,或单击下拉列表中的“任何域控制器”,然后单击“下一步”。
计算机选择选项单击“从域中选择计算机”,然后单击“下一步”。
在“计算机选择”页上,单击源域中要迁移的所有计算机,单击“添加”,然后单击“下一步”。
组织单位选择在“目标OU”中,将列出默认的目标组织单位(OU)。
确保它是正确的目标OU。
转换对象选中下列要执行安全性转换的对象的复选框,然后单击“下一步”:
文件和文件夹
本地组
打印机
注册表
共享
用户配置文件
用户权利
安全性转换选项选择安全性转换选项“添加”,然后单击“下一步”。
计算机选项在“向导完成后重新启动计算机之前的时间(分钟):
”中,键入1,然后单击“下一步”。
对象属性排除要从迁移中排除某些对象属性,请选中“将特定对象属性从迁移中排除”复选框,选择要排除的对象属性并将它们移到“排除的属性”框中,然后单击“下一步”。
冲突管理请单击“迁移并合并冲突对象”,并选择在合并前删除现有目标帐户的用户权利,然后单击“下一步”。
完成计算机迁移向导复查您的选择,然后单击“完成”。
在源域中禁用计算机帐号
登录后运行NSLOOKUP是这个样子,不知道为什么?
原因是没有配置IP地址
权限测试正常
迁移完成后,用户桌面文件还在
在源域DC上禁用cbpc01计算机帐号
建议分批迁移计算机帐号,比如50个为一批。
计算机会在迁移后重启,所以请安排合理的时间。
3)如果ActiveDirectory迁移工具(ADMT)将为一台或多台远程计算机派遣代理,以便完成计算机迁移、安全性转换、服务帐户枚举和帐户引用报告,计算机迁移向导的“代理对话框”页将打开。
在“代理操作”选项中选择“运行预检查”,单击开始,当“代理摘要”列表中“预检查”列显示“通过”,再在“代理操作”选项中选择“运行预检查和代理操作”,单击“开始”。
如下图:
当代理程序在客户计算机上执行完相关操作后,计算机将进行1分钟倒计时重新启动,启动后ADMT将进行后检查,“后检查”列如果显示“通过”表示迁移计算机帐号完成。
请在确认计算机帐号后检查通过后,再把相应的目标域用户帐号启用,然后在计算机上登录以确认用户配置文件迁移成功。
迁移组策略
注:
2008R2组策略中首选项扩展在XP上应用里,XP系统需要安装补丁:
2008R2禁用USB
3.迁移服务器服务帐号
在这个步骤中我们将迁移还未迁移的服务器上的服务账号,服务账号需要在相应的计算机帐号迁移之前迁移。
服务帐户是分配有“作为服务登录”用户权利的标准用户帐户。
1)使用服务帐户迁移向导标识服务帐户
可以使用服务帐户迁移向导或命令行标识通过使用某一服务帐户运行服务的成员服务器和域控制器。
在ActiveDirectory迁移工具控制台中,单击“操作”,然后单击“服务帐户迁移向导”。
使用下表中的信息完成服务帐户迁移向导。
更新信息单击“是,更新信息”,然后单击“下一步”。
在“服务帐户选择”对话框中,单击源域中具有服务帐户的所有计算机的名称,再单击“添加”,然后单击“下一步”。
此时“代理对话框”将出现
在“代理操作”选项中选择“运行预检查”,单击开始。
当“代理摘要”列表中“预检查”列显示“通过”时,在“代理操作”选项中选择“运行预检查和代理操作”,单击开始。
当“代理操作”列也显示“成功”后,如下图,可以单击“关闭”关闭对话框。
此时出现服务帐户信息对话框:
服务帐户信息选择不需要在ActiveDirectory迁移工具数据库中标记为服务帐户的任何用户帐户,单击“跳过/包括”以将它们标记为“跳过”,然后单击“下一步”。
完成服务帐户迁移向导复查您的选择,然后单击“完成”。
2)使用用户帐户迁移向导转换服务帐户
在ActiveDirectory迁移工具控制台中,单击“操作”,然后单击“用户帐户迁移向导”。
使用下表中的信息完成用户帐户迁移向导。
在“选择用户”页中,选择已由服务帐户迁移向导标识的所有服务帐户,单击“添加”,然后单击“下一步”。
密码选项选择生成复杂密码,然后单击“下一步”。
在使用用户帐户迁移向导转换服务帐户时,自动生成复杂密码,而与在该向导页中选择的选项无关。
即使选择了“不更新现有用户的密码”,也生成复杂密码。
帐户转换选项对于目标域,单击启用目标帐户
最后,如果您要将用户安全标识符(SID)迁移到目标域,请选中“将用户SID迁移至目标域”复选框,然后单击“下一步”。
用户帐户在“用户名”、“密码”和“域”中,用源域中的管理权限键入用户帐户的信息,然后单击“下一步”。
用户选项请选中以下用户选项的复选框,然后单击“下一步”:
转换漫游配置文件(一般对服务帐号不需要)
修复用户的组成员身份
冲突管理请单击迁移并合并冲突对象,并选择在合并前删除现有目标帐户的用户权利
服务帐户信息选择不需要在ActiveDirectory迁移工具数据库中标记为服务帐户的任何用户帐户,单击“跳过/包括”以将它们标记为“跳过”,选择“迁移所有服务账号并为标记为包括的项目更新SCM”,然后单击“下一步”。
见下图:
如果要迁移的服务器不是很多,建议一次迁移一台服务器,批量标识和迁移上面的服务帐号。
迁移服务帐号期间可能会对相应服务有影响,请安排合理时间。
4.迁移服务器帐号和安全(包括本地用户配置文件)
确保要迁移的服务器开机并接入网络,步骤和迁移的用户计算机基本相同。
迁移服务器选择转换对象时,不要遗漏本地组,因为被迁移的服务帐号原来可能属于本地组,如果迁移后没有加入相应的本地组,可能会引起权限问题,从而导致服务无法启动。
服务器需在迁移后也需重启,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 林内 或者 林间 之间 账户 计算机 迁移 实际操作 经验