使用ADMT跨域迁移域账号和计算机

使用ADMT跨域迁移域账号和计算机说明：当我们的网络范围比较大的时候，会出现员工工作调离的情况，此时往往会牵涉到跨域的用户和计算机迁移。环境：(1)test--a.com和test--b.com两个域，分属于不同的林(2)test--b域有用户test-4和计算机test-4(3)需要将test--b.com域用户jtest-4和计算机test-4迁移到test--b.com域控中前提条件：test--a.com和test--b.com两个域相互信任上一节谈到域信任的相关注意事项，接下来我们共同探讨一下使用ADMT工具跨域迁移域账号和计算机的信息。1、ADMT工具的介绍ActiveDirectoryTM迁移工具(ADMT)提供了一个方便、可靠和快捷的方法，从WindowsNT迁移到Windows2000ServerActiveDirectory服务。您还可以使用ADMT重构Windows2000ActiveDirectory域。在开始迁移操作前，此工具可帮助系统管理员诊断任何可能的问题。随后，基于任务的向导就会允许您迁移用户、组和计算机，设置正确的文件权限以及迁移MicrosoftExchangeServer邮箱。在迁移前后，您可以使用此工具的报表功能，评估迁移所带来的影响。在很多情况下，如果出现问题，您可以使用回滚功能，自动恢复原来的结构。此工具还提供对并行域的支持，所以您可以在部署MicrosoftWindows2000操作系统的同时，保持现有的MicrosoftWindowsNT4.0操作系统。优势ADMT提供一种有效的工具，简化了用户、计算机和组向一个新域迁移的过程。同时，ADMT具有很大的灵活性，每个组织均可根据需要使用它实现迁移过程。使用这一功能强大的工具，您可以完成：从WindowsNT迁移。您可以使用ADMT从WindowsNT迁移到Windows2000。在此迁移过程中，您可受益于ActiveDirectory引入的一些重要功能，其中包括：改进的可扩展性。有了ActiveDirectory林目录中改进的可扩展性（可以有数百万个对象），您可以将当前的WindowsNT域重新配置为数量更少、容量更大的Windows2000ActiveDirectory域。简化域结构（通常简化为一个域）也使用户、组和组策略的管理更加方便。管理委派。通过将WindowsNT资源域合并到ActiveDirectory组织单元(OU)中，您可以将对特定OU的管理控制委派给仅有部分域权限的管理员。信任简化。如果当前域结构需要复杂的信任关系网，通过使用Windows2000上提供的双向可传递的信任关系，重新规划以使用较少的信任，您就会从中大为受益。重构Windows2000。您可以使用ADMT改组Windows2000域结构。与WindowsNT到Windows2000的迁移一样，Windows2000内部迁移也允许将多个域合并为较少的域，甚至可能是一个域。根据需要自定义迁移。ADMT允许您指定在迁移过程中，如何处理用户、密码、计算机、组、组成员身份、安全转移以及监视选项。ADMT功能使用ADMT功能，您可以有效地管理域迁移，并精细调整结果以满足它们的要求。不需要手动将软件装到所有那些计算机上。当使用ADMT迁移用户和组时，您通常将ADMT工具安装到目标域（安全主管或资源将迁移到此域中）的控制台上。除此之外，ADMT不要求在源域（从此域迁移出安全主管或资源）中的计算机上安装其它软件。当在资源上迁移计算机或转移安全时，ADMT自动将服务（称为代理）安装到源计算机上。这意味着您不需要将软件手动装载到每个源计算机上来进行迁移。一旦代理任务完成后，它就会自行卸载。使用向导可简化这一过程。ADMT允许您使用一系列向导，简化各部分迁移过程，其中包括用户迁移向导、计算机迁移向导、组迁移向导、服务帐户迁移向导、信任迁移向导以及报表向导。适合您的选项。迁移时，请选择各种向导提供的适当的选项。例如，您可以将源域中指派的用户权限复制到目标域中；您可以将组及其成员复制到目标域中；您可以使源和目标域中的用户帐户处于活动状态；对于选定的用户帐户，可以将漫游配置文件复制到目标域中等等。重新构造组。可选地，在迁移组之前可以运行“组映射和合并向导”，将源域中的一个组映射到目标域中一个新的或者是已有的组中。此映射保证了当组成员从源域迁移到目标域时，组成员身份就会反映这一映射。您可以将多个组合并为一个组。试运行。通过选择“测试迁移设置并随后迁移”选项，您可以运行一个向导而不对网络做任何实际的修改。检查此向导生成的日志文件和报表，在实际迁移前找出并排除任何潜在的问题。撤消。您可以撤消最近进行的用户、组或计算机迁移。用户保持对资源的访问。在用户和组迁移过程中，ADMT使用sIDHistory功能或者参考已迁移用户来更新资源，可使用户保持对资源的迁移访问，如文件、共享以及应用程序。这一功能可使安全结构（准许和拒绝对资源的访问）保存完好，又可方便地将它迁移到新的域中。用户保持对Exchange资源的访问。如果您需要更新Exchange邮箱上的安全权限使之反映迁移过程，可使用ADMT实现这一过程。也迁移服务帐户。ADMT也迁移服务帐户。很多应用程序（如MicrosoftExchange）使用服务帐户，在一些网络计算机上运行带有同一组凭据的服务。将对象放到OU中。除将WindowsNT资源域合并到ActiveDirectoryOU中之外，ADMT还允许您将选定的用户、组或计算机迁移到目标域的OU中。然后，使用Windows2000功能管理这些OU，例如，您可以给指定OU中的一组计算机建立组策略配置设置。处理信任关系。信任关系将两个域连接起来，使受信任域中的用户能够访问信任域中的资源。在迁移过程中，要保持对资源的访问，在目标域中必须建立与源域中相同的信任关系。使用“信任迁移”向导来完成这一过程-它将源域中的信任关系与目标域的信任关系进行比较，然后在目标域中创建源域中存在的任何信任关系。使用新的统一组作用域。在林目录内部迁移过程中（即在同一林目录中两个Windows2000域之间进行迁移时），当全局组从原始模式源域迁移出来时，在目标域中将该组创建为统一组，这样它们可包含源域中还没有被迁移的的成员。全局组仅包含它们自己域中的成员；统一组则可以包含该林目录中任何Windows2000域中的成员。ADMT系统需求目标域。对于目标域，ADMT可以在任何可运行Windows2000Server操作系统的计算机上运行。源域。源域必须运行Windows2000或WindowsNT4.0。WindowsNT4.0源域的主域控制器(PDC)必须安装SP4或更高版本。ADMT代理（由源计算机上的ADMT安装）可在运行WindowsNT3.51（带有SP5）、WindowsNT4.0（带有SP4或更高版本）或Windows2000的计算机上运行。2、在目标服务器上安装ADMT工具下载地址：1ADMT3.0下载地址：=6f86937b-533a-466d-a8e8-aff85ad3d2122pwdmig下载地址：（在光盘i386\admt\pwdmig\也可以找到，不建议使用）=pes&displaylang=zh&stype=s_basic（1）安装ADMT迁移工具双击“admtsetup32”（本人使用的是windows2008R2系统），出现如下对话框点击“下一步”，选中“我同意”点击“下一步”，选择“现在不想加入该计划”点击“下一步”在数据库中输入“test-a\sqlexpress”点击“下一步”出现如下图所示，完成安装（2）在源域安装pwdmig工具我们在目标域，打开命令管理器，输入图示的命令，生成源域的pes密钥文件。然后拷贝到源域中。在源域安装pwdmig工具，下一步点击“下一步”，选择“我接受许可协议”单击“下一步”，点击“浏览”，选择pes文件单击“下一步”，出现如下对话框，填入密码:Zaq12wsx下一步下一步，完成安装出现“服务的运行身份”，选择本地系统登录，点击确定完成安装3、将对方的domainadmins组添加到本地administrators组里面4、迁移用户在迁移用户之前，需要启动源域控的密码导出服务在目标域运行migrator.msc，打开迁移工具右击，选择用户迁移向导出现如下对话框单击下一步，出现如下对话框，写入源和目标域控服务器名称单击下一步，选择“从域中选择用户”单击下一步，添加要迁移的域用户单击下一步，选择在目标域存放域账号的OU单击下一步，选择迁移密码的选项单击下一步，选择目标域源相同下一步，选择“修复用户的组成员身份”下一步，根据情况选择需要排除的选项下一步，选择“在目标域中检测到冲突时不迁移源对象”下一步，完成单击完成，可以看到如下信息5、迁移计算机选择计算机迁移向导出现如下图所示对话框下一步，选择源域和目标域服务器名称下一步，选择“从域中选择计算机”下一步，添加相应要迁移的计算机名下一步，浏览输入目标计算机存放的OU下一步，根据情况选择内容下一步，选择“添加”下一步，下一步，根据实际需求选择要排除的属性下一步，选择“在目标域中检测到冲突时不迁移源对象”下一步，单击完成完成，计算机迁移工作