第9章-迁移域用户和计算机

最新视频下载(R)目录服务或ActiveDirectory域服务(ADDS)的一部分，您可能会出于以下原因选择重构环境：优化逻辑ActiveDirectory结构内的元素排列协助完成企业合并、收购或资产剥离重构涉及在同一个林或不同林中的ActiveDirectory域之间迁移资源。部署ActiveDirectory或ADDS后，可以通过在林之间重构域或在单个林内重构域来确定是否可降低环境的复杂性。通过活动目录重构，你可以单域结构中的变成多域结构，也可以将多域结构变成单域结构，在此期间需要使用活动目录迁移工具（ADMT）迁移域中的用户和计算机，亦可以将其他林中的用户和密码使用ADMT进行迁移。使用ADMT林内迁移用户和计算机使用ADMT林间迁移用户和计算机使用ADMT林间迁移用户帐户和密码最新视频下载(R)目录服务或ActiveDirectory域服务(ADDS)的一部分，您可能会出于以下原因选择重构环境：优化逻辑ActiveDirectory结构内的元素排列协助完成企业合并、收购或资产剥离重构涉及在同一个林或不同林中的ActiveDirectory域之间迁移资源。部署ActiveDirectory或ADDS后，可以通过在林之间重构域或在单个林内重构域来确定是否可降低环境的复杂性。9.1.1ActiveDirectory迁移的最佳实践1.在整个迁移过程中对源域和目标域的域控制器执行定期备份。如果要迁移包含文件共享的计算机以执行安全性转换，则我们建议在迁移过程中同时备份这些计算机。2.在开始迁移前执行测试迁移，具体做法是：创建测试用户，将测试用户添加到适当的全局组，然后在迁移前后验证资源访问权限。3.在生产环境中迁移对象前，先在测试环境中测试迁移方案。4.制定恢复计划，并确保恢复计划在迁移的测试阶段可以正常工作。5.解密通过加密文件系统(EFS)的方法加密的文件。解密加密文件失败将导致在迁移后丢失对加密文件的访问权限。确保与最终用户进行沟通，告知他们必须解密所有加密文件，否则他们将丢失对这些文件的访问权限。6.确保在从中迁移对象的每个域中同步系统时间。如果时间不一致，则Kerberos身份验证将失败。9.1.2执行用户和组帐户迁移的最佳操作在整个迁移过程中对源域和目标域的域控制器执行定期备份。如果要迁移包含文件共享的计算机以执行安全性转换，则我们建议在迁移过程中同时备份这些计算机。建议批量迁移用户。单批大小为100个用户有助于顺利管理迁移过程。在迁移过程中应始终管理对源域中用户帐户和组帐户的更改。在整个迁移过程中，根据需要经常使用用户帐户迁移向导和组帐户迁移向导的“冲突管理”页上的“迁移并合并冲突的对象”选项重新迁移用户和组。在迁移过程中管理源域中的更改，然后使用“迁移并合并冲突的对象”选项，可以确保对源域中的对象所作的所有更改在对象迁移到目标域之后都能够反映出来。若要保持对资源的访问，请确保组成员身份遵循以下指导原则：1.使用全局组组合用户。2.使用本地组保护资源。最新视频下载将全局组置于本地组中，以授予全局组中的成员访问资源的权限。在转换用户配置文件时遵循下表中的指导原则。配置文件类型转换指导原则漫游配置文件选择用户帐户迁移向导中“用户选项”页上的“转换漫游配置文件”选项。然后，在迁移一批用户后立即转换这些用户的本地用户配置文件。本地配置文件作为用户帐户迁移过程中单独的一步转换本地配置文件。选择安全迁移向导的“转换对象”页上的“使用配置文件”选项。在迁移一批用户之后立即转换这些用户的本地用户配置文件。非管理的配置文件迁移用户帐户后，用户将丢失现有的配置文件。9.1.3执行计算机迁移的最佳操作在整个迁移过程中对源域和目标域的域控制器执行定期备份。如果迁移包含文件共享的计算机以执行安全性转换，建议您在整个迁移过程中同时备份这些计算机。验证工作站和成员服务器在将其加入目标域后已立即重新启动。ActiveDirectory迁移工具(ADMT)将自动重新启动工作站和成员服务器，但要使用计算机迁移向导中的“向导完成后重新启动计算机之前的时间(分钟)”选项选择在计算机重新启动之前经过的时间。在迁移之后不重新启动的计算机处于不确定状态中。与下列最终用户通信：在其计算机计划要迁移时其计算机必须连接到网络的最终用户。9.1.4回滚迁移的最佳操作通过以下步骤回滚已在林间迁移的用户和组帐户：在源域中启用帐户（如果这些帐户在迁移过程中被禁用），验证帐户是否具有访问源域中资源的权限，然后验证登录脚本和用户配置文件是否按源域中的配置工作。通过更改服务器和工作站的域成员身份，然后重新启动它们来回滚已在林间迁移的资源。登录到源域中的资源以确保可以访问这些资源。通过将对象从目标域迁移回源域来回滚已在林内迁移的帐户和资源。在林内迁移帐户和资源的方式是移动而不是复制。因此，它们不会继续存在于源域中。注意：为了确保成功回滚林内迁移，请不要尝试删除目标域中的对象，然后将它们还原到源域中。您将无法恢复源域中的对象，因为尝试还原时，跨域移动代理会自动删除这些对象。注意：执行林间迁移时，如果源域的功能级别为Windows2000混合模式，您不能将对象从目最新视频下载标域迁移回到源域来撤销迁移更改。重新迁移要求源域变成目标域，且目标域的功能级别必须为Windows2000本机模式或WindowsServer2003。9.2林内ActiveDirectory域重构依次减少林中ActiveDirectory域的数量以减少或简化以下任务：组织的管理要求复制流量用户和组管理实现组策略如果您经常将用户重新分配到属于不同域的位置，可能还要定期在这些域之间迁移对象。在林中重构ActiveDirectory域的过程不同于在林间重构ActiveDirectory域的过程。此过程需要仔细规划和测试。9.2.1使用ADMT重构林内ActiveDirectory域的概述最有效的ActiveDirectory设计包括数量尽可能少的域。通过将林中域的数量降至最低，可以降低管理成本并提高组织的工作效率。例如，如果组织关闭了一个区域办公地点，并且不再需要该地点的区域域，您可能必须重构林中的域。为了简化ActiveDirectory的逻辑结构，在下列情况下，也可以重构林中的域：如果已升级网络基础结构。如果已增加网络带宽和复制容量。在林中重构ActiveDirectory域的过程类似于在域之间迁移帐户的过程。在域之间迁移帐户和资源时，会将对象从源域迁移到目标域，而不停止使用源域。重构ActiveDirectory域时，将在完成所有域对象的迁移之后从林中删除源域。在开始重构林中的ActiveDirectory域的过程之前，确保源域和目标域操作于Windows2000本机模式、WindowsServer2003或WindowsServer2008域功能级别。不建议重构操作于Windows2000混合域功能级别的源域，这些源域可能包含运行MicrosoftWindowsNT4.0的域控制器。完成在林中重构ActiveDirectory域的过程之后，可以停止使用源域，以帮助减小开销并简化组织中的域功能级别管理。若要在重构域的过程中维护用户对资源的访问权限，必须以特定顺序执行迁移步骤。图9-1说明了在林中重构ActiveDirectory域的过程。最新视频下载域涉及从源域到目标域迁移帐户和资源。与在林间重构ActiveDirectory域的过程不同，当在林中重构域时，已迁移的对象在源域中将不再存在。注意：对于林内迁移，将区别对待计算机帐户与用户帐户和组帐户。为便于回滚，在目标域中创建了一个新计算机帐户，但在迁移之后将禁用源计算机帐户，而不是将其删除。此外,由于应用于ActiveDirectory组的包含规则，当在林中重构ActiveDirectory域时，迁移用户帐户、资源和组需要特别慎重。由于这些原因，在林中重构ActiveDirectory域时的挑战就是在迁移过程中确保用户能够继续访问资源。封闭集和开放集当在林中重构ActiveDirectory域时，必须关注两类封闭集：用户和组资源和本地组用户和组第一类封闭集包括以下内容：用户帐户用户所属的所有全局组全局组的所有其他成员全局组限于全局组所在域的成员。因此，如果将用户帐户迁移到新域但没有迁移用户所属的全局组，则该用户将不再是这些全局组中的有效成员，并且该用户无法访问这些全局组中基于成员身份的资源。因此，当在林中的域之间移动帐户时，必须移动封闭集，以便用户保留对其资源的访问。最新视频下载尽管内置帐户（如Administrators、Users和PowerUsers）和已知帐户（如DomainAdmins和DomainUsers）不能是ActiveDirectory迁移工具(ADMT)的迁移对象，但在封闭集中迁移这些组不是一个常见问题。在访问控制列表(ACL)中使用它们或在域本地组中使用成员身份都不是分配资源权限的有效方法。在迁移用户时，ADMT将使用户成为目标域中域用户组的成员。但是，这并不为其他内置组（如ServerOperators和BackupOperators）或已知组（如DomainAdmins）维护权限。如果使用了内置组或已知组分配资源权限，则在开始迁移之前必须将这些权限重新分配给新域本地组。重新分配权限包括执行以下步骤：1.在源域中创建新域本地组。2.在包含需要访问资源的用户的源域中创建新的全局组。3.将新的全局组添加到域本地组。4.运行安全转换，方法是使用安全标识符(SID)映射文件将已知组映射到使用已知组分配权限的所有资源上的新域本地组（在第一步中创建）。在具有很少全局组的小型域环境中，也许能够标识用户和组的封闭集。如果可以标识封闭集，则可以同时迁移用户和组。在大型域环境中，一个用户可以属于许多全局组。因此，很难标识和仅迁移用户和组的封闭集。因此，在迁移用户帐户之前最好先迁移组。例如，User1属于全局组GlobalA和GlobalB，并且是Domain1的成员。如果管理员将User1和GlobalA移动到同林中的Domain2，则这些帐户将不再存在于Domain1中。它们仅存在于同林中的Domain2中。GlobalB组保留在Domain1中，这将创建一个“开放集”，或创建一个在多个域中包含用户和组的集。由于全局组只能包含全局组所在域中的成员，因此GlobalB中User1的成员身份将不再有效，并且User1无法再基于GlobalB中的成员身份访问资源。因此，在迁移User1之前最好迁移这两个全局组。如果在源域和目标域的功能级别都是Windows2000纯模式或更高级别的环境中迁移对象的开放集，则ADMT会将全局组转换为通用组，以便它可以包含来自其他域的用户和保留组成员身份。当该集成为封闭集时，ADMT会将该组更改回全局组。此过程的好处是ADMT可以确保解决所有封闭集问题。不过，由于要将成员身份复制到全局编录，因此当组为通用组时增加了全局编录的复制。注意：如果源域的功能级别为Windows2000混合模式，则ADMT无法将全局组转换为通用组，这是因为通用组无法在该功能级别存在。但是，如果这些组不是该域中的组，即使目标域处于纯模式下，混合模式域中的用户也不会在其访问令牌中获取通用组的SID。因此，ADMT将在目标域中创建全局组的副本，并将所有迁移的用