在林间迁移对象
本节实战场景如图 9-56所示。
图 9-56 实战场景
由于公司合并,两个活动目录林ess.com和onest.net建立林信任,以便实现统一的身份验证和资源共享。
在ess.com目录林中有两个域,ess.com和sjz.ess.com,sjz.ess.com是ess.com域的子域。
用户工作需要,你需要把onest.net域中的两个用户李济辉和吴永晨迁移到ess.com域。
计算机环境:
u essDC安装Windows Server 2008企业版,是ess.com域的域控制器、全局目录服务器和DNS服务器。
u sjzDC安装了Windows Server 2008企业版,是sjz.ess.com域的域控制器、DNS服务器和全局目录服务器。
u sjzPC是sjz.ess.com域的成员,安装Windows 7操作系统。
u onestDC是安装Windows Server 2008企业版,是onest.net域的域控制器、全局目录服务器和DNS服务器。
u eduDC安装了Windows Server Core,是edu.onest.net域的域控制器、DNS服务器和全局目录服务器。
9.7.1跨林迁移用户
按第八章步骤配置两个目录林的林信任,且两个目录林的DNS必须配置条件转发能够解析对方的域名,因为在迁移用户时需要通过DNS定位对方的域控制器。
以下操作将会把onest.net目录林根域中的用户“李济辉”和“吴永晨”迁移到ess.com林的根域,本操作只迁移用户帐户不迁移密码,为迁移过来的用户产生复杂密码,将会产生一个记录密码的文件。提示:跨林迁移用户和组不删除源域中的对象。
1. 如图9-57所示,在essDC上打开Active Directory迁移工具,右击“Active Directory迁移工具”,点击“用户帐户迁移向导”。
2. 如图9-58所示,在出现的欢迎使用用户帐户迁移向导对话框,点击“下一步”。
图 9-57 运行用户帐户迁移向导 图 9-58用户帐户迁移向导
3. 如图9-59所示,在出现的域选择对话框,选择源域和域控制器,以及目标域和域控制器,点击“下一步”。
4. 如图9-60所示,在出现的用户选择项对话框,选择“从域中选择用户”,点击“下一步”。
图 9-59 选择域 图 9-60 选择用户
5. 如图9-61所示,在出现的用户选择对话框,点击“添加”。
6. 如图9-62所示,在出现的选择用户对话框,输入“李济辉”和“吴永晨”,点击“确定”。
图 9-61 用户选择 图 9-62 选择用户
7. 如图9-63所示,选定用户后,点击“下一步”。
8. 如图9-64所示,在出现的组织单位选择对话框,点击“浏览”,在出现的浏览容器对话框,点中“培训部”组织单元,点击“确定”。
9. 如图9-64所示,在组织单位选择对话框,选择了目标OU后,点击“下一步”。
图 9-63 选择用户 图 9-64 指定目标组织单元
10. 如图9-65所示,在出现的密码选项对话框,指定密码文件的位置,点击“下一步”。
11. 如图9-66所示,在出现的用户选项对话框,选中“修复用户的组成员身份”,点击“下一步”。
图 9-65 密码选项 图 9-66 用户选项
12. 如图9-67所示,在出现的对象属性排除对话框,点击“下一步”。
13. 如图9-68所示,在出现的冲突管理对话框,选择“在目标域中检测到冲突时不迁移对象”,点击“下一步”。
图 9-67 对象属性排除 图 9-68 冲突管理
14. 如图9-69所示,在出现的完成用户帐户迁移向导对话框,点击“完成”。
15. 如图9-70所示,在出现的迁移进度,可以看到迁移的用户数量以及错误。点击“关闭”。
图 9-69 完成用户帐户迁移 图 9-70 迁移进度
16. 如图9-71所示,打开保存密码的文件,可以看到为迁移过来的用户产生了新的密码。
图 9-71 为用户生成的密码
9.7.2跨林迁移用户和密码
本小节将会演示将onest.net域中的用户和密码迁移到ess.com域。
u 在做用户迁移中需要对方的administrator权限,所以要把这两个域的administrator用户或者domain admins组加入到对方的administrators组中。将ess.com域的Domain Admins组添加到onest.net域的administrators组。
u 在ess.com域的域控制器essDC上安装ADMT 3.1
u 在ess.com域产生在迁移密码的时候需要生成一个数据库,.pes文件,用于存放密码。
u 需要在onest.net域安装密码导出服务3.1。
u 使用迁移的用户登录到新域。
下载Password Export Server version 3.1网址
17. 登录到onestDC,打开Active Directory用户和计算机管理工具。
18. 如图9-72所示,右击onest.net下的Builtin 下的administrators组,点击“属性”。
19. 如图9-73所示,在出现的administrators属性对话框,在成员标签下,点击“添加”。
20. 如图9-73所示,在出现的用户、联系人、计算机或组对话框,输入ess\domain admins,点击“检查名称”,点击“确定”。这样ess.com域的管理员就有了onest.net域的管理员的身份。
图 9-72 打开管理员组 图 9-73 添加ess.com林组
21. 如图9-74所示,在essDC的命令行运行admt key /option:create /sourcedomain:onest /keyfile:c:\keyfile /keypassword:Goodluckypy
22. 如图9-74所示,该操作会创建一个服务器加密密钥,保存在c:\keyfile.pes,将该文件件拷贝到essDC。
23. 如图9-75所示,在onestDC上安装密码导出服务,在出现的欢迎使用ADMY密码迁移DLL安装向导对话框,点击“下一步”。
图 9-74 产生服务器加密密钥 图 9-75 安装密码迁移服务
24. 如图9-76所示,在出现的许可协议对话框,选择“我接受许可协议”,点击“下一步”。
25. 如图9-77所示,在出现的加密文件对话框,点击“浏览”。
图 9-76 安装密码迁移服务 图 9-77 选择加密文件
26. 如图9-78所示,选中加密文件后,点击“下一步”。
27. 如图9-79所示,在出现的ADMT密码迁移DLL安装程序对话框,输入密码和确认密码,注意改密码为Goodluckypy,点击“下一步”。
图 9-78 指定加密文件 图 9-79 输入密码
28. 如图9-80所示,在出现的开始安装对话框,点击“下一步”。
29. 如图9-81所示,在出现的ADMT密码迁移DLL,选择“本地系统”,点击“确定”。
图 9-80 开始安装 图 9-81 选择本系统
30. 如图9-82所示,在出现的已经成功安装了ADMT密码迁移DLL对话框,点击“完成”。
31. 如图9-83所示,出现必须重启才能完成时ADMT密码迁移DLL做出的设置生效,点击“是”。重启计算机。
图 9-82 完成安装 图 9-83 需要重启
32. 重启后,点击“运行”à“开始”,输入services.Msc,点击“确定”。打开服务管理工具。
33. 如图9-84所示,右击“密码导出服务器服务”,点击“启动”。
34. 如图9-86所示,在essDC上,打开Active Directory迁移工具,右击“Active Directory迁移工具”,点击“用户帐户迁移向导”。
图 9-84 启动密码导出服务器服务 图 9-85 运行用户帐户迁移向导
35. 如图9-86所示,在出现的欢迎使用用户帐户迁移向导对话框,点击“下一步”。
36. 如图9-87所示,在出现的域选择对话框,源域输入onest.net,选择域控制器,目标域输入ess.com,选择域控制器,点击“下一步”。
图 9-86 用户帐户迁移向导 图 9-87 选择域
37. 如图9-88所示,在出现的用户选择选项对话框,选择“从域中选择用户”,点击“下一步”。
38. 如图9-89所示,在出现的用户选择对话框,点击“添加”,在出现的选择用户对话框,输入“李济辉”和“吴永晨”,点击“确定”。
图 9-88 选择用户 图 9-89 选择用户
39. 如图9-90所示,在出现的组织单位选择对话框,点击“浏览”。
40. 如图9-91所示,在出现的浏览容器对话框,选中“培训部”,点击“确定”。
图 9-90 选择目标OU 图 9-91 选择OU
41. 如图9-92所示,选择了目标OU后,点击“下一步”。
42. 如图9-93所示,在出现的密码选项对话框,选择“迁移密码”,密码迁移源选择onestDC.onest.net,点击“下一步”。
图 9-92 指定目标OU 图 9-93 迁移密码
43. 如图9-94所示,在出现的帐户转换选项对话框,选择“将用户SID迁移至目标域”,点击“下一步”。迁移用户的SID,迁移后的权限不变。比如迁移前授权该用户读取某个文件夹,迁移后照样能读取。
44. 如图9-95所示,在出现的在源域启用审核提示对话框,点击“是”,在出现的需要创建onest$$$本地组对话框,点击“是”。
图 9-94 迁移SID 图 9-95 启用审核和创建本地组
45. 如图9-96所示,在出现的用户帐户对话框,输入在源域中有管理权限的用户名和密码和域,点击“下一步”。
46. 如图9-97所示,在出现的用户选项对话框,选中“修复用户的组成员身份”,点击“下一步”。
图 9-96 输入源域的管理员帐户和密码 图 9-97 用户选项
47. 如图9-98所示,在出现的对象属性排除对话框,点击“下一步”。
48. 如图9-99所示,在出现的冲突管理对话框,选择“在目标域中检测到冲突时不迁移对象”,点击“下一步”。
图 9-98 对象属性排除 图 9-99 冲突管理
49. 如图9-100所示,在出现的完成用户帐户迁移向导对话框,点击“完成”。
50. 如图9-101所示,在出现的迁移进度对话框,看到完成两个。点击“关闭”。
图 9-100 完成用户迁移向导 图 9-101 迁移进度
51. 如图9-102所示,在essDC打开ActiveDirectory用户和计算机管理工具,可以看到迁移过来的用户。
52. 如图9-103所示,双击吴永晨用户帐户,在出现的吴永晨属性对话框,在帐户标签下,可以看到该用户选项为“用户下次登录是须更改密码”。
图 9-102 迁移过来的用户 图 9-103 用户需要更改密码
53. 如图9-104所示,在sjzPC上使用ess域的lijihui登录。提示:sjzPC是sjz.ess.com子域的成员。
54. 如图9-105所示,提示更改密码。
图 9-104 使用迁移过来的用户登录 图 9-105 提示需要更改密码
55. 如图9-106所示,输入旧密码,和新密码以及确认新密码登录,
56. 如图9-107所示,提示密码修改成功。
图 9-106 输入新密码 图 9-107 更改成功
57. 如图9-108所示,再次登录onestDC,打开Active Directory用户和计算机,可以看到迁移的用户在源域不删除,这一点和目录林内的迁移不一样。
图 9-108 源域对象不删除
本文转自 onesthan 51CTO博客,原文链接:http://blog.51cto.com/91xueit/1137490,如需转载请自行联系原作者