在 Active Directory 域之间迁移域对象
实战背景
微软河北技术支持中心 升级了其硬件以增加其网络带宽和可以支持的复制流量。结果,该公司需要将其sjz.ess.com 域整合到其 ess.com 域中。然后删除sjz.ess.com子域。
sjz.ess.com域是源域,ess.com 域是迁移的目标域。该组织总共需要将 10 个用户从 sjz.ess.com域迁移到ess.com域。除用户帐户之外,该组织还必须迁移一些资源,如工作站、服务器和组。
由于 微软河北技术支持中心 是一家具有许多全局组的大型组织,因此很难识别封闭集。因此,公司决定将全局组作为通用组进行迁移。公司之所以可以这样做是因为该公司的基础结构可以处理增加的通用组复制,而且还因为ess.com和sjz.ess.com 域运行于 Windows 2000 纯模式功能级别。公司在 ess.com和 sjz.ess.com 域中创建了相同的组织单位 (OU) 结构。因此,他们不必创建新的 OU 结构或迁移 OU。
公司决定使用 Active Directory 迁移工具 (ADMT) 作为其迁移工具并将使用向导。
在林中重构 Active Directory 域涉及到以特定顺序迁移域对象,从而确保用户可以继续访问资源。图9-3显示了在 Active Directory 域之间迁移域对象的过程。
图 9-3 域之间迁移对象的过程
9.4.1迁移组
若要保护系统避免在林内重构 Active Directory 域时出现开放集合问题,请在迁移属于组成员的用户帐户之前迁移组。如果在迁移用户的同时迁移组,则可能不迁移嵌套组,这将创建开放集合。
此外,请遵循下列迁移组的指导原则:
u 首先迁移通用组,然后是全局组。
u 当迁移域本地组在其上用于分配权限的资源(域控制器和成员服务器)时,请迁移域本地组。
u 您可以选择在重构过程中稍后当迁移计算机时迁移计算机本地组。
迁移通用组
从源域到目标域迁移通用组而不同时迁移作为这些组的成员的用户。迁移不带用户的通用组有助于防止开放集问题。安全标识符 (SID) 历史允许组成员基于通用组成员身份继续访问资源。将通用组迁移到目标域时,它们在源域中已不存在。
如果要迁移少数通用组,则可在迁移全局组的同时迁移通用组。 |
可以通过使用 Active Directory 迁移工具 (ADMT) 管理单元、ADMT 命令行选项或脚本迁移通用组。
迁移全局组
将全局组(不含成员)从源域迁移到目标域,以防止出现开放集问题。如果源域具有 Windows 2000 本机模式的功能级别或更高级别,则将全局组迁移至目标域后,全局组将在源域中消失。
由于全局组只包含来自其各自域的成员,则您无法将它们从一个域迁移到另一个域。迁移全局组时,Active Directory 迁移工具 (ADMT) 将全局组更改为通用组。目标域中的通用组在源域中保留全局组的安全标识符 (SID) 历史记录,这使得用户在迁移全局组后可继续访问源域中的资源。将全局组的所有成员从源域迁移到目标域后,ADMT 会将通用组改回目标组。
由于内置组和已知全局组已存在于目标域中,因此在迁移中您不必包括这些组。如果为迁移选择内置组或已知的全局组,则 ADMT 不会迁移该组。相反,ADMT 将在日志中做记录并继续迁移其他全局组。
使用组帐户迁移向导迁移全局组的过程与迁移通用组的过程相同。
完成全局组迁移过程后,请使用“Active Directory 用户和计算机”验证全局组是否已成功迁移。验证全局组不再存在于源域中,且这些组出现于在迁移过程中指定的组织单位 (OU) 中的目标域。如果全局组仍具有源域中的成员,全局组列为目标域中的通用组。若要查看通用组的成员列表,请右键单击该组,单击“属性”,然后单击“成员”选项卡。列出全局组的原始成员。然而,请注意用户帐户尚未迁移。
如果在林内迁移期间迁移用户帐户,但没有迁移源域中包含这些用户帐户的全局组,则 ADMT 仍然会更新源域中的全局组。ADMT 将从源域中的全局组的成员身份中删除已迁移用户帐户,因为全局组只能包括源域中的成员。因此,迁移后用户可能无法继续访问源域中的资源,因为它们不再是这些组的成员。
可以使用 ADMT 管理单元、ADMT 命令行选项或脚本迁移全局组。
9.4.2使用ADMT在林中迁移全局组和用户
ADMTv3.0支持Windows Server 2003活动目录迁移,ADMTv3.1支持Windows Server 2008活动目录迁移。
ADMT3.1下载网址:
以下操作将使用ADMT将sjz.ess.com子域的用户和其相关的全局组迁移到父域ess.com。
步骤:
1. 以企业管理登录到DCServer上,因为目录林的enterprise Admins组在林中的所有域中默认有管理员权限。
2. 如图9-4所示,双击ADMTv3.1安装文件,在出现的欢迎使用Active Directory迁移工具安装向导对话框,点击“下一步”。
3. 如图9-5所示,在出现的许可协议对话框,选择“我同意”,点击“下一步”。
图 9-4 安装ADMT 图 9-5 安装ADMT
4. 如图9-6所示,在出现的客户体验改善计划对话框,选择“现在不想加入该计划”,点击“下一步”。
5. 如图9-7所示,在出现的数据库选择对话框,选择“使用本地SQL Server 2005 Express Edition”,点击“下一步”。
图 9-6 安装ADMT 图 9-7 数据库选择
6. 如图9-8所示,在出现的数据库导入向导对话框,选择“否,不从现有数据库导入数据”,点击“下一步”,
7. 如图9-9所示,在出现的已成功安装Active Directory迁移工具3.1对话框,点击“完成”。
图 9-8 数据库导入 图 9-9 完成ADMT安装
8. 如图9-10所示,使用Active Directory用户和计算机管理工具,连接到子域sjz.ess.com,可以看到在该域有王少静、张玉华和罗中华三个用户,这三个用户属于G_石家庄培训部全局组。
9. 如图9-11所示,点击“开始”à“程序”à“管理工具”à“Active Directory迁移工具”。
图 9-10 子域中的要迁移的用户和组 图 9-11 打开迁移工具
10. 如图9-12所示,右击Active Directory迁移工具,点击“组帐户迁移向导”。
11. 如图9-13所示,在出现的欢迎使用组帐户迁移向导对话框,点击“下一步”。
图 9-12 组帐户迁移 图 9-13 组帐户迁移向导
12. 如图9-14所示,在出现的选择域对话框,输入源域sjz.ess.com,选择域控制器\\sjzDC.sjz.ess.com。目标域输入ess.com,选择域控制器\\DCServer.ess.com。点击“下一步”。
13. 如图9-15所示,在出现的组选择选项对话框,选中“从域中选择组”,点击“下一步”。
图 9-14 选择域 图 9-15 选择组
14. 如图9-16所示,在出现的选择组对话框,点击“添加”。
15. 如图9-17所示,在出现的选择组对话框,输入G_石家庄培训部,点击“确定”。
图 9-16 添加要迁移的组 图 9-17 选择组
16. 如图9-18所示,在出现的组织单位选择对话框,点击“浏览”。
17. 如图9-19所示,在出现的浏览容器对话框,点中“培训部”,点击“确定”。
图 9-18 选择目标组织单元 图 9-19 选择组织单元
18. 如图9-20所示,在出现的组织单位选择对话框,点击“下一步”。
19. 如图9-21所示,在出现的组选项对话框,选中“更新用户权利”,“复制组成员”,点击“下一步”。
图 9-20 指定目标组织单元 图 9-21 迁移组成员
20. 如图9-22所示,在出现的警告对话框,点击“确定”。
21. 如图9-23所示,在出现的冲突管理对话框,选择“在目标域中检测到冲突时不迁移对象”,点击“下一步”。
图 9-22 提示 图 9-23 冲突管理
22. 如图9-24所示,在出现的完成组帐户迁移向导对话框,点击“完成”。
23. 如图9-25所示,在出现的迁移进度对话框,可以看到迁移的用户和组的数量,点击“关闭”。
图 9-24 完成组迁移 图 9-25 迁移进度
24. 如图9-26所示,在此打开Active Directory用户和计算机,连接到子域sjz.ess.com,可以看到子域的用户和组都被迁移到父域,在子域就不存在了。
25. 如图9-27所示,在此打开Active Directory用户和计算机,连接ess.com域,可以看到迁移过来的用户和组。
图 9-26 源域对象被迁移 图 9-27 迁移到目标域的用户和组
26. 如图9-28所示,打开迁移过来的组G_石家庄培训部的成员,可以看到迁移过来的用户仍然在该组。
图 9-28 组成员也被迁移过来
9.4.3使用ADMT在林中迁移Windows 7成员计算机
ADMT还可以迁移域中的计算机,以下步骤将会把父域ess.com的计算机BJPC迁移到sjz.ess.com域。注意:在这里BJPC是Windows 7操作系统。
27. 如图9-29所示,在BJPC上,右击“计算机”,点击“属性”。
28. 如图9-30所示,在打开的系统属性对话框,可以看计算机全名BJPC.ess.com,所属的域ess.com。
图 9-29 打开计算机属性 图 9-30 查看计算机所属的域
29. 如图9-31所示,在BJPC上点击“开始”à“运行”,输入wf.msc,点击“确定”。
30. 如图9-32所示,打开高级安全Windows 防火墙,可以看到域配置文件是活动的,点击“Windows防火墙属性”。
图 9-31 打开防火墙管理工具 图 9-32 活动的配置文件
31. 如图9-33所示,在出现的高级安全Windows 防火墙对话框,在域配置文件,状态设置为“关闭”。点击“应用”。因为在迁移计算机帐户时迁移工具需要在被迁移的计算机上安装迁移代理软件,为了保证能安装迁移代理软件,需要关闭高级安全Windows防火墙。
32. 如图9-34所示,打开Active Directory用户和计算机,可以看到ess.com域培训部组织单元中BJPC的计算机账号。
图 9-33 关闭防火墙 图 9-34 可以看大BJPC在ess.com域
33. 如图9-35所示,打开Active Directory迁移工具,右击“Active Directory迁移工具”,点击“计算机迁移向导”。
34. 如图9-36所示,在出现的欢迎使用计算机迁移向导对话框,点击“下一步”。
图 9-35 打开计算机迁移向导 图 9-36 运行计算机迁移向导
35. 如图9-37所示,在出现的域选择对话框,输入源域,选择域控制器,输入目标域,选择域控制器,点击“下一步”。
36. 如图9-38所示,在出现的计算机选择选项对话框,选择“从域中选择计算机”,点击“下一步”。
图 9-37 选择源域和目标域 图 9-38 选择要迁移的计算机
37. 如图9-39所示,在出现的计算机选项对话框,点击“添加”。
38. 如图9-40所示,在出现的选择计算机对话框,输入BJPC,点击“确定”。
图 9-39 选择计算机 图 9-40 浏览计算机
39. 如图9-41所示,在出现的组织单元选择对话框,点击“浏览”。
40. 如图9-42所示,在出现的浏览容器,选择“培训部门”,点击“确定”。
图 9-41 选择目标组织单元 图 9-42 选择组织单元
41. 如图9-42所示,在选择组织单元后,点击“下一步”。
42. 如图9-43所示,在出现的转换对象对话框,点击“下一步”。
图 9-43 指定目标组织单元 图 9-44转换对象
43. 如图9-45所示,在出现的计算机选项对话框,输入计算机重启等待时间,点击“下一步”。
44. 如图9-46所示,在出现的对象属性排除,点击“下一步”。
图 9-45 设置重启时间 图 9-46 对象属性排除
45. 如图9-47所示,在出现的冲突管理对话框,选择“在目标域中检测到冲突时不迁移源对象”,点击“下一步”。
46. 如图9-48所示,在出现的完成计算机迁移向导对话框,点击“完成”。
图 9-47 冲突管理 图 9-48完成计算机迁移向导
47. 如图9-49所示,在出现的迁移进度对话框,可以看到迁移计算机数量。
48. 如图9-50所示,之后出现的Active Directory迁移工具代理对话框,选择“运行预检查和代理操作”,点击“开始”。
图 9-49 迁移进度 图 9-50 安装代理
49. 如图9-51所示,可以看到预检查和代理操作均成功。
50. 如图9-52所示,在看BJPC,出现提示Windows 将在2分钟内关闭。
图 9-51 安装代理成功 图 9-52 客户端提示需要重启
51. 如图9-53所示,重启完成后可以,打开BJPC可以看到计算机全名BJPC.sjz.ess.com域是sjz.ess.com。
52. 如图9-54所示,打开Active Directory用户和计算机,可以看到迁移过来的计算机帐户。
图 9-53 查看计算机所属的域 图 9-54 迁移的计算机帐户
本文转自 onesthan 51CTO博客,原文链接:http://blog.51cto.com/91xueit/1137489,如需转载请自行联系原作者