在企业域林环境中,域用户的调动变更情况会经常遇到,面对这样的棘手问题,我们解决域用户迁移主要有两种方法:一种是使用微软ADMT2.0工具把域用户进行迁移;另一种是采取建立新用户把原有权限复制过来,再把老用户DISABLE。域用户迁移对企业应用环境有一定要求,首先要在双向信任的域环境,域控是WINDOWS2003的纯环境,而且两边的DNS服务器可以相互转发,我们在做域用户迁移前必须首先确保应用环境是否满足需要,然后再建立1个测试用户用来测试是否能够成功,这些前期准备工作就绪后我们才能着手去做。
对于第一种方法,我们主要应用于域用户从别的站点迁移到本地,这个问题解决要靠协商来完成,主要是跟用户约好时间,一般都在其所在地的管理员去完成,双方打好招呼,发邮件和用户做沟通,从什么时间开始进行,用户如何去联系管理员,以及一些注意事项。没准用户是个重要的角色,很忙没有多余的时间去思考有哪些遗漏的地方,我们要提醒他的是,让其把服务器上所有的邮件都下载到笔记本上,帮他把共享盘所需要的文件拷贝一下,检查一遍他的笔记本是否正常工作,大约花上半个小时完成这些准备工作。等到那边把他的账户DISABLE之后,我们这边就可以开始接手用户帐号的迁移,在域控上运行AD迁移工具,使用迁移向导开始迁移,我们需要注意的是迁移要放在带宽流量稳定的时候,最后在域控之间复制前半个小时,这样很快能够生效。我们ENABLE帐号之后,重置密码,使用该账户登录本地,检查是否有不妥之处,由于两边的POLICY的差异,很有可能会让用户不习惯,我们要做的就是降低对用户的影响,多测试一下用户环境。由于域用户迁移是有很大的风险,我们要冷静处理尽快解决,及时和那边的管理员保持沟通,等到用户使用3个工作日都没问题,我们才能把这个迁移工作结束。
还有一种方法相对比较简单一些,在老域和新域之间相互信任之后,在新域建立新用户名,跟老域的用户不重名,两者之间建立双向信任关系,可以被看作是同一个人。这样的好处是可以使用域用户迁移的工具来完成,降低操作域控的风险,但是由于用户的SID值不一样,会导致用户一部分权限丢失,影响到用户的应用,我们要帮用户去克服这些困难。通常情况下,我们很难让用户继承之前所有的权限,我们可以在GROUP组中把新用户名加进去,为了不影响正常使用,我们要按照对等的方法去执行这种迁移。有这种情况,用户只是对调3个月,或是过来完成某个项目,我们为避免登录缓慢或是加载脚本出错,可以使用这种方法来解决。
不管哪种方法都存在一定的风险,企业会根据实际情况选择域用户的迁移,我们对比二者的不同之处,各有优劣,我们在做用户迁移之前,通过在IE中导出一份用户的私人证书来解决用户某些加密或是访问权限丢失的问题。我们还要做好详细记录,分析每次域用户迁移发生的问题,总结其中的规律,让域用户的迁移能够正确有效地执行。
本文转自 zhaiken 51CTO博客,原文链接:http://blog.51cto.com/zhaiken/328110,如需转载请自行联系原作者
