您好,登錄后才能下訂單哦!
ADMT(Active Directory Migration Tool)是一套向導接口,集成多種功能的遷移工具。它提供將某域的AD數據庫的用戶帳戶、組、計算機、服務帳戶、信任關系等數據,遷移到另一個新域。但這個工具比較復雜,若要成功使用這套工具,會牽涉到許多細節,現在我們詳細地講一下這個工具的使用要求與方法。
一、ADMT使用前的注意事項
AD遷移是將舊域的某部分AD數據,遷移到目標域(新域)的AD數據庫中。些操作有相當高的危險性,使用ADMT工具之閃,請務必了解以上注意事項:
1、備份AD數據庫:為防ADMT遷移工具發生意外狀況,無法恢復被遷移的AD數據,請使用ADMT之前,對現有AD做好備份;
2、遷移AD的順序:先遷移不太重要的數據,萬一發生問題時,損失較少。
3、提升域模式為Window 2000/3純模式:為了讓ADMT遷移工具能夠運行正常,最好將原域與目標域的域模式都轉到Windows 2000/3的純模式。
4、利用ADMT工具所提供的測試選項,預先測試遷移步驟;
5、要留意遷移項目的想依性:先遷移組,再遷移用戶
二、ADMT使用前的環境設置
如果要將來源域Deng.com的AD數據,遷移到目標域Tech.com,除了要安裝ADMT工具之外,還需進行如下的環境設置:
1、建立來源域與目標域之間的信任關系
2、設置審核策略
分別在來源域與目標域中,使用“組策略管理工具GPMT”打開“Default Domain Controllers Policy”.找到“Windows設置\安裝設置\本地策略\審核策略\審核帳戶管理”,對這個策略啟用“成功與失敗”的審核。這樣無論遷移成功與失敗,在事件查看器中,會產生相應的記錄。
3、在源域與目標域中設置權限
在進行AD遷移之前,來源域的域系統管理員(Domain Admins)一定要具有目標域的DC的本機系統管理員(Local administrators)權限;同樣,目標域的域系統管理員(Domain Admins)一定要具有來源域的DC的本機系統管理員(Local administrators)權限。
在目標域的Pre-Windows 2000 Compatible Access 組中,加入“Everyone”與“Anonymous Logon“等兩組系統。
4、在目標域上安裝ADMT工具;
將Windows 2003光盤中\I386\Admt、admigration.msi工具安裝到目標域的DC上。
5、安裝密碼導出服務器(PES-Password Export Server)于來源域的DC之上.
凡是關系到用戶帳戶的遷移工作,一定會牽涉到帳戶密碼的遷移問題。為了讓用戶帳戶在遷移之后,仍然保留用戶所使用的密碼,則必需先在已安裝ADMT遷移工具的目標或的DC上,制作一把保護用戶密碼的密鑰。
在目標域的DC的ADMT安裝文件夾中,執行:admt key命令,格式為: admt key tech.com . ;
生成一個.pes的密鑰文件;
將此.pes文件復制到來源域Deng.com的DC上;
使用Windows 2003光盤上“I386\admt\pwdmig\PWDMIG.EXE ”在來源域的DC上安裝密碼導出服務器。
安裝完成后,請暫時不要重新啟動DC。打開此DC的注冊表。找到“\HLM\System\CurrentControlSet\Control\Lsa\” ,選擇“AllowPasswordExport”,將其值設為1。
重新啟動此DC。
三、使用ADMT工具進行遷移測試
在使用ADMT工具遷移AD數據時,一定要先測試再遷移。
四、遷移AD數據前的設置
在來源域第一次遷移AD數據時,還需要做以下工作:
在來源域的DC上注冊一個“TcpipClientSupport”
在來源域的DC上建立一個本地組,其名稱為域的NetBIOS名稱加上$$$,即是Deng$$$,此本地組與登陸口令是作為遷移SID使用。
五、遷移AD數據
在遷移之前,可以目標域的DC上設置AD數據的遷移細節。包括:設置不要遷移的數據屬性、設置遷移SID歷程記錄、設置組內用戶密碼的遷移方式、決定禁用或啟用組內用戶帳戶。
六、恢復遷移的錯誤
在進行遷移AD數據時,若發生錯誤,可執行“操作/撤銷上次遷移向導”命令,半按照向導接口的指示,來源域與目標域即可民恢復遷移之前的AD數據庫環境。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。