转自:http://angerfire.blog.51cto.com/198455/231185
在windows server 2008 的AD维护工作中,我们可能需要将当前域的用户账户和组转移到另外一个域中(这个动作我们称之为迁移)。
在雅利安星际疫苗接种公司工作的windows 网络管理员号称不重疫苗也能顶的灵灵狗同志,正在为一件棘手的工作事件发愁。
雅利安公司因为研制出可以成功抵御十全星际流感的疫苗,在整个银河系名声大震,巴斯股(3009年最火爆的星际股市)也一路狂涨。同时,兼并了太阳系的喜马拉雅驴友公司。
喜马拉雅公司的精英研发部门“珠穆朗玛二部”也被收编进了雅利安公司的研发部。因为所有的资源管理都是基于活动目录的,所以灵灵狗同志需要将“珠穆朗玛二部”的所有员工账户和组迁移转移到雅利安公司的域下。
在查询了无所不知的位于雅利安星球的知识古树后,灵灵狗拨通了远在银河系另一端的地球村的AD客户支持部的售后电话。
按照客服妹妹的指导,灵灵狗使用Hyper-V3009快速的搭建起了虚拟的评估环境。具体如下:
灵灵狗同志看完客服妹妹同步过来的的指导文档后很顺利的使用域管理员在喜马拉雅公司的project.com域上登录了。
打开“Active dircetory 域和信任关系”,可以看到两个域,现在要把属于project.com的域用户账户和组(原喜马拉雅公司)移动到bj.project.com(雅利安公司)
具体的账户可以通过下图看到,在 “_Demo”OU 中有user1 、 manager 两个用户和group组,其中user1属于group组。
在确认了上面三点要素后,客服妹妹发来了专门的迁移工具 ADMT3.1 (2008的活动目录迁移,必须使用ADMT3.1版本的工具3.0是不行的。客服妹妹很细心的边指导边解释着。)
在妹妹的指导下,灵灵狗打开了嵌套在管理工具中的 “Active dircetory 迁移工具”,并右键点击。
在出现的如上图的选项中,选择了用户账户迁移向导。
第一步需要设置用户账户迁移的源(project.com)和目标(bj.project.com).
第二步从源域(project.com)中选择需要迁移的用户账户
第三步:选择要转移到的目标域中的目标OU(灵灵狗够灵的,已经在妹妹的提示下提前在目标域创建了用于存放转移过来的用户账户的专用OU“target”)
第四步:此时灵灵狗同志看不明白了,不敢轻易选择。(客户妹妹及时的做了提点:此时您需要选择转移动作时的用户选项,比如用户的配置文件、权限以及相关的组是否要一起迁移到目标域去,如果要一起迁移这些属性的话,请您勾选。)灵灵狗毫不犹豫的勾选了。
第五步:冲突设置:本项默认就帮您选择了,也就是说当做用户账户转移动作时如果检测到目标OU中有相同的用户账户那么就不会做转移的动作。
来保证目标域原有的用户账户不会被替换而导致数据丢失。(客服妹妹继续耐心的解释着……)
第六步:点击完成后开始转移账户
完成后会出现一个完成报告,通过下面的报告,您可以看到已经成功转移了刚刚的两个用户账户和一个组。
通过查看日志可以看到更加详细的转移信息如下:
[设置节]
任务: 用户迁移(1)
ADMT 控制台
用户: PROJECT\Administrator
计算机: shanghai.project.com (SHANGHAI)
域: project.com (PROJECT)
OS: Windows Server (R) 2008 Enterprise 6.0 (6001) Service Pack 1
源域
名称: project.com (PROJECT)
DC: shanghai.project.com (SHANGHAI)
OS: Windows Server? 2008 Enterprise 6.0 (6001) Service Pack 1
OU:
目标域
名称: bj.project.com (BJ0)
DC: bj.bj.project.com (BJ)
OS: Windows Server? 2008 Enterprise 6.0 (6001) Service Pack 1
OU: LDAP://bj.project.com/OU=traget,DC=bj,DC=project,DC=com
林内: 是
更新权利: 是
转换漫游配置文件: 是
固定组成员身份: 是
冲突选项: 忽略
迁移组: 是
更新已迁移的对象: 否
迁移服务帐户: 是
[对象迁移节]
2009-11-21 17:02:23 启用帐户复制程序。
2009-11-21 17:02:26 从属于成员的全局组删除 CN=manager (LDAP://shanghai.project.com/CN=manager,OU=_DEMO,DC=project,DC=com):
2009-11-21
17:02:26 将
LDAP://shanghai.project.com/CN=manager,OU=_DEMO,DC=project,DC=com 移到
LDAP://bj.bj.project.com/CN=manager,ou=traget,dc=bj,dc=project,dc=com
2009-11-21 17:02:27 已更新 CN=manager 的用户权利
2009-11-21 17:02:27 从属于成员的全局组删除 CN=user1 (LDAP://shanghai.project.com/CN=user1,OU=_DEMO,DC=project,DC=com):
2009-11-21
17:02:27 从
LDAP://shanghai.project.com/CN=group,OU=_DEMO,DC=project,DC=com 上删除
LDAP://shanghai.project.com/CN=user1,OU=_DEMO,DC=project,DC=com
2009-11-21
17:02:27 将
LDAP://shanghai.project.com/CN=user1,OU=_DEMO,DC=project,DC=com 移到
LDAP://bj.bj.project.com/CN=user1,ou=traget,dc=bj,dc=project,dc=com
2009-11-21 17:02:27 已更新 CN=user1 的用户权利
2009-11-21 17:02:27 从属于成员的全局组删除 CN=group (LDAP://shanghai.project.com/CN=group,OU=_DEMO,DC=project,DC=com):
2009-11-21
17:02:27 将 LDAP://project.com/CN=group,OU=_DEMO,DC=project,DC=com 移到
LDAP://bj.bj.project.com/CN=group,ou=traget,dc=bj,dc=project,dc=com
2009-11-21 17:02:27 已更新 CN=group 的用户权利
2009-11-21 17:02:28 正在将成员更新到组 CN=group (LDAP://bj.bj.project.com/CN=group,ou=traget,dc=bj,dc=project,dc=com)。
2009-11-21 17:02:28 为 CN=user1 (LDAP://bj.bj.project.com/CN=user1,ou=traget,dc=bj,dc=project,dc=com) 重新建立组成员身份。
2009-11-21
17:02:28 将
LDAP://bj.bj.project.com/CN=user1,ou=traget,dc=bj,dc=project,dc=com
重新添加到
LDAP://bj.bj.project.com/CN=group,ou=traget,dc=bj,dc=project,dc=com 中
2009-11-21 17:02:29 完成操作。
最终打开目标域(bj.project.com )雅利安公司的 “Active dircetory 用户和计算机”可以看到被成功转移过来的用户账户和组。
通过这次事件,灵灵狗同志除了掌握了用户账户的迁移方法外,又有了一个新的思路:以后域控制器物理升级的时候,也可以用ADMT(活动目录迁移工具)来将旧DC上的数据迁移到新的DC上来实现DC的升级。