使用ADMT和pwdmig实现window AD账户跨域迁移系列:
声明:
本教程适用于Windows Server 2012 及以上版本的服务器使用。
介绍篇
ADMT(Active Directory迁移工具)是一个免费的Microsoft工具,它允许在两个Active Directory域之间迁移对象(用户,计算机和组)。
使用ADMT的一些示例:(首发站:bigyoung.cn)
- 企业合并以合并Active Directory。
- 企业拆分以将Active Directory对象传输到新实体。
- 删除子域
先决条件
- 最低版本为2008的SQL Server专用于ADMT的服务器。
- 必须在两个域之间。
- 使用两个域的BUILTIN\Administrators组中的用户帐户。
- 要迁移计算机,目标域迁移用户帐户也必须是工作站的本地管理员。
将在两个域之间完成的第一次对象迁移期间配置迁移帐户。(首发:bigyoung.cn)在本教程中,我使用了目标域的管理员帐户。如果要将帐户专用于ADMT,则ADMT必须是目标域的Domain Admins组的成员和源域的BUILT\Administrators组的成员。
下载必要的工具:
ADMT安装
启动先前下载的可执行文件1。
启动安装向导时,单击“下一步1”。
接受许可的人,勾选1处的“我同意”1,再确认2.(首发:bigyoung.cn)
选择适合您向MS 1发送信息的选项,然后单击“下一步2”。
输入SQL Server实例信息1,然后单击Next 2。
在安装过程中等待…
选择否,不从现有数据库导入数据1,(首发:bigyoung.cn)然后单击下一步2。
The installation is complete, close the wizard by clicking on Finish 1 .
PES的安装
为了在两个目录林之间迁移密码,我们将需要配置和安装PES。
在安装了ADMT的服务器上,(首发:bigyoung.cn)创建一个共享文件夹,我们将在其中放置密码的加密密钥。
在管理员中打开命令提示符,然后输入以下命令,以适应您的具体情况:
admt key /option:create /sourcedomain:old.lan /keyfile:D:\Passwords\migpwd.pes /keypassword:password检查输出文件夹中是否存在migpwd.pes。
在源域控制器(old.lan)上运行pwdmig文件,启动安装向导,单击“下一步1”。
接受许可证1,然后单击“下一步2”。
指示加密密钥的位置 1个 然后单击下一步 2。
输入密码 1个 然后(首发:bigyoung.cn)单击确定 2。
点击安装 1个。
使用本地系统帐户配置服务 1个 然后单击确定 2。
安装完成,单击完成关闭向导 1个。
PES要求重启,单击“是” 1个。
重新启动后,找到并启动“密码导出服务器服务”服务。
解决安装过程中的错误
密码验证可能失败,并显示以下消息:
提供的密码与该加密密钥的密码不匹配(首发:bigyoung.cn)。
没有有效的加密密钥,将无法安装ADMT的密码迁移过滤器DLL。
关闭安装向导,在Administrator中打开命令窗口,然后输入以下命令以根据pwdmig.msi文件的位置进行调整:
msiexec -i C:\Apps\pwdmig.msi对象迁移:准备
现在已经安装了ADMT和PES,建议首先创建一个将接收源域对象的OU。
在接下来的页面中,我们将看到以下对象的迁移:
- 团体
- 用户数
- 电脑。
为了确保迁移顺利进行,我建议您在创建测试组和用户并在生产对象之前测试计算机迁移之前。
还必须在域更改的用户级别提供通信,(首发:bigyoung.cn)请注意用户登录到新域。
在第一次对象迁移期间,将提示您配置源和目标域上的SID迁移审核,以便迁移的对象可以访问未迁移的资源。
ADMT:迁移组
在ADMT控制台中,右键单击“ Active Directory迁移工具1”,然后单击“组帐户迁移向导2”以启动该向导。
启动向导时,单击“下一步1”。
选择域1和域控制器2的源,然后对目标域3和控制器4进行相同的操作,然后单击“下一步5”。
选择“从域1选择组” 选项,然后单击“下一步2”。
单击添加1。
选择要迁移的组1,然后单击确定2。
选定的组,单击下一步1(首发:bigyoung.cn)。
单击浏览器1,然后选择目标或2,然后单击确定3。
配置OU 1,单击“下一步2”。
选择迁移选项,选中将组SID迁移到目标域1,然后单击下一步2。
出现警告消息,(首发:bigyoung.cn)指示未配置审核,这对于SID迁移是必需的,请对3条消息单击Yes 1。
输入源域的管理员帐户的标识符1和密码2,然后单击“下一步3”。
可以在此页面上选择要迁移的属性,默认情况下,它们都已迁移到目标域。单击下一步1。
发生冲突时的ADMT行为配置,默认情况下,如果检测到冲突,则不迁移对象。单击下一步1。
摘要显示将执行的操作,单击“完成1”开始迁移。
将打开一个窗口,可让您跟踪迁移。完成后,可以查看日志。如果迁移顺利,请单击“关闭1”。
日志示例:
在目标域控制器上(首发:bigyoung.cn),检查OU中是否存在组1。还要检查是否存在属性sIDHistory 2,并包括源域的SID。
ADMT:迁移用户
现在我们已经了解了如何迁移组,我们将迁移用户,该过程类似于组。
为了向您展示ADMT的功能,我们正在迁移的用户是先前迁移的组的成员,在用户迁移之后,该用户将是之前迁移的组的成员。
在ADMT控制台中,右键单击Active Directory迁移工具1,然后单击“用户帐户迁移向导” 2。
启动迁移向导时,单击“下一步1”。
如何进行组迁移,配置域以及源和目标控制器1,然后单击“下一步2”。
选择从域1选择用户,然后单击下一步2。
选择要迁移的用户1,然后单击下一步2。
设置目标OU 1,然后单击“下一步2”。
选择选项“迁移密码1”,指示源域控制器2,然后单击“下一步3”。
在源域和目标域上进行迁移后,配置帐户1的状态,选中将用户SID迁移到目标域2框,然后单击下一步3。
对于SID迁移,请输入源域1中的Administrator帐户的凭据,然后单击Next 2。
配置迁移选项1,然后单击“下一步2”。
如有必要,将属性配置为排除,然后单击“下一步1”。
配置冲突管理,然后单击“下一步1”。
显示迁移设置的摘要,单击“完成1”以关闭向导并开始迁移。
迁移完成后,关闭1迁移窗口。
在目标域控制器上,我们看到用户已成功迁移。
在帐户属性中,密码更改框已激活,这意味着用户必须在下次登录时更改其密码。
在“成员”选项卡中,我们还看到该用户是先前迁移的组的成员。
ADMT:计算机迁移
ADMT还允许迁移计算机对象,始终可以将计算机移出旧域,然后将其加入新域。如果可以进行计算机迁移,它将带来更多信息:
- 小组追踪
- 处理用户配置文件,避免了重做用户配置文件。
在此部分中,用于迁移组和用户的相同向导窗口将被更快地移动。
提醒一下,配置用于迁移的目标域帐户必须是该扩展名的本地管理员。
在ADMT控制台上,右键单击“ Active Directory迁移工具1”,然后单击“计算机迁移向导2”。
单击下一步1。
配置源和目标,然后单击下一步1。(首发:bigyoung.cn)
在计算机选择选项上单击“下一步1 ”。
选择要迁移的计算机1,然后单击“下一步2”。
通过单击“下一步1”来验证目标OU 。
选择要在新域1中传输的对象,然后单击“下一步2”。
配置对象传输1,然后单击“下一步2”。(首发:bigyoung.cn)
在迁移期间,计算机将重新启动,设置1延迟,然后单击Next 2。
在随后的两个窗口中,单击“下一步1”。
单击“完成1”(首发:bigyoung.cn)以关闭向导,开始迁移。
将打开一个窗口来控制迁移代理,选择“计算机1”,然后单击“启动2”。
测试通过验证后,选择“运行预检查和代理操作1”,然后单击“开始2”。
迁移期间等待中…您可以通过单击代理详细信息1来详细跟踪迁移。
迁移完成后,我们看到计算机正在等待重新启动。
在计算机上,一条消息指示它将重新启动。
在目标域上,我们看到该计算机存在于迁移OU中。
重新定义帖子后,我们可以看到它已更改域。
在代理跟踪窗口上,我们还看到迁移已完成。
ADMT:报告生成
ADMT提供报告生成以跟踪迁移的项目。在控制台中,右键单击“ Active Directory迁移工具1”,然后单击“报告向导2”。
启动向导时(首发:bigyoung.cn),单击“下一步1”。
选择用于报告生成的源域和目标域,然后单击“下一步1”。
选择报告的位置,然后单击“下一步1”(首发:bigyoung.cn)。
选择要生成的报告1,然后单击“下一步2”。
单击完成1开始生成报告。
通过单击“报告1”可从控制台访问它们。
样本报告:
结论:
ADMT是用于多个域共存的环境的便捷工具,例如,在分配发生更改的情况下,多个域可以合并域或将对象从(首发:bigyoung.cn)一个域移动到另一个域。
就个人而言,我还使用ADMT将已损坏的林的对象迁移到新的林,这使我不必手动重新创建所有对象(组,计算机和用户)。
