Путем компиляции разных доков и результатов собственных наблюдений составлен этот гайд. Результат следования ему следующий: выбранные учетные записи пользователей, компьютеров и группы пользователей переносятся из исходного домена в принимающий, на локальных машинах дублируются записи о разрешениях, таким образом что сохраняются старые и дописываются новые разрешения на файлы, дублируются записи в локальных группах пользователей. Подхватываются старые локальные профили.
Миграция проводится с помощью Active Directory Migration Tool v.2.0, все сервера находятся под управлением Windows 2000 Server SP4, Native Mode.
Подготовка к миграции.
- Установить двусторонние доверительные отношения между доменами.
- Добавить перекрестно админов доменов в Builtin\Administrators
- На исходном PDC добавить в реестр ключ
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"TcpipClientSupport"=dword:00000001
(запустить TcpipClientSupport.reg)
ребутнуть - На принимающем DC инсталлировать ADMT2 (распаковать admt2.exe, запустить admigration.msi)
- Открыть mmc, добавить оснастку Active Directory Migration Tool
Миграция.
Миграция учетных записей.
(для прикрепления старых локальных юзерпрофилей пользовательные компы должны быть включены в процессе миграции параметров безопасности (Security Translation))
Правокликнуть на разделе Active Directory Migration Tool, выбрать User Account Migration Wizard, нажать Next
Создать OU в принимающем домене с именем старого домена для миграции пользователей в него.
Выбрать Test the migration settings and migrate later, для тестирования миграции, Next
Выбрать откуда (Source domain) и куда (Target domain) мигрируем, Next
Добавить мигрируемых пользователей, Next
Выбрать в какую организационную единицу в новом домене их пулять, Next
Выбрать метод переноса пасса и с какого сервера мигрировать (и Next):
Complex passwords – системой сгенерятся сложные новые пароли
Same as user name – пароли совпадут с именами учеток
Migrate password – мигрировать пароли (требуется предварительная подготовка к миграции паролей!)
Выбрать что делать с новыми учетками:
Enable target accounts – активировать
Disable target accounts – отключить
Target same as source – оставить статус исходной учетной записи
Выбрать что делать со старыми учетками:
Disable source accounts – отключить
Days until source accounts expires – задать срок через который учетка отэкспаирится
Выбрать мигрировать ли SID'ы, Next
Согласиться с созданием группы с названием домена-источника, если выбрано мигрирование SID'ов
Выбрать Update user rights, Migrate associated user groups для миграции групп в которые входят мигрируемые учетки, Update previously migrated object - для обновления а не пересоздания уже созданных в процессе миграции групп, и Fix users' group membership для привязки юзеров к их группам. Next, Next
При необходимости настроить правила по которым переименовываются одноименные уже существующие в домене учетные записи.
При успешном завершении повторить 3.1-3.9 в боевом режиме, выбрав Migrate now.
Правокликнуть на разделе Active Directory Migration Tool, выбрать Security Translation Wizard, нажать Next
Правокликнуть на разделе Active Directory Migration Tool, выбрать Computer Migration Wizard, нажать Next
Выбрать Test the migration settings and migrate later, для тестирования миграции, Next
Выбрать откуда (Source domain) и куда (Target domain) мигрируем, Next
Добавитьмигрируемые компы, Next
Выбрать в какой OUмигрируем, Next
Выставить все подряд или то что нужно, Next
Выбрать Add для дублирования параметров безопасности, Next
Выставить время до перезагрузки (фиг знает что, ставил 10 минут), Next
При необходимости настроить правила по которым переименовываются одноименные уже существующие в домене учетные записи, Next, Finish
При успешном завершении повторить 7.1-7.7 в боевом режиме.
Добавить Domain Admins нового домена в локальную группу Administrators мигрируемых компов.
Выбрать Test the migration settings and migrate later, для тестирования миграции, Next
Выбрать Previously migrated objects, Next
Выбрать откуда (Source domain) и куда (Target domain) мигрируем, Next
Выбрать компьютеры на которых нужно мигрировать настройки безопасности (additional domain trusting хрен знает надо ли устанавливать), Next
Выставить нужные (или все) галки, Next
Выбрать Add для добавления новых записей в права, без удаления старых (на случай возврата к аккаунту в старом домене), Next
Ждем пока выполнится операция, статус выставится в Completed. Close
При успешном завершении повторить 10.1-10.6 в боевом режиме.
Подготовка к миграции паролей.
[только для win2003]На принимающем DC открыть оснастку Domain Security Policy
Развернуть Local Policies и открыть Security Options
Активировать режим Network access: Let Everyone permissions apply to anonymous users
На принимающем DC открыть cmd, перейти в диру с установленным admt (по умолчанию C:\Program Files\Active Directory Migration Tool)
Создать папку c:\test\
Выполнить:
admt key netbios_имя_исходного_домена C:\test *Ввести и подтвердить пароль для ключевого файла. Сгенерированный файл ляжет в папку c:\test\.
Скопировать папку pwdmig (создается при распаковке admt2.exe) и ключевой файл на сервер экспорта паролей (чтобы папка и файл лежали в корне C:\) — любой доступный DC в исходном домене, желательно не исходный DC
На принимающем сервере выполнить:
net localgroup "Pre-Windows 2000 Compatible Access" Everyone /Add
На сервере экспорта паролей проинсталлировать сервер экспорта паролей ;), для win2000/2003 — запуском файла pwdmig.msi, указав ключевой файл и заданный при генерации пароль к нему. НЕ РЕБУТАТЬСЯ!!!
Добавить в реестр сервера экспорта паролей ключ:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"AllowPasswordExport"=dword:00000001
(импортировать файл реестра AllowPasswordExport.reg)
перезагрузить сервер.Все готово к миграции паролей.
Комментариев нет:
Отправить комментарий