已阅读5页,还剩4页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
ADMT,ACTIVEDIRECTORYMIGRATIONTOOL,用于把用户或资源从一个域迁移到另外一个域中,而不改变资源的属性,如用户密码,组结构等。下载地址HTTP/WWWMICROSOFTCOM/DOWNLOAFF85AD3D212DISPLAYLANGEN我们先大致了解下这次试验的环境和目的环境两台域服务器,两台客户端,在一个网络中。目的把一个域中的用户和组迁移到另一台域中,保证登录密码不能变,访问权限不能变。下面开始这个试验的细节步骤。请仔细阅读。1两个域,分别是SOURCOM和DISTCOM。(为了方便记忆,把原域SOURCEDOMAIN配置成SOURCOM,目标域TARGETDOMAIN配置成DISTCOM,在这里很抱歉,我把单词DESTINATION拼错成DISTINATION了,将错就错吧,希望大家能看懂J)。域控制器分别是SDCSOURCOM,SOURCEDOMAINCONTROLLER和DDCDISTCOM,DESTINATIONDOMAINCONTROLLER都安装WINDOWSSERVER2003ENTERPRISEENGLISHVERSION。在很多情况下,都是从WINDOWS2000SERVER迁移到WINDOWSSERVER2003,不过这两种环境下的操作没有太多的不同。两台CLIENT,都安装XPSP2ENGLISH以后我们将配置成SPCSOURCOM和DPCDISTCOM。看列表吧SDCSOURCOMDDCDISTCOMSPCSOURCOMDPCDISTCOMIP192168104/24192168105/241921681021/241921681022/24ADMINPASSWORDGOODLUCKPYGOODLUCKPYNULLNULLDNS172001172001192168104192168105注意DC的密码最后有个点,这样才能达到密码复杂度的要求。PC没有设置密码。安装AD的时候,连同DNS一起安装2在系统安装基本完成后添加一些OU,USER,GROUP。列表SDCSOURCOMDDCDISTCOMOUSOUDOUUSERSUSER1,SUSER2,SUSER3DUSER1SECURITYGROUPSGPUSER密码统统设置成TEST1234最后有点并把这三个SUSER统统加入SGP这个组中,设置相应的属性如图在这里,我要说明这两个MMC,SOURCOM的MMC集成了五个SNAPINS分别是ADDT,ADUC,ADSI,DNS,SERVICES。DISTCOM的MMC集成了ADDT,ADUC,ADSI,DNS。添加这些是为了方便后来的操作。3把两台PC分别加入域,并且用各自域的管理员登入。在SPCSOURCOM中新建文件夹SGP并在其中新建SGPTXT,赋予SGP组FULLCONTROL,再新建文件夹SUSERX,并在其中新建SUSERXTXT,赋予SUSER1,SUSER2,SUSER3FULLCONTROL。如图用SUSER1登录SPC,在SGPTXT中写入IAMSUSER1,AMEMBEROFSGP,IMODIFIEDITFIRSTTIME在SUSERXTXT中写入IAMSUSER1,IMODIFIEDITFIRSTTIME。保存同样SUSER2,在SGPTXT中写入IAMSUSER2,AMEMBEROFSGP,IMODIFIEDITFIRSTTIME在SUSERXTXT中写入IAMSUSER2,IMODIFIEDITFIRSTTIME。保存4配置SDC和DDC的DNS,设置条件转发。如图这一步在接下来的信任域中是很有用的。5在两台DC中插入WINDOWSSERVER2003系统盘,安装SUPPORTTOOLSSUPTOOLSMSI,这其中有接下来需要的程序命令NETDOM。这个命令用于配置域信任属性。在DDCDISTCOM中安装ACTIVEDIRECTORYMIGRATIONTOOLV30,并且默认安装MSSQLSERVERDESKTOPENGINE。(一般DC上不会安装SQL,如果安装了就使用已有SQL吧),安装完后重启电脑。好了,所有的准备工作都已经做完了,接下来就开始作迁移了。以上的准备工作都是相当重要。一定要仔细看图,认真对照。6提升两台DC的域功能,在先前建立的MMC中右击域控制器,选择RAISEDOMAINFUNCTIONALLEVEL可以提升到WINDOWS2003,但不建议提升到这个级别。其原因请在我的空间找7在DISTCOM中添加SOURCOM的信任关系。在MMC中,展开ADSTACTIVEDIRECTORYDOMAINSANDTRUSTS右击DISTCOM,选择PROPERTIES。在TRUSTSTABLE中点击NEWTRUSTNEXT输入SOUR,NEXTTWOWAY,NEXTTHISDOMAINONLY,NEXTDOMAINWIDEAUTHENTICATION,NEXT输入与管理员密码GOODLUCKPY最后有点的,NEXTNEXT从提示信息可以看到TRUST建立完成,NEXT这里询问方向,这里我们要使用双向信任知道最后完成。最后会弹出一个TIP说当启用外部信任后SID过滤就启用了。在后面的用户迁移中我们要关闭这个功能。其命令行是NETDOMTRUSTTRUSTINGDOMAINNAME/DTRUSTEDDOMAINNAME/QUARANTINENO/UODOMAINADMINISTRATORACCT/PODOMAINADMINPWD完成以上的步骤可以用一条命令,在DDCDISTCOM中,STARTRUNCMD输入NETDOMTRUSTSOUR/UOADMINISTRATOR/POGOODLUCKPY/DDIST/UDADMINISTRATOR/PDGOODLUCKPY/ADD/TWOWAY/ENABLESIDHISTORY8在做用户迁移中需要对方的ADMINISTRATOR权限,所以要把这两个域的ADMINISTRATOR用户或者DOMAINADMINS组加入到对方的ADMINISTRATORS组中,建议选择加入DOMAINADMINS组,ADMINISTRATOR也是这个组中的成员。如图9在迁移密码的时候需要生成一个数据库,PES文件,用于存放密码。在DDCDISTCOM的CMD中输入命令ADMTKEY/OPTIONCREATE/SOURCEDOMAINSOUR/KEYFILECKEYFILE/KEYPASSWORDGOODLUCKPY完成后,在C盘中就会生成KEYFILEPES这个文件,然后把这个文件复制到SDCSOURCOM的C下,可以用共享的方法。在这里我对数据库文件创建了个密码。这个密码可有可无。10现在就要开始在SDCSOURCOM中安装PES(PASSWORDEXPORTSERVER)服务了,这个服务用于域间资源迁移,在整个迁移过程中其核心作用。现在来安装PESPWDMIGMSI。这个安装文件在DDCDISTCOM中,路径是CWINDOWSADMTPES。安装ADMT后才有。在说明一点这个程序在系统光盘中也有,路径在I386ADMTPWDMIG。这个是20版本的,测试下来和30不兼容。开始安装PES,如图直至安装完成提示重新启动。如果你没有在9中设置密码,密码提示框是不会出现的。在最后这幅图中,建议选择LOGONASDISTADMINISTRATOR登陆,这样在DDC迁移过程中能直接读取SDC中数据库里的信息。重启后,PES默认是不自动启动的,这需要手动让它运行。回到MMC中展开SERVICES,右击PASSWORDEXPORTSERVERSERVICE,然后点START。现在PES才开始运行。注意,迁移完所有的资源后,关闭他,其实重启下SDC就可以了。11接下来回到DDC开始做迁移了。我先迁移SGP,先迁移组或成员,对结构关系才不会改变。在MMC中添加一个ACTIVEDIRECTORYMIGRATIONTOOL的SNAPIN。右击ADMT,点GROUPACCOUNTMIGRATIONWIZARD。NEXT源和目的不能选错。NEXTSELECTGROUPSFROMDOMAIN,NEXTADDENTERTHESGPGROUP,OK选择DOU,NEXT这里要勾选MIGRATEGROUPSIDSTOTARGETDOMAIN,这是我们的目的。NEXT下去后会弹出三个TIP,一一确定,分别是询问开启SOURCEDOMAIN的AUDITING,TARGETDOMAIN的AUDITING,和在SOURCEDOMAINDC中创建SOUR组。接下来就是输入SOURCOM的管理员用户名和密码,NEXT在OBJECTPROPERTYEXCLUDE中询问是否需要排除某些属性,默认不排除任何属性,NEXT随后的CONFLICTMANAGEMENT中询问当出现冲突的时候采取的策略,一般来说当迁移到一个新安装的DC中,是不会出现冲突的。这里按照默认的选择,NETXT到此就完成了向导,FINISH结束后,系统提示迁移完成,可以查看相应的LOG,并可以在DOU中查看结果SGP已经迁移过来了。迁移过来了是否就能同以前一样使用呢我们要测试才知道。12在此之前我们在SPCSOURCOM中用建立了两个共享文件夹,其权限参考3。在SGP组中的用户对SGP共享文件夹有完全权限。现在我们把DUSER1加入到SGP中,看看DUSER1是否能修改SGP。通过网络邻居访问SGP,发现没有足够的权限。其原因是,当建立域间外部信任的时候,SIDFILTERING会自动启用,只有关闭SIDFILTERING功能才能访问。在DDCDISTCOM中输入NETDOMTRUSTSOUR/DOMAINDIST/QUARANTINENO/USEROADMINISTRATOR/PASSWORDOGOODLUCKPY好了现在再看看,能不能访问了13现在来迁移用户同样右击,点USERACCOUNTMIGRATIONWIZARD前面设置和组迁移操作无异,当操作到这里,注意选择,选择MIGRATEPASSWORDS,迁移密码。如果选择GENERATECOMPLEXPASSWORDS,会把新的密码写入一个文件中。以后登录就是用生成的新密码,而不是原来的密码。就违背了我们当初的要求。NEXT。如果出现与PES连接不上,说明PASSWORDEXPORTSERVERSERVICE没有手动开启或正常安装。参考10确认选中MIGRATEUSERSIDSTOTARGETDOMAIN。而TARGETACCOUNTSATE和SOURCEACCOUNTDISABLINGOPTIONS需要按情况选择,建议如图。ENABLETARGETACCOUNTS如果选用此项,在SOUR中的SUSER3迁移后将会在DIST中启用。DISABLETARGETACCOUNTS从SOUR中迁移过来的用户都将禁用。TARGETSAMEASSOURCE用户的属性将不会发生变化。除了ACCOUNTOPTIONS。DISABLESOURCEACCOUNTS迁移后SOUR中的用户将禁用。DAYSUNTILSOURCEACCOUNTSEXPIRES到设定的时间后,用户将被禁用。总之根据自己的情况选择吧。迁移后就得到迁移后,用SUSER1登录到DPC,访问共享文件。能完全控制了。查看共享文件夹的属性发现,用户也更改了。
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 灾害应急处理预案
- 家庭安全方案
- 区块链麻醉药品临床应用指导原则
- 药物储存条件与药品质量-执业药师
- 贷款利率与黄金价格关系
- 高血压低血钾的鉴别与职业健康
- 货物运输设备保险合同模板
- 高血压合理用药:常见误区解析
- 2023年会计专业实训报告总结
- 垃圾焚烧发电设备相关行业投资规划报告
- 运筹学-分支定界法课件
- 发包人要求样本
- 教师师德考核表
- 预防与处理患者跌倒流程图
- 差比价计算器
- 浙江省杭州市宁波市鄞州职业中学高一数学理下学期期末试卷含解析
- 2023年山东临沂初中学业水平考试中考生物试题真题(含答案详解)
- 中考物理二轮复习考点讲解与题型练习专题16 不规则容器的液体压强(教师版)
- 立方根公开课一等奖市赛课获奖课件
- 2022-2023学年四川省乐山市峨眉重点中学高二(下)期中语文试卷-普通用卷
- 让孩子成才的秘密(家教篇)
评论
0/150
提交评论