ADMT指南迁移和重构ActiveDirectory域.doc

指南：迁移和重构 域发布时间： 年 月作者： 编辑： 、 摘要本指南说明如何使用 () 迁移工具版本 ( ) 或 在不同林中的 域之间迁移用户、组、受管理服务帐户和计算机（林间迁移）或在同一个林中的 域之间迁移用户、组、受管理服务帐户和计算机（林内迁移）。还显示了如何使用 在不同的 林之间执行安全性转换。198 / 198本文档中的信息（包括引用的 和其他 网站）可能变动，恕不另行通知。除非另行说明，本文档示例中涉及的公司、组织、产品、域名、电子邮件地址、徽标、人物、地点和事件均属虚构，与任何真实的公司、组织、产品、域名、电子邮件地址、徽标、人物、地点或事件无关。如有雷同，纯属巧合。遵守所有适用的版权法是用户的责任。在不限制版权许可权限的前提下，未经 的明确书面许可，本文档的任何部分不可被复制、存储或引进检索系统，或者以任何形式、任何方式（电子、机械、复印、录音等）或为任何目的进行传播。本文档可能涉及 的专利、正在申请的专利、商标、版权或其他知识产权。除非得到 的明确书面许可协议，本文档不授予使用这些专利、商标、版权或其他知识产权的任何许可证。 。保留所有权利。 、 和 是 在美国和或其他国家或地区的注册商标或商标。本文档所提及的实际公司和产品的名称可能是各自所有者的商标。目录 指南：迁移和重构 域林间 域重构林内 域重构术语和定义 迁移工具使用包含文件 字段 字段、 和 字段重命名对象使用排除文件使用脚本 迁移工具版本和支持的环境支持 功能 迁移的最佳实践使用 迁移工具的最佳操作执行用户和组帐户迁移的最佳操作执行计算机迁移的最佳操作回滚迁移的最佳操作林间 域重构清单：执行林间迁移在林间重构 域概述在林间重构 域的过程在林间重构 域的背景信息帐户迁移过程资源迁移过程计划在林间重构 域确定帐户迁移过程使用 历史保留对资源的访问权限迁移用户帐户时使用 筛选分配对象位置和角色制定迁移的测试计划创建回滚计划管理用户、组和用户配置文件管理用户帐户系统总是排除的属性系统属性排除列表属性排除列表管理全局组规划用户配置文件迁移准备迁移运行 和 的计算机上的漫游配置文件创建最终用户通信计划常规信息影响迁移期间的登录状态迁移前步骤预期更改计划与支持信息准备源域和目标域安装 位高度加密软件建立迁移所需要的信任为迁移建立迁移帐户为 历史迁移配置源域和目标域为管理配置目标域 结构在目标域中安装 安装 安装 的先决条件使用默认数据库存储安装 安装 安装 的先决条件安装 将现有数据库文件从以前版本的 和 中分离出来使用 重新配置数据库安装重复使用以前安装的现有 数据库启用密码迁移通过运行测试迁移初始化 为迁移标识服务帐户标识服务帐户迁移帐户转换迁移中的服务帐户迁移全局组使用 历史记录时迁移帐户迁移受管理服务帐户迁移所有用户帐户分批重新迁移用户帐户和分批迁移工作站转换本地用户配置文件分批迁移工作站分批重新迁移用户帐户在迁移用户帐户后重新迁移所有全局组迁移所有批之后重新迁移所有全局组不使用 历史迁移帐户迁移受管理服务帐户迁移所有用户帐户在添加模式下转换安全性分批重新迁移用户帐户和分批迁移工作站转换本地用户配置文件分批迁移工作站分批重新迁移用户帐户在迁移用户帐户后重新迁移所有全局组在迁移所有批次后重新迁移所有全局组在删除模式下转换安全性迁移资源迁移工作站和成员服务器迁移域本地组和共享本地组迁移域控制器完成迁移转换成员服务器的安全性停止使用源域林内 域重构清单：执行林内迁移重构林内 域的概述使用 重构林内 域在林中重构 域的背景信息封闭集和开放集用户和组资源和本地组 历史向组分配资源访问权限准备在林中重构 域评估新的 林结构标识源域标识并评估目标域的 结构分配域对象角色和位置组迁移计划测试迁移计划创建回滚计划创建最终用户通信计划常规信息影响迁移期间的登录状态迁移前步骤预期更改计划与支持信息创建迁移帐户组在目标域中安装 安装 安装 的先决条件使用默认数据库存储安装 安装 安装 的先决条件安装 将现有数据库文件从以前版本的 和 中分离出来使用 重新配置数据库安装重复使用以前安装的现有 数据库服务帐户转换计划示例：准备重构 域在 域之间迁移域对象迁移组迁移通用组迁移全局组迁移服务帐户迁移受管理服务帐户迁移用户帐户迁移 和 的子树迁移帐户转换本地用户配置文件迁移工作站和成员服务器迁移域本地组示例：重构 域完成迁移后任务检查迁移日志是否有错误访问 日志文件验证组类型在成员服务器上转换安全性使用 映射文件转换安全性停止使用源域示例：完成迁移后任务附录：高级过程配置首选域控制器在迁移期间重命名对象使用包含文件指定包含文件使用选项文件 疑难解答 安装问题疑难解答用户迁移问题疑难解答组迁移问题疑难解答服务帐户迁移问题疑难解答受管理服务帐户迁移问题疑难解答计算机迁移问题疑难解答密码迁移问题疑难解答安全性转换问题疑难解答林内迁移问题疑难解答 日志文件问题疑难解答 命令行问题疑难解答代理操作疑难解答其他资源相关信息相关工具相关作业帮助 指南：迁移和重构 域适用对象： 迁移工具 ( ) 和 要获得可下载版本的本指南（ 格式），请参阅 指南：迁移和重构 域 ()（可能为英文网页）。作为部署 () 目录服务或 域服务 () 的一部分，您可能会出于以下原因选择重构环境：优化逻辑 结构内的元素排列协助完成企业合并、收购或资产剥离重构涉及在同一个林或不同林中的 域之间迁移资源。部署 或 后，可以通过在林之间重构域或在单个林内重构域来确定是否可降低环境的复杂性。您可以使用 迁移工具 () 根据需要执行对象迁移和安全性转换，这样用户可以在迁移过程中维护对网络资源的访问。有关可用的 不同版本、何时使用哪个版本及如何获取它们的详细信息，请参阅 迁移工具版本和支持的环境。本指南的内容 迁移的最佳实践林间 域重构林内 域重构附录：高级过程 疑难解答其他资源以下各部分介绍了使用 的一些主要迁移方案。在确定适合您环境的合适方案后，请遵循本指南后面的有关该方案的步骤。林间 域重构您可以为企业更改（如合并、收购或资产剥离）而执行林间重构，在此过程中您的组织必须组合或划分资源。作为重构过程的一部分，在林之间迁移对象时，源域环境和目标域环境同时存在。这样，您就可以在迁移期间回滚到源环境（如有必要）。不支持分割或克隆林，例如，调节组织的资产剥离。有关详细信息，请参阅“重构限制” ()。重要事项 如果您使用的是 ，则所有目标域必须都至少处于 本机功能级别。如果您使用的是 ，则所有源和目标域必须都至少处于 功能级别。林内 域重构在林中重构域时，可以合并域结构并降低管理复杂性和开销。与在林间重构域的过程不同，在林内重构域时，迁移的帐户不再存在于源域中。因此，只有在按照反向顺序从先前的目标域到先前的源域再次执行迁移过程时才会发生迁移回滚。重要事项 如果您使用的是 ，则所有目标域必须都至少处于 本机功能级别。如果您使用的是 ，则所有源和目标域必须都至少处于 功能级别。下表列出了林间域重构与林内域重构之间的差异。迁移注意事项林间重构林内重构对象保留对象将被克隆，而不是被迁移。原始对象保留在源位置，以维护对用户资源的访问。用户和组对象将被迁移且不再存在于源位置。计算机和受管理服务帐户对象将被复制，而原始帐户在源域中仍保持启用状态。安全标识符 () 历史记录维护维护 历史记录是可选的。用户、组和计算机帐户需要 历史记录，但受管理服务帐户不需要。密码保留密码保留是可选的。密码始终被保留。本地配置文件迁移您必须使用诸如 这样的工具才能迁移本地配置文件。本地配置文件将自动迁移，因为保留了用户的全局唯一标识符 ()。关闭的集您不必迁移关闭集中的帐户。有关详细信息，请参阅“在林内重构 域的背景信息” ()。必须迁移关闭集中的帐户。术语和定义以下术语适用于 域重构过程。迁移将对象从源域移动或复制到目标域的过程，同时保留或修改该对象的特性以便可以在新域中访问该对象。域重构一个迁移过程，该过程包括更改林的域结构。域重构可以包括合并或添加域，并且会发生在林间或林内。迁移对象在迁移过程中从源域移动到目标域的域对象。迁移对象可以是用户帐户、服务帐户、组或计算机。源域在迁移过程中从中移动对象的域。在林之间重构 域时，源域为与目标域中的林不同的林中的 域。目标域在迁移过程中将对象移动到其中的域。内置帐户具有共同的权利和权限集的默认安全组。可使用内置帐户向指定为这些组的成员的任何帐户或组授予权限。每个域中的内置帐户 都相同。因此，内置帐户不能是迁移对象。 迁移工具可以使用 在 林中迁移对象。此工具包括自动执行迁移任务的向导，如迁移用户、组、服务帐户、计算机，以及信任和执行安全性转换。您可以使用 控制台、命令行或脚本来执行 任务。在命令行运行 时，使用选项文件指定命令行选项通常更有效。您可以在以下示例中使用 选项文件参考来帮助您创建选项文件。系统会为您在林内重构域所必须执行的每一项任务提供命令行语法示例。以下列表显示适用于多项迁移任务的常用选项。每种类型的迁移任务都有一部分用于列出特定于该任务的选项。部分名称对应于在命令行运行 时的相应任务名称。您可以注释掉含有分号的项目。在以下列表中，默认值将被注释掉。 在命令行运行 时，如果要接受默认值，则不必在命令中包括选项。但是，在本指南中，提供了列出可能参数和值的表供参考。这些表列出了在对应 控制台过程中显示的每个选项的命令行等效内容，包括接受其默认值的那些选项。您可以将选项文件参考复制到“记事本”中，并使用 文件扩展名来保存该参考。例如，要迁移少量计算机，可以使用 选项在命令行键入每台计算机的名称，然后按照以下方式在选项文件内列出其他迁移选项： :其中， 和 为源域中在此批中迁移的计算机的名称。使用包含文件迁移大量用户、组或计算机时，使用包含文件会更有效。包含文件是一个文本文件，其中列有要迁移的用户、组和计算机对象，每个对象位于单独的一行。如果要在迁移期间重命名对象，则必须使用包含文件。可以在一个文件中一起列出用户、组和计算机，也可以为每种对象类型创建单独的文件。然后，使用 选项指定包含文件名，如下所示： :” : :若要指定用户、组或计算机的名称，请使用以下约定之一：安全帐户管理器 () 帐户名。若要采用此格式指定计算机名称，必须将美元符号 ($) 附加到计算机名称中。例如，若要指定名称为 的计算机，请使用 $。相对可分辨名称（也称为 ），例如 。如果将帐户指定为相对可分辨名称，则必须指定源组织单元 ()。规范名称。可以将规范名称指定为 或 ，例如 或 。以下各部分介绍了包含文件的字段并为每个字段提供了示例： 字段 字段指定源对象的名称。您可以指定一个帐户名称或一个相对可分辨名称。如果仅指定源名称，则可以选择在文件的第一行定义一个标题。以下示例说明用于指定 字段的标题行。该示例还显示了采用多种格式指定的源对象名称。第二行指定帐户名称。第三行指定相对可分辨名称。 字段您可以使用 字段来指定用于生成目标相对可分辨名称、目标 帐户名称和目标用户主体名称 () 的基础名称。 字段无法与本部分后面介绍的其他目标名称字段组合在一起。备注 系统仅为用户对象生成目标 ，且仅生成 前缀。 后缀是使用某种算法来附加的，该算法取决于为目标 还是目标林定义 后缀。如果对象是计算机，则目标 帐户名称包含 $ 后缀。以下输入示例生成的目标相对可分辨名称、目标 帐户名称和目标 分别为“”、“”和“”。, 、 和 字段您可以使用 、 和 字段独立于彼此指定不同的目标名称。您可以按任意顺序指定这些字段的任意组合。 指定对象的目标相对可分辨名称。 指定对象的目标 帐户名称。对于计算机，名称必须包括“$”后缀才能成为某台计算机的有效 帐户名称。 指定对象的目标 。可以仅指定 前缀，也可以指定完整的 名称 ()。如果指定的名称包含空格或逗号，则必须用双引号 ( ) 括住名称。, , , , , , , 备注 值中的逗号前面必须有转义符 ()，否则操作将失败，且 将在日志文件中记录无效语法错误。, , , 重命名对象在迁移期间使用以下格式在包含文件中重命名计算机、用户或组对象：在包含文件的顶部，将 、 和 用作列标题。 是源帐户的名称，且必须作为第一个列标题列出。、 和 列标题均为可选项，可以按任意顺序列出。必须将帐户名称指定为用户名、相对可分辨名称或规范名称。如果将帐户名称指定为相对可分辨名称，则还必须指定源 。下面是有效包含文件的示例，其中使用了重命名选项：此包含文件条目将用户“”的 帐户名称更改为“”。 和 （未在此包含文件中指定）因迁移而不发生更改。该包含文件项将用户 的 更改为 ，并将 更改为 。用户 的 不会因为迁移而发生更改。重要事项 在使用 值之前，必须指定 。使用排除文件您可以使用排除文件从迁移中排除对象。排除文件是一个文本文件，其中列出了您要排除的对象的 属性。例如，要排除以下受管理服务帐户，请创建一个文本文件：$然后，在运行 命令时指定排除文件的名称。例如： :” ”（可选）您可以使用 参数排除特定帐户： :” ” “ ”使用脚本本指南中提供的示例脚本引用在名为 文件中定义的符号常量。以下列表显示 常量 () () 文件。这些常量还在 安装文件夹的 文件（位于 目录中）中提供。若要使用本指南中的示例脚本，请将 常量 文件复制到“记事本”中并将其另存为 。请务必将其保存在计划保存本指南中提供的示例脚本的同一文件夹中。 . . 迁移工具版本和支持的环境本主题介绍可用的 迁移工具 () 的不同版本。提供每个版本的下载链接，并介绍安装要求、可在其中使用的支持环境，以及如何与 中的某些 功能一起工作。 版本安装平台源域要求目标域要求支持的计算机迁移对象 () 源域可包含运行 、 或 的域控制器。无最低域功能级别要求。最低目标域功能级别是 本机。迁移运行 、 、 、 和 的计算机。 () 源域可包含运行 、 或 的域控制器。源域无最低域功能级别要求，但 不可用于迁移 域中的对象。最低目标域功能级别是 本机。如果目标域具有运行 的域控制器，请使用 。备注 在使用 将对象迁移到拥有 域控制器的域中时存在一些已知问题。有关详细信息，请参阅 知识库文章 ()。迁移运行 、 、 、 、 和 的计算机。 () 最低源域功能级别是 。最低目标域功能级别是 。迁移运行 、 、 、 和 的计算机。支持 功能在只读域控制器 () 或服务器核心安装上不可安装任何 版本。 不可用作迁移的源或目标域控制器。此外， 还对 中的 新功能提供以下支持。功能使用 的影响受管理服务帐户可通过使用“受管理服务帐户迁移向导”或 命令进行迁移。身份验证机制保证为身份验证机制保证启用的用户帐户需要使用包含文件进行迁移重要事项 在迁移用户时用户主体名 () 发生更改，这会使身份验证机制保证无法工作。要解决此问题，您需要保留为身份验证机制保证启用的用户帐户 的记录，并使用包含文件将其迁移。在包含文件中，您可以为这些要迁移的用户指定 。这样即可使用来自源域的原始 覆盖该目标域中的 。有关使用包含文件的详细信息，请参阅使用包含文件。脱机域加入无影响 回收站无影响 未并入 中 迁移的最佳实践适用对象： 迁移工具 ( ) 和 为确保迁移过程尽可能顺利进行，建议使用下列最佳操作：使用 迁移工具的最佳操作执行用户和组帐户迁移的最佳操作执行计算机迁移的最佳操作回滚迁移的最佳操作使用 迁移工具的最佳操作适用对象： 迁移工具 ( ) 和 在整个迁移过程中对源域和目标域的域控制器执行定期备份。如果要迁移包含文件共享的计算机以执行安全性转换，则我们建议在迁移过程中同时备份这些计算机。在开始迁移前执行测试迁移，具体做法是：创建测试用户，将测试用户添加到适当的全局组，然后在迁移前后验证资源访问权限。在生产环境中迁移对象前，先在测试环境中测试迁移方案。制定恢复计划，并确保恢复计划在迁移的测试阶段可以正常工作。解密通过加密文件系统 () 的方法加密的文件。解密加密文件失败将导致在迁移后丢失对加密文件的访问权限。确保与最终用户进行沟通，告知他们必须解密所有加密文件，否则他们将丢失对这些文件的访问权限。确保在从中迁移对象的每个域中同步系统时间。如果时间不一致，则 身份验证将失败。 执行用户和组帐户迁移的最佳操作适用对象： 迁移工具 ( ) 和 在整个迁移过程中对源域和目标域的域控制器执行定期备份。如果要迁移包含文件共享的计算机以执行安全性转换，则我们建议在迁移过程中同时备份这些计算机。建议批量迁移用户。单批大小为 个用户有助于顺利管理迁移过程。在迁移过程中应始终管理对源域中用户帐户和组帐户的更改。在整个迁移过程中，根据需要经常使用用户帐户迁移向导和组帐户迁移向导的“冲突管理”页上的“迁移并合并冲突的对象”选项重新迁移用户和组。在迁移过程中管理源域中的更改，然后使用“迁移并合并冲突的对象”选项，可以确保对源域中的对象所作的所有更改在对象迁移到目标域之后都能够反映出来。若要保持对资源的访问，请确保组成员身份遵循以下指导原则：使用全局组组合用户。使用本地组保护资源。将全局组置于本地组中，以授予全局组中的成员访问资源的权限。在转换用户配置文件时遵循下表中的指导原则。配置文件类型转换指导原则漫游配置文件选择用户帐户迁移向导中“用户选项”页上的“转换漫游配置文件”选项。然后，在迁移一批用户后立即转换这些用户的本地用户配置文件。本地配置文件作为用户帐户迁移过程中单独的一步转换本地配置文件。选择安全迁移向导的“转换对象”页上的“使用配置文件”选项。在迁移一批用户之后立即转换这些用户的本地用户配置文件。非管理的配置文件迁移用户帐户后，用户将丢失现有的配置文件。重要事项 在用户尝试登录到目标域之前验证本地配置文件转换是否成功非常重要。如果用户使用新目标帐户登录到目标域，并且其配置文件没有成功转换，则必须从源域到目标域重新迁移这些用户。有关在本地配置文件转换失败时要遵循的步骤的详细信息，请参阅安全性转换问题疑难解答。执行计算机迁移的最佳操作适用对象： 迁移工具 ( ) 和 在整个迁移过程中对源域和目标域的域控制器执行定期备份。如果迁移包含文件共享的计算机以执行安全性转换，建议您在整个迁移过程中同时备份这些计算机。验证工作站和成员服务器在将其加入目标域后已立即重新启动。 迁移工具 () 将自动重新启动工作站和成员服务器，但要使用计算机迁移向导中的“向导完成后重新启动计算机之前的时间(分钟)”选项选择在计算机重新启动之前经过的时间。在迁移之后不重新启动的计算机处于不确定状态中。与下列最终用户通信：在其计算机计划要迁移时其计算机必须连接到网络的最终用户。 回滚迁移的最佳操作适用对象： 迁移工具 ( ) 和 通过以下步骤回滚已在林间迁移的用户和组帐户：在源域中启用帐户（如果这些帐户在迁移过程中被禁用），验证帐户是否具有访问源域中资源的权限，然后验证登录脚本和用户配置文件是否按源域中的配置工作。通过更改服务器和工作站的域成员身份，然后重新启动它们来回滚已在林间迁移的资源。登录到源域中的资源以确保可以访问这些资源。通过将对象从目标域迁移回源域来回滚已在林内迁移的帐户和资源。在林内迁移帐户和资源的方式是移动而不是复制。因此，它们不会继续存在于源域中。备注 为了确保成功回滚林内迁移，请不要尝试删除目标域中的对象，然后将它们还原到源域中。您将无法恢复源域中的对象，因为尝试还原时，跨域移动代理会自动删除这些对象。备注 在使用 执行林间迁移时，如果源域的功能级别为 混合模式，您不能将对象从目标域迁移回到源域来撤销迁移更改。重新迁移要求源域变成目标域，且使用 ，目标域的功能级别必须至少为 本机模式。林间 域重构适用对象： 迁移工具 ( ) 和 在林之间重构 域包括将一个林中源域的对象重新定位到另一个林中的目标域。您可能必须在林之间重构 域以执行以下操作：将实验域迁移到生产环境中。由于公司合并以及整合两个信息技术 () 基础结构的需要而将用户和资源与其他组织合并在一起。由于规划的多林部署定期重新定位用户和资源。由于资产剥离到其他组织或以后合并到该组织的新林或现有林而从林中删除对象。本节内容清单：执行林间迁移在林间重构 域概述重构限制计划在林间重构 域准备源域和目标域迁移帐户迁移资源完成迁移清单：执行林间迁移适用对象： 迁移工具 ( ) 和 在林之间迁移 域（林间迁移）包括将一个林中源域的对象重新定位到另一个林中的目标域。可能因为以下原因必须在林间重构 域：将实验域迁移到生产环境将您的 林与另一个组织的林合并，整合两种信息技术 () 基础结构任务参考查看 迁移工具 () 预安装说明。在目标域中安装 若要将运行 、 、（不带 ）、 和 的计算机（使用 ）迁移到含有运行 或 的域控制器的目标域中，请先在目标域控制器上设置以下注册表项：备注 无需设置此注册表项来迁移运行 、 或 的计算机。注册表路径：注册表值：类型：数据：备注 此注册表设置与组策略中的允许与 兼容的加密算法设置相对应。有关使用组策略进行此更改的详细信息，请参阅“安装和删除 的已知问题”()。对于使用代理部署且使用 防火墙的任何迁移任务，启用“文件和打印机共享”例外。这可能包括以下情况下的迁移：迁移运行 、 、 、 或 的工作站计算机和成员服务器。迁移安全设置或执行安全性转换有关在 防火墙中进行此更改的详细信息，请参阅“启用或禁用文件和打印机共享例外”()。准备在林中重构 域。该任务具有以下子任务：确定帐户迁移过程。分配对象角色和位置。制定迁移的测试计划。创建回滚计划。管理用户、组和用户配置文件。创建用户通信计划。在目标域中安装 计划在林间重构 域准备源域和目标域。该任务具有以下子任务：安装 位加密软件。建立迁移需要的信任。为迁移建立迁移帐户。为安全标识符 () 历史记录迁移配置源域和目标域。配置目标域组织单位 () 结构。在目标域中安装 。为迁移指定服务帐户。在目标域中安装 计划在林间重构 域使用服务帐户迁移向导或 命令行工具指定和转换服务帐户。可以使用 命令行工具指定源域中的服务帐户。可以使用 命令行工具转换指定的服务帐户。转换迁移中的服务帐户使用组帐户迁移向导或 命令行工具迁移全局组。迁移全局组使用受管理服务帐户、用户帐户和工作站帐户的 历史记录分批对其进行迁移。可以使用用户帐户迁移向导或 命令行工具迁移用户帐户。可以使用受管理服务帐户迁移向导或 命令行工具迁移受管理服务帐户。使用 历史记录时迁移帐户迁移受管理服务帐户迁移所有用户帐户迁移资源，如成员服务器和域本地组。可以使用计算机帐户迁移向导或 命令行工具迁移计算机帐户。可以使用组帐户迁移向导或 命令行工具迁移组。分批重新迁移用户帐户和分批迁移工作站转换服务器上的安全性，将目标域中用户帐户和组帐户的 添加到资源的访问控制列表 ()。可以使用安全性转换向导或 命令行工具。在添加模式下转换安全性重复用户帐户、工作站计算机和成员服务器的迁移，包括将本地用户配置文件转换到之前迁移的用户和计算机对象。分批重新迁移用户帐户和分批迁移工作站使用组帐户迁移向导或 命令行工具迁移域本地组。迁移域本地组和共享本地组迁移域控制器。迁移域控制器完成迁移后任务。该任务具有以下子任务：在成员服务器上转换安全性。停止使用源域。转换成员服务器的安全性停止使用源域在林间重构 域概述适用对象： 迁移工具 ( ) 和 在林间重构域可以减少组织中域的数量，这有助于减少管理复杂性和相关的 环境的运营成本。重构域涉及将帐户和资源从源域复制到一个不同的 林中的目标域。如果您使用的是 迁移工具版本 ()，则目标域必须至少处于 本机功能级别。如果您使用的是 版本 ，则源域和目标域都必须至少处于 功能级别。如果您的组织最近与另一组织或信息技术 () 基础结构合并，则可以通过重构域来整合两个基础结构之间的帐户和资源。本节内容在林间重构 域的过程在林间重构 域的背景信息在林间重构 域的过程适用对象： 迁移工具 ( ) 和 在林间重构 域包括计划和准备组织的域重构。还涉及将帐户和资源成功迁移到其他林中的 域。下图显示了在林间重构 域的过程。 在林间重构 域的背景信息适用对象： 迁移工具 ( ) 和 林之间的迁移过程不被视为有破坏性，因为迁移对象将继续存在于源域中，直到源域停止使用为止。由于源域环境和目标域环境在迁移期间同时存在，因此，如果迁移因任何原因（例如，如果特定对象没有迁移，或执行迁移后访问未被维护或保留在目标域中）失败，您可以选择回滚到源环境。您可以使用 迁移工具 () 在保留用户权限和对象权限时在域之间迁移帐户和资源。在执行林间重构的过程中，用户可以继续访问所需的资源。而且，您还可以独立于彼此移动用户、组和资源。本主题的剩余部分介绍了帐户和资源的迁移过程。帐户迁移过程在 林之间重构帐户包括将用户、组和本地配置文件从源域复制到目标域，同时保留这些对象的访问权限和属性。在不同林中的 域之间迁移用户帐户时，原始帐户仍保留在源域中，且将在目标域中创建新帐户。由于安全主体（用户或组）的安全标识符 () 始终包含安全主体所在域的标识符，因此将为目标域中的用户创建新的 。由于 可以将原始安全主体的 迁移到目标域中的安全主体，因此您不必执行其他任务来确保资源访问，除非您正在林之间使用 筛选。如果您使用的是 和 版本 ，请使用 迁移向导转移已迁移用户的邮箱上的安全性。如果您使用的是 服务器，则 不会提供用于迁移邮箱的工具。在这种情况下，请规划首先使用 邮箱迁移工具迁移邮箱，然后迁移用户帐户。如果您使用组策略来管理文件夹重定向或软件分发，请确保在将用户帐户迁移到新林时这些策略继续适用。此外，如果您使用组策略对象 () 在源域（而不是目标域）中授权或拒绝远程访问，则 无法确定要为用户分配哪种远程访问权限。如果您使用组策略来管理文件夹重定向，则将用户帐户迁移到新林后，脱机文件将不起作用。脱机文件将存储作为所有者的用户的 ；迁移用户帐户时， 将发生更改。若要还原脱机文件的所有权，请使用 安全性转换向导来替换对包含脱机文件缓存的客户端计算机中文件和文件夹的权限。为确保在将用户帐户迁移到目标域后用户可继续访问脱机文件，您可以执行以下操作：.转换客户端计算机上的安全性以更新脱机文件。.如果未将用户帐户的 历史记录迁移到目标域，请转换承载已重定向文件夹的服务器上的安全性。如果您正在使用文件夹重定向，则会出现以下情况之一：当在新环境中文件夹重定向路径不同时，如果已将用户帐户的 历史记录迁移到目标域中，则用户仍可访问该文件夹。文件夹重定向扩展将文件从源域中的原始位置复制到目标域中的新位置。 历史记录使用户帐户可以访问源文件夹。如果在新环境中文件夹重定向路径是相同的，则用户无法访问已重定向的文件夹，因为文件夹重定向将检查已重定向的文件夹的所有权并且会失败。随后您必须在服务器上已重定向的文件夹上转换安全性。如果您使用组策略来管理软件安装，且 程序包要求访问操作（如修复和删除）的原始源，则在迁移用户后必须在软件分发点转换安全性，以确保软件安装在目标域中继续正确执行。资源迁移过程 域包括三种类型的资源：工作站帐户成员服务器帐户成员服务器上的资源迁移工作站和成员服务器是一个直观的过程。为将权限分配给用户而创建的本地组位于本地安全帐户管理器 () 数据库中，并且在移动服务器时将移动这些组。您不必重新配置访问控制列表 ()，以便用户可以在迁移后访问资源。若要在域之间迁移域控制器，请从域控制器中删除 域服务 ()，将其作为成员服务器迁移到目标域中，然后重新安装 。计划在林间重构 域适用对象： 迁移工具 ( ) 和 开始迁移之前完成必要的计划任务有助于确保用户在迁移期间可以继续登录到网络并访问资源。计划域重构涉及以下任务：确定帐户迁移过程分配对象位置和角色开发测试计划创建迁移失败时使用的回滚计划管理用户、组和用户配置文件创建最终用户通信计划为了准备重构过程， 开发团队必须从 设计团队获取必要的设计信息。下图显示了计划在林之间重构 域所涉及的步骤。确定帐户迁移过程适用对象： 迁移工具 ( ) 和 对于 迁移工具 ()，可以在迁移帐户时使用安全标识符 () 历史来维护资源权限。但是，如果在源域和目标域之间启用了 筛选功能，并且不信任源域中的管理员，则不能禁用 筛选功能。同时也不能使用 历史来启用对源域中资源的访问。在这种情况下，必须使用其他迁移过程。可以选择下列三种方法之一在林间迁移帐户，同时维持用户对源域中资源的访问权限：使用 历史访问资源时迁移用户帐户。使用此方法，可以删除对域间信任的 筛选，以便用户可以通过其 历史凭据访问源域中的资源。如果当前存在林信任，则删除对林信任的 筛选。（也可以通过以下方法覆盖林信任：创建外部信任以便让拥有资源的域信任目标域，然后删除对外部信任的 筛选。）如果当前不存在林信任，则在源域和目标域之间建立外部信任。如果用于创建信任的域控制器上运行的是 、 或 ，则您必须在外部信任上删除 筛选。如果您使用的是 ，则用于创建信任的域控制器可以运行 () 或更高版本。有关此过程的详细信息，请参阅本指南稍后介绍的使用 历史记录时迁移帐户。只用一个步骤将所有用户、组和资源迁移到目标域。有关此过程的详细信息，请参阅本指南稍后介绍的使用 历史记录时迁移帐户。以不采用 历史访问资源的方式迁移用户帐户，但在迁移过程之前转换所有资源的安全性以确保资源访问。有关不使用 历史迁移帐户的详细信息，请参阅本指南稍后介绍的不使用 历史迁移帐户。若要确定哪种帐户迁移过程最适合您的组织，必须首先确定是否可以禁用 筛选以及在使用 历史访问资源的同时迁移帐户。如果源域的管理员完全信任目标域的管理员，则可以安全地执行此操作。如果符合下列条件之一，则可以禁用 筛选：信任域的管理员是被信任域的管理员。信任域的管理员信任被信任域的管理员，并且确信被信任域的管理员已采取适当措施保证被信任域的安全。如果禁用 筛选，则会去除林间的安全边界，否则会在林间提供数据和服务隔离。例如，目标域中拥有服务管理员权限的管理员或对域控制器拥有物理访问权限的个人可以修改帐户的 历史，以包含源域中域管理员的 。当修改了其 历史的用户帐户登录到目标域时，它可提供有效的域管理员凭据，因而可以访问源域中的资源。因此，如果不信任目标域中的管理员或不确信目标域中域控制器的物理安全性，则在源域和目标域之间启用 筛选，并以不采用 历史访问资源的方式迁移用户帐户。下图演示了确定哪种迁移过程适合您的组织的决策过程。使用 历史保留对资源的访问权限适用对象： 迁移工具 ( ) 和 授予对资源访问权限的最佳操作是使用全局组安排用户，使用域本地组保护资源。将全局组置于域本地组中以授予全局组中的成员访问资源的权限。全局组只能包含其本域中的成员。在域之间迁移用户时，还必须迁移用户所属的任何全局组。这可以确保用户可以继续访问由引用全局组的任意访问控制列表 () 保护的资源。在迁移帐户和维护源域帐户的安全标识符 () 历史之后，当用户登录到目标域时， 历史属性中的新 和初始 都将添加到该用户的访问令牌。这些 确定该用户的本地组成员身份。然后，将用户所属组的 以及这些组的 历史一起添加到访问令牌。源域和目标域中的资源将其访问控制列表 () 解读为 ，然后在授予或拒绝访问权时，检查其 与访问令牌之间是否匹配。如果 或 历史匹配，将根据 中指定的访问权限授予或拒绝对资源的访问。如果资源在源域中，并且尚未运行安全性转换，它将使用用户帐户的 历史授予访问权限。还可以在目标域中的全局组或通用组的 历史中保留全局组和通用组的初始 。由于本地组成员身份基于 ，因此，在将 迁移到目标域中全局组或通用组的 历史时，全局组或通用组的本地组成员身份将自动保留。 历史用于以下目的：漫游用户配置文件访问证书颁发机构访问软件安装访问资源访问如果不使用 历史进行资源访问，仍须迁移 历史以方便对这些项目的访问。迁移用户帐户时使用 筛选适用对象： 迁移工具 ( ) 和 对于域到域信任，安全标识符 () 筛选功能不允许为了能够访问信任域内的任意资源而在受信任域外使用 。对于林到林信任， 筛选功能不允许为了能够访问信任林中任意域内的任何资源而在受信任林外的任意域中使用 。可以通过以下方式使其他林中的用户 访问已启用 筛选的林中的资源：转换该资源上的安全性为将该用户 包含在允许列表中。在两个目录林根级域之间建立林信任后，将默认应用 筛选。另外，在运行 () 或更高版本的域控制器之间建立外部信任后，也将默认启用 筛选。这样可防止遭受其他林中管理员的潜在安全攻击。因为 筛选不适用于域内的身份验证，所以如果资源和帐户处于同一域内，也可能会通过 历史记录允许对资源进行访问。若要通过使用 历史记录来允许用户或组访问资源，则该资源所在的林必须信任该帐户所在的林。有关基于 历史记录的攻击和 筛选的详细信息，请参阅“配置 筛选设置”()。 分配对象位置和角色适用对象： 迁移工具 ( ) 和 创建一个对象分配表，列出要迁移的所有对象的角色和位置。为帐户对象（如用户、组和服务帐户）创建一个表，为资源对象（如工作站、配置文件和域控制器）创建一个表。在这些表中，列出要迁移的所有对象的源位置和目标位置。在创建帐户对象分配表之前，确定源域和目标域的域组织单位 () 结构是否相同。如果不相同，必须在对象分配表中标识源 和目标 。有关帮助创建帐户对象分配表的工作表，请参阅“ 部署工具包作业帮助”的 下载中的“用户和组对象分配表”() ()。下图显示了用户和组对象分配表的示例。若要创建资源对象分配表，请标识每个对象的源 和目标 ，并记录在目标域中的物理位置和角色。有关帮助创建资源对象分配表的工作表，请参阅“ 部署工具包作业帮助”的 下载中的“资源对象分配表”() ()。下图显示了资源对象分配表的示例。制定迁移的测试计划适用对象： 迁移工具 ( ) 和 迁移工具不包含测试迁移选项。不过，可以制定一个测试计划，在将对象迁移到新环境之后系统地测试每个对象，并确定和解决可能发生的任何问题。通过测试来验证迁移是否成功有助于确保从源域迁移到目标域的用户能够进行登录，能够基于组成员身份访问资源，能够基于用户凭据访问资源。测试还有助于确保用户能够访问迁移的资源。在测试完成之后，可以继续迁移小型试点组，然后在生产环境中逐渐增加每批迁移对象的大小。使用以下过程测试帐户对象和资源对象的迁移：.在源域中创建一个测试用户。在迁移中包括此测试用户。.将该用户加入到适当的全局组以启用资源访问。.以测试用户身份登录到源域，并验证是否可以访问适当的资源。.在迁移用户帐户，转换用户配置文件，以及迁移用户工作站之后，以测试用户身份登录到目标域，并验证用户是否保留了所有必要的访问权限和功能。例如，可以通过测试来验证：用户可以成功登录。用户可以访问所有适当的资源，如文件和打印共享；可以访问服务（如消息传递）；并可以访问行业 () 应用程序。尤其重要的是测试对内部开发的访问数据库服务器的应用程序的访问。用户配置文件已成功转换，并且用户保留了桌面设置、桌面外观、快捷方式和对“我的文档”文件夹的访问。此外，验证应用程序显示在“开始”菜单中并可以从该菜单启动。迁移用户帐户时，无法迁移每个用户属性。有关无法迁移的用户属性的详细信息，请参阅本指南稍后介绍的迁移用户帐户。在迁移资源之后，以测试用户身份登录到目标域，并验证是否可以访问适当的资源。如果测试过程中有任何步骤失败，则标识问题的根源，并确定在需要访问目标域中的对象之前是否可以纠正问题。如果在需要访问对象之前无法解决问题，请回滚到原始配置，以确保能够访问用户或资源对象。有关创建回滚计划的详细信息，请参阅本指南稍后介绍的创建回滚计划。作为测试计划的一部分，创建一个迁移测试矩阵。对于在迁移过程中完成的每个步骤完成一个测试矩阵。例如，如果迁移 批用户，则需要完成测试矩阵 次，对迁移的每一批完成一次。如果迁移 个成员服务器，则为 个服务器中的每一个都完成该测试矩阵。有关帮助创建测试矩阵的工作表的信息，请参阅“ 部署工具包作业帮助”的 下载中的“迁移测试矩阵”() ()。下图显示了一个完成的迁移测试矩阵示例。创建回滚计划适用对象： 迁移工具 ( ) 和 通过建立回滚计划，可以降低对组织中最终用户带来的中断风险。通常情况下，可以隔离和解决在迁移的每个阶段中发生的任何问题。但是，分析潜在风险以及确定用户影响级别和需要回滚迁移时的停机时间非常重要。如果发生以下任何情况，可能需要回滚迁移：在迁移后用户无法登录到其帐户。在迁移后用户无法访问资源。用户迁移不完整；例如，没有迁移密码。用户迁移成功，但用户工作站迁移或本地配置文件转换失败。如果用户影响或停机时间达到您定义为组织不可接受的级别，则可以实施回滚计划并继续在迁移之前的环境中运行。由于在重构过程中源域保持不变，因此可以通过完成几个关键步骤还原初始环境。在迁移帐户对象之后回滚到迁移之前环境的步骤：.在源域中启用用户帐户（如果在迁移过程中禁用了该帐户）。.通知用户从目标域中注销。.通知用户登录到源域。.验证用户是否可以访问资源。.验证用户的登录脚本和用户配置文件是否按源域中配置的方式工作。资源对象的回滚过程类似于帐户对象的回滚过程。在迁移资源对象之后回滚到迁移之前环境的步骤：.将服务器或工作站的域成员身份更改到源域。.重新启动服务器或工作站。.以用户身份登录并验证是否可以访问资源。备注 如果必须修改对象（如成员服务器或域控制器）才能将它们迁移到目标域，请在进行修改和执行迁移之前备份所有数据。管理用户、组和用户配置文件适用对象： 迁移工具 ( ) 和 必须定义如何在林间重构过程中管理您要迁移的对象。通过为迁移对象建立管理过程，可以在源域和目标域中保留这些对象。因此，如果重构过程不成功，则您可以后退到预迁移环