Artykuł - Migracja kont z domeny A do domeny B na przykładzie ADMT w Windows Server 2003

Artykuły

A A A

Opublikowane: 2011.10.25 0:00 | Maciej Losek | Aktualizacja: 2011.10.25 7:31

Migracja kont z domeny A do domeny B na przykładzie ADMT w Windows Server 2003

tagi: domena migracja Windows 2003

Na podstawie swoich doświadczeń opiszę sposób migracji kont między domenami przy pomocy narzędzia Active Directory Migration Tool.

Poniżej przedstawiam krótki opis krok po kroku, jak przenieść konta użytkowników z domeny A do domeny B (na przykładzie MS Windows 2003) na poszczególnych komputerach z zachowaniem profili.

Istnieje kilka sprawdzonych sposobów na bezproblemową migrację. W tym poście opiszę tą czynność przy pomocy narzędzia ADMT (Active Directory Migration Tool) i Security Translation Wizard.

Zakładam, że w domenie docelowej B istnieją już odpowiednie konta, odpowiadające kontom z domeny A. Poniższe czynności przeprowadzić należy na kontrolerze domeny A.

1. Pierwszą rzeczą jaką musimy zrobić, to przygotować sobie plik ze wszystkimi kontami (SID'ami), jakie chcemy zmigrować.

Do tego celu posłuży nam narzędzie GETSID. Przygotowujemy plik .txt z zawartością:

getsid \\domainA nazwa_konta1_z_domeny_A \\domainB nazwa_konta1_z_domeny_B >>migracja.txt
getsid \\domainA nazwa_konta2_z_domeny_A \\domainB nazwa_konta2_z_domeny_B >>migracja.txt

Zapisujemy tak przygotowany plik z rozszerzeniem .bat.

Po uruchomieniu naszego bat'a stworzył nam się plik 'migracja.txt' mniej więcej z taką zawartością:

The SID for account domainA\nazwa_konta1_z_domeny_A does not match account domainB\nazwa_konta1_z_domeny_B

The SID for account domainA\nazwa_konta1_z_domeny_A is S-1-2-34-567890123-45678901-234567890-12345

The SID for account domainB\nazwa_konta1_z_domeny_B is S-1-0-98-54896447-587875785-56454554555-4557

The SID for account domainA\nazwa_konta2_z_domeny_A does not match account domainB\nazwa_konta2_z_domeny_B

The SID for account domainA\nazwa_konta2_z_domeny_A is S-1-0-58-7884646-25588745-111477788-1776475

The SID for account domainB\nazwa_konta2_z_domeny_B is S-1-3-54-45886335-4533675252-4574576545-6542

Teraz musimy go trochę 'obrobić'. Usuwamy wszystko oprócz SID'ów, do postaci:

getsid \\domainA nazwa_konta2_z_domeny_A \\domainB nazwa_konta2_z_domeny_B >>migracja.txt

Zapisujemy tak przygotowany plik z rozszerzeniem .bat.

Po uruchomieniu naszego polecenia stworzył nam się plik 'migracja.txt' mniej więcej z taką zawartością:

S-1-2-34-567890123-45678901-234567890-12845,S-1-0-98-54896447-58775785-5644554555-4557

S-1-0-58-7884646-25588745-111477788-1776475,S-1-3-54-4586335-4533675252-457456545-6542

2. Teraz należy się przelogować na konto domenowe z prawami lokalnego administratora.

Odpalamy mmc i dodajemy przystawkę 'Active Directory Migration Tool'. Prawym myszy na ADMT i wybieramy Security Translation Wizard.

Pojawia się okno powitalne, klikamy NEXT.

W oknie Security Translation Options zaznaczamy 'Other objects specified in a file' i w polu 'Sid mapping file' wskazujemy ścieżkę do naszego pliku migracja.txt. Klikamy NEXT.

Następnie w oknie 'Computer Selection' dodajemy te komputery które chcemy przepiąć do 'domainB' i na których istnieją profile migrowanych kont. Opcję 'Additional trusting domain' pozostawiamy pustą. Klikamy NEXT.

W oknie Translate Objects zaznaczamy co chcemy poprzekładać: pliki i foldery, grupy lokalne, drukarki itd. klikamy NEXT.

W oknie Security Translation Options zaznaczamy 'Replace'. Pojawi się komunikat: 'User rights translation will be performed in 'Add' mode only. Any other objects will be translated in adherence to your mode selection.' Klikamy OK.

Przechodzimy do okna kończącego proces, klikamy FINISH.

Pojawia się okno Active Directory Migration Toll Agent Dialog z listą naszych komputerów, które wcześniej zdefiniowaliśmy.

Agent umożliwia nam dwie akcje: 'Run pre-check' oraz 'Run pre-check and agent operation'

Zalecam zawsze najpierw uruchomić 'Run pre-check'. W tym miejscu nasz kontroler sprawdza połączenie z komputerami występującymi na liście.

UWAGA!!! W CELU NAWIĄZANIA POŁĄCZENIA, NALEŻY WYŁĄCZYĆ FIREWALL NA KAŻDYM KOMPUTERZE

Poprawne nawiązanie połączenia zakończy się stanem 'PASSED'. Teraz możemy uruchomić akcję 'Run pre-check and agent operation'.

W zależności od ilości migrowanych danych, czas migracji może się wydłużyć.

Po zakończeniu powinniśmy zobaczyć stan 'FINISHED'. Czasem mogą wystąpić jakieś błędy, wtedy należy zajrzeć do logu.

3. Teraz możemy komputery poprzepinać do nowej domeny domainB i zalogować się na nazwa_konta_z_domeny_B.

Użytkownik nie powinien zauważyć różnicy w swoim profilu, gdyż przenieśliśmy wszystkie jego obiekty.

Więcej:

Download Details - Microsoft Download Center - ADMT v3.2

Active Directory Migration Using ADMT 3.1

Ask the Directory Services Team - admt

Podobne artykuły

20 września 2010 Migracja domeny do Windows Server 2008 R2

5 grudnia 2008 Synchronizacja haseł przy pomocy Identity Integration Feature Pack

Komentarze 0 Masz uwagi do tej strony? Napisz

Dodaj komentarz

Zaloguj się lub Zarejestruj się aby wykonać tę czynność.

Autor Maciej Losek

Załóż konto

WSS to serwis, który łączy dziesiątki tysięcy specjalistów IT w Polsce, zajmujących się szeroko pojętymi technologiami Microsoft. Portal działa od 2003 roku, i oprócz setek publikacji technicznych, rozwijającego się forum - portal to ludzie, którzy go tworzą. To właśnie z myślą o nich warto codziennie nas odwiedzać.

Dowiedz się więcej o WSS

Gorące tagi

Pokaż wszystkie tagi

Idź na górę strony