如何使用 Active Directory 迁移工具(第 2 版)从 Windows 2000 迁移到 Windows Server 2003
<script type="text/javascript">function loadTOCNode(){}</script>文章编号 | : | 326480 |
最后修改 | : | 2006年5月10日 |
修订 | : | 8.0 |
重要说明:本文包含了有关修改注册表的信息。修改注册表之前,一定要先进行备份,并且一定要知道在发生问题时如何还原注册表。有关如何备份、还原和修改注册表的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
<script type="text/javascript"> var sectionFilter = "type != 'notice' && type != 'securedata' && type != 'querywords'"; var tocArrow = "/library/images/support/kbgraphics/public/en-us/downarrow.gif"; var depthLimit = 10; var depth3Limit = 10; var depth4Limit = 5; var depth5Limit = 3; var tocEntryMinimum = 1; </script> <script src="/common/script/gsfx/kbtoc.js??4" type="text/javascript"></script>
256986
(http://support.microsoft.com/kb/256986/) Microsoft Windows 注册表说明
概要
<script type="text/javascript">loadTOCNode(1, 'summary');</script>
本文介绍如何设置 Active Directory 迁移工具 (ADMT),从基于 Microsoft Windows 2000 的域迁移到基于 Microsoft Windows Server 2003 的域。
更多信息
<script type="text/javascript">loadTOCNode(1, 'moreinformation');</script>
您可以使用 ADMT 将用户、组、计算机从一个域迁移到另一个域,并在实际进行迁移过程的前后分析迁移的影响。
注意:本文假设源域是基于 Windows 2000 的域,目标域是 Windows 2000 或更高版本纯模式中基于 Windows Server 2003 的域。
安装 ADMT 的计算机必须是源域或目标域的成员。
内联目录林迁移是一项移动操作,而不是复制操作。在移动之后,被迁移的对象在源域中就不再存在了,因此,可以说这些迁移是破坏性的。由于是移动对象而不是复制对象,所以互联目录林迁移中的有些可选操作会自动执行。尤其是,sIDHistory 和密码在所有内联目录林迁移过程中都会自动迁移。
您在将基于 Windows 2000 的域迁移到基于 Windows Server 2003 的域之前,必须建立一些域并进行安全配置。计算机迁移和安全转换不需要任何特殊域配置。但是,要迁移的每台计算机都必须具有管理性共享,即 C$ 和 ADMIN$。
用于运行 ADMT 的帐户必须具有足够的权限才能完成所需任务。该帐户必须有在目标域和组织单元中创建计算机帐户的权限,而且必须是要迁移的每台计算机上的本地管理组的成员。
警告:注册表编辑器或其他方法使用不当可能导致严重问题。这些问题可能需要重新安装操作系统。Microsoft 不能保证您可以解决这些问题。修改注册表需要您自担风险。
注意:对于 Windows 2000 域,用于运行 ADMT 的帐户必须有源域和目标域的域管理员权限。对于 Windows Server 2003 目标域,可以委派“迁移 sIDHistory”。有关更多信息,请参见 Windows Server 2003 帮助和支持。
您可以通过安装运行于 LSA 环境的 DLL 来启用互联目录林密码迁移。在这个受保护的环境中运行时,操作系统就会阻止以明文形式查看密码。DLL 的安装由 ADMT 创建的密钥保护,并且必须由管理员安装。
若要安装密码迁移 DLL,请按照下列步骤操作:
若要下载 ADMT,请访问下面的 Microsoft 网站:
有关 ADMT 的更多信息,请访问下面的 Microsoft 网站:
注意:本文假设源域是基于 Windows 2000 的域,目标域是 Windows 2000 或更高版本纯模式中基于 Windows Server 2003 的域。
如何设置 ADMT 以便从 Windows 2000 迁移到 Windows Server 2003
<script type="text/javascript">loadTOCNode(2, 'moreinformation');</script> 您可以将 Active Directory 迁移工具版本 2 安装在运行 Windows 2000 或更高版本的任何计算机上,这些版本包括:• | Microsoft Windows 2000 Professional |
• | Microsoft Windows 2000 Server |
• | Microsoft Windows XP Professional |
• | Microsoft Windows Server 2003 |
内联目录林迁移
<script type="text/javascript">loadTOCNode(3, 'moreinformation');</script> 内联目录林迁移不需要任何特殊的域配置。用于运行 ADMT 的帐户必须有足够的权限才能执行 ADMT 要求的操作。例如,该帐户必须有在源域中删除帐户以及在目标域中创建帐户的权限。内联目录林迁移是一项移动操作,而不是复制操作。在移动之后,被迁移的对象在源域中就不再存在了,因此,可以说这些迁移是破坏性的。由于是移动对象而不是复制对象,所以互联目录林迁移中的有些可选操作会自动执行。尤其是,sIDHistory 和密码在所有内联目录林迁移过程中都会自动迁移。
互联目录林迁移
<script type="text/javascript">loadTOCNode(3, 'moreinformation');</script> 要正常运行 ADMT,需要有以下权限:• | 源域中的管理员权限。 |
• | 要迁移的每台计算机上的管理员权限。 |
• | 要转换其安全性的每台计算机上的管理员权限。 |
用于运行 ADMT 的帐户必须具有足够的权限才能完成所需任务。该帐户必须有在目标域和组织单元中创建计算机帐户的权限,而且必须是要迁移的每台计算机上的本地管理组的成员。
用户和组迁移
<script type="text/javascript">loadTOCNode(3, 'moreinformation');</script> 您必须将源域配置为信任目标域,或者,您也可以将目标域配置为信任源域。虽然这可能很容易配置,但完成 ADMT 迁移对此并无要求。可选迁移任务的要求
<script type="text/javascript">loadTOCNode(3, 'moreinformation');</script> 您可以通过以“测试”模式运行“用户迁移向导”并选择迁移 sIDHistory 选项来自动完成以下任务。用于运行 ADMT 的用户帐户必须是源域和目标域中的管理员,这样自动配置才能成功。警告:注册表编辑器或其他方法使用不当可能导致严重问题。这些问题可能需要重新安装操作系统。Microsoft 不能保证您可以解决这些问题。修改注册表需要您自担风险。
1. | 在名为 %sourcedomain%$$$ 的源域中新建一个本地组。此组中不能有任何成员。 |
2. | 在“默认域控制器”策略中,启用用于审核这两种域上“审核”帐户管理的成功与失败的审核功能。 |
3. | 通过在源域中使用 DWORD 值 1 配置“PDC 模拟器”的以下注册表项来配置源域,让 RPC 可以访问 SAM。
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/LSA/TcpipClientSupport
进行完此更改后,必须重新启动“PDC 模拟器”。 |
您可以通过安装运行于 LSA 环境的 DLL 来启用互联目录林密码迁移。在这个受保护的环境中运行时,操作系统就会阻止以明文形式查看密码。DLL 的安装由 ADMT 创建的密钥保护,并且必须由管理员安装。
若要安装密码迁移 DLL,请按照下列步骤操作:
1. | 以管理员或具备同等权限的身份登录装有 ADMT 的计算机。 |
2. | 在命令提示符下,运行 ADMT KEY sourcedomainpath [* | password] 命令创建密码导出密钥文件 (.pes)。在此示例中,sourcedomain 是源域的 NetBIOS 名称,path 是创建密钥的文件路径。路径必须是本地路径,但可以指向可移动介质,例如,软盘驱动器、ZIP 驱动器或可写的光盘介质。如果您在命令末尾键入可选密码,ADMT 会用该密码保护 .pes 文件。如果您键入星号 (*),ADMT 会提示您输入密码,并且在您键入密码时系统不会响应。 |
3. | 将在步骤 2 中创建的 .pes 文件移动到源域中指定的“密码导出服务器”。该“密码导出服务器”可以是任何域控制器,但是它一定要能够快速、可靠地链接到运行 ADMT 的计算机。 |
4. | 通过运行 Pwmig.exe 工具在“密码导出服务器”上安装“密码迁移 DLL”。Pwmig.exe 位于 Windows Server 2003 安装介质上的 I386/ADMT 文件夹中,或位于从 Internet 下载 ADMT 的文件夹中。 |
5. | 当系统提示您指定在步骤 2 中创建的 .pes 文件的路径时,请予以指定。此路径必须是本地文件路径。 |
6. | 完成安装后,必须重新启动服务器。 |
7. | 如果您已准备好迁移密码,请修改以下注册表项,使其 DWORD 值为 1。为了获取最大安全性,请在准备好进行迁移时再完成此步骤。
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/LSA/AllowPasswordExport
|
http://www.microsoft.com/windows2000/downloads/tools/admt/default.asp
(http://www.microsoft.com/windows2000/downloads/tools/admt/default.asp)
有关如何使用 ADMT 执行迁移的更多信息,请参见“ADMT 帮助”。启动 Active Directory 迁移工具,在
帮助菜单上单击
帮助主题,单击
内容选项卡,然后单击
Active Directory 迁移工具。
有关 ADMT 的更多信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/WINDOWS2000/techinfo/howitworks/activedirectory/admt.asp
(http://www.microsoft.com/WINDOWS2000/techinfo/howitworks/activedirectory/admt.asp)
Active Directory 迁移工具版本 2 包括在 Windows Server 2003 安装光盘的 I386/Admt 文件夹中。
这篇文章中的信息适用于:
• | Microsoft Windows Server 2003 Standard Edition |
• | Microsoft Windows Server 2003 Enterprise Edition |
• | Microsoft Windows Server 2003 Datacenter Edition |
• | Microsoft Windows Server 2003 64-bit Enterprise Edition |
• | Microsoft Windows Server 2003, Datacenter Edition for 64-Bit Itanium-Based Systems |
• | Microsoft Windows 2000 Server |
• | Microsoft Windows 2000 Advanced Server |
关键字: | kbactivedirectory kbhowto kbmigrate KB326480 |