Windows Server 2008在林间迁移用户和计算机

在林间迁移对象

本节实战场景如图 9-56所示。

图 9-56 实战场景

由于公司合并，两个活动目录林ess.com和onest.net建立林信任，以便实现统一的身份验证和资源共享。

在ess.com目录林中有两个域，ess.com和sjz.ess.com，sjz.ess.com是ess.com域的子域。

用户工作需要，你需要把onest.net域中的两个用户李济辉和吴永晨迁移到ess.com域。

计算机环境：

u essDC安装Windows Server 2008企业版，是ess.com域的域控制器、全局目录服务器和DNS服务器。

u sjzDC安装了Windows Server 2008企业版，是sjz.ess.com域的域控制器、DNS服务器和全局目录服务器。

u sjzPC是sjz.ess.com域的成员，安装Windows 7操作系统。

u onestDC是安装Windows Server 2008企业版，是onest.net域的域控制器、全局目录服务器和DNS服务器。

u eduDC安装了Windows Server Core，是edu.onest.net域的域控制器、DNS服务器和全局目录服务器。

9.7.1跨林迁移用户

按第八章步骤配置两个目录林的林信任，且两个目录林的DNS必须配置条件转发能够解析对方的域名，因为在迁移用户时需要通过DNS定位对方的域控制器。

以下操作将会把onest.net目录林根域中的用户“李济辉”和“吴永晨”迁移到ess.com林的根域，本操作只迁移用户帐户不迁移密码，为迁移过来的用户产生复杂密码，将会产生一个记录密码的文件。提示：跨林迁移用户和组不删除源域中的对象。

1. 如图9-57所示，在essDC上打开Active Directory迁移工具，右击“Active Directory迁移工具”，点击“用户帐户迁移向导”。

2. 如图9-58所示，在出现的欢迎使用用户帐户迁移向导对话框，点击“下一步”。

图 9-57 运行用户帐户迁移向导 图 9-58用户帐户迁移向导

3. 如图9-59所示，在出现的域选择对话框，选择源域和域控制器，以及目标域和域控制器，点击“下一步”。

4. 如图9-60所示，在出现的用户选择项对话框，选择“从域中选择用户”，点击“下一步”。

图 9-59 选择域 图 9-60 选择用户

5. 如图9-61所示，在出现的用户选择对话框，点击“添加”。

6. 如图9-62所示，在出现的选择用户对话框，输入“李济辉”和“吴永晨”，点击“确定”。

图 9-61 用户选择 图 9-62 选择用户

7. 如图9-63所示，选定用户后，点击“下一步”。

8. 如图9-64所示，在出现的组织单位选择对话框，点击“浏览”，在出现的浏览容器对话框，点中“培训部”组织单元，点击“确定”。

9. 如图9-64所示，在组织单位选择对话框，选择了目标OU后，点击“下一步”。

图 9-63 选择用户 图 9-64 指定目标组织单元

10. 如图9-65所示，在出现的密码选项对话框，指定密码文件的位置，点击“下一步”。

11. 如图9-66所示，在出现的用户选项对话框，选中“修复用户的组成员身份”，点击“下一步”。

图 9-65 密码选项 图 9-66 用户选项

12. 如图9-67所示，在出现的对象属性排除对话框，点击“下一步”。

13. 如图9-68所示，在出现的冲突管理对话框，选择“在目标域中检测到冲突时不迁移对象”，点击“下一步”。

图 9-67 对象属性排除 图 9-68 冲突管理

14. 如图9-69所示，在出现的完成用户帐户迁移向导对话框，点击“完成”。

15. 如图9-70所示，在出现的迁移进度，可以看到迁移的用户数量以及错误。点击“关闭”。

图 9-69 完成用户帐户迁移 图 9-70 迁移进度

16. 如图9-71所示，打开保存密码的文件，可以看到为迁移过来的用户产生了新的密码。

图 9-71 为用户生成的密码

9.7.2跨林迁移用户和密码

本小节将会演示将onest.net域中的用户和密码迁移到ess.com域。

u 在做用户迁移中需要对方的administrator权限，所以要把这两个域的administrator用户或者domain admins组加入到对方的administrators组中。将ess.com域的Domain Admins组添加到onest.net域的administrators组。

u 在ess.com域的域控制器essDC上安装ADMT 3.1

u 在ess.com域产生在迁移密码的时候需要生成一个数据库，.pes文件，用于存放密码。

u 需要在onest.net域安装密码导出服务3.1。

u 使用迁移的用户登录到新域。

下载Password Export Server version 3.1网址

http://www.microsoft.com/DownLoads/details.aspx?familyid=F0D03C3C-4757-40FD-8306-68079BA9C773&displaylang=en

17. 登录到onestDC，打开Active Directory用户和计算机管理工具。

18. 如图9-72所示，右击onest.net下的Builtin 下的administrators组，点击“属性”。

19. 如图9-73所示，在出现的administrators属性对话框，在成员标签下，点击“添加”。

20. 如图9-73所示，在出现的用户、联系人、计算机或组对话框，输入ess\domain admins，点击“检查名称”，点击“确定”。这样ess.com域的管理员就有了onest.net域的管理员的身份。

图 9-72 打开管理员组 图 9-73 添加ess.com林组

21. 如图9-74所示，在essDC的命令行运行admt key /option:create /sourcedomain:onest /keyfile:c:\keyfile /keypassword:Goodluckypy

22. 如图9-74所示，该操作会创建一个服务器加密密钥，保存在c:\keyfile.pes，将该文件件拷贝到essDC。

23. 如图9-75所示，在onestDC上安装密码导出服务，在出现的欢迎使用ADMY密码迁移DLL安装向导对话框，点击“下一步”。

图 9-74 产生服务器加密密钥 图 9-75 安装密码迁移服务

24. 如图9-76所示，在出现的许可协议对话框，选择“我接受许可协议”，点击“下一步”。

25. 如图9-77所示，在出现的加密文件对话框，点击“浏览”。

图 9-76 安装密码迁移服务 图 9-77 选择加密文件

26. 如图9-78所示，选中加密文件后，点击“下一步”。

27. 如图9-79所示，在出现的ADMT密码迁移DLL安装程序对话框，输入密码和确认密码，注意改密码为Goodluckypy，点击“下一步”。

图 9-78 指定加密文件 图 9-79 输入密码

28. 如图9-80所示，在出现的开始安装对话框，点击“下一步”。

29. 如图9-81所示，在出现的ADMT密码迁移DLL，选择“本地系统”，点击“确定”。

图 9-80 开始安装 图 9-81 选择本系统

30. 如图9-82所示，在出现的已经成功安装了ADMT密码迁移DLL对话框，点击“完成”。

31. 如图9-83所示，出现必须重启才能完成时ADMT密码迁移DLL做出的设置生效，点击“是”。重启计算机。

图 9-82 完成安装 图 9-83 需要重启

32. 重启后，点击“运行”à“开始”，输入services.Msc，点击“确定”。打开服务管理工具。

33. 如图9-84所示，右击“密码导出服务器服务”，点击“启动”。

34. 如图9-86所示，在essDC上，打开Active Directory迁移工具，右击“Active Directory迁移工具”，点击“用户帐户迁移向导”。

图 9-84 启动密码导出服务器服务 图 9-85 运行用户帐户迁移向导

35. 如图9-86所示，在出现的欢迎使用用户帐户迁移向导对话框，点击“下一步”。

36. 如图9-87所示，在出现的域选择对话框，源域输入onest.net，选择域控制器，目标域输入ess.com，选择域控制器，点击“下一步”。

图 9-86 用户帐户迁移向导 图 9-87 选择域

37. 如图9-88所示，在出现的用户选择选项对话框，选择“从域中选择用户”，点击“下一步”。

38. 如图9-89所示，在出现的用户选择对话框，点击“添加”，在出现的选择用户对话框，输入“李济辉”和“吴永晨”，点击“确定”。

图 9-88 选择用户 图 9-89 选择用户

39. 如图9-90所示，在出现的组织单位选择对话框，点击“浏览”。

40. 如图9-91所示，在出现的浏览容器对话框，选中“培训部”，点击“确定”。

图 9-90 选择目标OU 图 9-91 选择OU

41. 如图9-92所示，选择了目标OU后，点击“下一步”。

42. 如图9-93所示，在出现的密码选项对话框，选择“迁移密码”，密码迁移源选择onestDC.onest.net，点击“下一步”。

图 9-92 指定目标OU 图 9-93 迁移密码

43. 如图9-94所示，在出现的帐户转换选项对话框，选择“将用户SID迁移至目标域”，点击“下一步”。迁移用户的SID，迁移后的权限不变。比如迁移前授权该用户读取某个文件夹，迁移后照样能读取。

44. 如图9-95所示，在出现的在源域启用审核提示对话框，点击“是”，在出现的需要创建onest$$$本地组对话框，点击“是”。

图 9-94 迁移SID 图 9-95 启用审核和创建本地组

45. 如图9-96所示，在出现的用户帐户对话框，输入在源域中有管理权限的用户名和密码和域，点击“下一步”。

46. 如图9-97所示，在出现的用户选项对话框，选中“修复用户的组成员身份”，点击“下一步”。

图 9-96 输入源域的管理员帐户和密码 图 9-97 用户选项

47. 如图9-98所示，在出现的对象属性排除对话框，点击“下一步”。

48. 如图9-99所示，在出现的冲突管理对话框，选择“在目标域中检测到冲突时不迁移对象”，点击“下一步”。

图 9-98 对象属性排除 图 9-99 冲突管理

49. 如图9-100所示，在出现的完成用户帐户迁移向导对话框，点击“完成”。

50. 如图9-101所示，在出现的迁移进度对话框，看到完成两个。点击“关闭”。

图 9-100 完成用户迁移向导 图 9-101 迁移进度

51. 如图9-102所示，在essDC打开ActiveDirectory用户和计算机管理工具，可以看到迁移过来的用户。

52. 如图9-103所示，双击吴永晨用户帐户，在出现的吴永晨属性对话框，在帐户标签下，可以看到该用户选项为“用户下次登录是须更改密码”。

图 9-102 迁移过来的用户 图 9-103 用户需要更改密码

53. 如图9-104所示，在sjzPC上使用ess域的lijihui登录。提示：sjzPC是sjz.ess.com子域的成员。

54. 如图9-105所示，提示更改密码。

图 9-104 使用迁移过来的用户登录 图 9-105 提示需要更改密码

55. 如图9-106所示，输入旧密码，和新密码以及确认新密码登录，

56. 如图9-107所示，提示密码修改成功。

图 9-106 输入新密码 图 9-107 更改成功

57. 如图9-108所示，再次登录onestDC，打开Active Directory用户和计算机，可以看到迁移的用户在源域不删除，这一点和目录林内的迁移不一样。

图 9-108 源域对象不删除

广告