[生产环境迁移×××账号密码,验证可行方案]

关键字:addusers,copypwd,win2003,isa2006,***

一、需求背景:

        公司环境说明,使用ISA2006+Win2003本地用户组认证方式搭建的Remote Access ×××

本地×××账号有100个,需要迁移100个账号及密码到另一台Win2003环境。

由于手工更改100个账号密码,工作量大且实际操作困难。

因此需要考虑无损迁移,用户密码完全复制到新的Win2003系统。

二、解决思路:

        批量导出用户再导入用户,这个好办,用户名明文存储

 难点在于密码的导出

        1.通过注册表HASH导出,进行密码逆向,从而获取到密码。难度大且费人费时,不采用

        2.通过copypwd程序导出导入密码,本次迁移采用的方法

三、实际操作

        1.环境说明  

 172.18.1.1为源机器,密码文件存储在该机(32bit Windows 2003 Standard+ISA 2006) 

 172.18.1.2为目标机器,密码文件迁移到该机(32bit Windows 2003)

        2.准备工具

 准备addusers和copypwd工具,

addusers是在wind2k resource kit中的命令工具

下载链接:http://www.systemtools.com/download/copypwd.zip

        3.操作顺序

  •  源机器172.18.1.1导出用户名,导出密码

复制下载好的addusers.exe和copypwd.exe到C:\

打开CMD,CD \,定位到C:\

C:\addusers /d:u account.bak /* 导出用户名到account.bak文件  */

C:\>copypwd dump > copypwd.txt /* copypwd.txt必须固定文件名,程序固定调用  */

{Tips,导出密码要在本地执行,否则出错CreateRemoteThread failed: 8

也可以通过远程桌面加参数执行,mstsc /v:172.18.1.1 /admin(Win7/2008)

mstsc /v:172.18.1.1 /console(Winxp/2003)}

  • 目标机器172.18.1.2导入用户名及密码

c:\addusers.exe /p:l /c account.bak /* 导入account.bak中的用户名  */

C:\>copypwd set  /*  导入密码  */

这样导入后,用户的属性会变成用户下次登录时须更改密码,需要手工逐个取消

还可以使用cusrmgr.exe来批量修改用户属性,参照KB,http://support.microsoft.com/kb/272530/zh-cn

命令为:c:\cusrmgr –u GUEST -s mustchangepassword 即可取消“用户下次登录须更改密码”

        4.验证测试

因为是生产环境,稳妥起见,最好找下原有用户测试下,用户密码是否正确