使用ADMT3.2迁移2008AD域(四)-------林间用户密码迁移测试



(本文档仅仅只考虑账户迁移密码的过程和迁移到目标域中的账户的登陆出现的结果)

步骤

1.在目标域中运行 ADMT 的计算机上创建加密密钥

2.源域中配置 PES 服务,启动密码导出服务

3.迁移用户和密码


备注:

1.ADMT v3.1 ADMT v3.2 均使用密码导出服务器 (PES) 版本 3.1Pwdmig.msi需要从微软官方下载),安装完毕后,重新启动域控制器

2.无法将 PES 服务安装在只读域控制器 (RODC)

3. 由于 ADMT 不会检查目标域密码策略的所有设置,因此用户需要在迁移完成后明确设置其密码,除非设置了密码永不过期交互式登录需要智能卡标记。

4. Administrators中的成员身份或等效身份是完成该过程所需的最低要求

5. 在源域中安装 PES 服务需要加密密钥。但是,必须在目标域中运行 ADMT 的计算机上创建加密密钥。

6. 仅在迁移密码时运行 PES 服务。完成密码迁移后,停止 PES 服务。


一.下载Pwdmig.msi存到测试中的源域的域控上,注意要分64位和32位系统。

测试中的域控是64位的从http://go.microsoft.com/fwlink/?LinkId=147653下载

二.在目标域中运行 ADMT 的计算机上创建加密密钥

在命令行输入

admt key /option:create/sourcedomain:<SourceDomain> /keyfile:<KeyFilePath>/keypassword:{<password>|*}

描述

<SourceDomain>

指定要在其中安装 PES 服务的源域的名称。可以指定为域名系统 (DNS) NetBIOS 名称。

<KeyFilePath>

指定到加密密钥存储位置的路径。

{<password>|*}

密码是可选项,它提供密钥加密。若要保护共享密钥,请在命令行中键入密码或星号 (*)。星号会使系统提示您输入不在屏幕上显示的密码。


本测试中输入

admt key /option:create /sourcedomain:dak.com /keyfile:c:/keyfile/keypassword:123456@pass

第一次



170140179.png


由于我使用的账户加入域的域管理员组,而安装ADMT2008系统的本地administrators组中包含域管理员组。所以我想到了使用右键“以管理员身份运行”来运行命令提示符,结果如下:但是结果也说明了使用ADMT的账户需要本地管理员权限


170142434.png

这个keypassword一会在源域中安装密码导出服务需要的,要记住。

170144532.png

该文件需要拷贝到源域的域控制器中。


三.在源域域控安装密码导出服务

双击“pwmig.msi



170146976.png

直接下一步到:


170148361.png

红色的标记就是我们在ADMT安装的服务器上导出的加密密钥

下一步:输入ADMT上加密的密码



170151820.png

(如果生成加密密钥的时候不加keypassword这里就没有这个密码选项,结果依旧是可以正常安装和启动密码导出服务的,但是我认为最终的迁移密码理论上说也应是正常的,所以就没有测试- -


170153929.png


下一步:我使用的是域管理员。账户前要加域名才可以的,不然会报错


170155595.png

170157207.png

170159162.png

安装完成要重启域控


重新启动域控制器后,要启动 PES 服务,请依次指向开始所有程序管理工具,然后单击服务。

右键单击密码导出服务器服务,然后单击启动

170201665.png


四.迁移用户和密码:

ADMT工具迁移用户和密码

我专门建了3个测试账号,一个设置的是密码永不过期,一个没有设置的不是



170203872.png

由于2008的域的默认密码策略长度最少是7,所以我在源域上把密码长度最少改成6,这样我再源域上还专门建立了一个密码位数为6位的账户


170206210.png


(1)密码永不过期的账户迁移密码过程和结果如下:直接截图了


170208807.png

170210973.png

170212313.png


这一步选择“迁移密码“选项,暂时不勾选C不更新现有的用户的密码,看看结果吧,因为C选项在我测试的生成复杂密码迁移账户时貌似没有什么作用,选不选结果是一样的。一会再重新迁移一个账户勾选C

下一步:



170214762.png

以后的步骤都直接用默认的直接下一步到:


170216573.png

可以看到已经迁移过去了。下面我们来再客户端上登陆看看:

首先我们登陆目标域的计算机:(用原始的密码登陆)



170218518.png

170221504.png

需要改密码,所以用源域的原始密码登陆不了目标域的计算机了。需要用修改的密码登陆目标域了


再登陆源域看看:

用原始密码仍旧可以正常登陆源域



170223626.png

170225495.png


然后我们在勾选C“不更新现有的用户的密码”看看结果怎么样:


170227629.png

只在此步骤勾选B“迁移密码”和C“不更新现有用户的密码”其他步骤一样。


170229816.png

迁移完成后,

登陆目标域:(用源域的原始密码登陆依旧需要改密码)



170231652.png

用源域的原始密码登陆到源域中是可以正常登陆的,新的密码不能登录到源域中。



(2) 没有设置密码永不过期的账户的密码迁移

170233461.png

我们直接选“不更新用户密码”算了,


170236779.png

所以我认为迁移的账户连密码迁移过去后,目标域都会要求下次登录要改密码的。(这时这个实验偶然发现的,开始没有注意这个位置)



170238504.png

用新密码和原始密码再登录源域和目标域几次:

结果可想而知:源域的密码只能登录源域,而不能登录目标域;目标域的新密码只能登录目标域,而不能登录源域。



3)目标的域的默认密码策略长度最少是7,源域上把密码长度是6,这样我在源域上还专门建立了一个密码位数为6位的账户,下面迁移一个6位密码的账户到默认密码策略时7位的域中看看:



170240877.png

170242507.png

迁移过来仍旧是“用户下次须更改密码”

我们登录到目标域看看:(6位密码可以登录还是会须更改密码)



170244275.png

170247513.png

目标域6位密码确实不支持的。


最终的结论是,无论源域的账户的密码策略、密码的设置和目标域的密码策略怎么样,迁移后的结果都是一样的:账户在源域受源域的策略的影响,在目标域中受目标域的策略的影响。源域的原始密码可以在源域中登录,而不能登录目标域;迁移到目标域的账户密码只能在目标域登录,不能在源域中登录。