02
2022
09
15:11:07

Windows活动目录系列---活动目录版本迁移概述



推荐点击下面图片,通过本站淘宝优惠价购买:

image.png

在实施AD域部署的过程中,你可能因为以下的两个原因想要重新构建你的AD环境:


优化AD域的逻辑结构。在一些组织中,从AD域部署时期到现如今,整个商业模式可能发生了很明显的变化,导致目前的AD域或者林结构以及不在符合商业需求了。


配合商业的并购或拆分。


当你重新构建你的AD环境的时候,你必须将相同或者不同林中的资源迁移到新的AD域环境中。林中的域是无法将它单独分离出来,然后再链接到另一个林中的。在某些场景中你可以重命名和重新调整林中的域,但是在林中或者林之间合并域是没有办法简化处理的。通过合并域来重新构建AD域的唯一方法是将一个域中的账号和资源转移到另一个域中。


我们可以使用微软的ADMT(活动目录迁移工具)去将一个域中的用户,群组,计算机账号迁移到另一个域中。此工具还可以用于迁移服务器的资源。如果迁移的过程处理的小心仔细,那么完全不会中断用户在工作中访问他们所需的资源。ADMT提供了GUI和脚本接口,在域的迁移中它支持以下的一些任务:


用户账号迁移


群组账号迁移


计算机账号迁移


服务账号迁移


信任迁移


Exchange服务器目录迁移


迁移的计算机账号的安全性转换


查看迁移结果的报告功能


不执行和重试最近的迁移


注意:ADMT3.2是不能安装在Windows 2012或者Windows 2012 R2服务器上的。用ADMT去迁移一个Windows 2012域,首先要将ADMT安装在一台Windows2008R2服务器上,将资源域的资源迁移到这台服务器上,然后同步复制到其他的Windows2012的DC上。




迁移的准备工作:


在执行迁移之前,你必须完成几个任务用于准备资源域和目标域。这些任务是:


如果有系统为Vista SP1或者Windows2008R2之前版本的域成员计算机,需要在目标域的DC上配置注册表,允许密码算法与微软的Windows NT4.0操作系统兼容。


在资源域和目标域的DC上启用防火墙规则,允许文件和打印机共享。


准备资源域和目标域,确定用户,群组和用户配置文件将如何处理


建立一个回滚计划


在需要迁移的域之间建立信任关系


在资源域和目标域中启用历史SID迁移


指定用于迁移的服务账号


做一个迁移测试,修复它所报告的错误信息




使用ADMT实现跨林的重建


    跨林重建中需要将不同林中资源域的资源移动到目标域,要使用ADMT实现一个跨林的重建需要执行以下流程:


建立一个重建计划。一个完善的计划对于实施重建是非常重要的,你可以从以下几个方面来完善你的重建计划:


a.确定账号迁移的流程


b.指定对象的位置和位置映射


c.准备一个测试方案


d.建立一个回滚计划


e.建立一个通信计划


准备资源域和目标域。在重建过程前必须对资源域和目标域进行准备动作,需要执行的动作如下:


a.确保在所有DC上使用128位的加密。Windows2000SP3及以上版本的系统本身已支持128位的加密,对于更早版本的操作系统,我们就需要下载并安装单独的加密补丁。


b.建立所需的信任。你必须在资源域和目标域中建立信任关系,至少需要单向信任关系。


c.建立一个迁移账号。ADMT使用迁移账号在资源域和目标域之间迁移对象,你需要保证这些账号在资源域和目标域中有移动和修改对象的权限。


d.确定ADMT是否会自动处理历史SID,如果不会自动处理,那么你必须手动在资源域和目标域中配置。


e.在目标域中的OU结构中做出合适的配置。确保你在目标域中配置了合适的管理权限和委派管理权限。


f.在目标域中安装ADMT


g.启用密码迁移


h.在一个小规模的测试账号组中执行一个迁移测试


迁移账号。迁移账号需要执行以下步骤:


a.迁移服务账号


b.迁移全局组


c.迁移账号。批量迁移用户和计算机账号,并监视迁移的进度。如果正在执行本地配置文件的迁移,迁移首先会影响计算机,然后才会关联到用户账号。


迁移资源。通过以下步骤执行域中剩余资源的迁移:


a.迁移工作站和成员服务器


b.迁移域本地群组


c.迁移域控制器


完成迁移。完成迁移并清理需执行以下步骤:


a.将管理流程转移到目标域


b.确保目标域中至少有两台可用的DC,备份这些DC


c.停用资源域




历史SID属性


    在迁移过程中,你会把用户和群组账号移动到新的域中,但是用户需要访问的资源可能还在旧域中。当你迁移了一个用户账号,AD域服务会给它指派一个新的SID,由于资源域中的资源是基于资源域颁发的SID来授权的,所以在资源被转移到新域之前,用户是无法通过新的SID去访问资源域中的资源的。


    为了解决这个问题,你可以使用ADMT从资源域中把SID迁移到新域,然后将这些SID保存在历史SID的属性中,当历史SID属性被写入时,用户就可以使用之前的SID去访问资源域中的资源了。


    历史SID会增加用户访问票据的大小。将用户迁移到新域后,你需要检查你环境中当前的访问控制列表以及迁移的访问控制列表。一旦迁移完成,初始的域也被移除后,你需要使用powershell命令去清除掉用户的历史SID属性。你在规划和执行这些动作的时候务必要小心,因为在环境未准备好之前移除历史SID会导致企业运转的中断。




ADMT的使用指引


 http://technet.microsoft.com/en-us/library/cc974332(v=WS.10).aspx


本文链接:https://hqyman.cn/post/2694.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:





休息一下,本站随机推荐观看栏目:


作者:hqy | 分类:技术文章 | 浏览:1054 | 评论:0
« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

您的IP地址是: