AD用户和密码迁移.docVIP

活动目录用户迁移 环境： sxit-1fbdc93c92.exchange003.local IP: 10.10.1.62 操作系统：windows2000 server x86 目标域 域名：exchange001.local sxit-rh44tr62uu.exchange001.local IP:10.10.1.143 操作系统：windows2003 server x64 目的： 提升为windows server 2003模式 打开Active Directory 域和信任关系，选择提升林功能级别 选择提升为windows server2003模式 到源主机 打开Active Directory用户和计算机，选择属性 在常规选项卡里选择提升为windows2000本机模式（纯模式） 3．在两个DNS上分别建立对方的辅助区域 在目的机器上打开DNS，右击选择新建区域 选择辅助区域 源机器也做同样的操作 打开源机器的DNS，右击本机域名，选择属性 在区域复制选项卡里选择允许区域复制，只允许到下列服务器，填入目的机器IP，确定 在目的机器也做同样的操作 4．建立双向信任关系 在目的机器上打开Active Directory域和信任关系，右击选择属性 在信任选项卡选择新建信任 在这里选择外部信任，若是两个2003系统间的迁移就选林信任 若为2003之间的迁移选全林身份验证 打开源机器的域和信任关系，在属性里选择信任，确定信任已经建立 5．安装密码迁移工具pwdmig 目标域 如果目标域是windows2003家族，则必须修改默认域控制器策略 打开组策略（运行-gpedit.msc） 打开 计算机配置-windows设置-安全设置-本地策略-安全选项 启用：”网络访问：让每个人权限应用于匿名用户” 打开 计算机配置-windows设置-安全设置-本地策略-审核策略-审核帐户管理 如果未设置就把审核这些操作 成功和失败都选上，若已经设置就不用选 将 Everyone 组添加到内置组 Pre-Windows 2000 Compatibility Access 在命令行运行 ：net localgroup Pre-Windows 2000 Compatible Access Everyone /Add 重启域控制器 保存密码文件 安装ADMT2.0,安装文件在光盘i386/admt/ 切换到ADMT的安装目录 运行命令admt key SourceDomainName DriveLetter [Password] 生成密钥文件，密码可选 在这里为：admt key exchange003.local C:\ 把密钥F327KBHH.pes保存在了C盘的根目录下，在这里我并没有设定密码 通过共享方式或者软盘拷贝把密钥拷贝到源机器上 将对方域中的Administrator和Domain Admins加入到本地Administrator组中。 在源机器上同样也要添加 源域 安装pwdmig密码迁移工具 要求选择密钥位置 要求重启 重启后编辑注册表值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa AllowPasswordExport改为1 配置一个新的本地组并将其命名为 sourcedomain$$$，其中 sourcedomain 是源域的 NetBIOS 名称。此组不得包含任何成员 这里为：exchange003$$$ 打开组策略 计算机配置- windows设置- 安全设置- 本地策略- 审核策略 双击审核账户管理 把成功和失败都选上 新建两个本地用户test1,test2 6．迁移 到目标域，打开Active Directory迁移工具，选用户账户迁移向导 选择源域和目标域 添加要迁移的账户 选择目标OU 选择迁移密码，并选择密码迁移源DC 两个用户已经成功迁移过来 用户迁移过来后系统默认要求用户下次登陆要更改密码，若不想更改密码,可以选中用户, 属性-账户，把用户下次登陆必须更改密码勾选掉 深圳深讯信息科技发展股份有限公司 技术支持中心