迁移对象、SID过滤实验.docVIP

ADMT Ver3优于Ver2，用Ver3可避免一些操作错误。 **建议安装Windows Resource Kit Tools，其中的acctinfo.dll对验证账户SID_histroy很有帮助。****具体用法： 安装Rktools后，在其目录下的acctinfo.all复制到”%windir%\system32\” 下 开始〉运行（Alt+R）输入：regsvr32 %windir%\system32\acctinfo.dll” 卸载：”regsvr32 /u ……”**视情况可选安装ADAM，具体工具使用方法可登陆微软Technet或工具自带帮助文件。**我用的Virtual PC2007搭建的虚拟环境 **本步骤实验为基础，并结合ADMT v3.0帮助文档写成，所有步骤本人已经验证通过。环境 三台Windows server 2003 SP2 Ent域服务器，两台Windows XP perfessional SP2客户端，在一个网络/24中。目的：把一个域中的用户和组迁移到另一台域中，保证登录密码不能变，访问权限不能变。下面开始这个试验的细节步骤。请仔细阅读。1. 三个域，分别是、和。（我这里做的DC是为了做网关，其实网关指向自己也应可以，但其他实验也要用，就做了；为了方便记忆，把源域配置成，目标域配置成，，希望大家能看懂 J）。域控制器分别是：Gateway domain controller;source domain controller.和destination domain controller. 在很多情况下，都是从windows2000 server迁移到windows server 2003，不过这两种环境下的操作没有太多的不同。 两台客户机，都安装xp sp2 cn.以后我们将配置成和。具体配置如列表1： ? ???VPC (win svr 2003) ???(win svr 2003)? ????(win svr 2003) ???(?xp) ???(xp?) ??IP?? /24 ??0/24?? ??00/24?? ??1/24?? ??10/24?? ??Admin password? ??P@ssw0rd ??P@ssw0rd ?P@ssw0rd ??Null ??Null ??DNS ???? ???? ??0?? ??00?? 备用DNS Null 00 0 这是第4步的设置 因为我用的重新封装，所以密码设成一样了，注意DC的密码复杂度的要求。PC没有设置密码。 安装AD的时候，连同DNS一起安装(AD,WINS,DNS,DHCP)2. 在系统安装基本完成后添加一些OU,user, group。列表2： ? ??? ???? ??? ??OU?? ?oldou?? ??newou?? ??User?password? ?olduser0,?olduser1,olduser2,olduser3??Olduser!! ??newuser1??Newuser!! ??Security group?? ??oldgroupp?? ? ??? 把olduser1,olduser2和olduser3添加到oldgroup中 3. 把两台PC分别加入域，并且用各自域的administrator登入。在中新建文件夹oldgroup并在其中新建oldgroup.txt，赋予oldgroup组Full Control, 再新建文件夹onlyuser3，并在其中新建olduser3.txt，赋予olduser1,olduser2 Readonly和olduser3 Full Control。 用olduser*分别登录oldxp，在oldgroup.txt和olduser3.txt中写入: “olduser*在迁移前修改”.(只读的当然不能改了)，保存. 这里olduser0是验证权限用，其余四个用户（olduser1,olduser2,olduser3和newuser1）用于验证SID History。4. 配置olddc和newdc的dns，设置条件转发，如表1。这一步在接下来的信任域中是很有用的。5. 在两台DC中插入windows server2003系统盘，安装SUPPORT\TOOLS\ SUPTOOLS.MSI，这其中有接下来需要的程序命令netdom。这个命令用于配置域信任属性。在中安装Active Direct