林内域或者林间域之间的账户、计算机迁移---实际操作经验.docx

林内域或者林间域之间的账户、计算机迁移 经过本人试验，觉得初期准备工作是很重要的。项目开始前请大家一定要做好基础架构调研、需求确认、制定初步计划并预留一定的buffer时间。要知道外接因素和环境因素是瞬息万变的：） 父域与子域之间默认是信任的，有天在想父子域之间的用户是否可以任意登陆，问了两同事，说法都不一样。有个同事是说是可以互相登陆的，但是自己一直想是否能登陆呢，个人认为不能，可又不能让自己信服。 做了个父子域，两台客户机，XP SP3 域控 WINDOWS 2003 假设主域为hxfx.local，子域为z00w00.hxfx.local 客户机xp1加入父域，客户机xp2加入子哉，父域中有一个用户为pang.ding，子域中有一个用户为z00w00.ding。 现提问： 1、在xp2中用z00w00.ding登陆到hxfx.local是否成功? 然后在xp2中用z00w00.ding登陆到z00w00.hxfx.local 是否成功？ 2、在xp1中用z00w00.ding登陆到z00w00.hxfx.local 是否成功？ 在xp1中用z00w00.ding登陆到hxfx.local是否成功？ 如果默认父域用户无法在子域中登录？有没有通过其他办法完成呢？ 答案： 1、不可以 可以 2、可以 不可以 假设有这么情况，公司A（)收购了公司B(), a和b先前都是独立森林里的根域，现在要将b公司的域树（)迁移到a公司并做子域（),请问如何操作，还有怎么保证中的用户和计算机的数据不会丢失，谢谢！ 不可能直接进行合并，只能通过森林间迁移实现。 森林 森林 1. 建立子域 2. 建立与的信任 3. 执行到的用户和计算机迁移 4. 森林离线 5. 建立子域 6. 执行到的用户和计算机的迁移 后面有3个pdf，一个是这个帖子的，一个是另外收集修改的详细图文步骤，还有一个是微软官方出的最佳实践操作手册，方便查阅。 源域：Windows Server 2003 DC （域名DomainA.com，NetBIOS域名DomainA）目标域（新建域）：Windows Server 2003 DC （域名DomainB.com，NetBIOS域名DomainB)要求：平滑迁移，用户在迁移过程中始终能访问源域的资源 注意：以下步骤都是以这个环境为中心展开的，如果环境不一样，需根据具体情况调整相应步骤。一． ADMT迁移之前的准备工作?1. 为了更好的降低风险，备份源域DC、要迁移的服务器、VIP客户机（比如领导的）和目标域DC的系统状态和系统盘数据（系统盘数据中包括本地用户配置文件），步骤如下：a. 单击开始，指向程序，指向附件，指向系统工具，然后单击备份。?b. 取消选择“总是以向导模式运行”，单击“取消”关闭备份工具，重新打开备份工具。c. 单击备份选项卡。?d. 单击以选中C:（假设系统盘为C：）、系统状态。如果是Exchange Server，还需选中Microsoft Exchange Server\ServerName\Microsoft Information Store。e. 指定备份媒体或文件名，开始备份。?2. 在开始迁移之前，请执行如下的测试迁移步骤：创建测试用户，将该测试用户添加到合适的全局组，然后在迁移之前和之后验证资源的访问权限。3. 对利用加密文件系统 (EFS) 方式加密的文件进行解密。解密加密文件失败将导致迁移后无法访问加密文件。请确保告知最终用户必须解密所有加密的文件，否则他们将无法访问那些文件。?4. 请确保要从中迁移对象的每个域中的系统时间都是同步的。时间偏差将导致 Kerberos 身份验证失败。二． 为迁移配置环境1． 配置源域和目标域以满足迁移需求1）请验证是否建立了相应的信赖关系。推荐在源帐户域和目标域之间建立双向信任关系，使源域和目标域相互信任。但最少源域要信任目标域。 如下图 应该是要按AGDLP来实施，用户才可以登录2）为执行迁移任务分配相应的凭据：要执行迁移，您必须是安装有 ADMT 的计算机上的Builtin\Administrators 组成员。?要迁移用户，您必须是源域和目标域中的Builtin\Administrators 组成员。?要迁移计算机，您必须是源域和目标域中的Administrators 组成员以及每台要迁移的计算机上的 Administrators 组成员。?要与 SID 历史一起迁移，您必须是源域中的 Administrators 组成员以及目标域中的 Domain Admins 组成员。 com 的 domain admins 同时是B.CN和C.B.CN的本地 administrato