如何使用 Active Directory 遷移工具(第 2 版)從 Windows 2000 遷移到 Windows Server 2003
<script type="text/javascript">function loadTOCNode(){}</script>文章編號 | : | 326480 |
最後修改 | : | 2006年5月10日 |
修訂 | : | 8.0 |
概要
<script type="text/javascript">loadTOCNode(1, 'summary');</script>更多信息
<script type="text/javascript">loadTOCNode(1, 'moreinformation');</script>注意:本文假設源域是基於 Windows 2000 的域,目標域是 Windows 2000 或更高版本純模式中基於 Windows Server 2003 的域。
如何設置 ADMT 以便從 Windows 2000 遷移到 Windows Server 2003
<script type="text/javascript">loadTOCNode(2, 'moreinformation');</script> 您可以將 Active Directory 遷移工具版本 2 安裝在運行 Windows 2000 或更高版本的任何計算機上,這些版本包括:• | Microsoft Windows 2000 Professional |
• | Microsoft Windows 2000 Server |
• | Microsoft Windows XP Professional |
• | Microsoft Windows Server 2003 |
內聯目錄林遷移
<script type="text/javascript">loadTOCNode(3, 'moreinformation');</script> 內聯目錄林遷移不需要任何特殊的域配置。用於運行 ADMT 的帳戶必須有足夠的權限才能執行 ADMT 要求的操作。例如,該帳戶必須有在源域中刪除帳戶以及在目標域中創建帳戶的權限。內聯目錄林遷移是一項移動操作,而不是複製操作。在移動之後,被遷移的對象在源域中就不再存在了,因此,可以說這些遷移是破壞性的。由於是移動對象而不是複製對象,所以互聯目錄林遷移中的有些可選操作會自動執行。尤其是,sIDHistory 和密碼在所有內聯目錄林遷移過程中都會自動遷移。
互聯目錄林遷移
<script type="text/javascript">loadTOCNode(3, 'moreinformation');</script> 要正常運行 ADMT,需要有以下權限:• | 源域中的管理員權限。 |
• | 要遷移的每臺計算機上的管理員權限。 |
• | 要轉換其安全性的每臺計算機上的管理員權限。 |
用於運行 ADMT 的帳戶必須具有足夠的權限才能完成所需任務。該帳戶必須有在目標域和組織單元中創建計算機帳戶的權限,而且必須是要遷移的每臺計算機上的本地管理組的成員。
用戶和組遷移
<script type="text/javascript">loadTOCNode(3, 'moreinformation');</script> 您必須將源域配置爲信任目標域,或者,您也可以將目標域配置爲信任源域。雖然這可能很容易配置,但完成 ADMT 遷移對此並無要求。可選遷移任務的要求
<script type="text/javascript">loadTOCNode(3, 'moreinformation');</script> 您可以通過以“測試”模式運行“用戶遷移向導”並選擇遷移 sIDHistory 選項來自動完成以下任務。用於運行 ADMT 的用戶帳戶必須是源域和目標域中的管理員,這樣自動配置才能成功。警告:註冊表編輯器或其他方法使用不當可能導致嚴重問題。這些問題可能需要重新安裝操作系統。Microsoft 不能保證您可以解決這些問題。修改註冊表需要您自擔風險。
1. | 在名爲 %sourcedomain%$$$ 的源域中新建一個本地組。此組中不能有任何成員。 |
2. | 在“默認域控制器”策略中,啓用用於審覈這兩種域上“審覈”帳戶管理的成功與失敗的審覈功能。 |
3. | 通過在源域中使用 DWORD 值 1 配置“PDC 模擬器”的以下註冊表項來配置源域,讓 RPC 可以訪問 SAM。
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/LSA/TcpipClientSupport
進行完此更改後,必須重新啓動“PDC 模擬器”。 |
您可以通過安裝運行於 LSA 環境的 DLL 來啓用互聯目錄林密碼遷移。在這個受保護的環境中運行時,操作系統就會阻止以明文形式查看密碼。DLL 的安裝由 ADMT 創建的密鑰保護,並且必須由管理員安裝。
若要安裝密碼遷移 DLL,請按照下列步驟操作:
1. | 以管理員或具備同等權限的身份登錄裝有 ADMT 的計算機。 |
2. | 在命令提示符下,運行 ADMT KEY sourcedomainpath [* | password] 命令創建密碼導出密鑰文件 (.pes)。在此示例中,sourcedomain 是源域的 NetBIOS 名稱,path 是創建密鑰的文件路徑。路徑必須是本地路徑,但可以指向可移動介質,例如,軟盤驅動器、ZIP 驅動器或可寫的光盤介質。如果您在命令末尾鍵入可選密碼,ADMT 會用該密碼保護 .pes 文件。如果您鍵入星號 (*),ADMT 會提示您輸入密碼,並且在您鍵入密碼時系統不會響應。 |
3. | 將在步驟 2 中創建的 .pes 文件移動到源域中指定的“密碼導出服務器”。該“密碼導出服務器”可以是任何域控制器,但是它一定要能夠快速、可靠地鏈接到運行 ADMT 的計算機。 |
4. | 通過運行 Pwmig.exe 工具在“密碼導出服務器”上安裝“密碼遷移 DLL”。Pwmig.exe 位於 Windows Server 2003 安裝介質上的 I386/ADMT 文件夾中,或位於從 Internet 下載 ADMT 的文件夾中。 |
5. | 當系統提示您指定在步驟 2 中創建的 .pes 文件的路徑時,請予以指定。此路徑必須是本地文件路徑。 |
6. | 完成安裝後,必須重新啓動服務器。 |
7. | 如果您已準備好遷移密碼,請修改以下註冊表項,使其 DWORD 值爲 1。爲了獲取最大安全性,請在準備好進行遷移時再完成此步驟。
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/LSA/AllowPasswordExport
|
有關 ADMT 的更多信息,請訪問下面的 Microsoft 網站:
這篇文章中的信息適用於:
• | Microsoft Windows Server 2003 Standard Edition |
• | Microsoft Windows Server 2003 Enterprise Edition |
• | Microsoft Windows Server 2003 Datacenter Edition |
• | Microsoft Windows Server 2003 64-bit Enterprise Edition |
• | Microsoft Windows Server 2003, Datacenter Edition for 64-Bit Itanium-Based Systems |
• | Microsoft Windows 2000 Server |
• | Microsoft Windows 2000 Advanced Server |
關鍵字: |
kbactivedirectory kbhowto kbmigrate KB326480 |