迁移用户帐户
在迁移WNB-ACCT-ROW域中的组之后,就可以使用ADMT v2来迁移该域中的用户了。目录服务管理员在组迁移成功完成之后立即迁移用户帐户。
确认用户帐户迁移的前提条件
在不以任何方式提交或修改域数据的域中,ADMT v2提供了执行试验性迁移的能力。这种测试迁移特性可以检查ADMT v2执行迁移的前提条件在源域和目标域中是否得到了满足。与组迁移一样,Woodgrove Bank迁移团队决定手动确保ADMT前提条件在两方域中都得到满足。该迁移团队还使用ADMT命名冲突报告来识别同时存在于源域和目标域中的用户帐户和组。
操作说明:
执行此任务的角色:目录服务管理员
迁移团队同样在执行用户帐户迁移之前手动检查以下事项。
1. 源域中已安装用于密码迁移的128位高强度加密包。
2. 源域PDC上已设置HKLM\System\CurrentControlSet\Control\Lsa\TcpipClientSupport注册表值。
3. 源域和目标域已在迁移SIDHistory时启用了审核。
4. 已在迁移SIDHistory时创建了本地组sourcedomain$$$。
5. 已在迁移密码时在密码导出服务器上设置了HKLM/System/CurrentControlSet/Control/Lsa\AllowPasswordExport注册表值。
6. 密码导出服务器在目标域中拥有匿名访问权限。
7. 密码导出服务器已经安装并且可以访问。
为了在Active Directory域迁移工具中生成命名冲突报告,需要执行以下过程:
1. 运行迁移工作站上的“Active Directory域迁移工具”。
2. 右键单击“Active Directory迁移工具”,选择“报告向导”。
3. 使用下表中的信息完成“报告向导”。在没有提供相应信息时则使用默认设置。
向导页
操作
域选择
源域:WNB-ACCT-ROW
目标域:WNB-ACCT-A
表31. 运行“报告向导”时的向导响应
4. 要查看命名冲突报告,请展开“Active Directory迁移工具”下面的“报告”节点,选择“命名冲突报告”
操作说明结束
执行试验性的用户帐户迁移
执行试验性用户帐户迁移以确保选定的迁移选项能产生需要的最终状态;这些选项包括用户命名、目标OU、冲突解决,以及SIDHistory迁移。迁移过程涉及选择50个用户,并将它们从WNB-ACCT-ROW迁移到corp.woodgrovebank.comActive Directory。需要对试验性迁移执行彻底评估,以确保迁移是成功的,结果是符合预期的。这些用户将从最终用户帐户迁移中排除。
操作说明:
执行此任务的角色:目录服务管理员
试验性用户帐户迁移使用下表中定义的设置来执行。
1. 运行迁移工作站上的“Active Directory域迁移工具”。
2. 右键单击“Active Directory迁移工具”,选择“用户帐户迁移向导”。
3. 使用下表中的信息来完成“用户帐户迁移向导”。在没有提供相应信息时请接受默认设置。
向导页
操作
测试或做出更改
立即迁移吗?
域选择
源域:WNB-ACCT-ROW
目标域:WNB-ACCT-A
用户选择
单击“添加”,然后单击“高级”。
单击“立即查找”,并添加前50个USERXXXXX用户。
组织单位选择
Migrated Objects\WNB-ACCT-ROW\Users OU
密码选项
迁移密码。
选择“PES (NYC-WO-DC-01)”
帐户迁移选项
目标帐户状态:“禁用目标帐户”。
选择“将用户SID迁移到目标域”。
用户帐户
WNB-ACCT-A\ADMT_WNB-ACCT-A
用户选项
选择“修复用户的组成员关系”。
选择“不重命名帐户”。
命名冲突
选择“忽略冲突帐户,并且不迁移”。
表32. 运行“试验性用户帐户迁移向导”时的向导响应
操作说明结束
执行用户帐户迁移
ADMT v2使用如下表所示的选项来配置,其中包括迁移SIDHistory、在迁移OU中创建用户,以及在发生冲突时重命名对象。
任务
值
首先执行测试迁移
成功
目标OU
Migrated Objects\WNB-ACCT-ROW\Users
迁移SIDHistory
True
更新用户权限
False
密码迁移
True
转换漫游配置文件
False
修复用户的组成员关系
True
冲突帐户
不迁移
日志文件
日志文件将由目录服务管理员检查,并在一个中央位置进行
表 33. Woodgrove Bank用户帐户迁移选项
操作说明:
执行此任务的角色:目录服务管理员
实际的用户帐户迁移与试验性迁移使用相同的设置来执行,只不过以下设置除外:
向导页
操作
测试或做出更改
“立即迁移”
用户选择
添加除在试验性迁移中迁移的前50个USERXXXXX帐户之外的其他所有用户。
表34. 运行“用户帐户迁移向导”时的向导响应
操作说明结束
ADMT v2命令行用户帐户迁移
由于用户迁移涉及如此大量的用户对象,因此Woodgrove Bank迁移团队使用ADMT v2命令行和脚本选项来迁移用户帐户是有意义的。下表提供了表32中定义的所有操作和对应的命令行操作参数的列表。
这些选项将附加到ADMT USER命令上。
任务
命令行操作
域选择
/SD:”WNB-ACCT-ROW”
/TD:”WNB-ACCT-A”
用户选择
/EF:”C:\PilotUsers.txt”
组织单位选择
/TO:“Migrated Objects/WNB-ACCT-ROW/Users”
密码选项
/PO:COPY
/PS:”NYC-WO-DC-01”
帐户迁移选项
/MSS:YES
/DOT
ISABLETARGET
用户选项
/FGM:YES
/RO
ONT
命名冲突
/CO:IGNORE
表35. 用户迁移命令行选项
注意:文件PilotUsers.txt包含了在试验性迁移中迁移的前50个用户的列表。这些用户将从实际的用户迁移中排除。
成功地执行命令将产生一条“operation completed”(操作已完成)消息。如果在输入命令之后没有出现该消息,需要检查迁移日志来了解关于已发生的故障的更多信息。
也可以使用CreateGroupMigration组件对象模型(COM)对象来执行此迁移。
迁移帐户
需要使用用户帐户管理器来将源域中的多个帐户合并为单个目标用户帐户。如果某个Woodgrove Bank雇员在WNB-ACCT-A和WNB-ACCT-ROW域中分别拥有一个帐户,就需要进行帐户合并。为了将用户帐户合并为单个Active Directory用户对象,需要向该对象添加一个附加的SIDHistory 属性。
