[分享] admt

1、源域和目标域建立双向外部信任（设置DNS）；
2、将目标域的域功能级别提升到Windows 2000本机模式或以上；
3、将源域和目标域的域管理员或“DOMAIN ADMINS”组，分别添加到对方的ADMINISTRATORS本地域组；
4、在目标域上启用匿名访问（域控制器策略中-安全设置-本地策略-安全选项-“网络访问：让everyone组的权利用到匿名用户”，启用。）；
5、在源域和目标域各自的“域控制器策略”--“审核策略”--“审核帐户管理”中设置审核“成功、失败”，如果这步没做的话ADMT向导会提示完成该设置；
6、源域创建一个本地组——“域名$$$”，首次迁移SID过程，ADMT向导提示完成。
7、在目标域中把Everyone组放入“Pre-Windows 2000Compatible Access"组；
8、在目标域上运行 “admt key 源域名 路径”，路径用于存放密码导出密钥文件。文件名后缀为：.pes
9、将生成的密码导出密钥文件复制到源域DC上，并在该DC上安装“密码迁移DLL”软件——在2003光盘的\I386\ADMT\PWDMIG目录中运行一个文件名为PWMIG.EXE的程序。
10、修改源域DC的注册表——HKLM\System\CurrentControllSet\Control\LSA下面有一个名字为AllowPasswordExport的记录项，把这个值由0改成1。并创建以个新的REG_DWORD值项（双字节值），名为TcpipClientSupport，把这个值也设为1（以上两值如果没有建立，第一次迁移向导会做出提示，并帮助你建立，因为迁移SID历史需要以上设置）。设置好后需要重新启动计算机。

关闭SID筛选：
安装SUPPORT TOOLS
Netdom trust <源域名> /domain:<目标域名> /quarantine:NO /usero:<源域管理员帐号> /passwordo:<源域管理员帐号>