實戰背景
微軟河北技術支援中心 更新了其硬體以增加其網絡帶寬和可以支援的複制流量。結果,該公司需要将其sjz.ess.com 域整合到其 ess.com 域中。然後删除sjz.ess.com子域。
sjz.ess.com域是源域,ess.com 域是遷移的目标域。該組織總共需要将 10 個使用者從 sjz.ess.com域遷移到ess.com域。除使用者帳戶之外,該組織還必須遷移一些資源,如工作站、伺服器群組。
由于 微軟河北技術支援中心 是一家具有許多全局組的大型組織,是以很難識别封閉集。是以,公司決定将全局組作為通用組進行遷移。公司之是以可以這樣做是因為該公司的基礎結構可以處理增加的通用組複制,而且還因為ess.com和sjz.ess.com 域運作于 Windows 2000 純模式功能級别。公司在 ess.com和 sjz.ess.com 域中建立了相同的組織機關 (OU) 結構。是以,他們不必建立新的 OU 結構或遷移 OU。
公司決定使用 Active Directory 遷移工具 (ADMT) 作為其遷移工具并将使用向導。
在林中重構 Active Directory 域涉及到以特定順序遷移域對象,進而確定使用者可以繼續通路資源。圖9-3顯示了在 Active Directory 域之間遷移域對象的過程。
<a href="http://91xueit.blog.51cto.com/attachment/201302/22/400469_1361493365QKtb.gif"></a>
圖 9-3 域之間遷移對象的過程
若要保護系統避免在林内重構 Active Directory 域時出現開放集合問題,請在遷移屬于組成員的使用者帳戶之前遷移組。如果在遷移使用者的同時遷移組,則可能不遷移嵌套組,這将建立開放集合。
此外,請遵循下列遷移組的指導原則:
u 首先遷移通用組,然後是全局組。
u 當遷移域本地組在其上用于配置設定權限的資源(域控制器和成員伺服器)時,請遷移域本地組。
u 您可以選擇在重構過程中稍後當遷移計算機時遷移計算機本地組。
遷移通用組
從源域到目标域遷移通用組而不同時遷移作為這些組的成員的使用者。遷移不帶使用者的通用組有助于防止開放集問題。安全辨別符 (SID) 曆史允許組成員基于通用組成員身份繼續通路資源。将通用組遷移到目标域時,它們在源域中已不存在。
如果要遷移少數通用組,則可在遷移全局組的同時遷移通用組。
可以通過使用 Active Directory 遷移工具 (ADMT) 管理單元、ADMT 指令行選項或腳本遷移通用組。
遷移全局組
将全局組(不含成員)從源域遷移到目标域,以防止出現開放集問題。如果源域具有 Windows 2000 本機模式的功能級别或更進階别,則将全局組遷移至目标域後,全局組将在源域中消失。
由于全局組隻包含來自其各自域的成員,則您無法将它們從一個域遷移到另一個域。遷移全局組時,Active Directory 遷移工具 (ADMT) 将全局組更改為通用組。目标域中的通用組在源域中保留全局組的安全辨別符 (SID) 曆史記錄,這使得使用者在遷移全局組後可繼續通路源域中的資源。将全局組的所有成員從源域遷移到目标域後,ADMT 會将通用組改回目标組。
由于内置組和已知全局組已存在于目标域中,是以在遷移中您不必包括這些組。如果為遷移選擇内置組或已知的全局組,則 ADMT 不會遷移該組。相反,ADMT 将在日志中做記錄并繼續遷移其他全局組。
使用組帳戶遷移向導遷移全局組的過程與遷移通用組的過程相同。
完成全局組遷移過程後,請使用“Active Directory 使用者和計算機”驗證全局組是否已成功遷移。驗證全局組不再存在于源域中,且這些組出現于在遷移過程中指定的組織機關 (OU) 中的目标域。如果全局組仍具有源域中的成員,全局組列為目标域中的通用組。若要檢視通用組的成員清單,請右鍵單擊該組,單擊“屬性”,然後單擊“成員”頁籤。列出全局組的原始成員。然而,請注意使用者帳戶尚未遷移。
如果在林内遷移期間遷移使用者帳戶,但沒有遷移源域中包含這些使用者帳戶的全局組,則 ADMT 仍然會更新源域中的全局組。ADMT 将從源域中的全局組的成員身份中删除已遷移使用者帳戶,因為全局組隻能包括源域中的成員。是以,遷移後使用者可能無法繼續通路源域中的資源,因為它們不再是這些組的成員。
可以使用 ADMT 管理單元、ADMT 指令行選項或腳本遷移全局組。
ADMTv3.0支援Windows Server 2003活動目錄遷移,ADMTv3.1支援Windows Server 2008活動目錄遷移。
ADMT3.1下載下傳網址:
<a href="http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=ae279d01-7dca-413c-a9d2-b42dfb746059">http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=ae279d01-7dca-413c-a9d2-b42dfb746059</a>
以下操作将使用ADMT将sjz.ess.com子域的使用者和其相關的全局組遷移到父域ess.com。
步驟:
1. 以企業管理登入到DCServer上,因為目錄林的enterprise Admins組在林中的所有域中預設有管理者權限。
2. 如圖9-4所示,輕按兩下ADMTv3.1安裝檔案,在出現的歡迎使用Active Directory遷移工具安裝向導對話框,點選“下一步”。
3. 如圖9-5所示,在出現的許可協定對話框,選擇“我同意”,點選“下一步”。
圖 9-4 安裝ADMT 圖 9-5 安裝ADMT
4. 如圖9-6所示,在出現的客戶體驗改善計劃對話框,選擇“現在不想加入該計劃”,點選“下一步”。
5. 如圖9-7所示,在出現的資料庫選擇對話框,選擇“使用本地SQL Server 2005 Express Edition”,點選“下一步”。
圖 9-6 安裝ADMT 圖 9-7 資料庫選擇
6. 如圖9-8所示,在出現的資料庫導入向導對話框,選擇“否,不從現有資料庫導入資料”,點選“下一步”,
7. 如圖9-9所示,在出現的已成功安裝Active Directory遷移工具3.1對話框,點選“完成”。
圖 9-8 資料庫導入 圖 9-9 完成ADMT安裝
8. 如圖9-10所示,使用Active Directory使用者和計算機管理工具,連接配接到子域sjz.ess.com,可以看到在該域有王少靜、張玉華和羅中華三個使用者,這三個使用者屬于G_石家莊教育訓練部全局組。
9. 如圖9-11所示,點選“開始”à“程式”à“管理工具”à“Active Directory遷移工具”。
圖 9-10 子域中的要遷移的使用者群組 圖 9-11 打開遷移工具
10. 如圖9-12所示,右擊Active Directory遷移工具,點選“組帳戶遷移向導”。
11. 如圖9-13所示,在出現的歡迎使用組帳戶遷移向導對話框,點選“下一步”。
圖 9-12 組帳戶遷移 圖 9-13 組帳戶遷移向導
13. 如圖9-15所示,在出現的組選擇選項對話框,選中“從域中選擇組”,點選“下一步”。
圖 9-14 選擇域 圖 9-15 選擇組
14. 如圖9-16所示,在出現的選擇組對話框,點選“添加”。
15. 如圖9-17所示,在出現的選擇組對話框,輸入G_石家莊教育訓練部,點選“确定”。
圖 9-16 添加要遷移的組 圖 9-17 選擇組
16. 如圖9-18所示,在出現的組織機關選擇對話框,點選“浏覽”。
17. 如圖9-19所示,在出現的浏覽容器對話框,點中“教育訓練部”,點選“确定”。
圖 9-18 選擇目标組織單元 圖 9-19 選擇組織單元
18. 如圖9-20所示,在出現的組織機關選擇對話框,點選“下一步”。
19. 如圖9-21所示,在出現的組選項對話框,選中“更新使用者權利”,“複制組成員”,點選“下一步”。
圖 9-20 指定目标組織單元 圖 9-21 遷移組成員
20. 如圖9-22所示,在出現的警告對話框,點選“确定”。
21. 如圖9-23所示,在出現的沖突管理對話框,選擇“在目标域中檢測到沖突時不遷移對象”,點選“下一步”。
圖 9-22 提示 圖 9-23 沖突管理
22. 如圖9-24所示,在出現的完成組帳戶遷移向導對話框,點選“完成”。
23. 如圖9-25所示,在出現的遷移進度對話框,可以看到遷移的使用者群組的數量,點選“關閉”。
圖 9-24 完成組遷移 圖 9-25 遷移進度
24. 如圖9-26所示,在此打開Active Directory使用者和計算機,連接配接到子域sjz.ess.com,可以看到子域的使用者群組都被遷移到父域,在子域就不存在了。
25. 如圖9-27所示,在此打開Active Directory使用者和計算機,連接配接ess.com域,可以看到遷移過來的使用者群組。
圖 9-26 源域對象被遷移 圖 9-27 遷移到目标域的使用者群組
26. 如圖9-28所示,打開遷移過來的組G_石家莊教育訓練部的成員,可以看到遷移過來的使用者仍然在該組。
<a href="http://91xueit.blog.51cto.com/attachment/201302/22/400469_1361493387pY9t.png"></a>
圖 9-28 組成員也被遷移過來
ADMT還可以遷移域中的計算機,以下步驟将會把父域ess.com的計算機BJPC遷移到sjz.ess.com域。注意:在這裡BJPC是Windows 7作業系統。
27. 如圖9-29所示,在BJPC上,右擊“計算機”,點選“屬性”。
28. 如圖9-30所示,在打開的系統屬性對話框,可以看計算機全名BJPC.ess.com,所屬的域ess.com。
圖 9-29 打開計算機屬性 圖 9-30 檢視計算機所屬的域
29. 如圖9-31所示,在BJPC上點選“開始”à“運作”,輸入wf.msc,點選“确定”。
30. 如圖9-32所示,打開進階安全Windows 防火牆,可以看到域配置檔案是活動的,點選“Windows防火牆屬性”。
圖 9-31 打開防火牆管理工具 圖 9-32 活動的配置檔案
31. 如圖9-33所示,在出現的進階安全Windows 防火牆對話框,在域配置檔案,狀态設定為“關閉”。點選“應用”。因為在遷移計算機帳戶時遷移工具需要在被遷移的計算機上安裝遷移代理軟體,為了保證能安裝遷移代理軟體,需要關閉進階安全Windows防火牆。
32. 如圖9-34所示,打開Active Directory使用者和計算機,可以看到ess.com域教育訓練部組織單元中BJPC的計算機賬号。
圖 9-33 關閉防火牆 圖 9-34 可以看大BJPC在ess.com域
33. 如圖9-35所示,打開Active Directory遷移工具,右擊“Active Directory遷移工具”,點選“計算機遷移向導”。
34. 如圖9-36所示,在出現的歡迎使用計算機遷移向導對話框,點選“下一步”。
圖 9-35 打開計算機遷移向導 圖 9-36 運作計算機遷移向導
35. 如圖9-37所示,在出現的域選擇對話框,輸入源域,選擇域控制器,輸入目标域,選擇域控制器,點選“下一步”。
36. 如圖9-38所示,在出現的計算機選擇選項對話框,選擇“從域中選擇計算機”,點選“下一步”。
圖 9-37 選擇源域和目标域 圖 9-38 選擇要遷移的計算機
37. 如圖9-39所示,在出現的計算機選項對話框,點選“添加”。
38. 如圖9-40所示,在出現的選擇計算機對話框,輸入BJPC,點選“确定”。
圖 9-39 選擇計算機 圖 9-40 浏覽計算機
39. 如圖9-41所示,在出現的組織單元選擇對話框,點選“浏覽”。
40. 如圖9-42所示,在出現的浏覽容器,選擇“教育訓練部門”,點選“确定”。
圖 9-41 選擇目标組織單元 圖 9-42 選擇組織單元
41. 如圖9-42所示,在選擇組織單元後,點選“下一步”。
42. 如圖9-43所示,在出現的轉換對象對話框,點選“下一步”。
圖 9-43 指定目标組織單元 圖 9-44轉換對象
43. 如圖9-45所示,在出現的計算機選項對話框,輸入計算機重新開機等待時間,點選“下一步”。
44. 如圖9-46所示,在出現的對象屬性排除,點選“下一步”。
圖 9-45 設定重新開機時間 圖 9-46 對象屬性排除
45. 如圖9-47所示,在出現的沖突管理對話框,選擇“在目标域中檢測到沖突時不遷移源對象”,點選“下一步”。
46. 如圖9-48所示,在出現的完成計算機遷移向導對話框,點選“完成”。
圖 9-47 沖突管理 圖 9-48完成計算機遷移向導
47. 如圖9-49所示,在出現的遷移進度對話框,可以看到遷移計算機數量。
48. 如圖9-50所示,之後出現的Active Directory遷移工具代理對話框,選擇“運作預檢查和代理操作”,點選“開始”。
圖 9-49 遷移進度 圖 9-50 安裝代理
49. 如圖9-51所示,可以看到預檢查和代理操作均成功。
50. 如圖9-52所示,在看BJPC,出現提示Windows 将在2分鐘内關閉。
圖 9-51 安裝代理成功 圖 9-52 用戶端提示需要重新開機
51. 如圖9-53所示,重新開機完成後可以,打開BJPC可以看到計算機全名BJPC.sjz.ess.com域是sjz.ess.com。
52. 如圖9-54所示,打開Active Directory使用者和計算機,可以看到遷移過來的計算機帳戶。
圖 9-53 檢視計算機所屬的域 圖 9-54 遷移的計算機帳戶
本文轉自 onesthan 51CTO部落格,原文連結:http://blog.51cto.com/91xueit/1137489,如需轉載請自行聯系原作者
![Windows下配置Apache的SSL服務[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)