活動目錄遷移

活動目錄（Active Directory）是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目錄服務。（Active Directory不能運作在Windows Web Server上，但是可以通過它對運作Windows Web Server的計算機進行管理。）Active Directory存儲了有關網絡對象的資訊，并且讓管理者和使用者能夠輕松地查找和使用這些資訊。Active Directory使用了一種結構化的資料存儲方式，并以此作為基礎對目錄資訊進行合乎邏輯的分層組織。

　　Microsoft Active Directory 服務是Windows 平台的核心元件，它為使用者管理網絡環境各個組成要素的辨別和關系提供了一種有力的手段。

　　在Windows系統中，活動目錄（AD）的遷移，是一件經常會遇到的問題，本文介紹了AD遷移所需要一些步驟。

　　1、在目标域上建立雙向信任關系。

　　2、在目标域上關閉SID篩選

　　源域: old.com

　　目标域:net.com

　　Netdom trust old.com /domain:net.com /quar

antine:NO

　　/usero:old\administrator /password:*

　　3、在目标域上安排ADMT工具。

　　4、在目标域上運作指令行ADMT KEY生成.pes檔案(密碼不是源域管理者的密碼，而是保護pes檔案的密碼)

　　admt key old.com c:\*

　　5、将目标域上的.pes檔案複制到源域上。

　　6、在目标域上修改域控制器的安全政策，将稽核帳戶管理改成“成功”和“失敗”。在源域上也是同樣如此。完成後運作政策重新整理工具。

　　7、在目标域的“AD使用者和計算機”裡面修改一個組，在Bulitin容器下的“Pre-Windows 2000 compatible access"，并将anonymous login;everyone兩種使用者加入到其組中。

　　8、在源域上安裝密碼導出工具設定密碼導出，在安裝過程中找到複制過來的.pes檔案即可。完成後要修改系統資料庫，否則無法使用密碼導出工具。

　　(1)開啟密碼導出功能：HKEY Local_machine\system\currentcontrolset\control\LSA下面的"AllowpasswordExport"鍵值，将0改為1;

　　(2)允許ADMT工具通路SAM資料庫：HKEY Local_machine\system\currentcontrolset\control\LSA下面的建立DWORD類型的鍵值，名稱為"Tcpipclientsupport"将值設定為1。并重新啟動計算機。

　　9、在目标域使用ADMT工具進行使用者和計算機的遷移，并使用LDP監視SIDHistory。

     本文轉自ttzztt 51CTO部落格，原文連結：http://blog.51cto.com/tianzt/156988，如需轉載請自行聯系原作者