AD對象的遷移

(2007-11-08 22:13:21)

标簽：

 在DC上進行對象(使用者、組、OU、計算機）的導入與導出，對于網絡管理者來說是一件比較繁鎖的任務。管理者常的工具有ADMT、V1、V2、LDIFDE、Addusers等，但各個工具使用的環境及操作的簡易程式卻大不相同。ADMT工具主要選用于不同域之間的使用者等對象的遷移，它的前期準備配置工作比較多（安裝ADMT工具、DNS的配置、帳戶添加、權限添加），需要滿足的條件也比較高。LDIFDE（系統内置工具），它可以在一台DC上進行對象的導出與導入，而且還以進行批量的導出與導入。Addusers可以進行本地帳戶的遷移。下面，我們看一下後兩個工具的使用方法：

一、使用LDIFDE工具導出與導出域中的對象？

   1.以域管理者的身份登陸到一台DC；

   2.在舊的域控制器上，使用Ldifde工具導出對象（假設舊域名為:Tech.com，DC為TechAD01，新域名為：Deng.com，新DC為DengAD01)

   導出組織機關（OU）：

   C:\>ldifde -f OuList.ldf -s techad01 -d dc=tech,dc=com -p subtree -r "(objectclass=organizationalunit)" -l "dn,managedBy,countryCode,c,description,l,objectClass,ou,postalCode,name,st,street,co"

   導出組：

    C:\>ldifde -f GroupList.ldf -s techad01 -d dc=tech,dc=com -p subtree -r "(objectclass=organizationalunitgroup)" -l "dn,member,info,description,mail,groupType,instanetype,objectClass,,name,samaccountname"

   導出使用者：

   C:\>ldifde -f UserList.ldf -s techad01 -d dc=tech,dc=com -p subtree -r "(objectclass=user)" -l "dn,managed,streetaddress,company,countryCode,c,department,displayName,mail,givenName,homeDirectory,homeDrive,instanceType,l,msNPAllowDialin,objectClass,physicalDeliveryOfficeName,postalCode,profilePath,name,sAMAccountName,st,sn,telephoneNumber,co,title,userAccountControl,userPrincipalName"

   3.将儲存在C槽上的三個檔案：Oulist.ldf、Grouplist.ldf、Userlist.ldf拷貝到另一台DC的C槽上；

   4.使用記事本打開上述三個檔案，使用新域的域名與新的DC伺服器名字，替換檔案中舊的名域名字與舊的DC伺服器名字；

   5.在新的DC上，依次運作以下指令導入對象.

   導入組織單元（OU）：

   c:\>ldifde -i -f Oulist.ldf -k

   導入使用者：

   c:\>ldifde -i -f Userlist.ldf -k

   導入組：

   c:\>ldifde -i -f Grouplist.ldf -k

  6.使用者導入後，基本安全考慮，密碼全為空，且已補禁用，設定為“下次登陸必須更改密碼”，是以需要手工開啟導入的帳戶。

二、使用Addusers指令導入與導出本地帳戶

   1.在Windows 2000的電腦上導出本地帳戶，使用下列指令：

   2.編輯User.txt檔案，将所有的使用者儲存在[User]字段下。并将其字段的所有内容複制到另外一個檔案NewUser.txt中，此檔案還包括了另外兩個字段[Global]和[Local]。

   3.将NewUser.txt檔案複制到Windows 2003中，再運作下列指令進行導入：

   4.系統預設将會建立空密碼的帳戶，需要自己修改使用者密碼。也可以在指令之後帶參數/P，以表示建立的使用者帳戶的密碼是否需要修改、密碼過期等方面的内容。 本文轉自9pc9com部落格，原文連結：   http://blog.51cto.com/215363/799966     如需轉載請自行聯系原作者