域使用者遷移适用的兩種方法

在企業域林環境中，域使用者的調動變更情況會經常遇到，面對這樣的棘手問題，我們解決域使用者遷移主要有兩種方法：一種是使用微軟admt2.0工具把域使用者進行遷移；另一種是采取建立新使用者把原有權限複制過來，再把老使用者disable。域使用者遷移對企業應用環境有一定要求，首先要在雙向信任的域環境，域控是windows2003的純環境，而且兩邊的dns伺服器可以互相轉發，我們在做域使用者遷移前必須首先確定應用環境是否滿足需要，然後再建立1個測試使用者用來測試是否能夠成功，這些前期準備工作就緒後我們才能着手去做。

對于第一種方法，我們主要應用于域使用者從别的站點遷移到本地，這個問題解決要靠協商來完成，主要是跟使用者約好時間，一般都在其所在地的管理者去完成，雙方打好招呼，發郵件和使用者做溝通，從什麼時間開始進行，使用者如何去聯系管理者，以及一些注意事項。沒準使用者是個重要的角色，很忙沒有多餘的時間去思考有哪些遺漏的地方，我們要提醒他的是，讓其把伺服器上所有的郵件都下載下傳到筆記本上，幫他把共享盤所需要的檔案拷貝一下，檢查一遍他的筆記本是否正常工作，大約花上半個小時完成這些準備工作。等到那邊把他的賬戶disable之後，我們這邊就可以開始接手使用者帳号的遷移，在域控上運作ad遷移工具，使用遷移向導開始遷移，我們需要注意的是遷移要放在帶寬流量穩定的時候，最後在域控之間複制前半個小時，這樣很快能夠生效。我們enable帳号之後，重置密碼，使用該賬戶登入本地，檢查是否有不妥之處，由于兩邊的policy的差異，很有可能會讓使用者不習慣，我們要做的就是降低對使用者的影響，多測試一下使用者環境。由于域使用者遷移是有很大的風險，我們要冷靜處理盡快解決，及時和那邊的管理者保持溝通，等到使用者使用3個工作日都沒問題，我們才能把這個遷移工作結束。

還有一種方法相對比較簡單一些，在老域和新域之間互相信任之後，在新域建立新使用者名，跟老域的使用者不重名，兩者之間建立雙向信任關系，可以被看作是同一個人。這樣的好處是可以使用域使用者遷移的工具來完成，降低操作域控的風險，但是由于使用者的sid值不一樣，會導緻使用者一部分權限丢失，影響到使用者的應用，我們要幫使用者去克服這些困難。通常情況下，我們很難讓使用者繼承之前所有的權限，我們可以在group組中把新使用者名加進去，為了不影響正常使用，我們要按照對等的方法去執行這種遷移。有這種情況，使用者隻是對調3個月，或是過來完成某個項目，我們為避免登入緩慢或是加載腳本出錯，可以使用這種方法來解決。

不管哪種方法都存在一定的風險，企業會根據實際情況選擇域使用者的遷移，我們對比二者的不同之處，各有優劣，我們在做使用者遷移之前，通過在ie中導出一份使用者的私人證書來解決使用者某些加密或是通路權限丢失的問題。我們還要做好詳細記錄，分析每次域使用者遷移發生的問題，總結其中的規律，讓域使用者的遷移能夠正确有效地執行。