AD对象的迁移

(2007-11-08 22:13:21)

标签：

 在DC上进行对象(用户、组、OU、计算机）的导入与导出，对于网络管理员来说是一件比较繁锁的任务。管理员常的工具有ADMT、V1、V2、LDIFDE、Addusers等，但各个工具使用的环境及操作的简易程序却大不相同。ADMT工具主要选用于不同域之间的用户等对象的迁移，它的前期准备配置工作比较多（安装ADMT工具、DNS的配置、帐户添加、权限添加），需要满足的条件也比较高。LDIFDE（系统内置工具），它可以在一台DC上进行对象的导出与导入，而且还以进行批量的导出与导入。Addusers可以进行本地帐户的迁移。下面，我们看一下后两个工具的使用方法：

一、使用LDIFDE工具导出与导出域中的对象？

   1.以域管理员的身份登陆到一台DC；

   2.在旧的域控制器上，使用Ldifde工具导出对象（假设旧域名为:Tech.com，DC为TechAD01，新域名为：Deng.com，新DC为DengAD01)

   导出组织单位（OU）：

   C:\>ldifde -f OuList.ldf -s techad01 -d dc=tech,dc=com -p subtree -r "(objectclass=organizationalunit)" -l "dn,managedBy,countryCode,c,description,l,objectClass,ou,postalCode,name,st,street,co"

   导出组：

    C:\>ldifde -f GroupList.ldf -s techad01 -d dc=tech,dc=com -p subtree -r "(objectclass=organizationalunitgroup)" -l "dn,member,info,description,mail,groupType,instanetype,objectClass,,name,samaccountname"

   导出用户：

   C:\>ldifde -f UserList.ldf -s techad01 -d dc=tech,dc=com -p subtree -r "(objectclass=user)" -l "dn,managed,streetaddress,company,countryCode,c,department,displayName,mail,givenName,homeDirectory,homeDrive,instanceType,l,msNPAllowDialin,objectClass,physicalDeliveryOfficeName,postalCode,profilePath,name,sAMAccountName,st,sn,telephoneNumber,co,title,userAccountControl,userPrincipalName"

   3.将保存在C盘上的三个文件：Oulist.ldf、Grouplist.ldf、Userlist.ldf拷贝到另一台DC的C盘上；

   4.使用记事本打开上述三个文件，使用新域的域名与新的DC服务器名字，替换文件中旧的名域名字与旧的DC服务器名字；

   5.在新的DC上，依次运行以下命令导入对象.

   导入组织单元（OU）：

   c:\>ldifde -i -f Oulist.ldf -k

   导入用户：

   c:\>ldifde -i -f Userlist.ldf -k

   导入组：

   c:\>ldifde -i -f Grouplist.ldf -k

  6.用户导入后，基本安全考虑，密码全为空，且已补禁用，设置为“下次登陆必须更改密码”，因此需要手工开启导入的帐户。

二、使用Addusers命令导入与导出本地帐户

   1.在Windows 2000的电脑上导出本地帐户，使用下列命令：

   2.编辑User.txt文件，将所有的用户保存在[User]字段下。并将其字段的所有内容复制到另外一个文件NewUser.txt中，此文件还包括了另外两个字段[Global]和[Local]。

   3.将NewUser.txt文件复制到Windows 2003中，再运行下列命令进行导入：

   4.系统默认将会创建空密码的帐户，需要自己修改用户密码。也可以在命令之后带参数/P，以表示新建的用户帐户的密码是否需要修改、密码过期等方面的内容。 本文转自9pc9com博客，原文链接：   http://blog.51cto.com/215363/799966     如需转载请自行联系原作者