AD域迁移实施

时间:2022-06-05 01:04:23
AD域迁移实施架构
现有AD架构

AD域迁移实施

整合后AD架构

AD域迁移实施

AD迁移整合实施概述

 1、保留现有的林根域,域名contoso.com保留不变;

 2、保留现有dev.contoso.com子域不变;

3、将opr.contoso.com子域的用户、组、计算机等资源迁移到dev.contoso.com;

4、优化现有的组策略配置,按企业要求配置相应的安全策略;

注意风险点:迁移的源域账户和目标域账户同步冲突问题

AD数据迁移实施
AD准备

1)   使用Windows Server Backup备份源(opr.contoso.com)和目标 (dev.contoso.com)DC的系统状态;;

2)   Opr.contoso.com的DNS正向查找区域属性中设置允许dev.contoso.com服务器进行区域复制;

3)   Dev.contoso.com的DNS正向查找区域属性中设置允许opr.contoso.com服务器进行区域传送;

4)   在源域opr.contoso.com的DNS上新建dev.contoso.com域的DNS辅助区域;

5)   同样步骤在目标域dev.contoso.com域上建立opr.contoso.com域的DNS辅助区域;

6)   打开dev.contoso.com的AD域和信任关系,在域属性-信任中新建域信任,和opr.contoso.com建立双向域信任关系;

7)   点击dev.contoso.com属性,查看信任关系是否已经建立;

8)   在目标域中按照源域的OU架构创建相应的OU,用于存放从源域迁移过来的用户、组和计算机;

9)  要执行迁移,您必须是安装有 ADMT 的计算机上的Builtin\Administrators 组成员。

10)  要迁移用户,您必须是源域和目标域中的Builtin\Administrators 组成员。

11)  要迁移计算机,您必须是源域和目标域中的Administrators 组成员以及每台要迁移的计算机上的 Administrators 组成员。

12)  要与 SID 历史一起迁移,您必须是源域中的 Administrators 组成员以及目标域中的 Domain Admins 组成员。

13)  一个满足上述所有权限的简单做法:

a. 在目标域的DC上,把源域的Domain Admins组加入目标域的Administrators组;

b. 在源域的DC上,把目标域的Domain Admins组加入源域的Administrators组;

c.把ADMT安装在目标域的成员服务器上,要执行迁移时,在ADMT计算机上用属于源域的内置Administrator帐号登录源域,然后执行迁移操作。

安装ADMT

AD域迁移实施

 




禁用SID Filtering

要配置源域和目标域以从 Active Directory 域迁移 SID 历史,请完成以下过程:

1)在源域中创建支持审核的本地组

在源域中,创建本地安全组DomainA$$$。不要向此组中添加成员;否则,SID 历史迁移将失败。

2)在目标域的DC上运行以下命令:

Netdom Trust dev /domain:opr /quarantine:no /userd:administrator /passwordd:(目标域密码)

确认得到提示:The command completed successfully.

配置密码迁移

执行林内迁移时,可以使用密码导出服务器 (PES) 服务迁移密码。PES 服务可以安装在支持 128 位加密(Win2000 SP3后就支持)的源域中的任何域控制器中。源域中的 PES 服务安装需要加密密钥,但您必须在目标域中运行 Active Directory 迁移工具 v3 (ADMT v3) 的计算机上创建加密密钥。

1)在安装ADMT的目标域DC上创建加密密钥

进入命令行中,输入下列内容:

Admt key /option:create /sourcedomain: opr.contoso.com /keyfile:C:\admt_key /keypassword:1qaz@WSX

2)在源域中配置 PES 服务

a. 把ADMT计算机上生成的c:\admt\admt.pes文件以及PES目录(默认%windir%\ADMT\PES)复制到源域中将要运行 PES 服务的域控制器。

b. 运行 Pwdmig.msi。在“需要密钥密码”对话框中提供创建密钥时给出的密码,单击“下一步”。


AD域迁移实施

AD域迁移实施

c. 在选择运行 PES 服务所使用的帐户时不要使用Local System帐号,请指定内置Administrator帐号。

d. 安装完成后,重新启动服务器;

e.服务器重新启动后,若要启动 PES 服务,请指向“开始”,指向“所有程序”,指向“管理工具”,然后单击“服务”。在详细信息窗格中,右键单击“Password Export Server Service”,然后单击“启动”。

注意:请只在迁移密码时运行 PES 服务。完成密码迁移后请停止 PES 服务。

设置组策略

1)   在目标域中和源域中启用审核

AD域迁移实施

2)   迁移XP需要在源域和目标域启用两个组策略,否则迁移XP会失败;

迁移win7和win8则不需要启用,一定要关闭,否则迁移会失败。

Default Domain Controller policy :

Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options/Network Access: Named Pipes that can be accessed anonymously, 添加

Computer Configuration/Policies/Administrative Templates/System/Net Logon - 'Allow cryptography algorithms compatible with Windows NT 4.0'

迁移全局组-无用户迁移

不要在峰值工作时间期间迁移全局组。全局组迁移过程可能会消耗大量网络资源和目标域中域控制器上的资源。

全局组迁移涉及执行以下步骤:

1.  管理员在源域中选择全局组对象。

2.  在目标域中创建新全局组对象,并且在目标域中为该对象创建新的主安全标识符 (SID)。

3.  为了保留资源访问权限,Active Directory 迁移工具 (ADMT) 会将源域中全局组的 SID 添加到目标域中新全局组的 SID 历史属性中。

迁移后,会在源域和目标域中记录事件。

AD域迁移实施

域选择:

在“源”下面的“域”下拉列表中,键入或选择源域的 NetBIOS 或域名系统 (DNS) 名称。在“域控制器”下拉列表中,键入或选择域控制器名称,或选择任何域控制器。

在“目标”下面的“域”下拉列表中,键入或选择目标域的 NetBIOS 或 DNS 名称。在“域控制器”下拉列表中,键入或选择域控制器名称,或选择任何域控制器,然后单击“下一步”。

组选择:

单击“从域中选择组”,然后单击“下一步”。在“组选择”页中,单击“添加”以选择源域中您想要迁移的组,单击“确定”,然后单击“下一步”。

组织单位选择:

键入组织单位 (OU) 的名称,或者单击“浏览”。

在“浏览容器”对话框中,在目标域中查找要将全局组移动到其中的容器,然后单击“确定”。

组选项

单击“将组 SID 迁移到目标域”。

确保未选择所有其他选项。

AD域迁移实施

用户帐户:

键入在源域中具有管理权限的帐户的用户名、密码和域。

对象属性排除:

清除“从迁移中排除具体对象的属性”复选框。

AD域迁移实施

冲突管理:

单击“在目标域中检测到冲突时不迁移源对象”。

AD域迁移实施

迁移完成:

迁移用户账户:

内置帐户(如 Administrators、Users 和 Power Users)不能是 Active Directory 迁移工具 (ADMT) 的迁移对象。因为内置帐户安全标识符 (SID) 在每个域中都相同,所以将这些帐户迁移到目标域将导致单个域中出现重复的 SID。域中的每个 SID 都必须是唯一的。已知帐户(如 Domain Admins 和 Domain Users)也不能是 ADMT 迁移对象。

域选择:

在“源”下面的“域”下拉列表中,键入或选择源域的 NetBIOS 或域名系统 (DNS) 名称。在“域控制器”下拉列表中,键入或选择域控制器名称,或选择任何域控制器。

在“目标”下面的“域”下拉列表中,键入或选择目标域的 NetBIOS 或 DNS 名称。在“域控制器”下拉列表中,键入或选择域控制器名称,或选择任何域控制器,然后单击“下一步”。

用户选择:

单击“从域中选择用户”,然后单击“下一步”。在“用户选择”页上,单击“添加”在源域中选择要在当前批中迁移的用户,单击“确定”,然后单击“下一步”。

组织单位选择:

确保 ADMT 列出正确的目标 OU。如果列出的不正确,则键入正确的 OU,或者单击“浏览”。

在“浏览容器”对话框中,查找目标域和 OU,然后单击“确定”。

密码选项:

单击“不要更新现有用户的密码”。

AD域迁移实施

单击“生成复杂密码”。

帐户转换选项:

在“目标帐户状态:”中,单击“禁用目标帐户”。

选中“将用户 SID 迁移到目标域”复选框。

AD域迁移实施

用户帐户

键入在源域中具有管理凭据的用户帐户的用户名、密码和域。

用户选项:

选中“转换漫游配置文件”复选框。

清除“更新用户权利”复选框。

清除“迁移相关联的用户组”复选框。

选中“修复用户的组成员身份”复选框。

AD域迁移实施

对象属性排除:

清除“从迁移中排除具体对象的属性”复选框。

AD域迁移实施

冲突管理:

单击“在目标域中检测到冲突时不迁移源对象”。

确保没有选中“在合并之前删除现有目标帐户的用户权利”和“将已合并对象移动到指定的目标组织单位”复选框。

AD域迁移实施

迁移完成: