ADMT3.1快速遷移域使用者賬戶和組[為企業維護windows server 2008系列十四]

weixin_34377065發表於2009-11-21
WindowsServer
在windows server 2008 的AD維護工作中,我們可能需要將當前域的使用者賬戶和組轉移到另外一個域中(這個動作我們稱之為遷移)。
在雅利安星際疫苗接種公司工作的windows 網路管理員號稱不重疫苗也能頂的靈靈狗同志,正在為一件棘手的工作事件發愁。
雅利安公司因為研製出可以成功抵禦十全星際流感的疫苗,在整個銀河系名聲大震,巴斯股(3009年最火爆的星際股市)也一路狂漲。同時,兼併了太陽系的喜馬拉雅驢友公司。
喜馬拉雅公司的精英研發部門“珠穆朗瑪二部”也被收編進了雅利安公司的研發部。因為所有的資源管理都是基於活動目錄的,所以靈靈狗同志需要將“珠穆朗瑪二部”的所有員工賬戶和組遷移轉移到雅利安公司的域下。
在查詢了無所不知的位於雅利安星球的知識古樹後,靈靈狗撥通了遠在銀河系另一端的地球村的AD客戶支援部的售後電話。
按照客服妹妹的指導,靈靈狗使用Hyper-V3009快速的搭建起了虛擬的評估環境。具體如下:
2
靈靈狗同志看完客服妹妹同步過來的的指導文件後很順利的使用域管理員在喜馬拉雅公司的project.com域上登入了。
開啟“Active dircetory 域和信任關係”,可以看到兩個域,現在要把屬於project.com的域使用者賬戶和組(原喜馬拉雅公司)移動到bj.project.com(雅利安公司)
3
具體的賬戶可以通過下圖看到,在 “_Demo”OU 中有user1 、 manager 兩個使用者和group組,其中user1屬於group組。
1
在確認了上面三點要素後,客服妹妹發來了專門的遷移工具 ADMT3.1 (2008的活動目錄遷移,必須使用ADMT3.1版本的工具3.0是不行的。客服妹妹很細心的邊指導邊解釋著。)
在妹妹的指導下,靈靈狗開啟了巢狀在管理工具中的 “Active dircetory 遷移工具”,並右鍵點選。
4
在出現的如上圖的選項中,選擇了使用者賬戶遷移向導。
5
第一步需要設定使用者賬戶遷移的源(project.com)和目標(bj.project.com).
6
第二步從源域(project.com)中選擇需要遷移的使用者賬戶
7 
第三步:選擇要轉移到的目標域中的目標OU(靈靈狗夠靈的,已經在妹妹的提示下提前在目標域建立了用於存放轉移過來的使用者賬戶的專用OU“target”)
8
第四步:此時靈靈狗同志看不明白了,不敢輕易選擇。(客戶妹妹及時的做了提點:此時您需要選擇轉移動作時的使用者選項,比如使用者的配置檔案、許可權以及相關的組是否要一起遷移到目標域去,如果要一起遷移這些屬性的話,請您勾選。)靈靈狗毫不猶豫的勾選了。
9
第五步:衝突設定:本項預設就幫您選擇了,也就是說當做使用者賬戶轉移動作時如果檢測到目標OU中有相同的使用者賬戶那麼就不會做轉移的動作。
來保證目標域原有的使用者賬戶不會被替換而導致資料丟失。(客服妹妹繼續耐心的解釋著……)
10
第六步:點選完成後開始轉移賬戶
11
完成後會出現一個完成報告,通過下面的報告,您可以看到已經成功轉移了剛剛的兩個使用者賬戶和一個組。
12
通過檢視日誌可以看到更加詳細的轉移資訊如下:
[設定節]
任務: 使用者遷移(1)
ADMT 控制檯
    使用者:       PROJECT\Administrator
    計算機:   shanghai.project.com (SHANGHAI)
        域:     project.com (PROJECT)
        OS:         Windows Server (R) 2008 Enterprise 6.0 (6001) Service Pack 1
源域
    名稱:   project.com (PROJECT)
    DC:     shanghai.project.com (SHANGHAI)
        OS:     Windows Server? 2008 Enterprise 6.0 (6001) Service Pack 1
    OU:    
目標域
    名稱:   bj.project.com (BJ0)
    DC:     bj.bj.project.com (BJ)
        OS:     Windows Server? 2008 Enterprise 6.0 (6001) Service Pack 1
    OU:     LDAP://bj.project.com/OU=traget,DC=bj,DC=project,DC=com
林內: 是
更新權利: 是
轉換漫遊配置檔案: 是
固定組成員身份: 是
衝突選項: 忽略
遷移組: 是
更新已遷移的物件: 否
遷移服務帳戶: 是
[物件遷移節]
2009-11-21 17:02:23 啟用帳戶複製程式。
2009-11-21 17:02:26 從屬於成員的全域性組刪除 CN=manager (LDAP://shanghai.project.com/CN=manager,OU=_DEMO,DC=project,DC=com):
2009-11-21 17:02:26 將 LDAP://shanghai.project.com/CN=manager,OU=_DEMO,DC=project,DC=com 移到 LDAP://bj.bj.project.com/CN=manager,ou=traget,dc=bj,dc=project,dc=com
2009-11-21 17:02:27 已更新 CN=manager 的使用者權利
2009-11-21 17:02:27 從屬於成員的全域性組刪除 CN=user1 (LDAP://shanghai.project.com/CN=user1,OU=_DEMO,DC=project,DC=com):
2009-11-21 17:02:27     從 LDAP://shanghai.project.com/CN=group,OU=_DEMO,DC=project,DC=com 上刪除 LDAP://shanghai.project.com/CN=user1,OU=_DEMO,DC=project,DC=com
2009-11-21 17:02:27 將 LDAP://shanghai.project.com/CN=user1,OU=_DEMO,DC=project,DC=com 移到 LDAP://bj.bj.project.com/CN=user1,ou=traget,dc=bj,dc=project,dc=com
2009-11-21 17:02:27 已更新 CN=user1 的使用者權利
2009-11-21 17:02:27 從屬於成員的全域性組刪除 CN=group (LDAP://shanghai.project.com/CN=group,OU=_DEMO,DC=project,DC=com):
2009-11-21 17:02:27 將 LDAP://project.com/CN=group,OU=_DEMO,DC=project,DC=com 移到 LDAP://bj.bj.project.com/CN=group,ou=traget,dc=bj,dc=project,dc=com
2009-11-21 17:02:27 已更新 CN=group 的使用者權利
2009-11-21 17:02:28 正在將成員更新到組 CN=group (LDAP://bj.bj.project.com/CN=group,ou=traget,dc=bj,dc=project,dc=com)。
2009-11-21 17:02:28 為 CN=user1 (LDAP://bj.bj.project.com/CN=user1,ou=traget,dc=bj,dc=project,dc=com) 重新建立組成員身份。
2009-11-21 17:02:28 將 LDAP://bj.bj.project.com/CN=user1,ou=traget,dc=bj,dc=project,dc=com 重新新增到 LDAP://bj.bj.project.com/CN=group,ou=traget,dc=bj,dc=project,dc=com 中
2009-11-21 17:02:29 完成操作。
最終開啟目標域(bj.project.com )雅利安公司的 “Active dircetory 使用者和計算機”可以看到被成功轉移過來的使用者賬戶和組。
13
通過這次事件,靈靈狗同志除了掌握了使用者賬戶的遷移方法外,又有了一個新的思路:以後域控制器物理升級的時候,也可以用ADMT(活動目錄遷移工具)來將舊DC上的資料遷移到新的DC上來實現DC的升級。
 
                                                                                                                                          宋   楊
                                                                                                                             2009年11月21日於西安

相關文章