作業環境:利用2000 Server 建立cymc.com、2003 Server 建立camel.com
cymc.com - camel.com
- camel.com => 192.168.0.1(PC1)
- cymc.com => 192.168.0.2(PC2)
==================================================
ADMT的用途
使用 ADMT 將使用者、群組和電腦從一個網域遷移到另一個網域,並且分析實際執行遷移程序之前以及之後會造成的影響。您可以在來源或目標網域 (Windows 2000、Windows Server 2003 或 Microsoft Windows XP) 的任何上級成員中安裝和執行 ADMT。 然而,最單純的設定是在目標樹系的網域控制站上安裝與執行 ADMT。
建立信任
- 將來源網域設定為信任目標網域。
- 將目標網域設定為信任來源網域。
- 因為作業環境上的關係,dcpromo時,精靈會一起建立。
- 確認信任是否建立完成,以camel.com為例說明,【AD網域及信任】 ->點選【camel.com】右鍵內容->標籤的【信任】->欲檢查的信任關係->內容->標籤的【一般】->【確認】或是利用者用者登入網域檢查,假如信任關係已經建立完成,那cymc.com的使用者一定可以登入camel.com,不過因為PC1和PC2是網域控制站,除了是Enterprise admin外,還必須先給予(允許本機登入)的權限才可以登入。
- 將來源網域的 Domain Admins 全域群組,新增至目標網域的系統管理員本機群組。
- 將目標網域的 Domain Admins 全域群組,新增至來源網域的系統管理員本機群組。
- 目標網域的網域系統管理員權限。
- 來源網域中的系統管理員群組成員。
- 您所遷移的每部電腦上的系統管理員權限。
- 每部轉譯安全性之電腦上的系統管理員權限。
- 在來源網域上啟用使用者和群組管理成功與失敗的稽核。
- 在目標網域的「預設網域控制站」原則中,啟用稽核帳戶管理成功與失敗的稽核。
- 已2003的路徑為例,系統管理工具 => 網域控制站安全性原則 => 安全性設定 => 本機原則 => 稽查原則 => 啟動稽查帳戶管理;搬移過程,在事件檢查簿裡可以看見類別目錄的帳戶管理資料。
登錄檔
在來源網域的 PDC 上,將 AllowPasswordExport:REG_DWORD:0x1 (即設為1)數值新增至下列登錄機碼:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
- 這樣在搬移的過程中,使用者的密碼才能一起搬過去目標網域。
- 沒有的話,請自行新增。
- 目標網域必須為2003或200純綷模式才可執行,預設為2000混合模式。
- 在建立AD時,必須選取「與Window 2000 伺服器前版伺服器相容」=> 允許匿名使用者帳號可以存取網域資訊,以及用來複製本機原則;或是將 Everyone 系統群組新增到目標網域上的 Pre-Windows 2000 Compatible Access 群組上。如果未執行此動作,則 ADMT 會記錄「拒絕存取」錯誤。若要執行此動作,請在目標網域控制站上使用「Active Directory 使用者和電腦」嵌入式管理單元,或在命令提示字元下使用下列語法:NET LOCALGROUP "Pre-Windows 2000 Compatible Access" Everyone /ADD。
- 變更群組成員後,必須確保Everyone群組權限套用至匿名者,系統管理工具 => 網域控制站安全性原則 => 安全性設定 => 安全性選項 => 啟用"網路存取:讓Everyone權限套用到匿名使用者"。
- ADMT的ReadMe說明,這資料裡有許多已經發生過的實例錯誤,非常具有參考價值,實作時一定要詳讀,減少錯誤的發生。
- Microsoft Windows Server 2003 Active Directory 技術寶典 CH7 這本書裡面也介紹的非常詳細,唯一的缺點是全部都是文字,讀起來會比較累。
HOW TO:在 Windows Server 2003 中建立對 Windows NT 網域的信任
如何設定 ADMT 以便將 Windows NT 4.0 遷移至 Windows Server 2003
Microsoft Windows Server 2003 Active Directory 技術寶典 CH7
2003 Server 安裝光碟裡,ADMT的ReadMe說明
沒有留言:
張貼留言