轉自:http://angerfire.blog.51cto.com/198455/231185
在windows server 2008 的AD維護工作中,我們可能需要將當前域的用戶賬戶和組轉移到另外一個域中(這個動作我們稱之爲遷移)。
在雅利安星際疫苗接種公司工作的windows 網絡管理員號稱不重疫苗也能頂的靈靈狗同志,正在爲一件棘手的工作事件發愁。
雅利安公司因爲研製出可以成功抵禦十全星際流感的疫苗,在整個銀河系名聲大震,巴斯股(3009年最火爆的星際股市)也一路狂漲。同時,兼併了太陽系的喜馬拉雅驢友公司。
喜馬拉雅公司的精英研發部門“珠穆朗瑪二部”也被收編進了雅利安公司的研發部。因爲所有的資源管理都是基於活動目錄的,所以靈靈狗同志需要將“珠穆朗瑪二部”的所有員工賬戶和組遷移轉移到雅利安公司的域下。
在查詢了無所不知的位於雅利安星球的知識古樹後,靈靈狗撥通了遠在銀河系另一端的地球村的AD客戶支持部的售後電話。
按照客服妹妹的指導,靈靈狗使用Hyper-V3009快速的搭建起了虛擬的評估環境。具體如下:
靈靈狗同志看完客服妹妹同步過來的的指導文檔後很順利的使用域管理員在喜馬拉雅公司的project.com域上登錄了。
打開“Active dircetory 域和信任關係”,可以看到兩個域,現在要把屬於project.com的域用戶賬戶和組(原喜馬拉雅公司)移動到bj.project.com(雅利安公司)
具體的賬戶可以通過下圖看到,在 “_Demo”OU 中有user1 、 manager 兩個用戶和group組,其中user1屬於group組。
在確認了上面三點要素後,客服妹妹發來了專門的遷移工具 ADMT3.1 (2008的活動目錄遷移,必須使用ADMT3.1版本的工具3.0是不行的。客服妹妹很細心的邊指導邊解釋着。)
在妹妹的指導下,靈靈狗打開了嵌套在管理工具中的 “Active dircetory 遷移工具”,並右鍵點擊。
在出現的如上圖的選項中,選擇了用戶賬戶遷移向導。
第一步需要設置用戶賬戶遷移的源(project.com)和目標(bj.project.com).
第二步從源域(project.com)中選擇需要遷移的用戶賬戶
第三步:選擇要轉移到的目標域中的目標OU(靈靈狗夠靈的,已經在妹妹的提示下提前在目標域創建了用於存放轉移過來的用戶賬戶的專用OU“target”)
第四步:此時靈靈狗同志看不明白了,不敢輕易選擇。(客戶妹妹及時的做了提點:此時您需要選擇轉移動作時的用戶選項,比如用戶的配置文件、權限以及相關的組是否要一起遷移到目標域去,如果要一起遷移這些屬性的話,請您勾選。)靈靈狗毫不猶豫的勾選了。
第五步:衝突設置:本項默認就幫您選擇了,也就是說當做用戶賬戶轉移動作時如果檢測到目標OU中有相同的用戶賬戶那麼就不會做轉移的動作。
來保證目標域原有的用戶賬戶不會被替換而導致數據丟失。(客服妹妹繼續耐心的解釋着……)
第六步:點擊完成後開始轉移賬戶
完成後會出現一個完成報告,通過下面的報告,您可以看到已經成功轉移了剛剛的兩個用戶賬戶和一個組。
通過查看日誌可以看到更加詳細的轉移信息如下:
[設置節]
任務: 用戶遷移(1)
ADMT 控制檯
用戶: PROJECT\Administrator
計算機: shanghai.project.com (SHANGHAI)
域: project.com (PROJECT)
OS: Windows Server (R) 2008 Enterprise 6.0 (6001) Service Pack 1
源域
名稱: project.com (PROJECT)
DC: shanghai.project.com (SHANGHAI)
OS: Windows Server? 2008 Enterprise 6.0 (6001) Service Pack 1
OU:
目標域
名稱: bj.project.com (BJ0)
DC: bj.bj.project.com (BJ)
OS: Windows Server? 2008 Enterprise 6.0 (6001) Service Pack 1
OU: LDAP://bj.project.com/OU=traget,DC=bj,DC=project,DC=com
林內: 是
更新權利: 是
轉換漫遊配置文件: 是
固定組成員身份: 是
衝突選項: 忽略
遷移組: 是
更新已遷移的對象: 否
遷移服務帳戶: 是
[對象遷移節]
2009-11-21 17:02:23 啓用帳戶複製程序。
2009-11-21 17:02:26 從屬於成員的全局組刪除 CN=manager (LDAP://shanghai.project.com/CN=manager,OU=_DEMO,DC=project,DC=com):
2009-11-21
17:02:26 將
LDAP://shanghai.project.com/CN=manager,OU=_DEMO,DC=project,DC=com 移到
LDAP://bj.bj.project.com/CN=manager,ou=traget,dc=bj,dc=project,dc=com
2009-11-21 17:02:27 已更新 CN=manager 的用戶權利
2009-11-21 17:02:27 從屬於成員的全局組刪除 CN=user1 (LDAP://shanghai.project.com/CN=user1,OU=_DEMO,DC=project,DC=com):
2009-11-21
17:02:27 從
LDAP://shanghai.project.com/CN=group,OU=_DEMO,DC=project,DC=com 上刪除
LDAP://shanghai.project.com/CN=user1,OU=_DEMO,DC=project,DC=com
2009-11-21
17:02:27 將
LDAP://shanghai.project.com/CN=user1,OU=_DEMO,DC=project,DC=com 移到
LDAP://bj.bj.project.com/CN=user1,ou=traget,dc=bj,dc=project,dc=com
2009-11-21 17:02:27 已更新 CN=user1 的用戶權利
2009-11-21 17:02:27 從屬於成員的全局組刪除 CN=group (LDAP://shanghai.project.com/CN=group,OU=_DEMO,DC=project,DC=com):
2009-11-21
17:02:27 將 LDAP://project.com/CN=group,OU=_DEMO,DC=project,DC=com 移到
LDAP://bj.bj.project.com/CN=group,ou=traget,dc=bj,dc=project,dc=com
2009-11-21 17:02:27 已更新 CN=group 的用戶權利
2009-11-21 17:02:28 正在將成員更新到組 CN=group (LDAP://bj.bj.project.com/CN=group,ou=traget,dc=bj,dc=project,dc=com)。
2009-11-21 17:02:28 爲 CN=user1 (LDAP://bj.bj.project.com/CN=user1,ou=traget,dc=bj,dc=project,dc=com) 重新建立組成員身份。
2009-11-21
17:02:28 將
LDAP://bj.bj.project.com/CN=user1,ou=traget,dc=bj,dc=project,dc=com
重新添加到
LDAP://bj.bj.project.com/CN=group,ou=traget,dc=bj,dc=project,dc=com 中
2009-11-21 17:02:29 完成操作。
最終打開目標域(bj.project.com )雅利安公司的 “Active dircetory 用戶和計算機”可以看到被成功轉移過來的用戶賬戶和組。
通過這次事件,靈靈狗同志除了掌握了用戶賬戶的遷移方法外,又有了一個新的思路:以後域控制器物理升級的時候,也可以用ADMT(活動目錄遷移工具)來將舊DC上的數據遷移到新的DC上來實現DC的升級。