如何使用 Active Directory 遷移工具(第 2 版)從 Windows 2000 遷移到 Windows Server 2003
<script type="text/javascript">function loadTOCNode(){}</script>| 文章編號 | : | 326480 |
| 最後修改 | : | 2006年5月10日 |
| 修訂 | : | 8.0 |
重要說明:本文包含了有關修改註冊表的信息。修改註冊表之前,一定要先進行備份,並且一定要知道在發生問題時如何還原註冊表。有關如何備份、還原和修改註冊表的更多信息,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
<script type="text/javascript">
var sectionFilter = "type != 'notice' && type != 'securedata' && type != 'querywords'";
var tocArrow = "/library/images/support/kbgraphics/public/en-us/downarrow.gif";
var depthLimit = 10;
var depth3Limit = 10;
var depth4Limit = 5;
var depth5Limit = 3;
var tocEntryMinimum = 1;
</script>
<script src="/common/script/gsfx/kbtoc.js??4" type="text/javascript"></script>
256986 (http://support.microsoft.com/kb/256986/) Microsoft Windows 註冊表說明
概要
<script type="text/javascript">loadTOCNode(1, 'summary');</script>本文介紹如何設置 Active Directory 遷移工具 (ADMT),從基於 Microsoft Windows 2000 的域遷移到基於 Microsoft Windows Server 2003 的域。
更多信息
<script type="text/javascript">loadTOCNode(1, 'moreinformation');</script>您可以使用 ADMT 將用戶、組、計算機從一個域遷移到另一個域,並在實際進行遷移過程的前後分析遷移的影響。
注意:本文假設源域是基於 Windows 2000 的域,目標域是 Windows 2000 或更高版本純模式中基於 Windows Server 2003 的域。
安裝 ADMT 的計算機必須是源域或目標域的成員。
內聯目錄林遷移是一項移動操作,而不是複製操作。在移動之後,被遷移的對象在源域中就不再存在了,因此,可以說這些遷移是破壞性的。由於是移動對象而不是複製對象,所以互聯目錄林遷移中的有些可選操作會自動執行。尤其是,sIDHistory 和密碼在所有內聯目錄林遷移過程中都會自動遷移。
您在將基於 Windows 2000 的域遷移到基於 Windows Server 2003 的域之前,必須建立一些域並進行安全配置。計算機遷移和安全轉換不需要任何特殊域配置。但是,要遷移的每臺計算機都必須具有管理性共享,即 C$ 和 ADMIN$。
用於運行 ADMT 的帳戶必須具有足夠的權限才能完成所需任務。該帳戶必須有在目標域和組織單元中創建計算機帳戶的權限,而且必須是要遷移的每臺計算機上的本地管理組的成員。
警告:註冊表編輯器或其他方法使用不當可能導致嚴重問題。這些問題可能需要重新安裝操作系統。Microsoft 不能保證您可以解決這些問題。修改註冊表需要您自擔風險。
注意:對於 Windows 2000 域,用於運行 ADMT 的帳戶必須有源域和目標域的域管理員權限。對於 Windows Server 2003 目標域,可以委派“遷移 sIDHistory”。有關更多信息,請參見 Windows Server 2003 幫助和支持。
您可以通過安裝運行於 LSA 環境的 DLL 來啓用互聯目錄林密碼遷移。在這個受保護的環境中運行時,操作系統就會阻止以明文形式查看密碼。DLL 的安裝由 ADMT 創建的密鑰保護,並且必須由管理員安裝。
若要安裝密碼遷移 DLL,請按照下列步驟操作:
若要下載 ADMT,請訪問下面的 Microsoft 網站:
有關 ADMT 的更多信息,請訪問下面的 Microsoft 網站:
注意:本文假設源域是基於 Windows 2000 的域,目標域是 Windows 2000 或更高版本純模式中基於 Windows Server 2003 的域。
如何設置 ADMT 以便從 Windows 2000 遷移到 Windows Server 2003
<script type="text/javascript">loadTOCNode(2, 'moreinformation');</script> 您可以將 Active Directory 遷移工具版本 2 安裝在運行 Windows 2000 或更高版本的任何計算機上,這些版本包括:| • | Microsoft Windows 2000 Professional |
| • | Microsoft Windows 2000 Server |
| • | Microsoft Windows XP Professional |
| • | Microsoft Windows Server 2003 |
內聯目錄林遷移
<script type="text/javascript">loadTOCNode(3, 'moreinformation');</script> 內聯目錄林遷移不需要任何特殊的域配置。用於運行 ADMT 的帳戶必須有足夠的權限才能執行 ADMT 要求的操作。例如,該帳戶必須有在源域中刪除帳戶以及在目標域中創建帳戶的權限。內聯目錄林遷移是一項移動操作,而不是複製操作。在移動之後,被遷移的對象在源域中就不再存在了,因此,可以說這些遷移是破壞性的。由於是移動對象而不是複製對象,所以互聯目錄林遷移中的有些可選操作會自動執行。尤其是,sIDHistory 和密碼在所有內聯目錄林遷移過程中都會自動遷移。
互聯目錄林遷移
<script type="text/javascript">loadTOCNode(3, 'moreinformation');</script> 要正常運行 ADMT,需要有以下權限:| • | 源域中的管理員權限。 |
| • | 要遷移的每臺計算機上的管理員權限。 |
| • | 要轉換其安全性的每臺計算機上的管理員權限。 |
用於運行 ADMT 的帳戶必須具有足夠的權限才能完成所需任務。該帳戶必須有在目標域和組織單元中創建計算機帳戶的權限,而且必須是要遷移的每臺計算機上的本地管理組的成員。
用戶和組遷移
<script type="text/javascript">loadTOCNode(3, 'moreinformation');</script> 您必須將源域配置爲信任目標域,或者,您也可以將目標域配置爲信任源域。雖然這可能很容易配置,但完成 ADMT 遷移對此並無要求。可選遷移任務的要求
<script type="text/javascript">loadTOCNode(3, 'moreinformation');</script> 您可以通過以“測試”模式運行“用戶遷移向導”並選擇遷移 sIDHistory 選項來自動完成以下任務。用於運行 ADMT 的用戶帳戶必須是源域和目標域中的管理員,這樣自動配置才能成功。警告:註冊表編輯器或其他方法使用不當可能導致嚴重問題。這些問題可能需要重新安裝操作系統。Microsoft 不能保證您可以解決這些問題。修改註冊表需要您自擔風險。
| 1. | 在名爲 %sourcedomain%$$$ 的源域中新建一個本地組。此組中不能有任何成員。 |
| 2. | 在“默認域控制器”策略中,啓用用於審覈這兩種域上“審覈”帳戶管理的成功與失敗的審覈功能。 |
| 3. | 通過在源域中使用 DWORD 值 1 配置“PDC 模擬器”的以下註冊表項來配置源域,讓 RPC 可以訪問 SAM。
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/LSA/TcpipClientSupport
進行完此更改後,必須重新啓動“PDC 模擬器”。 |
您可以通過安裝運行於 LSA 環境的 DLL 來啓用互聯目錄林密碼遷移。在這個受保護的環境中運行時,操作系統就會阻止以明文形式查看密碼。DLL 的安裝由 ADMT 創建的密鑰保護,並且必須由管理員安裝。
若要安裝密碼遷移 DLL,請按照下列步驟操作:
| 1. | 以管理員或具備同等權限的身份登錄裝有 ADMT 的計算機。 |
| 2. | 在命令提示符下,運行 ADMT KEY sourcedomainpath [* | password] 命令創建密碼導出密鑰文件 (.pes)。在此示例中,sourcedomain 是源域的 NetBIOS 名稱,path 是創建密鑰的文件路徑。路徑必須是本地路徑,但可以指向可移動介質,例如,軟盤驅動器、ZIP 驅動器或可寫的光盤介質。如果您在命令末尾鍵入可選密碼,ADMT 會用該密碼保護 .pes 文件。如果您鍵入星號 (*),ADMT 會提示您輸入密碼,並且在您鍵入密碼時系統不會響應。 |
| 3. | 將在步驟 2 中創建的 .pes 文件移動到源域中指定的“密碼導出服務器”。該“密碼導出服務器”可以是任何域控制器,但是它一定要能夠快速、可靠地鏈接到運行 ADMT 的計算機。 |
| 4. | 通過運行 Pwmig.exe 工具在“密碼導出服務器”上安裝“密碼遷移 DLL”。Pwmig.exe 位於 Windows Server 2003 安裝介質上的 I386/ADMT 文件夾中,或位於從 Internet 下載 ADMT 的文件夾中。 |
| 5. | 當系統提示您指定在步驟 2 中創建的 .pes 文件的路徑時,請予以指定。此路徑必須是本地文件路徑。 |
| 6. | 完成安裝後,必須重新啓動服務器。 |
| 7. | 如果您已準備好遷移密碼,請修改以下註冊表項,使其 DWORD 值爲 1。爲了獲取最大安全性,請在準備好進行遷移時再完成此步驟。
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/LSA/AllowPasswordExport
|
http://www.microsoft.com/windows2000/downloads/tools/admt/default.asp (http://www.microsoft.com/windows2000/downloads/tools/admt/default.asp)
有關如何使用 ADMT 執行遷移的更多信息,請參見“ADMT 幫助”。啓動 Active Directory 遷移工具,在幫助菜單上單擊幫助主題,單擊內容選項卡,然後單擊 Active Directory 遷移工具。有關 ADMT 的更多信息,請訪問下面的 Microsoft 網站:
http://www.microsoft.com/WINDOWS2000/techinfo/howitworks/activedirectory/admt.asp (http://www.microsoft.com/WINDOWS2000/techinfo/howitworks/activedirectory/admt.asp)
Active Directory 遷移工具版本 2 包括在 Windows Server 2003 安裝光盤的 I386/Admt 文件夾中。
這篇文章中的信息適用於:
| • | Microsoft Windows Server 2003 Standard Edition |
| • | Microsoft Windows Server 2003 Enterprise Edition |
| • | Microsoft Windows Server 2003 Datacenter Edition |
| • | Microsoft Windows Server 2003 64-bit Enterprise Edition |
| • | Microsoft Windows Server 2003, Datacenter Edition for 64-Bit Itanium-Based Systems |
| • | Microsoft Windows 2000 Server |
| • | Microsoft Windows 2000 Advanced Server |
關鍵字: |
kbactivedirectory kbhowto kbmigrate KB326480 |
