如果用ADMT只迁移账号,而不迁移账号对应的密码和SID,通常是没什么意义的,迁移了密码,客户端就不会感觉改密码的唐突,迁移了SID,原有的文件系统权限就会保留,以前的共享文件也仍然可以访问。否则...
而恰恰是密码和SID迁移,在官方文档中所写的步骤却是完全错误的,按照官方文档你是找不到%systemroot%\windows\admt\pes\pwdmig.msi这个文件路径的,pwdmig.msi要得从官方地址单独下载:
下面演示的测试环境是有两个独立的域,迁移的源域是ad01.com,目标域是ad02.com,将账号user5@ad01.com迁移到user5@ad02.com,OS均为WS2008
安装ADMT和只迁移账号的步骤比较简单,大致为:
1、首先要创建2个域之间的信任关系,林信任或外部信任都可以。创建信任的过程包括提升林功能级、转发双方的DNS(在双方的域DNS上建立转发器,指向对方的DNS)、创建双向信任
2、在目标域上安装ADMT,测试不迁移密码、SID时的账号转移
迁移密码和SID的步骤如下:
1、在目标域上导出密码导出服务用到的密钥key.pes,并拷贝到源域DC(node1),其中keypassword是保护key.pes密钥文件的密码,随后导入时将会用到
按前述网址从微软站点下载pwdmig.msi密码导出工具,并在源域DC上安装pwdmig.msi,按提示导入该密钥key.pes
随后尝试在目标域开始导入user5账号的密码,但弹出错误,并且迁移SID时也将报错,报错信息是:
“不能在域上验证审核和TcpipClientSupport.将不能迁移SID”,查看官方文档和官方事件记录没有任何正确的提示。
下面是最关键的2步:
1)在源域中将ad02\administrator添加到源DC的本地administrators组
2)重新设置密码导出服务器服务的启动账号为目标域的ad02\administrator,并重启该服务
密码迁移成功后,按照“查看日志”提示,帐户会被设置为首次登录之前必须更改,不要忘记去掉这个设置
去掉设置,用旧密码登录成功
虽然SID迁移成功,但源user5和目标user5的账号SID并不相同
但是,原来只能由user5访问的共享文件,测试访问是成功的,目标域使用了SID历史记录,具体权限显示出目标域自动适应了访问权限
OK!
联系客服