如果用ADMT只迁移账号，而不迁移账号对应的密码和SID，通常是没什么意义的，迁移了密码，客户端就不会感觉改密码的唐突，迁移了SID，原有的文件系统权限就会保留，以前的共享文件也仍然可以访问。否则...

而恰恰是密码和SID迁移，在官方文档中所写的步骤却是完全错误的，按照官方文档你是找不到%systemroot%\windows\admt\pes\pwdmig.msi这个文件路径的，pwdmig.msi要得从官方地址单独下载：

http://www.microsoft.com/downloads/details.aspx?FamilyID=f0d03c3c-4757-40fd-8306-68079ba9c773&displaylang=zh-cn

下面演示的测试环境是有两个独立的域，迁移的源域是ad01.com，目标域是ad02.com，将账号user5@ad01.com迁移到user5@ad02.com，OS均为WS2008 Enterprise，源DC为node1.ad01.com，目标DC为node2.ad02.com

安装ADMT和只迁移账号的步骤比较简单,大致为：

1、首先要创建2个域之间的信任关系，林信任或外部信任都可以。创建信任的过程包括提升林功能级、转发双方的DNS（在双方的域DNS上建立转发器，指向对方的DNS）、创建双向信任

2、在目标域上安装ADMT，测试不迁移密码、SID时的账号转移

迁移密码和SID的步骤如下：

1、在目标域上导出密码导出服务用到的密钥key.pes，并拷贝到源域DC(node1)，其中keypassword是保护key.pes密钥文件的密码，随后导入时将会用到

按前述网址从微软站点下载pwdmig.msi密码导出工具，并在源域DC上安装pwdmig.msi,按提示导入该密钥key.pes

密码是前面keypassword参数设置的111

重启源域DC后，手动启动“密码导出服务器服务”

随后尝试在目标域开始导入user5账号的密码，但弹出错误，并且迁移SID时也将报错，报错信息是：

“不能在域上验证审核和TcpipClientSupport.将不能迁移SID”，查看官方文档和官方事件记录没有任何正确的提示。

下面是最关键的2步：

1)在源域中将ad02\administrator添加到源DC的本地administrators组

2）重新设置密码导出服务器服务的启动账号为目标域的ad02\administrator，并重启该服务

随后迁移密码和SID操作均成功！

密码迁移成功后，按照“查看日志”提示，帐户会被设置为首次登录之前必须更改，不要忘记去掉这个设置

迁移SID，成功

虽然SID迁移成功，但源user5和目标user5的账号SID并不相同

但是，原来只能由user5访问的共享文件，测试访问是成功的，目标域使用了SID历史记录，具体权限显示出目标域自动适应了访问权限