Microsoft Active Directory
发行说明
本文档提供了补充 Microsoft Active Directory 迁移工具 (ADMT) 联机帮助文档的最新修改或其他信息。 本文档中的信息(包括引用的 URL 和其他 Internet 网站)可能会发生变动,恕不另行通知。除非另有说明,否则本文档示例中涉及的公司、组织、产品、人物和事件均属虚构,与任何真实的公司、组织、产品、人物或事件无关。如有雷同,纯属巧合。用户有责任遵守所有适用的版权法。在不限制版权所辖权利的前提下,未经 Microsoft Corporation 的明确书面许可,本文档中的任何部分不得被复制、存储或引入检索系统,或者以任何形式、任何方式(电子、机械、复制、录音等)或为任何目的进行传播。
本文档可能涉及 Microsoft Corporation 的专利、专利申请、商标、版权或其他知识产权。除非得到 Microsoft 的明确书面许可,否则本文档不授予用户任何使用这些专利、商标、版权 或其他知识产权的许可。
© 2003 Microsoft Corporation 保留所有权利。
Microsoft、Active Directory、Windows 和 Windows NT 是 Microsoft Corporation 在美国和/或其他国家(地区)的注册商标或商标。
本文档所涉及的真实公司和产品名称可能是其各自所有者的商标。
目录
如何查看本文档
ADMT 安装
ADMT 版本 2.0 中的新功能
脚本编写和命令行界面
密码迁移
迁移日志文件
迁移操作所需的凭据
产业结构调整指导目录(2011年本)
用于安全性转换的 SID 映射文件
Windows 2000 特性排除
代理凭据
忽略成员关系还原
停止使用源域
已知问题
ADMT
用户迁移
组迁移
服务帐户迁移
信任迁移
计算机迁移
用户配置文件迁移
密码迁移
报告创建
重试向导
领导艺术论文联机帮助
ADMT 远程代理软件
ADMT 迁移数据库
林内迁移
命令行工具
脚本编写组件
如何查看本文档
要了解 ADMT 的最新发行说明和其他更新信息,请访问域迁移网站:
科林麦克雷拉力赛2005www.microsoft/windows2000/downloads/tools/admt/default.asp
安装
ADMT 安装
本部分介绍与该版本的 ADMT 安装相关的已知问题。
ADMT 版本 1.0 在版本 2.0 上进行安装
ADMT 版本 1.0 会在不警告用户的情况下将自己安装在版本 2.0 信箱英文上。
ADMT 版本 2.0 安装保留 ADMT 版本 1.0 数据库
在升级时,ADMT 版本 2.0 将内部数据库升级到新版本的 Microsoft Access 数据库。该安装将以前的数据库复制到一个名为 protar3x.mdb 的文件中。如果升级失败,可以重新安装 ADMT 版本 1.0。要重新使用当前的数据库,请将 protar3x.mdb 重命名为 protar.mdb。
除非将文件驻留在目标计算机本地,否则通过终端服务器会话的安装就会失败
要成功地进行安装,Admt.msi 安装程序必须驻留在终端服务客户机本地。如果这些文件不存在,就会出现内部错误 2755。当遇到这种情况时,只需取消安装,并将 ADMT 安装文件复制到终端客户端上,然后重新启动安装。
不支持在 64 位的计算机上安装 ADMT
不支持在 64 位的计算机上安装此版本的 ADMT。
运行 ADMT 所需的权限
要运行 ADMT,您必须具有本地计算机上的管理员权限。如果 ADMT 在域控制器上运行,则您必须是全局组“Domain Admins”或域本地组“Administrators”的成员。如果 ADMT 在成员服务器上运行,则您必须是本地组“Administrators”的成员。
密码导出服务器安装
本部分介绍要使用 ADMT 执行密码迁移,安装并利用密码导出服务器 (PES) 的要求。详细信息,请参阅 Microsoft Windows 部署和资源工具包网页上的“Windows Server 2003 部署工具包”。
www.microsoft/reskit
如果密码导出服务器运行的是 Windows NT 4.0 版本,您必须满足以下要求:
∙ 建议将源域的 PES 作为专用于此用途的备份域控制器 (BDC)。
∙ 必须在 PES 上安装 128 位加密。
∙ 必须在运行 ADMT 的计算机上本地安装 128 位加密。
除非密码导出服务器安装提供在运行 ADMT 的计算机上创建的加密密钥,否则该安装无法完成。密钥必须可用于本地驱动器。它可以是软盘驱动器或本地硬盘上的文件夹,但不能是网络映射的驱动器或共享。出于安全方面的考虑,请您最好使用软盘,以便将其存放在安全的位置,或者在迁移完成后将其重新格式化。
设置密码导出服务器:
1. 创建保护密码列表的密钥:
a. 在命令行中,使用 key 操作运行 。此命令的语法是: key Source_Domain_Name folder: [Password](在命令行键入 key,可以获得更多的使用信息)。
b. 当出现提示时,请指定密钥的位置。如果在创建加密密钥时指定了密码,请提供匹配的密码。
2. 检查 AllowPasswordExport 注册表项的值(位于 PES 上的 HKLM\ SYSTEM\CurrentControlSet\Control\Lsa)。要允许 ADMT 使用该 PES 进行密码迁移,必须将该值设置为 1擒拿格斗教学。通过将该值设置为 0,可以禁止 PES 支持密码迁移。
3. 将“Everyone”系统组添加到目标域上的“Pre-Windows 2000 Compatible Access”组中。如果尚未完成以上步骤,ADMT 将记录“拒绝访问”的错误。为此,应使用 Active Directory 用户和计算机管理单元,或者在目标域控制器的命令提示符下使用以下语法:
NET LOCALGROUP "Pre-Windows 2000 Compatible Access" Everyone /ADD
4. 在 Active Directory 用户和计算机管理单元中,验证 PES 服务器对象的权限。PES 要求“Pre-Windows 2000 Compatible Access”组具有下列对象的“读取全部属性”权限:
CN=Server,CN=System,DC=<domain_name>
5. 如果在运行 Windows Server 2003 的服务器上运行 ADMT,那么应将“匿名登录”添加到目标域上的“Pre-Windows 2000 Compatible Access”组中。如果尚未完成以上步骤,ADMT 将记录“拒绝访问”的错误。为此,应使用 Active Directory 用户和计算机管理单元,
或者在目标域控制器的命令提示符下使用以下语法:
NET LOCALGROUP "Pre-Windows 2000 Compatible Access” ANONYMOUS LOGON/ADD
ADMT 版本 2.0 中的新功能
脚本编写和命令行界面
多数 ADMT 操作现在都可以通过一个可编写脚本的界面或新命令行工具 () 执行。TemplateScript.vbs 是与 ADMT 一起安装的模板脚本,它解释了界面的大部分信息。要获得命令行工具使用方面的帮助,请键入 ,然后按 Enter热失重,或者参阅帮助文档。
不能通过这些新界面访问“撤销向导”。但是,您可以使用 GUI“撤销向导”撤销原来通过脚本或命令行界面执行的操作。
密码迁移
现在可以为林间用户迁移执行密码迁移。ADMT 使用源域中的密码导出服务器 (PES) 执行迁移任务。有关更多的细节和要求,请参阅本文档中标题为“密码导出服务器安装”部分的内容。
迁移日志文件
在 ADMT 版本 1.0 中,使用一个单独的文件来记录迁移结果和问题。在 ADMT 版本 2.0 中,会为每个新的迁移操作创建一个新的日志文件。最新的日志文件是 migration.log。当开始新的迁移时,旧的 migration.log 文件重命名为 migrationxxxx.log,其中 xxxx 是下一个可用序列号。序列号范围是 0001 至 9999,最高序列号为最近重命名的文件。ADMT 版本 2.0 仅保存一定数量的日志文件。默认情况下,该数量为 20。可以通过下列注册表项更改该数值:
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议