林内域或者林间域之间的账户、计算机迁移---实际操作经验

林内域或者林间域之间的账户、计算机迁移

经过本人试验，觉得初期准备工作是很重要的。项目开始前请大家一定要做好基础架构调研、需求确认、制定初步计划并预留一定的buffer时间。要知道外接因素和环境因素是瞬息万变的：）

父域与子域之间默认是信任的，有天在想父子域之间的用户是否可以任意登陆，问了两同事，说法都不一样。有个同事是说是可以互相登陆的，但是自己一直想是否能登陆呢，个人认为不能，可又不能让自己信服。做了个父子域，两台客户机，XP SP3 域控 WINDOWS 2003 假设主域为hxfx.local，子域为z00w00.hxfx.local

客户机xp1加入父域，客户机xp2加入子哉，父域中有一个用户为pang.ding，子域中有一个用户为z00w00.ding。

现提问：

1、在xp2中用z00w00.ding登陆到hxfx.local是否成功?

然后在xp2中用z00w00.ding登陆到z00w00.hxfx.local 是否成功？

2、在xp1中用z00w00.ding登陆到z00w00.hxfx.local 是否成功？

在xp1中用z00w00.ding登陆到hxfx.local是否成功？

如果默认父域用户无法在子域中登录？有没有通过其他办法完成呢？

答案：

1、不可以可以

2、可以不可以

假设有这么情况，公司A（)收购了公司B(), a和b先前都是独立森林里的根域，现在要将b公司的域树（)迁移到a公司并做子域（),请问如何操作，还有怎么保证中的用户和计算机的数据不会丢失，谢谢！

不可能直接进行合并，只能通过森林间迁移实现。森林 森林

1. 建立子域

2. 建立与的信任

3. 执行到的用户和计算机迁移

4. 森林离线

5. 建立子域

6. 执行到的用户和计算机的迁移

后面有3个pdf，一个是这个帖子的，一个是另外收集修改的详细图文步骤，还有一个是微软官方出的最佳实践操作手册，方便查阅。

源域：Windows Server 2003 DC （域名，NetBIOS域名DomainA）

目标域（新建域）：Windows Server 2003 DC （域名，NetBIOS域名DomainB) 要求：平滑迁移，用户在迁移过程中始终能访问源域的资源 <注意：以下步骤都是以这个环境为中心展开的，如果环境不一样，需根据具体情况调整相应步骤。>

一． ADMT迁移之前的准备工作

1. 为了更好的降低风险，备份源域DC、要迁移的服务器、VIP客户机（比如领导的）和目标域DC的系统状态和系统盘数据（系统盘数据中包括本地用户配置文件），步骤如下：

a. 单击开始，指向程序，指向附件，指向系统工具，然后单击备份。

b. 取消选择“总是以向导模式运行”，单击“取消”关闭备份工具，重新打开备份工具。

c. 单击备份选项卡。

d. 单击以选中C:（假设系统盘为C：）、系统状态。如果是Exchange Server，还需选中Microsoft Exchange Server\ServerName\Microsoft Information Store。

e. 指定备份媒体或文件名，开始备份。

2. 在开始迁移之前，请执行如下的测试迁移步骤：创建测试用户，将该测试用户添加到合适的全局组，然后在迁移之前和之后验证资源的访问权限。

3. 对利用加密文件系统 (EFS) 方式加密的文件进行解密。解密加密文件失败将导致迁移后无法访问加密文件。请确保告知最终用户必须解密所有加密的文件，否则他们将无法访问那些文件。

4. 请确保要从中迁移对象的每个域中的系统时间都是同步的。时间偏差将导致 Kerberos 身份验证失败。

二．为迁移配置环境

1．配置源域和目标域以满足迁移需求

1）请验证是否建立了相应的信赖关系。

推荐在源帐户域和目标域之间建立双向信任关系，使源域和目标域相互信任。但最少源域要信任目标域。

如下图

应该是要按AGDLP来实施，用户才可以登录

2）为执行迁移任务分配相应的凭据：

要执行迁移，您必须是安装有 ADMT 的计算机上的Builtin\Administrators 组成员。要迁移用户，您必须是源域和目标域中的Builtin\Administrators 组成员。

要迁移计算机，您必须是源域和目标域中的Administrators 组成员以及每台要迁移的计算机上的 Administrators 组成员。

要与 SID 历史一起迁移，您必须是源域中的 Administrators 组成员以及目标域中的 Domain Admins 组成员。

的 domain admins 同时是和的本地 administrators成员。

和

的domain admins 同时的本地 administrators成员。

不然输入后无法显示器C的域控制器

将目标域administrator加入ent admins和sch admins。【本人自己加的】

一个满足上述所有权限的简单做法：

a．在目标域的DC上，把源域的Domain Admins组加入目标域的Administrators组

b．在源域的DC上，把目标域的Domain Admins组加入源域的Administrators组

c．把ADMT安装在目标域DC上，要执行迁移时，在ADMT计算机上用属于源域的内置Administrator帐号登录源域，然后执行迁移操作。【按此方法登录后，执行ADMI报错】

3）为管理迁移对象配置目标域组织单位 (OU) 结构。

4）建议提升源域域功能级别为Windows 2000 本机模式或 Windows Server 2003，目标域域功能级别必须是 Windows 2000 本机模式或 Windows Server 2003。

注意：提升域功能级别一定要慎重，此过程不可逆，要先确保没有其他低版本域控制器存在并且以后不需提升低版本的域控制器。

5)双方DNS互为转发器，双方DNS主要区域建立了对方辅助区域【本人自己加的】

2．配置源域和目标域以迁移 SID 历史

要配置源域和目标域以从 Active Directory 域迁移 SID 历史，请完成以下过程：

1）在源域中创建支持审核的本地组

在源域中，创建本地组 DomainA$$$。不要向此组中添加成员；否则，SID 历史迁移将失败。

2) 启用对源域 PDC 模拟器的 TCP/IP 客户端支持（从Windows Server 2003 域迁移到其他Windows Server 2003 域，可以忽略此步骤）

a. 在源域中持有 PDC 模拟器操作管理器角色的域控制器上，单击“开始”，然后单击“运行”。在“打开”中，键入 regedit，然后单击“确定”。

b. 在“注册表编辑器”中，定位到以下注册表子项：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

修改数据类型 REG_DWORD 的注册表项 TcpipClientSupport，将该值设置为 1。

c. 关闭“注册表编辑器”，然后重新启动计算机。

3）在 Windows Server 2003 域中启用审核

a. 以管理员的身份登录到目标域中的任何域控制器上。