使用ADMT3.2迁移2008AD域(三)----用户的迁移(生成复杂密码)

   备注:2个林和林中的域都是2008级别的先迁移一个账户过去看看情况。这一文档主要是看看迁移过程中的选项,迁移的账户使用生成复杂密码,没有迁移SID号。(没有安装密码导出服务,密码应该导不出去一会试一试)打开迁移工具-用户账户迁移向导

155853986.png

目标域域名不能下拉,但是输入之后,下面的域控可以下拉显示(我在2003林与2008林之间做过一次实验,输入域名之后下拉不显示域控,结果就报错1355,找不到域控,找了一些办法没有解决,可能2003林与2008林之间的迁移还需要一些特别的设置或者是压根就直接迁不了,无从得知,以后估计还得看看才行,不知道有没有其他人也遇到这样的情况

该图是2003林与2008林做迁移的时候报的错截的图,而且我根据判断可能是20032008的信任有问题

源和目的都确定了才会到下面的选项:

接着下一步选择用户,通过查找只能出现以下框中的几个账户,其中daktest1是我建的账号,另外2个是域控装好了就有的账户,这里我个人认为就验证了,一些内置的组合账户是不能迁移到另外一个域中的(我记得看过的微软文档说内置的账户和组在不同的计算机和域中的SID是一样的,所以迁过去的结果可想而知事实还有待考证啊哈哈

下一步添加完账户后下一步:(我随便写了个OU结果提示错误了)还是老实的先在目标域中建好放用户的OU

可以直接浏览找到事先规划好的ou

下一步是密码选项了,我估计微软可能考虑到不同的域中的密码策略不一样,可能迁移账户过去会有一定的问题,所以有几个密码选项,

A选择生成复杂密码的话,结果迁移的账户的密码会默认放在ADMT文件下的TXT文本中,好像是账户对应密码的格式,到文档的后面可以看到的,

B迁移密码选项微软给的文档上需要先在目标域林的域中生成一个key(命令行admt key /option:create/sourcedomain:test /keyfile:c:/keyfile /keypassword:123456@test)文件,拷到源域中,在源域中安装密码导出服务(pwdmig.msi)(需要使用目标域中生成的KEY文件)该服务安装的时候需要重启域控。不过这些工作现在还没有做,所以我打算试一试直接选迁移密码 - -过不去再退回。。。

C 我就不知道微软在想什么了,C只能和AB选项中的任意一个同时使用,所以我猜如果选择AC 结果迁移过去的用户应该不能用生成的复杂密码登陆到源域,或许能用以前的密码登陆到原来的域中(后面会验证)BC了的话很显然密码一起迁过去了,密码不更新的话就是原始域中使用的密码了。“纸上得来终觉浅,要知此事要躬行”后面的实验结果中拭目以待吧

很显然没有安装相关的服务,直接迁移密码是行不通的。(这里我就先不做密码迁移了,等下个实验再专门做迁移密码的。

先还是选择生成复杂密码吧

下一步:这一步选项比较多,但是也很明了,一看就知道怎么回事,自己看着办吧,不过重点是SID号,默认是不迁移SID号的,但是我们知道用户的很多权限其实本质上都是靠SID识别的,如果在迁移的过程中还需要访问源域中的资源是必须要迁移SID到目标了,迁移到目标域的账户就有2SID了,这是听别人出书的人讲的,具体是不是2SID号,我暂时也不清楚,但是实现同时访问源域和目标域的资源应该是事实吧,不管怎么样,我们都可以验证一下。

我选的迁移SID下一步:这几个选项除了更行用户权利我有点模糊,其他应该还好理解的

下一步:对象属性排除,属性比较多可以自己一个一个看看,默认是不勾选的,这里也不选吧

下一步:冲突管理,也好理解

下一步:我记得明明选的是迁移SID,但是结果到这了却显示的是不会从源域中迁移SID号,我想应该是我在迁SID那个位置时为了测试点了下一步又退回去了,中间有个要在在源域中,创建一个名为 SourceDomain$$$ 的本地组,我没有点“是”退了回去,所以不能迁移SID。其中 SourceDomain 为源域的 NetBIOS 名称,例如 DAK$$$

其实点击完成才开始迁移:结果如下

在域控上看的结果:很显然,账户已经迁移到目标域中了,且源域的账户还是存在的。所以验证了林间的迁移其实是复制,根据微软的文档林内的迁移是移动,账户迁移走了,源域中就没有了。

可以看到一些相应的属性都已经迁过去了

下面我们再测试迁移的账户登录到目标域:daktest1是源域DAK中的,现在已经迁移到TEST域中了,我们找一个test域中的客户端登录,由于我建了另外的一个信任所以登录选项有4本机,DAK是源域,HQ是另外一个域,test才是客户端的本身的域,我们登录到test中,看:

要去ADMT的安装目录找密码:

登录目标域第一次要改密码:然后就成功登陆了。

在目标域的计算机上用daktest1dak域上是可以用源域中的密码登陆的,不能用修改后的密码登陆源域。为了测试是否是因为缓存的作用,我新建一个客户端加入dak域中再看:

源域中是10位密码迁移以后的账户还是可以用源域中的密码登陆源域的。用目标域中的新密码登陆到源域中是登陆不了的。

2个实验:

显然迁移的用户在源域中用源域中的原始密码是可以登录源域的,使用迁移后的复杂密码登陆到目标域中,是可以登陆的,要更改密码。使用迁移后的更改的密码是不能登录源域的。

经过我的测试,分别用AAC组合迁移AD用户,InbriefC选项基本上没有什么作用的,勾选不勾选都是一样的。因为AAC组合的结果是一样的,都是迁移过去的用户只能用迁移后的密码登陆目标域,使用源域的密码登陆源域;而不能用迁移后的密码登陆源域,用源域的密码登陆目标域。