Перенос пользователей и групп AD из одного домена в другой.

Перенос пользователей и групп AD из одного домена в другой.

Подготовка

Пусть будет 2 домена в разных лесах — source.local, target.local. Уровень работы обоих лесов 2008r2, 2008 и 2003 то же будут работать.

Мигрировать будем с помощью утилиты ADMT 3.2. Если будете делать на windows server 2008 — версия 3.1, на windows server 2003 — версия 3.0.

Важно! Если в домене source.local есть ПК Windows XP и старее нужно в реестре этого домена изменить значение:

HKLM\System\CurrentControlSet\Services\Netlogon\Parameters, ключ AllowNT4Crypto, значение 1.

Теперь нужно включить аудит. Для этого в групповой политике в разделе Computer Configuration-Polices-Windows settings-Security-Local-Audit нужно установить  «Audit account management» в Success и Failure, и «Audit directory service access» в Success. Настроить в двух доменах.

Далее отключим защитный механизм фильтрации SID. Команду выполнить в двух доменах.

Netdom trust SOURCE /domain:TARGET /enablesidhistory:yes /userD:administrator/passwordD:*

Если нужно сохранить пароли пользователей — нужно поставить эту утилиту. Установить нужно в домене source.local. Во время установки потребуется ключ файл. Его нужно сгенерировать на target.local командой:

admt key /option:create /sourcedomain:<SourceDomain> /keyfile:<KeyFilePath> /keypassword:{<password>|*

Если при выборе ключа приходит ошибка, что он не верный — запустите cmd от администратора, и выполните msiexec -i /полный/путь/до/установщика.

Теперь нужно настроить доверие между доменами. Нужно настроить именно отношения доверия лесов. Не буду занимать место инструкциями по доверию доменов, в интернете и так много об этом написано.

После настройки доверия осталось одно — настроить права доступа.

  1. Добавляем пользователя target/Администратор в группу build-in/Администраторы в домене source.local.
  2. Добавляем этого пользователя в локальные администраторы всех компьютеров, если будете их переносить. Тут уж как у вас настроено, можно просто разлить групповой политикой Computer conf.-Windown Settings- Security Settings-Restricted Groups (не работает выше windows server 2012)

Теперь мы готовы. Нужно установить MS SQL Express 2005 SP3 или 2008. После него можно установить наш главный инструментADMT 3.2. Установка простая, нужно будет только указать путь до SQL, .\SQLExpress

Миграция

Запускаем Мастер миграции служебных записей (Service Account Migration Wizard). Открываем оснастку ADMT и в оснастке ADMT выбираем пункт Group Account Migration Wizard.

Заполняем поля Domain для source и target. Далее.

Если нет подготовленного списка групп — Далее.

Добавляем необходимые группы — Далее.

Выбираем куда сохранить группы и пользователей домена — Далее.

Ставим все галочки (если не нужно обратное) — Далее.

2 раза далее. Смотрите сами — нужны ли вам эти настройки.

Выбираем Migrate password и выбираем контроллер домена — Далее.

Запускается миграция. Ждите несколько минут и в выбранном местоположении появятся все группы и пользователи.

Присмотритесь к оснастке, она может переносить не только пользователей, но и компьютеры, сервисные учетные записи. Мне это было не нужно, но проверил только перенос компьютеров. Плохо работает с Windows 10 — слетели права на профили пользователей плюс много ошибок в логах, Windows 7 отработал идеально.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *