在DC上进行对象(用户、组、OU、计算机)的导入与导出,对于网络管理员来说是一件比较繁锁的任务。管理员常的工具有ADMT、V1、V2、LDIFDE、Addusers等,但各个工具使用的环境及操作的简易程序却大不相同。ADMT工具主要选用于不同域之间的用户等对象的迁移,它的前期准备配置工作比较多(安装ADMT工具、DNS的配置、帐户添加、权限添加),需要满足的条件也比较高。LDIFDE(系统内置工具),它可以在一台DC上进行对象的导出与导入,而且还以进行批量的导出与导入。Addusers可以进行本地帐户的迁移。下面,我们看一下后两个工具的使用方法:
一、使用LDIFDE工具导出与导出域中的对象?
1.以域管理员的身份登陆到一台DC;
2.在旧的域控制器上,使用Ldifde工具导出对象(假设旧域名为:Tech.com,DC为TechAD01,新域名为:Deng.com,新DC为DengAD01)
导出组织单位(OU):
C:\>ldifde -f OuList.ldf -s techad01 -d dc=tech,dc=com -p subtree -r "(objectclass=organizationalunit)" -l "dn,managedBy,countryCode,c,description,l,objectClass,ou,postalCode,name,st,street,co"
导出组:
C:\>ldifde -f GroupList.ldf -s techad01 -d dc=tech,dc=com -p subtree -r "(objectclass=organizationalunitgroup)" -l "dn,member,info,description,mail,groupType,instanetype,objectClass,,name,samaccountname"
导出用户:
C:\>ldifde -f UserList.ldf -s techad01 -d dc=tech,dc=com -p subtree -r "(objectclass=user)" -l "dn,managed,streetaddress,company,countryCode,c,department,displayName,mail,givenName,homeDirectory,homeDrive,instanceType,l,msNPAllowDialin,objectClass,physicalDeliveryOfficeName,postalCode,profilePath,name,sAMAccountName,st,sn,telephoneNumber,co,title,userAccountControl,userPrincipalName"
3.将保存在C盘上的三个文件:Oulist.ldf、Grouplist.ldf、Userlist.ldf拷贝到另一台DC的C盘上;
4.使用记事本打开上述三个文件,使用新域的域名与新的DC服务器名字,替换文件中旧的名域名字与旧的DC服务器名字;
5.在新的DC上,依次运行以下命令导入对象.
导入组织单元(OU):
c:\>ldifde -i -f Oulist.ldf -k
导入用户:
c:\>ldifde -i -f Userlist.ldf -k
导入组:
c:\>ldifde -i -f Grouplist.ldf -k
6.用户导入后,基本安全考虑,密码全为空,且已补禁用,设置为“下次登陆必须更改密码”,因此需要手工开启导入的帐户。
更多的内容,请参考 http://support.microsoft.com/kb/237677
二、使用Addusers命令导入与导出本地帐户
1.在Windows 2000的电脑上导出本地帐户,使用下列命令:
addusers /d user.txt \\computername
2.编辑User.txt文件,将所有的用户保存在[User]字段下。并将其字段的所有内容复制到另外一个文件NewUser.txt中,此文件还包括了另外两个字段[Global]和[Local]。
3.将NewUser.txt文件复制到Windows 2003中,再运行下列命令进行导入:
addusers /c NewUser.txt \\computername
4.系统默认将会创建空密码的帐户,需要自己修改用户密码。也可以在命令之后带参数/P,以表示新建的用户帐户的密码是否需要修改、密码过期等方面的内容。