活动目录迁移

活动目录（ Active Directory ）是面向 Windows Standard Server 、 Windows Enterprise Server 以及 Windows Datacenter Server 的目录服务。（ Active Directory 不能运行在 Windows Web Server 上，但是可以通过它对运行 Windows Web Server 的计算机进行管理。） Active Directory 存储了有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。 Active Directory 使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织。

　　 Microsoft Active Directory 服务是 Windows 平台的核心组件，它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。

　　在 Windows 系统中，活动目录（ AD ）的迁移，是一件经常会遇到的问题，本文介绍了 AD 迁移所需要一些步骤。

　　 1 、在目标域上建立双向信任关系。

　　 2 、在目标域上关闭 SID 筛选

　　源域 : old.com

　　目标域 :net.com

　　 Netdom trust old.com /domain:net.com /quarantine:NO

　　 /usero:old\administrator /password:*

　　 3 、在目标域上安排 ADMT 工具。

　　 4 、在目标域上运行命令行 ADMT KEY 生成 .pes 文件 ( 口令不是源域管理员的口令，而是保护 pes 文件的口令 )

　　 admt key old.com c:\*

　　 5 、将目标域上的 .pes 文件复制到源域上。

　　 6 、在目标域上修改域控制器的安全策略，将审核帐户管理改成 “ 成功 ” 和 “ 失败 ” 。在源域上也是同样如此。完成后运行策略刷新工具。

　　 7 、在目标域的 “AD 用户和计算机 ” 里面修改一个组，在 Bulitin 容器下的 “Pre-Windows 2000 compatible access" ，并将 anonymous login;everyone 两种用户加入到其组中。

　　 8 、在源域上安装口令导出工具设置口令导出，在安装过程中找到复制过来的 .pes 文件即可。完成后要修改注册表，否则无法使用口令导出工具。

　　 (1) 开启口令导出功能： HKEY Local_machine\system\currentcontrolset\control\LSA 下面的 "AllowpasswordExport" 键值，将 0 改为 1;

　　 (2) 允许 ADMT 工具访问 SAM 数据库： HKEY Local_machine\system\currentcontrolset\control\LSA 下面的新建 DWORD 类型的键值，名称为 "Tcpipclientsupport" 将值设置为 1 。并重新启动计算机。

　　 9 、在目标域使用 ADMT 工具进行用户和计算机的迁移，并使用 LDP 监视 SIDHistory 。