加载中…
个人资料
jinifly
jinifly
  • 博客等级:
  • 博客积分:0
  • 博客访问:510,369
  • 关注人气:126
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
相关博文
推荐博文
谁看过这篇博文
加载中…
正文 字体大小:

ADMT迁移帐号密码和SID时最关键的2步

(2010-01-21 10:20:04)
标签:

it

ws2k8

分类: 学习

如果用ADMT只迁移帐号,而不迁移帐号对应的密码和SID,通常是没什么意义的,迁移了密码,客户端就不会感觉改密码的唐突,迁移了SID,原有的文件系统权限就会保留,以前的共享文件也仍然可以访问。否则...

 

而恰恰是密码和SID迁移,在官方文档中所写的步骤却是完全错误的,按照官方文档你是找不到%systemroot%\windows\admt\pes\pwdmig.msi这个文件路径的,pwdmig.msi要得从官方地址单独下载:

 

http://www.microsoft.com/downloads/details.aspx?FamilyID=f0d03c3c-4757-40fd-8306-68079ba9c773&displaylang=zh-cn

 

下面演示的测试环境是有两个独立的域,迁移的源域是ad01.com,目标域是ad02.com,将帐号user5@ad01.com迁移到user5@ad02.com,OS均为WS2008 Enterprise,源DC为node1.ad01.com,目标DC为node2.ad02.com

 

安装ADMT和只迁移帐号的步骤比较简单,大致为:

1、首先要创建2个域之间的信任关系,林信任或外部信任都可以。创建信任的过程包括提升林功能级、转发双方的DNS(在双方的域DNS上建立转发器,指向对方的DNS)、创建双向信任

2、在目标域上安装ADMT,测试不迁移密码、SID时的帐号转移

 

迁移密码和SID的步骤如下:


1、在目标域上导出密码导出服务用到的密钥key.pes,并拷贝到源域DC(node1),其中keypassword是保护key.pes密钥文件的密码,随后导入时将会用到
ADMT迁移帐号密码和SID时最关键的2步

 

按前述网址从微软站点下载pwdmig.msi密码导出工具,并在源域DC上安装pwdmig.msi,按提示导入该密钥key.pes
ADMT迁移帐号密码和SID时最关键的2步

ADMT迁移帐号密码和SID时最关键的2步


密码是前面keypassword参数设置的111
ADMT迁移帐号密码和SID时最关键的2步

ADMT迁移帐号密码和SID时最关键的2步

ADMT迁移帐号密码和SID时最关键的2步

 

重启源域DC后,手动启动“密码导出服务器服务”

ADMT迁移帐号密码和SID时最关键的2步


随后尝试在目标域开始导入user5帐号的密码,但弹出错误,并且迁移SID时也将报错,报错信息是:

“不能在域上验证审核和TcpipClientSupport.将不能迁移SID”,查看官方文档和官方事件记录没有任何正确的提示。

ADMT迁移帐号密码和SID时最关键的2步

 

下面是最关键的2步:

1)在源域中将ad02\administrator添加到源DC的本地administrators组

ADMT迁移帐号密码和SID时最关键的2步

2)重新设置密码导出服务器服务的启动帐号为目标域的ad02\administrator,并重启该服务
ADMT迁移帐号密码和SID时最关键的2步

 

随后迁移密码和SID操作均成功!

ADMT迁移帐号密码和SID时最关键的2步

ADMT迁移帐号密码和SID时最关键的2步

密码迁移成功后,按照“查看日志”提示,帐户会被设置为首次登录之前必须更改,不要忘记去掉这个设置
ADMT迁移帐号密码和SID时最关键的2步  
去掉设置,用旧密码登录成功
ADMT迁移帐号密码和SID时最关键的2步

 

迁移SID,成功

ADMT迁移帐号密码和SID时最关键的2步

ADMT迁移帐号密码和SID时最关键的2步
ADMT迁移帐号密码和SID时最关键的2步

ADMT迁移帐号密码和SID时最关键的2步

 

虽然SID迁移成功,但源user5和目标user5的帐号SID并不相同
ADMT迁移帐号密码和SID时最关键的2步

ADMT迁移帐号密码和SID时最关键的2步

但是,原来只能由user5访问的共享文件,测试访问是成功的,目标域使用了SID历史记录,具体权限显示出目标域自动适应了访问权限
ADMT迁移帐号密码和SID时最关键的2步

ADMT迁移帐号密码和SID时最关键的2步

OK!


0

阅读 评论 收藏 转载 喜欢 打印举报/Report
  • 评论加载中,请稍候...
发评论

    发评论

    以上网友发言只代表其个人观点,不代表新浪网的观点或立场。

      

    新浪BLOG意见反馈留言板 电话:4000520066 提示音后按1键(按当地市话标准计费) 欢迎批评指正

    新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

    新浪公司 版权所有