使用ADMT3.2迁移2008AD域(三)----用户的迁移(生成复杂密码)
2013-08-04 16:26
281 查看
使用ADMT3.2迁移2008AD域(三)----用户的迁移(生成复杂密码)
备注:2个林和林中的域都是2008级别的先迁移一个账户过去看看情况。这一文档主要是看看迁移过程中的选项,迁移的账户使用生成复杂密码,没有迁移SID号。(没有安装密码导出服务,密码应该导不出去一会试一试)打开迁移工具-用户账户迁移向导
目标域域名不能下拉,但是输入之后,下面的域控可以下拉显示(我在2003林与2008林之间做过一次实验,输入域名之后下拉不显示域控,结果就报错1355,找不到域控,找了一些办法没有解决,可能2003林与2008林之间的迁移还需要一些特别的设置或者是压根就直接迁不了,无从得知,以后估计还得看看才行,不知道有没有其他人也遇到这样的情况)
该图是2003林与2008林做迁移的时候报的错截的图,而且我根据判断可能是2003和2008的信任有问题
源和目的都确定了才会到下面的选项:
接着下一步选择用户,通过查找只能出现以下框中的几个账户,其中daktest1是我建的账号,另外2个是域控装好了就有的账户,这里我个人认为就验证了,一些内置的组合账户是不能迁移到另外一个域中的(我记得看过的微软文档说内置的账户和组在不同的计算机和域中的SID是一样的,所以迁过去的结果可想而知)事实还有待考证啊哈哈
下一步添加完账户后下一步:(我随便写了个OU结果提示错误了)还是老实的先在目标域中建好放用户的OU吧
可以直接浏览找到事先规划好的ou:
下一步是密码选项了,我估计微软可能考虑到不同的域中的密码策略不一样,可能迁移账户过去会有一定的问题,所以有几个密码选项,
A选择生成复杂密码的话,结果迁移的账户的密码会默认放在ADMT文件下的TXT文本中,好像是账户对应密码的格式,到文档的后面可以看到的,
B迁移密码选项微软给的文档上需要先在目标域林的域中生成一个key(命令行admt key /option:create/sourcedomain:test /keyfile:c:/keyfile /keypassword:123456@test)文件,拷到源域中,在源域中安装密码导出服务(pwdmig.msi)(需要使用目标域中生成的KEY文件)该服务安装的时候需要重启域控。不过这些工作现在还没有做,所以我打算试一试直接选迁移密码 - -过不去再退回。。。
C 我就不知道微软在想什么了,C只能和A、B选项中的任意一个同时使用,所以我猜如果选择AC 结果迁移过去的用户应该不能用生成的复杂密码登陆到源域,或许能用以前的密码登陆到原来的域中(后面会验证)选BC了的话很显然密码一起迁过去了,密码不更新的话就是原始域中使用的密码了。“纸上得来终觉浅,要知此事要躬行”后面的实验结果中拭目以待吧
很显然没有安装相关的服务,直接迁移密码是行不通的。(这里我就先不做密码迁移了,等下个实验再专门做迁移密码的。)
先还是选择生成复杂密码吧
下一步:这一步选项比较多,但是也很明了,一看就知道怎么回事,自己看着办吧,不过重点是SID号,默认是不迁移SID号的,但是我们知道用户的很多权限其实本质上都是靠SID识别的,如果在迁移的过程中还需要访问源域中的资源是必须要迁移SID到目标了,迁移到目标域的账户就有2个SID了,这是听别人出书的人讲的,具体是不是2个SID号,我暂时也不清楚,但是实现同时访问源域和目标域的资源应该是事实吧,不管怎么样,我们都可以验证一下。
我选的迁移SID下一步:这几个选项除了更行用户权利我有点模糊,其他应该还好理解的
下一步:对象属性排除,属性比较多可以自己一个一个看看,默认是不勾选的,这里也不选吧
下一步:冲突管理,也好理解
下一步:我记得明明选的是迁移SID,但是结果到这了却显示的是不会从源域中迁移SID号,我想应该是我在迁SID那个位置时为了测试点了下一步又退回去了,中间有个要在在源域中,创建一个名为 SourceDomain$$$ 的本地组,我没有点“是”退了回去,所以不能迁移SID。其中 SourceDomain 为源域的 NetBIOS 名称,例如 DAK$$$。
其实点击完成才开始迁移:结果如下
在域控上看的结果:很显然,账户已经迁移到目标域中了,且源域的账户还是存在的。所以验证了林间的迁移其实是复制,根据微软的文档林内的迁移是移动,账户迁移走了,源域中就没有了。
(可以看到一些相应的属性都已经迁过去了)
下面我们再测试迁移的账户登录到目标域:daktest1是源域DAK中的,现在已经迁移到TEST域中了,我们找一个test域中的客户端登录,由于我建了另外的一个信任所以登录选项有4个本机,DAK是源域,HQ是另外一个域,test才是客户端的本身的域,我们登录到test中,看:
要去ADMT的安装目录找密码:
登录目标域第一次要改密码:然后就成功登陆了。
在目标域的计算机上用daktest1在dak域上是可以用源域中的密码登陆的,不能用修改后的密码登陆源域。为了测试是否是因为缓存的作用,我新建一个客户端加入dak域中再看:
源域中是10位密码迁移以后的账户还是可以用源域中的密码登陆源域的。用目标域中的新密码登陆到源域中是登陆不了的。
第2个实验:
显然迁移的用户在源域中用源域中的原始密码是可以登录源域的,使用迁移后的复杂密码登陆到目标域中,是可以登陆的,要更改密码。使用迁移后的更改的密码是不能登录源域的。
经过我的测试,分别用A和AC组合迁移AD用户,Inbrief,C选项基本上没有什么作用的,勾选不勾选都是一样的。因为A和AC组合的结果是一样的,都是迁移过去的用户只能用迁移后的密码登陆目标域,使用源域的密码登陆源域;而不能用迁移后的密码登陆源域,用源域的密码登陆目标域。
本文出自 “Hero's blog” 博客,请务必保留此出处http://iamhero.blog.51cto.com/3046367/1263951
备注:2个林和林中的域都是2008级别的先迁移一个账户过去看看情况。这一文档主要是看看迁移过程中的选项,迁移的账户使用生成复杂密码,没有迁移SID号。(没有安装密码导出服务,密码应该导不出去一会试一试)打开迁移工具-用户账户迁移向导
目标域域名不能下拉,但是输入之后,下面的域控可以下拉显示(我在2003林与2008林之间做过一次实验,输入域名之后下拉不显示域控,结果就报错1355,找不到域控,找了一些办法没有解决,可能2003林与2008林之间的迁移还需要一些特别的设置或者是压根就直接迁不了,无从得知,以后估计还得看看才行,不知道有没有其他人也遇到这样的情况)
该图是2003林与2008林做迁移的时候报的错截的图,而且我根据判断可能是2003和2008的信任有问题
源和目的都确定了才会到下面的选项:
接着下一步选择用户,通过查找只能出现以下框中的几个账户,其中daktest1是我建的账号,另外2个是域控装好了就有的账户,这里我个人认为就验证了,一些内置的组合账户是不能迁移到另外一个域中的(我记得看过的微软文档说内置的账户和组在不同的计算机和域中的SID是一样的,所以迁过去的结果可想而知)事实还有待考证啊哈哈
下一步添加完账户后下一步:(我随便写了个OU结果提示错误了)还是老实的先在目标域中建好放用户的OU吧
可以直接浏览找到事先规划好的ou:
下一步是密码选项了,我估计微软可能考虑到不同的域中的密码策略不一样,可能迁移账户过去会有一定的问题,所以有几个密码选项,
A选择生成复杂密码的话,结果迁移的账户的密码会默认放在ADMT文件下的TXT文本中,好像是账户对应密码的格式,到文档的后面可以看到的,
B迁移密码选项微软给的文档上需要先在目标域林的域中生成一个key(命令行admt key /option:create/sourcedomain:test /keyfile:c:/keyfile /keypassword:123456@test)文件,拷到源域中,在源域中安装密码导出服务(pwdmig.msi)(需要使用目标域中生成的KEY文件)该服务安装的时候需要重启域控。不过这些工作现在还没有做,所以我打算试一试直接选迁移密码 - -过不去再退回。。。
C 我就不知道微软在想什么了,C只能和A、B选项中的任意一个同时使用,所以我猜如果选择AC 结果迁移过去的用户应该不能用生成的复杂密码登陆到源域,或许能用以前的密码登陆到原来的域中(后面会验证)选BC了的话很显然密码一起迁过去了,密码不更新的话就是原始域中使用的密码了。“纸上得来终觉浅,要知此事要躬行”后面的实验结果中拭目以待吧
很显然没有安装相关的服务,直接迁移密码是行不通的。(这里我就先不做密码迁移了,等下个实验再专门做迁移密码的。)
先还是选择生成复杂密码吧
下一步:这一步选项比较多,但是也很明了,一看就知道怎么回事,自己看着办吧,不过重点是SID号,默认是不迁移SID号的,但是我们知道用户的很多权限其实本质上都是靠SID识别的,如果在迁移的过程中还需要访问源域中的资源是必须要迁移SID到目标了,迁移到目标域的账户就有2个SID了,这是听别人出书的人讲的,具体是不是2个SID号,我暂时也不清楚,但是实现同时访问源域和目标域的资源应该是事实吧,不管怎么样,我们都可以验证一下。
我选的迁移SID下一步:这几个选项除了更行用户权利我有点模糊,其他应该还好理解的
下一步:对象属性排除,属性比较多可以自己一个一个看看,默认是不勾选的,这里也不选吧
下一步:冲突管理,也好理解
下一步:我记得明明选的是迁移SID,但是结果到这了却显示的是不会从源域中迁移SID号,我想应该是我在迁SID那个位置时为了测试点了下一步又退回去了,中间有个要在在源域中,创建一个名为 SourceDomain$$$ 的本地组,我没有点“是”退了回去,所以不能迁移SID。其中 SourceDomain 为源域的 NetBIOS 名称,例如 DAK$$$。
其实点击完成才开始迁移:结果如下
在域控上看的结果:很显然,账户已经迁移到目标域中了,且源域的账户还是存在的。所以验证了林间的迁移其实是复制,根据微软的文档林内的迁移是移动,账户迁移走了,源域中就没有了。
(可以看到一些相应的属性都已经迁过去了)
下面我们再测试迁移的账户登录到目标域:daktest1是源域DAK中的,现在已经迁移到TEST域中了,我们找一个test域中的客户端登录,由于我建了另外的一个信任所以登录选项有4个本机,DAK是源域,HQ是另外一个域,test才是客户端的本身的域,我们登录到test中,看:
要去ADMT的安装目录找密码:
登录目标域第一次要改密码:然后就成功登陆了。
在目标域的计算机上用daktest1在dak域上是可以用源域中的密码登陆的,不能用修改后的密码登陆源域。为了测试是否是因为缓存的作用,我新建一个客户端加入dak域中再看:
源域中是10位密码迁移以后的账户还是可以用源域中的密码登陆源域的。用目标域中的新密码登陆到源域中是登陆不了的。
第2个实验:
显然迁移的用户在源域中用源域中的原始密码是可以登录源域的,使用迁移后的复杂密码登陆到目标域中,是可以登陆的,要更改密码。使用迁移后的更改的密码是不能登录源域的。
经过我的测试,分别用A和AC组合迁移AD用户,Inbrief,C选项基本上没有什么作用的,勾选不勾选都是一样的。因为A和AC组合的结果是一样的,都是迁移过去的用户只能用迁移后的密码登陆目标域,使用源域的密码登陆源域;而不能用迁移后的密码登陆源域,用源域的密码登陆目标域。
本文出自 “Hero's blog” 博客,请务必保留此出处http://iamhero.blog.51cto.com/3046367/1263951
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 使用ADMT3.2迁移2008AD域(四)-------林间用户密码迁移测试(详细)
- 使用ADMT3.2迁移2008AD域(二)----安装ADMT3.2
- 使用ADMT3.2迁移2008AD域(一)-- windows2003和windows2008建立林信任
- 使用ADMT3.2迁移windows 2008 R2 AD遇到的问题
- 活动目录实战之六 使用ADMT 3.2迁移用户和计算机
- ADMT3.2域迁移之Server2003至Server2012系列(八)生成密钥文件及安装密码迁移工具
- 战之六 使用ADMT 3.2迁移用户和计算机
- 活动目录实战之六 使用ADMT 3.2迁移用户和计算机
- ADMT用户账户的密码迁移
- 关于Windows 2008 IIS无法使用虚拟目录密码作为用户 administrator 在本地登录到...解决方案
- 使用ADMT3.1在林中迁移全局组和用户 推荐
- 在Windows Server 2008 R2中使用web方式修改域用户账户密码
- SQL Server 2008 取得登录用户密码使用天数(转帖+亲自实践)
- 转:2005&2008得到系统的登录名及密码-用于迁移用户
- 使用Druid生成加密密码,实现mysql数据库连接用户密码加密解密
- ADMT3.1快速迁移域用户账户和组[为企业维护windows server 2008系列十四] 推荐
- 使用axis2调用sap生成的webservice(带用户密码认证)
- ADMT3.2域迁移之Server2003至Server2012系列(九)用户迁移
- 在Windows Server 2008 R2中使用web方式修改域用户账户密码