Перенос всех пользователей в новый домен Active Directory

Оглавление

Перенос пользователей Active Directory

По определённым причинам появилась необходимость в переносе пользователей из одного домена в другой. Это возможно сделать штатными средствами операционной системы Microsoft. И в этом нам поможет утилита ldifde.exe. Она предназначена для экспорта/импорта пользователей Active Directory в файл с расширением .ldf. При необходимости его можно редактировать любым текстовым редактором (как в моём случае). Но программа переносит только пользователей, без групп и паролей. Пароли будут сброшены на пустые и при следующем входе в систему будет предложено сменить пароль.

На контроллере домена запускаем командную строку CMD и для удобства переходим в корень диска С c:, так как при выполнении команды вся информация будет выгружена в файл Exportuser.ldf.

Где SRVDC1 — это имя контроллера домена, а dc=DOMAIN,dc=NAME — это текущее доменное имя вашего контроллера. На выходе мы получаем файл Exportuser.ldf в корне диска С.

Так как доменное имя нового домена отличается от текущего, то в файле необходимо заменить все строчки dc=DOMAIN,dc=NAME на необходимые, с указанием нового имени. Сохраняемся, перекидываем файл на новый сервер и выполняем импорт следующей командой

Где NEWSRVDC1 — это имя нового контроллера домена.

Перенос групповых политик

Для нормальной работы моего сервера также необходимо было перенести настройки групповых политик (GPO). На старом домене запускаем консоль gpmc.msc. Раскрываем домен, выбираем Объекты групповой политики, в содержимом отмечаем те политики, что собираемся переносить и правой кнопкой мыши вызываем меню. Выбираем Архивировать. .

Далее указываем путь, куда будем выгружать политики. Если у вас более одной политики, то лучше под это создать отдельную директорию, так как под каждую политику будет создаваться новый каталог.

Копируем их в новый домен, но домен то у нас новый, а резервная копия может содержать упоминания или ссылки на ресурсы старого домена. Поправить значения можно при помощи утилиты Migration Table Editor (mtedit.exe). Опять-таки штатный софт на борту MS Windows Server. На новом домене запускаем консоль gpmc.msc и на Объекты групповой политики правой кнопкой мыши вызываем меню, выбираем Открыть редактор таблиц миграции.

После выбираем Сервис / Заполнить из резервной копии, указываем путь к каталогу. Перед нами откроется таблица со списком всех экспортированных групповых политик.

Нажимаем OK и перед нами откроется список всех нестандартных атрибутов политик. Ищем где упоминается старый домен и правой кнопкой меняем на правильный атрибут из нашего нового домена

Все приготовления закончены, теперь дело за малым — выполнить импорт. Открываем gpmc.msc, создаём новую пустую политику в которую будем импортировать настройки и по правому клику мыши из меню выбираем Импорт параметров. . Идём далее, выбираем папку архива, выбираем соответствующий объект групповой политики, Готово!

Вот и всё, осталось ввести машины в новый домен.

Миграция учетных записей пользователей Migrate User Accounts

По умолчанию перенос всех пользователей. By default, all users are migrated. Единственный способ указать, каких пользователей включить и исключить, можно в командной строке с помощью параметров пользователя. The only way to specify which users to include and exclude is on the command line by using the User options. Нельзя указать пользователей в XML-файлах миграции или с помощью Config.xml файла. You cannot specify users in the migration XML files or by using the Config.xml file.

В этом разделе In this Topic

Перенос всех учетных записей пользователей и параметров пользователей To migrate all user accounts and user settings

Ссылки на подробные объяснения команд доступны в разделе «Связанные разделы». Links to detailed explanations of commands are available in the Related Topics section.

Войдите на исходный компьютер с учетной записью администратора и в окне командной подсказки укажите следующее: Log on to the source computer as an administrator, and specify the following in a Command-Prompt window:

scanstate \\server\share\migration\mystore /i:migdocs.xml /i:migapp.xml /o

Войдите на компьютер назначения с учетной записью администратора. Log on to the destination computer as an administrator.

Выполните одно из следующих действий. Do one of the following:

При переносе учетных записей домена укажите: If you are migrating domain accounts, specify:

loadstate \\server\share\migration\mystore /i:migdocs.xml /i:migapp.xml

При переносе локальных учетных записей вместе с учетными записями домена укажите: If you are migrating local accounts along with domain accounts, specify:

loadstate \\server\share\migration\mystore /i:migdocs.xml /i:migapp.xml /lac /lae

Примечание Указывать параметр /lae, который включает учетную запись, созданную с помощью параметра /option, не нужно. Note You do not have to specify the /lae option, which enables the account that was created with the /lac option. Вместо этого можно создать отключенную локализованную учетную запись, указав только параметр /option, после чего локальный администратор должен включить учетную запись на компьютере назначения. Instead, you can create a disabled local account by specifying only the /lac option, and then a local administrator needs to enable the account on the destination computer.

Перенос двух учетных записей домена (User1 и User2) To migrate two domain accounts (User1 and User2)

Ссылки на подробные объяснения команд доступны в разделе «Связанные разделы». Links to detailed explanations of commands are available in the Related Topics section.

Войдите на исходный компьютер с учетной записью администратора и укажите: Log on to the source computer as an administrator, and specify:

scanstate \\server\share\migration\mystore /ue:*\* /ui:contoso\user1 /ui:fabrikam\user2 /i:migdocs.xml /i:migapp.xml /o

Войдите на компьютер назначения с учетной записью администратора. Log on to the destination computer as an administrator.

Укажите следующее: Specify the following:

loadstate \\server\share\migration\mystore /i:migdocs.xml /i:migapp.xml

Чтобы перенести две учетные записи домена (User1 и User2) и переместить User1 из домена Contoso в домен Fabrikam To migrate two domain accounts (User1 and User2) and move User1 from the Contoso domain to the Fabrikam domain

Ссылки на подробные объяснения команд доступны в разделе «Связанные разделы». Links to detailed explanations of commands are available in the Related Topics section.

Войдите на исходный компьютер с учетной записью администратора и введите в командной строке следующую команду: Log on to the source computer as an administrator, and type the following at the command-line prompt:

scanstate \\server\share\migration\mystore /ue:*\* /ui:contoso\user1 /ui:contoso\user2 /i:migdocs.xml /i:migapp.xml /o

Войдите на компьютер назначения с учетной записью администратора. Log on to the destination computer as an administrator.

Миграция пользователей домена windows

Данная статья о миграции в случае, когда компьютер выходит из одного домена, и подключается к другому домену, или недоменный компьютер подключается к домену. Миграция будет осуществляться программой Profile Migration Wizard. Статью решил написать, так как миграция такого типа стала чаще встречаться, а работу программы нет просто понять. Дело в том, что на самом деле никакой миграции не происходит, так как данные никуда не перемещаются. Ну и просто меня попросили написать статью о ней ) На сколько я понял данная программа переписывает все SIDы и ACLы одного пользователя на другой. Именно SIDы и ACLы не позволяют применить способ копипаста, который работал в ХР (это было давно, и я могу ошибаться). У данной программы есть один минус (а может это и плюс): после миграции все пароли (в браузерах, в Outlook) сбрасываются. Возможно это сделано специально для безопасности. И так, приступим.

Миграцию профилей я буду показывать на примере двух доменов 2008 R2 и 2012. Клиентская ОС — Windows 8 Ent Eval x64. Для Windows 7 всё выполняется анналогично. Рекоменду сделать полные бекапы клиентских ОС. А так же экспортировать все пароли из браузеров . Конфигурация доменов:

В каждом домене были созданы по одному пользователю. В домене 2008 R2 — UserA, в домене 2012 — UserB. Если мигрирующих пользователей в Active Directory очень много, то можно использовать ADMT для миграции учётных записей из домена в домен. ADMT не поддерживается SBS редакциями, так как они не поддерживают доверительные отношения между доменами (к счастью, на помощь приходит межлессовая миграция почтовых ящиков Exchange вместе с учётками). Выводим и вводим Windows-8 из домена в домен (можно за один шаг просто перейти в новый домен, только не забудьте поменять DNS в настройках сетевой карты, иначе новый домен просто не «увидится»). Для проверки я создал текстовый файл на рабочем столе пользователя UserA.

Входим в систему администратором второго домена и скачиваем программу. Запускаем от имени администратора.

Я снимаю галку для «входа по умолчанию» и ввожу имя новой учётной записи.

Вместо имён пользователей первого домена мы видим их SIDы, т.к. новый домен не может сопоставить чужие SIDы с именами. Но мы видим путь для профиля, по которому мы и определяем нужный профиль и указываем его.

Дальше программа делает фокус: перезписывает все SIDы и ACLы старого профиля на SIDы и ACLы нового пользователя. О чём собственно она и сообщает нам. Так как профиль чистый, нет никаких данных, установленных программ, то миграция длилась меньше секунды. Если вы будете мигрировать большие профили, то процесс может занять и час, а может и больше. Рекомендую перед миграцией почистить временные файлы интернета.

Заходим новым пользователем в систему. Проверяем кто мы в PowerShell. Проверяем путь к новой папке в «Мои Документах». И как видете в дереве папок есть только папка старого пользователя — usera. Это наверное второй минус программы. Но с другой стороны — она за бесплатно и так нам много сделала. Спасибо! Я не рекомендую вручную менять названия usera на userb — в настройках ваших программ уже указана именно эта папка usera. С этим придётся смерится. На этом всё.

Миграция пользователей домена windows

Данная пошаговая наглядная статья описывает миграцию пользователей и их паролей, а так же компьютеров между доменами с помощью инструмента Active Directory Migration Tool. Для выполнения миграции через ADMT необходимо выполнить следующие условия:
— доверительные отношения между доменами
— отключение фильтрации SID, если пользователю необходим доступ к ресурсам без изменений
— учётная запись, под который выполняется миграция, должна быть членом группы Administrators в исходном домене
— учётная запись, под который выполняется миграция, должна быть членом локальной группы Administrators в каждом компьютере
— для установки ADMT v3.2 необходимо установить MS SQL Express
— для миграции паролей на контроллере исходного домена устанавливается утилита PES
— во время миграции компьютера на нём не должно быть активных сессий

Тестовый стенд реализован на следующем железе. Все образы дисков хранятся на Storage Spaces из 4 HDD:

Тестовая сеть.
Исходный домен:
DC01.OLD.EXONIX.RU — 192.168.0.10
CLI01 — 192.168.0.11
Домен назначения:
DC03.NEW.EXONIX.MOSCOW — 172.30.130.10
ADMT. NEW.EXONIX.MOSCOW — 172.30.130.11
DC02.MAIN .EXONIX.MOSCOW — 10.10.11.10 — используется только как родительский домен в лесу.
Маршрутизация сетей
ROUTER — все сети

Новый домен с имеющемся лесу создаётся при выборе следующей опции:

Результат настройки доверий между лесами должен выглядеть следующим образом:

Для работы ADMT 3.2 необходимо установить бесплатный SQL Express. В моей статье я буду использовать MS SQL 2012 Express, который устанавливается почти с настройками по умолчанию.

Проверка членства администратора целевого домена в группе Administrators исходного домена:

Отключение фильтрации SID в доменах, а так же создание ключа для установки PES.

Установка PES на контроллере исходного домена запускается из командной строки, запущенной с правами Администратора, в противном случае пароль для ключа не будет приниматься.

После установки PES необходимо перезагрузить сервер и в службах вручную включить службу PES.

В исходном домене создаются соответвующая NetBios имени группа с областью действия «Доменно локальная» как показано ниже:

Приступаем к тестовой миграции группы old$$$. Для миграции SID необходимо включить Audit Account Management в обоих доменах. Это можно сделать вручную через локальные политики контроллера домена, который будет указываться во время миграции (или групповые для OU Domain Controllers если таковых несколько, и будет указываться автовыбор контроллера домена) или ADMT это сделает сам как будет показано ниже:

Записываем имена доменов и выбираем контроллеры доменов. Выбор контроллера для исходного домена обязателен, если в домене их больше одного, а PES установлен только на одном из них.

Выбираем ранее созданную группу и указываем путь в AD куда мигрировать.

ADMT предлагает включить Аудит на указанных контроллерах домена в каждом домене:

Выбираем опции при разрешении конфликтов:

После миграции смотрим логи на предмет миграции SID.

Так же SID можно увидеть в аттрибуте sIDHistory. В Событиях можно посмотреть сообщение 4765:

Приступаем к миграции пользователя выбрав соответствующую задачу в ADMT. При первом переносе учётной записи пользователя его пароль не мигрируется, даже если указать соответствующую опцию.

Во время миграции пользователя можно задать миграцию и всех групп, в которые он входит. В моём случае, пользователь входит в одну группу:

Проверяем логи на предмет ошибок. В логах отображено сообщение о том, что пароль не был скопирован, а его, как я понял, хешь записан в текстовый файл, который можно открыть блокнотом запущенным от имени администратора.

При повторной миграции пользователя скопируется его пароль, а так же будет установлен аттрибут — смена пароля при первом входе.

Приступаем к миграции компьютера, выбрав соответствующее действие и опции. Рекомендую перед переносом реального пользовательского компьютера протестировать миграцию его клона в тестовой среде, и проверить работоспособность пользовательских приложений, которые используют сертификаты. Например, клиент-банки.

Миграция компьютера в другой домен завершена. Пользователь может залогинится на своём компьютере в новом домене.
Для того, чтобы отключить Аудит, включённый ADMT, необходимо открыть оснастку локальных политик контроллера домена:

Во время переноса может возникнуть ошибка подключения к компьютеру. Это связанно с фаерволом, в котором необходимо включить все правила File Sharing:

Если возникнет ошибка: ERR2:7674 Unable to determine the local path for ADMIN share on the machine ‘CLI01’. rc=-2147024891 — это означает, что нет административных прав на данный компьютер для учётной записи, которая выполняет миграцию. Решается добавлением этой учётной записи в локальную группу Администраторы с помощью групповых политик Restricted Groups.