Переход к Exchange Server 2003

Перенос учетных записей Windows NT в Active Directory

В данном разделе мы осуществим миграцию учетных записей в Active Directory. Первым средством, которое мы будем использовать, является программа Active Directory Migration Tool (ADMT), осуществляющая миграцию учетных записей из Windows NT SAM в лес Windows Server 2003. Установите программу ADMT на Windows Server 2003, после чего запустите ее на сервере. ADMT установит свою оснастку на сервере в компоненте Administration Tools (Администрирование). Чтобы запустить программу ADMT, откройте оснастку и щелкните правой кнопкой мыши на папке Active Directory Migration Tool. На рис. 2.3 показаны параметры по умолчанию. Мы обсудим в деталях опцию User Account Migration Wizard (Мастер миграции учетных записей пользователей).

Рис. 2.3. Опции мастера по умолчанию в ADMT

После запуска мастера на первой странице появляется вопрос о том, следует ли произвести переход к новой версии, или это будет лишь тестирование. Выберите опцию тестирования (см. рис. 2.4), после чего нажмите Next (Далее). Сначала выполняется тест, чтобы провести достаточное количество пробных миграций для исключения любых проблем перед осуществлением непосредственного процесса миграции.

Затем появляется страница выбора домена Domain Selection (см. рис. 2.5). На этой странице выбираются исходный и целевой домены для выполнения миграции, и начинается непосредственная работа программы. До сих пор мы почти не занимались подготовкой доменов для миграции. Полезной особенностью программы является то, что она не начинает работу до тех пор, пока оба домена не будут адекватным образом подготовлены к миграции; при необходимости утилита сама проведет необходимую настройку конфигурации для подготовки каждого домена. При нажатии кнопки Next (Далее) на странице Domain Selection (Выбор домена) ADMT выполнит внутренний аудит обоих доменов и проинформирует о том, что целевой домен Windows Server 2003 (Trainsbydave) работает не в собственном режиме. Перед осуществлением миграции учетных записей пользователей из Windows NT в Active Directory следует перевести домен Active Directory в собственный режим.

Рис. 2.4. Выбор опции тестирования в мастере миграции учетных записей пользователей

Рис. 2.5. Окно выбора домена в мастере миграции учетных записей пользователей

Рис. 2.6. Ввод вручную исходных имен доменов на странице выбора пользователей

Рис. 2.7. Использование кнопки Fin Now для сбора учетных записей из домена Trains

После перевода домена Windows Server 2003 в собственный режим работы появится страница User Selection (Выбор пользователя). В окне User Selection нажмите кнопку Add (Добавить), чтобы открыть диалоговое окно Select Users (Выбор пользователей) (см. рис. 2.6). В диалоговом окне Select Users выбирается тип объекта, расположение источника и имена для миграции.

Для отображения исходных имен доменов можно либо ввести их вручную, либо нажать кнопку Advanced (Дополнительно) и кнопку Find Now (см. рис. 2.7), после чего выбрать имена для включения в тестовую миграцию.

Выбранные учетные записи отобразятся в окне User Selection (Выбор пользователей). Нажмите Next (Далее), чтобы перейти на страницу Organizational Unit Selection (Выбор организационной единицы) (см. рис. 2.8). Нажмите кнопку Browse (Обзор), чтобы выбрать целевую организационную единицу (OU) с именем Employees, после чего нажмите Next (Далее).

Рис. 2.8. Выбор целевой организации единицы

Следующая страница называется Password Options (Параметры пароля) (см. рис. 2.9). Здесь начинает функционировать программа ADMT. Обратите внимание (см. рис. 2.9), что существует возможность присваивать новые пароли мигрированным учетным записям либо осуществлять перенос паролей учетных записей, что облегчает работу, так как в этом случае отсутствует надобность сообщать новые пароли всем пользователям. Чтобы осуществить миграцию паролей учетных записей, необходимо сделать следующее.

• Изменить политику по умолчанию контроллеров доменов (Default Domain Controllers Policy), чтобы назначить разрешение Let Everyone (Разрешить всем) анонимным пользователям.
• Добавить группу безопасности Everyone (Все) во встроенную группу безопасности Pre-Windows 2000 Compatibility Access (Совместимость с версиями, предшествующими Windows 2000).
• Убедиться, что пароли учетных записей исходного домена соответствуют политике паролей целевого домена.
• Сохранить ключ шифрования файла с паролями в каталоге, в котором установлена ADMT, с помощью команды: admt key имя^исходного_-домена буква_устройства_и_путъ [пароль].
• Создаваемому файлу пароля случайным образом присваивается имя с расширением PES.
• В исходном домене запустить программу pwdmig.exe, расположенную на компакт-диске Windows Server 2003 в каталоге \i386\admt. После установки этого средства на PDC с Windows NT нужно перезагрузить сервер. Чтобы воспользоваться мастером переноса паролей (Password Migration Wizard), потребуется заранее созданный файл .PES.
• На экспортном сервере в исходном домене изменить параметр ключа HKLM/System/CurrentControlSet/Control с 0 на 1 для значения AllowPasswordExport

После выполнения всех шагов нажмите Next

Рис. 2.9. Параметры переноса паролей