Professional Documents
Culture Documents
Kurzfassung
In diesem Handbuch wird die Verwendung des Active Directory®-Migrationsprogramms,
Version 3.1 (Active Directory® Migration Tool, ADMT v3.1), zum Migrieren von Benutzern,
Gruppen und Computern zwischen Active Directory-Domänen in verschiedenen
Gesamtstrukturen (Migration zwischen Gesamtstrukturen) oder zwischen Active Directory-
Domänen in der gleichen Gesamtstruktur (Migration innerhalb einer Gesamtstruktur) erläutert.
Außerdem wird die Verwendung von ADMT v3.1 zum Ausführen der Sicherheitskonvertierung
zwischen verschiedenen Active Directory-Gesamtstrukturen gezeigt.
Die Informationen in diesem Dokument, einschließlich URL- und anderen Internetwebsite-
Verweisen, können ohne vorherige Ankündigung geändert werden. Die in den Beispielen
verwendeten Firmen, Organisationen, Produkte, Domänennamen, E-Mail-Adressen, Logos,
Personen, Orte und Ereignisse sind frei erfunden, soweit nichts anderes angegeben ist. Jede
Ähnlichkeit mit bestehenden Firmen, Organisationen, Produkten, Domänennamen, E-Mail-
Adressen, Logos, Personen, Orten oder Ereignissen ist rein zufällig. Die Benutzer/innen sind
verpflichtet, sich an alle anwendbaren Urheberrechtsgesetze zu halten. Unabhängig von der
Anwendbarkeit der entsprechenden Urheberrechtsgesetze darf ohne ausdrückliche schriftliche
Erlaubnis der Microsoft Corporation kein Teil dieses Dokuments für irgendwelche Zwecke
vervielfältigt oder in einem Datenempfangssystem gespeichert oder darin eingelesen werden,
unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln (elektronisch,
mechanisch, durch Fotokopieren, Aufzeichnen usw.) dies geschieht.
Es ist möglich, dass Microsoft Rechte an Patenten bzw. angemeldeten Patenten, an Marken,
Urheberrechten oder sonstigem geistigem Eigentum besitzt, die sich auf den fachlichen Inhalt
dieses Dokuments beziehen. Das Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen
Anspruch auf diese Patente, Marken, Urheberrechte oder auf sonstiges geistiges Eigentum, es
sei denn, dies wird ausdrücklich in den schriftlichen Lizenzverträgen von Microsoft eingeräumt.
© 2008 Microsoft Corporation. Alle Rechte vorbehalten.
Active Directory, Microsoft, Windows und Windows Server sind eingetragene Marken oder
Marken der Microsoft Corporation in den USA und/oder anderen Ländern.
Die in diesem Dokument aufgeführten Namen von bestehenden Firmen und Produkten sind
möglicherweise Marken der jeweiligen Eigentümer.
Inhalt
Migrieren und Neustrukturieren von Active Directory-Domänen mithilfe von ADMT v3.1................9
Active Directory-Domänenneustrukturierung zwischen Gesamtstrukturen..................................9
Active Directory-Domänenneustrukturierung innerhalb einer Gesamtstruktur...........................10
Begriffe und Definitionen............................................................................................................ 11
Aktive Directory-Migrationsprogramm.......................................................................................12
Verwenden einer Includedatei................................................................................................ 14
Feld "Quellname"................................................................................................................ 15
Feld "Zielname".................................................................................................................. 15
Felder "Ziel_RDN", "Ziel_SAM" und "Ziel_UPN".................................................................15
Umbenennen von Objekten................................................................................................ 16
Verwenden von Skripts.......................................................................................................... 17
Bewährte Methoden für das Ausführen der Migration von Benutzer- und Gruppenkonten...........20
Konfigurieren der Quell- und Zieldomänen für die Migration des SID-Verlaufs.............................53
Erneute Migration aller globalen Gruppen nach der Migration aller Lose...................................106
Erneute Migration aller globalen Gruppen nach der Migration aller Lose...................................138
Active Directory-Domänenneustrukturierung
zwischen Gesamtstrukturen
Sie können aufgrund von Geschäftsänderungen eine Neustrukturierung zwischen
Gesamtstrukturen vornehmen, z. B. bei einer Geschäftsfusion, -übernahme oder -veräußerung,
bei der Ihre Organisationen Ressourcen kombinieren oder aufteilen muss. Nach dem
Neustrukturierungsvorgang sind die Quell- und Zieldomänenumgebungen gleichzeitig vorhanden,
wenn Sie Objekte zwischen Gesamtstrukturen migrieren. Durch diesen Umstand können Sie
9
während der Migration einen Rollbackvorgang in die Quellumgebung durchführen, wenn dies
erforderlich werden sollte.
Das Aufteilen oder Klonen von Gesamtstrukturen – z. B. bei der Veräußerung einer Organisation
– wird nicht unterstützt. Weitere Informationen finden Sie im Abschnitt "Einschränkungen bei der
Neustrukturierung" unter "Ermitteln der erforderlichen Anzahl von Gesamtstrukturen"
(http://go.microsoft.com/fwlink/?LinkId=121736).
Wichtig
Alle Zieldomänen müssen auf der Funktionsebene Windows 2000 (einheitlicher Modus),
Windows Server 2003 oder Windows Server 2008 betrieben werden.
Active Directory-Domänenneustrukturierung
innerhalb einer Gesamtstruktur
Wenn Sie Windows Server 2008-Domänen in einer Windows Server 2008-Gesamtstruktur neu
strukturieren, können Sie die Domänenstruktur zusammenführen und die Verwaltungskomplexität
and -mehrkosten verringern. Im Gegensatz zur Neustrukturierung von Windows Server 2008-
Domänen zwischen Gesamtstrukturen sind bei einer Neustrukturierung von Domänen innerhalb
einer Gesamtstruktur die migrierten Konten in der Quelldomäne nicht mehr vorhanden. Daher
kann ein Rollbackvorgang der Migration nur stattfinden, wenn Sie den Migrationsvorgang
nochmals in umgekehrter Reihenfolge von der vorherigen Zieldomäne in die vorherige
Quelldomäne ausführen.
Wichtig
Alle Zieldomänen müssen auf der Funktionsebene Windows 2000 (einheitlicher Modus),
Windows Server 2003 oder Windows Server 2008 betrieben werden.
Die folgende Tabelle listet die Unterschiede zwischen einer Domänenneustrukturierung zwischen
Gesamtstrukturen und einer Domänenneustrukturierung innerhalb einer Gesamtstruktur auf.
Objekterhalt Objekte werden geklont statt migriert. Das Objekte werden migriert
ursprüngliche Objekt verbleibt am und sind am
Quellspeicherort, um den Zugriff auf Quellspeicherort nicht
Ressourcen für Benutzer aufrecht zu erhalten. mehr vorhanden.
Verwaltung des SID- Die Verwaltung des SID-Verlaufs ist optional. Der SID-Verlauf ist
Verlaufs erforderlich.
Migration lokaler Sie müssen Tools wie z. B. ADMT zum Für Arbeitsstationen,
Profile die das Betriebssystem
10
Migrationserwägung Neustrukturierung zwischen Gesamtstrukturen Neustrukturierung
innerhalb einer
Gesamtstruktur
Aktive Directory-Migrationsprogramm
Sie können ADMT zum Migrieren von Objekten in Active Directory-Gesamtstrukturen verwenden.
Dieses Tool enthält Assistenten, die Migrationstasks automatisieren, z. B. die Migration von
Benutzern, Gruppen, Dienstkonten, Computern und Vertrauensstellungen sowie die
Sicherheitskonvertierung.
Sie können ADMT-Tasks mithilfe der ADMT-Konsole, einer Befehlszeile oder einem Skript
ausführen. Wenn Sie ADMT in der Befehlszeile ausführen, ist es häufiger effizienter, eine
Optionsdatei zum Angeben von Befehlszeilenoptionen zu verwenden. Sie können die ADMT-
Optionsdateireferenz aus dem folgenden Beispiel als Hilfe beim Erstellen von Optionsdateien
verwenden. Beispiele für die Befehlszeilensyntax werden für jeden Task bereitgestellt, den Sie
zum Neustrukturieren der Domänen innerhalb der Gesamtstruktur ausführen müssen.
Die folgende Liste zeigt allgemeine Optionen, die für mehrere Migrationstasks gelten. Für jeden
Typ von Migrationstask ist ein Abschnitt vorhanden, der Optionen auflistet, die für den jeweiligen
Task spezifisch sind. Der Abschnittsname entspricht dem Tasknamen, wenn Sie ADMT in der
Befehlszeile ausführen. Sie können Elemente mit einem Semikolon auskommentieren. In der
folgenden Liste sind die Standardwerte auskommentiert.
[Migration]
;IntraForest=No
;SourceDomain="source_domain_name"
;SourceOu="source_ou_path"
;TargetDomain="target_domain_name"
;TargetOu="target_ou_path"
;PasswordOption=Complex
;PasswordServer=""
;PasswordFile=""
;ConflictOptions=Ignore
;UserPropertiesToExclude=""
;InetOrgPersonPropertiesToExclude=""
;GroupPropertiesToExclude=""
;ComputerPropertiesToExclude=""
[User]
;DisableOption=EnableTarget
12
;SourceExpiration=None
;MigrateSIDs=Yes
;TranslateRoamingProfile=No
;UpdateUserRights=No
;MigrateGroups=No
;UpdatePreviouslyMigratedObjects=No
;FixGroupMembership=Yes
;MigrateServiceAccounts=No
;UpdateGroupRights=No
[Group]
;MigrateSIDs=Yes
;UpdatePreviouslyMigratedObjects=No
;FixGroupMembership=Yes
;UpdateGroupRights=No
;MigrateMembers=No
;DisableOption=EnableTarget
;SourceExpiration=None
;TranslateRoamingProfile=No
;MigrateServiceAccounts=No
[Security]
;TranslationOption=Add
;TranslateFilesAndFolders=No
;TranslateLocalGroups=No
;TranslatePrinters=No
;TranslateRegistry=No
;TranslateShares=No
;TranslateUserProfiles=No
;TranslateUserRights=No
;SidMappingFile="SidMappingFile.txt"
Wenn Sie ADMT in der Befehlszeile ausführen, müssen Sie keine Option in den Befehl
einschließen, wenn Sie den Standardwert akzeptieren möchten. Dieses Handbuch stellt jedoch
Tabellen mit den möglichen Parametern und Werten zu Referenzzwecken zur Verfügung. Die
Tabellen nennen die Befehlszeilenentsprechung jeder Option, die im entsprechenden ADMT-
13
Konsolenverfahren gezeigt wird. Dies schließt auch jene Optionen ein, für die Sie den
Standardwert akzeptieren.
Sie können die Optionsdateireferenz in Editor kopieren und dann mit der Dateinamenerweiterung
TXT speichern.
Wenn Sie beispielsweise eine kleine Anzahl von Computern migrieren möchten, können Sie
jeden Computernamen mithilfe der Option /N in die Befehlszeile eingeben und dann wie folgt
andere Migrationsoptionen in einer Optionsdatei auflisten:
ADMT COMPUTER /N "<computer_name1>" "<computer_name2>" /O:"<option_file>.txt"
Dabei sind <computer_name1> und <computer_name2> die Namen von Computern in der
Quelldomäne, die Sie in diesem Batch migrieren.
Verwenden Sie eine der folgenden Konventionen, um die Namen von Benutzern, Gruppen oder
Computern anzugeben:
Den SAM-Kontonamen (Security Accounts Manager) . Sie müssen das Dollarzeichen ($) and
en Computernamen anhängen, um einen Computernamen in diesem Format anzugeben.
Wenn Sie z. B. einen Computer mit dem Namen "Workstation01" angeben möchten,
verwenden Sie "Workstation01$".
Den relativ definierten Namen (Relative Distinguished Name, RDN), z. B. "cn=
Workstation01". Wenn Sie das Konto als relativ definierten Namen angeben, müssen Sie die
Quellorganisationseinheit angeben.
Den kanonischen Namen. Sie können den kanonischen Namen als
DNS_Domänenname/OU_Pfad/Objektname oder OU_Pfad/Objektname angeben. Beispiel:
Asia.trccorp.treyresearch.net/Computers/Workstation01 oder
Computers/Workstation01.
In den folgenden Abschnitten werden die Felder einer Includedatei beschrieben und Beispiel für
jedes Feld zur Verfügung gestellt:
14
Feld "Quellname"
Das Feld Quellname gibt den Namen des Quellobjekts an. Sie können einen Kontonamen oder
einen relativ definierten Namen angeben. Wenn Sie nur Quellnamen angeben, ist es optional,
eine Kopfzeile in der ersten Zeile der Datei zu definieren.
Das folgende Beispiel zeigt eine Kopfzeile, die das Feld Quellname angibt. Das Beispiel zeigt
außerdem einen Quellobjektnamen, der in mehreren Formaten angegeben wird. Die zweite Zeile
gibt einen Kontonamen an. Die dritte Zeile gibt einen relativ definierten Namen an.
Quellname
Name
CN=Name
Feld "Zielname"
Sie können das Feld Zielname verwenden, um einen Basisnamen anzugeben, der zum
Generieren eines relativ definierten Zielnamens, eines SAM-Zielkontonamens und eines UPN-
Zielnamens (User Principal Name, Benutzerprinzipalname) verwendet wird. Das Feld Zielname
darf nicht mit anderen Zielnamenfeldern kombiniert werden, die weiter unten in diesem Abschnitt
beschrieben werden.
Hinweis
Der Ziel-UPN wird nur für Benutzerobjekte generiert, und es wird nur ein UPN-Präfix
generiert. Ein UPN-Suffix wird mithilfe eines Algorithmus angehängt, der davon abhängt,
ob ein UPN-Suffix für die Zielorganisationseinheit oder die Zielgesamtstruktur definiert ist.
Wenn es sich bei dem Objekt um einen Computer handelt, enthält der SAM-
Zielkontoname das Suffix "$".
Das folgende Eingabebeispiel generiert den relativ definierten Zielnamen, SAM-Zielkontonamen
und Ziel-UPN als "CN=Neuer_Name", "Neuer_Name" bzw. "Neuer_Name".
Quellname,Zielname
Alter_Name, Neuer_Name
15
Quellname,Ziel_RDN
Alter_Name, CN=Neuer_Name
Quellname,Ziel_RDN,Ziel_SAM
Alter_Name, "CN=Neuer_RDN", Neuer_SAM_Name
Quellname,Ziel_RDN,Ziel_SAM,Ziel_UPN
Alter_Name, "CN=letzter\, erster", Neuer_SAM_Name, Neuer_UPN_Name
Hinweis
Einem Komma im CN-Wert muss ein Escapezeichen ("\") vorangestellt werden, da der
Vorgang ansonsten zu einem Fehler führt und ADMT einen Fehler aufgrund ungültiger
Syntax in der Protokolldatei aufzeichnet.
Quellname,Ziel_SAM,Ziel_UPN,Ziel_RDN
Alter_Name, Neuer_SAM_Name, Neuer_UPN_Name@Zieldomäne, "CN=Neuer_Name"
Quellname,Ziel_RDN,Ziel_UPN
abc,CN=def,def@contoso.com
Dieser Includedateieintrag ändert den Ziel_RDN für den Benutzer "abc" in "CN=def" und den
Ziel_UPN in def@contoso.com. Der Ziel_SAM für den Benutzer "abc" ändert sich als Ergebnis
der Migration nicht.
Wichtig
Sie müssen "CN=" angeben, bevor Sie einen RDN-Wert verwenden.
16
Verwenden von Skripts
Die in diesem Handbuch zur Verfügung gestellten Beispielskripts verwenden die symbolischen
Konstanten, die in einer Datei namens AdmtConstants.vbs definiert werden. Die folgende Liste
zeigt die ADMT-Konstanten der VBScript-Datei (Microsoft Visual Basic® Scripting Edition). Die
Konstanten werden auch im ADMT-Installationsordner bereitgestellt. Sie finden sie in der Datei
TemplateScript.vbs im Verzeichnis %systemroot%\WINDOWS\ADMT.
Wenn Sie die Beispielskripts in diesem Handbuch verwenden möchten, kopieren Sie die
VBScript-Datei mit den ADMT-Konstanten in Editor, und speichern Sie sie dann unter dem
Namen AdmtConstants.vbs. Stellen Sie sicher, dass Sie die Datei im gleichen Ordner
speichern, in dem Sie die in diesem Handbuch bereitgestellten Beispielskripts speichern werden.
Option Explicit
'----------------------------------------------------------------------------
'----------------------------------------------------------------------------
17
Const admtDisableSource = &H0001
Const admtNoExpiration = -1
Const admtTranslateReplace = 0
Const admtTranslateAdd = 1
Const admtTranslateRemove = 2
Const admtReportMigratedAccounts = 0
Const admtReportMigratedComputers = 1
Const admtReportExpiredComputers = 2
Const admtReportAccountReferences = 3
Const admtReportNameConflicts = 4
Const admtNone = 0
Const admtData = 1
Const admtFile = 2
Const admtDomain = 3
18
Bewährte Methoden für die Active Directory-
Migration
Damit der Migrationsvorgang so komplikationslos wie möglich erfolgt, befolgen Sie diese
Empfehlungen für optimale Verfahrensweisen:
Bewährte Methoden für die Verwendung des Active Directory-Migrationsprogramms
Bewährte Methoden für das Ausführen der Migration von Benutzer- und Gruppenkonten
Bewährte Methoden für das Ausführen von Computermigrationen
Bewährte Methoden für das Ausführen des Rollbacks einer Migration
19
Bewährte Methoden für das Ausführen der
Migration von Benutzer- und Gruppenkonten
Führen Sie regelmäßige Sicherungen von Domänencontrollern sowohl in der Quell- als auch
in der Zieldomäne während der gesamten Dauer der Migrationen durch. Beim Migrieren von
Computern, die Dateifreigaben für die Sicherheitskonvertierung enthalten, sollten auch
Sicherungen dieser Computer während der Dauer der Migrationen erstellt werden.
Es ist empfehlenswert, Benutzer losweise zu migrieren. Eine Losgröße von 100 Benutzern
hilft bei der Verwaltung des Migrationsprozesses.
Verwalten Sie Änderungen an Benutzerkonten und Gruppenkonten in der Quelldomäne
immer während des Migrationsprozesses.
Verwenden Sie die Option In Konflikt stehende Objekte migrieren und zusammenführen
auf der Seite Konfliktverwaltung des Assistenten zum Migrieren von Benutzerkonten und
des Assistenten zum Migrieren von Gruppenkonten, um Benutzer und Gruppen so oft wie
nötig während der gesamten Migration erneut zu migrieren. Das Verwalten von Änderungen
in der Quelldomäne und die anschließende Verwendung der Option In Konflikt stehende
Objekte migrieren und zusammenführen während der Migration stellt sicher, dass alle an
einem Objekt in der Quelldomäne vorgenommenen Änderungen nach dessen Migration in die
Zieldomäne nachvollzogen werden.
Stellen Sie zum Erhalten des Zugriffs auf Ressourcen sicher, dass bei der
Gruppenmitgliedschaft die folgenden Richtlinien berücksichtigt werden:
Verwenden Sie globale Gruppen zum Gruppieren von Benutzern.
Verwenden Sie lokale Gruppen für den Schutz von Ressourcen.
Platzieren Sie globale Gruppen in lokalen Gruppen, um den Mitgliedern der globalen
Gruppen Zugriff auf eine Ressource zu erteilen.
Halten Sie beim Konvertieren von Benutzerprofilen die in der folgenden Tabelle aufgeführten
Richtlinien ein.
20
Profiltyp Konvertierungsrichtlinien
Wichtig
Es ist wichtig, den Erfolg der Konvertierung lokaler Profile zu überprüfen, bevor Benutzer
versuchen, sich bei der Zieldomäne anzumelden. Wenn Benutzer sich mithilfe ihrer
neuen Zielkonten bei der Zieldomäne anmelden und ihre Profile nicht erfolgreich
konvertiert wurden, muss die Migration dieser Benutzer aus der Quelldomäne in die
Zieldomäne erneut ausgeführt werden. Weitere Informationen über die bei einem Fehler
in der Konvertierung lokaler Profile auszuführenden Schritte finden Sie unter Behandlung
von Problemen bei der Sicherheitskonvertierung.
21
(Active Directory Migration Tool, ADMT) automatisiert den Neustart von Arbeitsstationen und
Mitgliedsservern, jedoch wird die Option Minuten, bis der Computer nach Beenden des
Assistenten neu gestartet wird des Computermigrations-Assistenten zum Festlegen des
Zeitraums bis zum Neustart des Computers verwendet. Computer, die nach der Migration
keinen Neustart durchführen, befinden sich in einem unbestimmten Zustand.
Informieren Sie die Endbenutzer, dass ihre Computer zum Zeitpunkt der geplanten Migration
mit dem Netzwerk verbunden sein müssen.
Hinweis
Zum Sicherstellen eines erfolgreichen Rollbacks einer gesamtstrukturinternen
Migration dürfen Sie nicht versuchen, die Objekte in der Zieldomäne zu löschen und
sie dann in der Quelldomäne wiederherzustellen. Sie können sonst die Objekte nicht
mehr in der Quelldomäne wiederherstellen, weil sie vom Proxy für das
domänenübergreifende Verschieben automatisch gelöscht werden, wenn eine
Wiederherstellung versucht wird.
Hinweis
Wenn als funktionale Stufe der Quelldomäne Windows 2000 im gemischten Modus
zum Einsatz kommt, können Sie die Objekte nicht mehr aus der Zieldomäne in die
Quelldomäne zurück migrieren, um die Migrationsänderungen rückgängig zu
machen. Eine Rückmigration erfordert, dass die Quelldomäne zur Zieldomäne wird,
und die funktionale Stufe der Zieldomäne muss Windows 2000 im einheitlichen
Modus oder Windows Server 2003 sein.
22
Active Directory-Domänenneustrukturierung
zwischen Gesamtstrukturen
Für die Neustrukturierung von Active Directory-Domänen zwischen Gesamtstrukturen ist es
erforderlich, Objekte aus Quelldomänen in einer Gesamtstruktur in Zieldomänen in einer anderen
Gesamtstruktur zu verschieben. Active Directory-Domänen müssen ggf. aus den folgenden
Gründen zwischen Gesamtstrukturen neu strukturiert werden:
Migrieren einer Pilotdomäne in die neue Produktionsumgebung
Zusammenführen von Benutzern und Ressourcen mit einer anderen Organisation aufgrund
einer Unternehmensfusion und der Anforderung, die beiden IT-Infrastrukturen
zusammenzuführen
Verschieben von Benutzern und Ressourcen auf regelmäßiger Basis aufgrund einer
geplanten Bereitstellung mit mehreren Gesamtstrukturen
Entfernen von Objekten aus der Gesamtstruktur aufgrund einer Veräußerung an eine andere
Organisation oder zum Zweck einer späteren Zusammenführung in einer neuen oder
vorhanden Gesamtstruktur für diese Organisation
In diesem Abschnitt
Prüfliste: Ausführen einer Migration zwischen Gesamtstrukturen
Neustrukturierung von Active Directory-Domänen zwischen Gesamtstrukturen im Überblick
Planen der Neustrukturierung von Active Directory-Domänen zwischen Gesamtstrukturen
Vorbereiten der Quell- und Zieldomänen
Migrieren von Konten
Migrieren von Ressourcen
Anschließen der Migration
23
Task Referenz
Hinweis
Wenn Sie eine Gruppenrichtlinie mit Windows
Server 2008-Zieldomänencontrollern ausführen,
nehmen Sie diese Änderung mithilfe der
Gruppenrichtlinienverwaltung vor. Diese
Registrierungseinstellung entspricht der
Einstellung Mit Windows NT 4.0 kompatible
Kryptografiealgorithmen zulassen in der
Gruppenrichtlinie.
Aktivieren Sie für alle Migrationstasks, die Agent- Weitere Informationen zum Vornehmen
Bereitstellung verwenden und bei denen Windows- dieser Änderung in Windows-Firewall
Firewall in Gebrauch ist, die Ausnahme für Datei- und finden Sie unter "Aktivieren oder
Druckerfreigabe. Dies kann die Migration für folgende Deaktivieren der Ausnahme für Datei-
Situationen beinhalten: und Druckerfreigabe"
Migrieren von Arbeitsstationscomputern und (http://go.microsoft.com/fwlink/?
Mitgliedsservern, die unter Windows Vista® oder LinkID=119315).
Windows Server 2008 ausgeführt werden
Migrieren von Sicherheitseinstellungen oder
Ausführen der Sicherheitskonvertierung
24
Task Referenz
Vorbereiten der Quell- und Zieldomänen Dieser Task Installieren von ADMT v3.1
umfasst die folgenden Untertasks: Planen der Neustrukturierung von
Installieren der 128-Bit-Verschlüsselungssoftware Active Directory-Domänen zwischen
Einrichten von Vertrauensstellungen, die für die Gesamtstrukturen
Migration erforderlich sind
Einrichten von Migrationskonten für die Migration
Konfigurieren der Quell- und Zieldomänen für die
Migration des SID-Verlaufs
Konfigurieren der Struktur der Zieldomänen-
Organisationseinheit
Installieren von ADMT in der Zieldomäne
Angeben von Dienstkonten für die Migration
Geben Sie Dienstkonten mithilfe des Assistenten zum Konvertieren von Dienstkonten in der
Migrieren von Dienstkonten oder der ADMT- Migration
Befehlszeilentools an, und aktualisieren Sie diese. Sie
können das Befehlszeilentool ADMT SERVICE
verwenden, um Dienstkonten in der Quelldomäne
anzugeben. Sie können das Befehlszeilentool ADMT
USER verwenden, um angegebene Dienstkonten zu
aktualisieren.
Migrieren von Benutzerkonten und Arbeitsstationkonten Migrieren von Konten bei Verwendung
mit ihren SID-Verläufen in Gruppen Sie können des SID-Verlaufs
Benutzerkonten mithilfe des Assistenten zum Migrieren
von Benutzerkonten oder mit dem Befehlszeilentool
ADMT USER migrieren.
25
Task Referenz
Abschließen der Tasks nach der Migration Dieser Task Konvertieren der Sicherheit auf
umfasst die folgenden Untertasks: Mitgliedsservern
Konvertieren der Sicherheit auf Mitgliedsservern Außerbetriebnahme der Quelldomänen
Außerbetriebnahme der Quelldomänen
26
Zieldomäne in einer anderen Active Directory-Gesamtstruktur. Die Zieldomäne muss auf der
Funktionseben Windows 2000 (einheitlicher Modus), Windows Server 2003 oder Windows
Server 2008 betrieben werden.
Wenn Ihre Organisation vor kurzem mit einer anderen Organisation oder IT-Infrastruktur fusioniert
wurde, können Sie Domänen so neu strukturieren, dass Konten und Ressourcen in den beiden
Infrastrukturen zusammengeführt werden.
In diesem Abschnitt
Verfahren zum Neustrukturieren von Active Directory-Domänen zwischen Gesamtstrukturen
Hintergrundinformationen zum Neustrukturieren von Active Directory-Domänen zwischen
Gesamtstrukturen
27
Hintergrundinformationen zum
Neustrukturieren von Active Directory-
Domänen zwischen Gesamtstrukturen
Der Migrationsvorgang zwischen Gesamtstrukturen wird nicht als destruktiv betrachtet, weil die
Migrationsobjekte in der Quelldomäne auch weiterhin vorhanden sind, bis die Quelldomäne
außer Betrieb genommen wird. Da die Quell- und Zieldomänenumgebungen während der
Migration gleichzeitig vorhanden sind, besteht die Option, ein Rollback auf die Quellumgebung
durchzuführen, wenn bei der Migration ein Fehler auftritt, beispielsweise, wenn ein bestimmtes
Objekt nicht migriert oder der Zugriff in der Zieldomäne nach der Ausführung der Migration nicht
verwaltet oder beibehalten wird. Sie können das Active Directory-Migrationsprogramm
(Active Directory Migration Tool, ADMT) zum Migrieren von Konten und Ressourcen zwischen
Domänen unter Beibehaltung von Benutzer- und Objektberechtigungen verwenden. Während des
Neustrukturierungsvorgangs zwischen Gesamtstrukturen besitzen Benutzer ununterbrochen
Zugriff auf erforderliche Ressourcen. Außerdem können Sie Benutzer, Gruppen und Ressourcen
unanhängig voneinander verschieben.
Bevor Sie mit der Neustrukturierung von Active Directory-Domänen zwischen Gesamtstrukturen
beginnen, müssen Sie sich mit dem Migrationsvorgang für Konten und Ressourcen, den
Funktionsebenen der Gesamtstruktur und ADMT vertraut machen.
28
Wenn Sie Gruppenrichtlinien zum Verwalten der Ordnerumleitung oder Softwareverteilung
verwenden, stellen Sie sicher, dass diese Richtlinien auch nach der Migration von
Benutzerkonten in eine neue Gesamtstruktur weiterhin gelten. Wenn Sie ein
Gruppenrichtlinienobjekt zum Erteilen oder Verweigern des Remotezugriffs in der Quelldomäne –
nicht jedoch in der Zieldomäne – verwenden, kann ADMT nicht feststellen, welcher Remotezugriff
dem Benutzer zugewiesen werden soll.
Wenn Sie Gruppenrichtlinien zum Verwalten von Ordnerumleitung verwenden, funktionieren
Offlinedateien nicht, nachdem das Benutzerkonto in eine neue Gesamtstruktur migriert wurde.
Offlinedateien speichern die Sicherheitskennung des Benutzers als Besitzer. Die
Sicherheitskennung ändert sich, wenn das Benutzerkonto migriert wird. Um den Besitz von
Offlinedateien wiederherzustellen, verwenden Sie den Sicherheitskonvertierungs-Assistenten von
ADMT, um die Berechtigungen für die Dateien und Ordner auf dem Clientcomputer zu ersetzen,
der den Offlinedateiencache enthält.
Sie können folgendermaßen vorgehen, um sicherzustellen, dass Benutzer auch weiterhin Zugriff
auf Offlinedateien besitzen, nachdem Sie Benutzerkonten in die Zieldomäne migriert haben:
1. Konvertieren Sie die Sicherheit auf Clientcomputern, um die Offlinedateien zu aktualisieren.
2. Wenn der SID-Verlauf des Benutzerkontos nicht in die Zieldomäne migriert wurde,
konvertieren Sie die Sicherheit auf dem Server, der umgeleitete Ordner hostet.
Wenn Sie Ordnerumleitung verwenden, tritt einer der folgenden Fälle ein:
Wenn der Ordnerumleitungspfad in der neuen Umgebung ein anderer ist, können Benutzer
auf den Ordner zugreifen, wenn der SID-Verlauf des Benutzerkontos in die Zieldomäne
migriert wurde. Die Ordnerumleitungserweiterung kopiert die Dateien vom ursprünglichen
Speicherort in der Quelldomäne an den neuen Speicherort in der Zieldomäne. Der SID-
Verlauf ermöglicht dem Benutzerkonto den Zugriff auf die Quellordner.
Wenn der Ordnerumleitungspfad in der neuen Umgebung gleich ist, können Benutzer nicht
auf den umgeleiteten Ordner zugreifen, weil die Ordnerumleitung den Besitz des
umgeleiteten Ordners überprüft und ein Fehler auftritt. In diesem Fall müssen Sie die
Sicherheit für den umgeleiteten Ordner auf dem Server konvertieren.
Wenn Sie Gruppenrichtlinien zum Verwalten der Softwareinstallation verwenden, und das
Windows Installer-Paket benötigt Zugriff auf die ursprüngliche Quelle für z. B. Reparatur- oder
Entfernungsvorgänge, müssen Sie die Sicherheit des Softwareverteilungspunkts konvertieren,
nachdem Sie Benutzer migriert haben, damit sichergestellt ist, dass die Softwareinstallation in der
Zieldomäne auch weiterhin ordnungsgemäß funktioniert.
Funktionsebenen
Die Funktionsebene einer Domäne oder Gesamtstruktur definiert die Gruppe der Windows-
Betriebssysteme, die auf den Domänencontrollern in dieser Domäne oder Gesamtstruktur
ausgeführt werden können. Die Funktionsebene einer Domäne oder Gesamtstruktur definiert
außerdem die zusätzlichen Active Directory-Funktionen, die in dieser Domäne oder
Gesamtstruktur verfügbar sind.
Alle Zieldomänen müssen auf der Funktionseben Windows 2000 (einheitlicher Modus),
Windows Server 2003 oder Windows Server 2008 betrieben werden.
30
Festlegen des Kontomigrationsvorgangs
Mit dem Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) kann der
SID-Verlauf (Security Identifier, SID) zum Erhalten von Ressourcenberechtigungen beim
Migrieren von Konten verwendet werden. Wenn jedoch zwischen den Quell- und Zieldomänen
SID-Filterung eingerichtet ist und die Administratoren in der Quelldomäne keine
Vertrauensstellung besitzen, kann die SID-Filterung nicht deaktiviert werden. Ebenso wenig kann
der SID-Verlauf zum Erteilen des Zugriffs auf Ressourcen in der Quelldomäne verwendet werden.
In diesem Fall müssen Sie einen anderen Migrationsprozess verwenden.
Sie können eine der folgenden drei Methoden verwenden, um Konten zwischen
Gesamtstrukturen zu migrieren und dabei die Benutzerrechte für den Zugriff auf Ressourcen in
der Quelldomäne zu erhalten:
Migrieren Sie Benutzerkonten, während Sie den SID-Verlauf für den Ressourcenzugriff
verwenden. Bei dieser Methode entfernen Sie die SID-Filterung für die Vertrauensstellungen
zwischen den Domänen, um Benutzern den Zugriff auf Ressourcen in der Quelldomäne
mithilfe der Anmeldeinformationen aus ihrem SID-Verlauf zu ermöglichen.
Wenn eine Gesamtstrukturvertrauensstellung besteht, entfernen Sie die SID-Filterung für
die Gesamtstrukturvertrauensstellung. (Alternativ können Sie die
Gesamtstrukturvertrauensstellung außer Kraft setzen, indem Sie eine externe
Vertrauensstellung erstellen, so dass die Domäne, in der die Ressourcen enthalten sind,
31
der Zieldomäne vertraut, und anschließend die SID-Filterung für die externe
Vertrauensstellung entfernen.)
Wenn keine Gesamtstrukturvertrauensstellung besteht, richten Sie externe
Vertrauensstellungen zwischen den Quell- und Zieldomänen ein. Anschließend müssen
Sie die SID-Filterung für die externen Vertrauensstellungen entfernen, wenn auf dem
Domänencontroller, der zum Erstellen des Vertrauensstellung verwendet wird, Windows
Server 2008, Windows Server 2003 oder Windows 2000 Service Pack 4 (SP4) oder
höher ausgeführt wird.
Weitere Informationen über diesen Prozess finden Sie unter Migrieren von Konten bei
Verwendung des SID-Verlaufs weiter hinten in diesem Handbuch.
Migrieren Sie alle Benutzer,Gruppen und Ressourcen in einem Schritt in die Zieldomäne.
Weitere Informationen über diesen Prozess finden Sie unter Migrieren von Konten bei
Verwendung des SID-Verlaufs weiter hinten in diesem Handbuch.
Migrieren Sie Benutzerkonten, ohne den SID-Verlauf für den Ressourcenzugriff zu
verwenden, konvertieren Sie jedoch die Sicherheit für alle Ressourcen vor dem
Migrationsprozess, um den Ressourcenzugriff sicherzustellen. Weitere Informationen über
das Migrieren von Konten ohne Verwendung des SID-Verlaufs finden Sie unter Migrieren von
Konten ohne Verwendung des SID-Verlaufs weiter hinten in diesem Handbuch.
Damit Sie bestimmen können, welcher Kontenmigrationsprozess für Ihre Organisation optimal
geeignet ist, müssen Sie zuerst bestimmen, ob Sie die SID-Filterung deaktivieren und Konten
unter Verwendung des SID-Verlaufs für den Ressourcenzugriff migrieren können. Sie können
dies ohne Gefahr ausführen, wenn zwischen den Administratoren der Quelldomäne und den
Administratoren der Zieldomäne eine vollständige Vertrauensstellung besteht. Möglicherweise
sollten Sie die SID-Filterung deaktivieren, wenn eine der folgenden Bedingungen zutrifft:
Die Administratoren der vertrauenden Domäne sind zugleich die Administratoren der
vertrauenswürdigen Domäne.
Die Administratoren der vertrauenden Domäne haben eine Vertrauensstellung zu den
Administratoren der vertrauenswürdigen Domäne und sind zuversichtlich, dass diese die
Domäne in geeigneter Weise gesichert haben.
Wenn Sie die SID-Filterung deaktivieren, entfernen Sie die Sicherheitsgrenze zwischen
Gesamtstrukturen, die normalerweise die Isolation von Daten und Diensten zwischen den
Gesamtstrukturen herstellt. Beispielsweise kann ein Administrator in der Zieldomäne mit Rechten
als Dienstadministrator oder eine Einzelperson, die physischen Zugriff auf einen
Domänencontroller besitzt, den SID-Verlauf eines Kontos so ändern, dass er die SID eines
Domänenadministrators in der Quelldomäne einschließt. Wenn das Benutzerkonto, für das der
SID-Verlauf geändert wurde, sich bei der Zieldomäne anmeldet, weist es gültige
Anmeldeinformationen als Domänenadministrator für Ressourcen in der Quelldomäne auf und
erhält Zugriff auf diese.
Daher sollten Sie, wenn Sie den Administratoren in der Zieldomäne nicht vertrauen oder nicht
glauben, dass die Domänencontroller in der Zieldomäne physisch sicher sind, SID-Filterung
zwischen den Quell- und Zieldomänen aktivieren und Benutzerkonten ohne SID-Verlauf für den
Ressourcenzugriff migrieren.
32
Die folgende Abbildung veranschaulicht den Entscheidungsprozess, der zum Bestimmen des für
Ihre Organisation geeigneten Migrationsprozesses verwendet werden kann.
33
SID-Verlaufsattribut dem Zugriffstoken des Benutzers hinzugefügt. Diese SIDs bestimmen die
Mitgliedschaft des Benutzers in lokalen Gruppen. Anschließend werden dem Zugriffstoken die
SIDs der Gruppen, bei denen der Benutzer Mitglied ist, hinzugefügt, zusammen mit dem SID-
Verlauf dieser Gruppen.
Die Ressourcen innerhalb der Quell- und der Zieldomäne lösen ihre Zugriffssteuerungslisten
(Access Control Lists, ACLs) zu SIDs auf und prüfen dann beim Erteilen oder Verweigern des
Zugriffs auf Übereinstimmungen zwischen ihren ACLs und dem Zugriffstoken. Wenn die SID oder
der SID-Verlauf übereinstimmen, wird der Zugriff auf die Ressource erteilt oder verweigert, je
nach dem in der ACL festgelegten Zugriff. Wenn sich die Ressource in der Quelldomäne befindet
und Sie keine Sicherheitskonvertierung durchgeführt haben, verwendet sie den SID-Verlauf des
Benutzerkontos für das Erteilen des Zugriffs.
Ferner können Sie die ursprüngliche SID für globale Gruppen und universale Gruppen im SID-
Verlauf der globalen Gruppe oder universellen Gruppe in der Zieldomäne beibehalten. Da die
Mitgliedschaft in globalen Gruppen auf SIDs basiert, wird die lokale Gruppenmitgliedschaft der
globalen Gruppe oder universellen Gruppe beim Migrieren der SID zum SID-Verlauf der globalen
Gruppe oder universellen Gruppe in der Zieldomäne automatisch beibehalten.
Der SID-Verlauf wird für folgende Punkte verwendet:
Zugriff auf servergespeicherte Benutzerprofile
Zugriff auf Zertifizierungsstellen
Zugriff bei der Softwareinstallation
Ressourcenzugriff
Wenn Sie nicht den SID-Verlauf für den Ressourcenzugriff verwenden, müssen Sie den SID-
Verlauf trotzdem migrieren, um den Zugriff auf diese Elemente zu erleichtern.
34
Da die SID-Filterung sich nicht auf die Authentifizierung innerhalb von Domänen auswirkt, ist es
auch möglich, den Zugriff auf Ressourcen anhand des SID-Verlaufs zu erteilen, wenn die
Ressource und das Konto sich innerhalb der gleichen Gesamtstruktur befinden. Damit Benutzern
oder Gruppen der Zugriff auf eine Ressource mithilfe des SID-Verlaufs erteilt werden kann, muss
zwischen der Gesamtstruktur, in der sich die Ressource befindet, und der Gesamtstruktur, in der
das Konto geführt wird, eine Vertrauensstellung bestehen.
Weitere Informationen zu Angriffen auf der Grundlage des SID-Verlaufs und SID-Filterung finden
Sie unter "Konfigurieren der Einstellungen für die SID-Filterung" (http://go.microsoft.com/fwlink/?
LinkId=73446) (englischsprachig).
35
Identifizieren sie zum Erstellen eines Ressourcenobjektzuweisungstabelle die Quell- und
Zielorganisationseinheit für jedes Objekt, und notieren Sie den physikalischen Speicherort und
die Rolle in der Zieldomäne. Ein Arbeitsblatt, das Sie beim Erstellen einer
Ressourcenobjektzuweisungstabelle unterstützt, finden Sie unter "Resource Object Assignment
Table" (DSSREER_2.doc) im Download
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services der Job Aids für das
Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink?LinkId=14384,
englischsprachig).
Die folgende Abbildung zeigt ein Beispiel einer Ressourcenobjektzuweisungstabelle.
36
Entwickeln eines Testplans für die Migration
Das Active Directory-Migrationsprogramm, Version 3.1 (ADMT v3.1), enthält keine
Testmigrationsoption, die in früheren Versionen von ADMT verfügbar war. Sie können jedoch
einen Testplan entwickeln, um jedes Objekt systematisch zu testen, nachdem es in die neue
Umgebung migriert wurde, und ggf. auftretende Probleme identifizieren und beheben. Das Testen
des Erfolgs der Migration stellt sicher, dass Benutzer, die aus der Quell- in die Zieldomäne
migriert wurden, sich anmelden, auf Ressourcen basierend auf der Gruppenmitgliedschaft und
basierend auf Benutzeranmeldeinformationen zugreifen können. Das Testen stellt außerdem
sicher, dass Benutzer auf die Ressourcen zugreifen können, die Sie migrieren.
Nachdem Sie die Tests abgeschlossen haben, können Sie mit der Migration kleiner Pilotgruppen
fortfahren und dann schrittweise die Größe der Lose von Migrationsobjekten in Ihrer
Produktionsumgebung erhöhen.
Verwenden Sie das folgende Verfahren, um die Migration von Konto- und Ressourcenobjekten zu
testen:
37
1. Erstellen Sie einen Testbenutzer in der Quelldomäne. Schließen Sie diesen Testbenutzer in
die Migrationen ein.
2. Fügen Sie diesen Benutzer den entsprechenden globalen Gruppen hinzu, um den
Ressourcenzugriff zu aktivieren.
3. Melden Sie sich an der Quelldomäne als Testbenutzer an, und vergewissern Sie sich, dass
Sie ordnungsgemäß auf Ressourcen zugreifen können.
4. Nachdem Sie das Benutzerkonto migriert haben, konvertieren Sie das Benutzerprofil und
migrieren die Arbeitsstation des Benutzers, melden sich an der Zieldomäne als Testbenutzer
an und überprüfen, ob der erforderliche Zugriff und die entsprechenden Funktionen für den
Benutzer erhalten geblieben sind. Der Test kann z. B. die folgenden Überprüfungen
beinhalten:
Der Benutzer kann sich erfolgreich anmelden.
Der Benutzer besitzt Zugriff auf alle entsprechenden Ressourcen, z. B. auf Datei- und
Druckfreigaben, Dienste wie etwa Messaging sowie Zugriff auf Branchenanwendungen.
Es ist besonders wichtig, den Zugriff auf intern entwickelte Anwendungen zu testen, die
auf Datenbankserver zugreifen.
Das Benutzerprofil wurde erfolgreich konvertiert, und die Desktopeinstellungen, die
Desktopdarstellung, Verknüpfungen und der Zugriff auf den Ordner Eigene Dateien sind
erhalten geblieben. Vergewissern Sie sich außerdem, dass Anwendungen im Menü Start
angezeigt und über dieses Menü gestartet werden können.
Beim Migrieren von Benutzerkonten kann nicht jede Benutzereigenschaft migriert
werden. Weitere Informationen zu Benutzereigenschaften, die nicht migriert werden
können, finden Sie weiter unten in diesem Handbuch unter Migrieren von
Benutzerkonten.
Nachdem Sie Ressourcen migriert haben, melden Sie sich als Testbenutzer in der Zieldomäne an
und vergewissern sich dann, dass Sie ordnungsgemäß auf Ressourcen zugreifen können.
Wenn in einem der Schritte des Testverfahrens Fehler auftreten, ermitteln Sie die Ursache des
Problems, und stellen Sie dann fest, ob Sie das Problem beheben können, bevor der Zugriff auf
das Objekt in der Zieldomäne möglich sein muss. Wenn Sie das Problem nicht beheben können,
bevor der Zugriff auf das Objekt erforderlich ist, führen Sie einen Rollbackvorgang in die
ursprüngliche Konfiguration aus, damit der Zugriff auf das Benutzer- oder Ressourcenobjekt
sichergestellt ist. Weitere Informationen zum Erstellen eines Rollbackplans finden Sie unter
Erstellen eines Rollbackplans weiter unten in diesem Handbuch.
Erstellen Sie eine Migrationstestmatrix als Teil Ihres Testplans. Füllen Sie eine Testmatrix für
jeden Schritt im Migrationsvorgang aus. Wenn Sie z. B. 10 Lose von Benutzern migrieren, füllen
Sie die Testmatrix 10 Mal aus – einmal für jedes migrierte Los. Wenn Sie 10 Mitgliedsserver
migrieren, füllen Sie die Testmatrix für jeden der 10 Server aus.
Ein Arbeitsblatt, das Sie beim Erstellen einer Testmatrix unterstützt, finden Sie unter "Migration
Test Matrix" (DSSREER_3.doc) im Download
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services der Job Aids für das
Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink?LinkId=14384,
englischsprachig).
38
Die folgende Abbildung zeigt ein Beispiel für eine ausgefüllte Migrationstestmatrix.
39
Möglicherweise müssen Sie ein Rollback der Migration ausführen, wenn einer der folgenden
Fälle eintritt:
Benutzer können sich nach der Migration nicht bei ihren Konten anmelden.
Benutzer können nach der Migration nicht auf Ressourcen zugreifen.
Die Benutzermigration ist unvollständig; beispielsweise wurden keine Kennwörter migriert.
Die Benutzermigration war erfolgreich, aber bei der Migration von Benutzerarbeitsstationen
oder der Konvertierung lokaler Profile traten Fehler auf.
Wenn die Auswirkung auf Benutzer oder die Ausfallzeit ein Niveau erreichen, die Sie für Ihre
Organisation als nicht akzeptabel definiert haben, können Sie den Rollbackplan implementieren
und den Betrieb in der Umgebung vor der Migration fortsetzen. Da die Quelldomäne während der
Umstrukturierung intakt bleibt, können Sie die ursprüngliche Umgebung wiederherstellen, indem
Sie einige wichtige Schritte ausführen.
So führen Sie nach dem Migrieren von Kontoobjekten ein Rollback zur Umgebung vor der
Migration aus:
1. Aktivieren Sie die Benutzerkonten in der Quelldomäne (wenn Sie die Konten während des
Migrationsprozesses deaktiviert haben).
2. Benachrichtigen Sie die Benutzer, dass sie sich von der Zieldomäne abmelden sollen.
3. Benachrichtigen Sie die Benutzer, dass sie sich bei der Quelldomäne anmelden sollen.
4. Überprüfen Sie, ob die Benutzer auf die Ressourcen zugreifen können.
5. Überprüfen Sie, ob die Anmeldeskripts und Benutzerprofile für Benutzer in der Quelldomäne
wie konfiguriert funktionieren.
Der Rollbackprozess für Ressourcenobjekte ist dem für Kontoobjekte ähnlich. So führen Sie nach
dem Migrieren von Ressourcenobjekten ein Rollback zur Umgebung vor der Migration aus:
1. Ändern Sie die Domänenmitgliedschaft für den Server oder die Arbeitsstation auf die
Quelldomäne.
2. Führen Sie einen Neustart des Servers oder der Arbeitsstation aus.
3. Melden Sie sich als Benutzer an, und überprüfen Sie, ob Sie auf die Ressource zugreifen
können.
Hinweis
Wenn Sie Objekte ändern müssen, wie etwa Mitgliedsserver oder
Domänencontroller, um sie in die Zieldomäne zu migrieren, sichern Sie alle Daten,
bevor Sie die Änderungen vornehmen und die Migration durchführen.
40
administrative Verfahren für Migrationsobjekte einrichten, können Sie die Objekte sowohl in der
Quelldomäne als auch in der Zieldomäne erhalten. Daher können Sie auf die
Vormigrationsumgebung zurückgreifen, wenn der Neustrukturierungsvorgang nicht erfolgreich ist.
Planen Sie die Verwaltung der folgenden Typen von Kontomigrationsobjekten:
Benutzerkonten einschließlich Sicherheitskennungen (Security Identifiers, SIDs)
Globale Gruppenmitgliedschaft
Benutzerprofile
Systemattribut-Ausschlussliste
Bei der erstmaligen Ausführung einer ADMT-Benutzermigration generiert ADMT eine
Systemattribut-Ausschlussliste, die in der Datenbank des Programms gespeichert wird. Die
Systemattribut-Ausschlussliste enthält standardmäßig zwei Attribute: mail und proxyAddresses.
ADMT liest außerdem das Schema in der Zieldomäne und fügt der Liste die Attribute hinzu, die
nicht Teil des Basisschemas sind. Attribute in dieser Liste werden von Migrationsvorgängen
selbst dann ausgeschlossen, wenn das Attribut nicht in der Attributausschlussliste angegeben
wird. Ein Administrator kann die Systemattribut-Ausschlussliste nur mithilfe eines Skripts ändern.
Auf diese Weise werden Attribute geschützt, die wichtig sind, damit serverbasierte Anwendungen
wie etwa Microsoft Exchange funktionieren. Wenn das Schema der Zieldomäne nochmals
erweitert wird, nachdem ADMT die Liste generiert hat, müssen Administratoren die neuen
Attribute der Liste manuell hinzufügen. Dies gilt nur dann nicht, wenn sie sicher sind, dass das
Kopieren der Werte dieser Attribute von der Quelldomäne nicht zu Konflikten mit serverbasierten
Anwendungen führt.
Attributausschlussliste
Administratoren können eine Liste mit Attributen definieren, die aus jeder Migration
ausgeschlossen werden. Diese Liste wird als eine Attributausschlussliste bezeichnet. Bei
Verwendung der ADMT-Konsole werden Statusinformationen für Attribute, deren Ausschluss
konfiguriert wurde, in der Benutzeroberfläche gespeichert und in die Ausschlussliste für die
nächste Migration aufgenommen. Skripting- und Befehlszeilenattribute besitzen keine
Statusinformationen. Auf diesem Grund werden sie nicht in der Benutzeroberfläche gespeichert.
Diese Attribute müssen der Attributausschlussliste für jeden Migrationsvorgang hinzugefügt
werden. Dies geschieht mithilfe des Attributnamens oder durch eine Optionsdatei.
42
zusammenführen in ADMT so häufig wie erforderlich erneut. Diese Vorgehensweise stellt sicher,
dass Änderungen, die an Gruppenmitgliedschaften in der Quelldomäne vorgenommen wurden,
an die Gruppen in der Zieldomäne weitergegeben werden.
Wichtig
Wenn ein Rollbackvorgang auf die ursprüngliche Konfiguration stattfinden muss,
benachrichtigen Sie die Benutzer, dass in der Zieldomäne vorgenommene Änderungen
auf der Quelldomäne nicht übernommen werden.
Einige Organisationen möchten Benutzerprofile ggf. nicht migrieren. Andere Organisationen
möchten ggf. die Arbeitsstationen von Benutzern während des Migrationsvorgangs der
Benutzerkonten ersetzen und ein Tool wie z. B. das Migrationsprogramm für den Benutzerstatus
(User State Migration Tool, USMT) zum Migrieren von Benutzerdaten und Einstellungen auf die
neuen Computer der Benutzer verwenden. In der folgenden Tabelle werden die Voraussetzungen
für die Migration von Benutzerprofilen zusammengefasst.
Lokale Profile Benutzerprofile werden lokal auf Konvertieren Sie lokale Profile
der Arbeitsstation gespeichert. in einem anderen Schritt als
43
Typ Beschreibung Voraussetzungen für die
Migration
Nicht verwaltete Profile Gleiche Vorgehensweise wie bei Benutzer verlieren ihre
lokalen Profilen. vorhandenen Profile, wenn ihre
Konten migriert werden.
Erstellen eines
Endbenutzerkommunikationsplans
Entwickeln Sie einen Plan, um alle betroffenen Benutzer über die bevorstehende Kontomigration
zu informieren und so sicherzustellen, dass sie ihre Zuständigkeiten kennen, die Auswirkungen
der Migration verstehen und wissen, an wen sie sich wegen Hilfe und Support wenden können.
Bevor Sie mit der Benutzermigration beginnen, senden Sie einen Hinweis an alle Benutzer, die
für die Migration vorgesehen sind. Da Benutzer normalerweise in Losen von ungefähr 100
Benutzern zugleich migriert werden, ist es außerdem sinnvoll, den Benutzern in jedem Los zwei
oder drei Tage vor der geplanten Umstellung ihres Loses eine letzte Benachrichtigung zu senden.
44
Wenn Ihre Organisation ein Intranet betreibt, veröffentlichen Sie den Zeitplan zur Kontomigration
und die in der Benutzer-E-Mail enthaltenen Informationen auf einer leicht zugänglichen Webseite.
Nehmen Sie die folgenden Informationen in Ihre Endbenutzerkommunikation auf.
Allgemeine Informationen
Machen Sie Benutzer auf die Tatsache aufmerksam, dass für ihre Benutzerkonten die Migration
zu einer neuen Domäne geplant ist. Verweisen Sie die Benutzer auf eine Webseite oder auf eine
interne Ressource, wo sie weitere Informationen finden und den Zeitplan für die Migration
einsehen können.
Teilen Sie den Benutzern den neuen Domänennamen mit. Achten Sie darauf, die Benutzer zu
informieren, dass sich ihre Kontokennwörter nicht ändern werden. Lassen Sie die Benutzer
wissen, dass das ursprüngliche Domänenkonto unmittelbar im Anschluss an die Migration
deaktiviert wird und dass das deaktivierte Konto nach einem festgelegten Zeitraum gelöscht wird.
Dies ist nicht erforderlich, wenn sich die Benutzer mit UPNs (User Principal Names) anmelden.
Auswirkungen
Vergewissern Sie sich, dass den Benutzern bewusst ist, dass sie nach der Migration ihres Kontos
möglicherweise auf einige Ressourcen, wie etwa Websites, freigegebene Ordner oder
Ressourcen, die von Personen in der Gruppe oder Abteilung nicht häufig verwendet werden,
nicht mehr zugreifen können.
Stellen Sie Informationen für Benutzer hinsichtlich der Personen bereit, die sie um Hilfe bitten
können, um den Zugriff auf erforderliche Ressourcen wieder zu erlangen.
45
Erwartete Änderungen
Beschreiben Sie weitere Änderungen, die den Benutzern im Anschluss an die Migration auffallen
werden, wie etwa Änderungen in der Verwendung von SmartCards, sicherer E-Mail oder Instant
Messaging, falls zutreffend.
46
Installieren von Software für starke
Verschlüsselung (128-Bit)
Der Computer, auf dem das Active Directory-Migrationsprogramm (Active Directory Migration
Tool, ADMT) installiert ist, erfordert starke 128-Bit-Verschlüsselung. Diese Verschlüsselung stellt
auf Computern, die Windows 2000 Server Service Pack 3 (SP3) oder Service Pack 4 (SP4),
Windows Server 2003 oder Windows Server 2008 ausführen, den Standard dar. Wenn Sie die
Installation von ADMT auf einem Computer planen, der standardmäßig die starke 128-Bit-
Verschlüsselung nicht unterstützt, müssen Sie das Paket für die starke 128-Bit-Verschlüsselung
installieren.
Sie können das Verschlüsselungspaket unter "Windows 2000 High Encryption Pack (128-Bit)"
(http://go.microsoft.com/fwlink/?LinkId=76037) herunterladen.
47
Einrichten von erforderlichen
Vertrauensstellungen für die Migration
Vor der Migration von Konten und Ressourcen aus einer Quelldomäne in eine Zieldomäne in
einer anderen Active Directory-Gesamtstruktur müssen Sie sicherstellen, dass zwischen den
Gesamtstrukturen die entsprechenden Vertrauensstellungen bestehen. Vertrauensstellungen
zwischen den umzustrukturierenden Gesamtstrukturen ermöglichen dem Active Directory-
Migrationsprogramm (Active Directory Migration Tool, ADMT) die Migration von Benutzern und
Dienstkonten sowie die Konvertierung von lokalen Benutzerprofilen von den Quelldomänen zu
den Zieldomänen. Darüber hinaus können je nach der Weise, in der Vertrauensstellungen
konfiguriert wurden, Benutzer in der Quelldomäne auf Ressourcen in der Zieldomäne zugreifen.
Ferner können Benutzer in den Zieldomänen auf Ressourcen in der Quelldomäne, für die noch
keine Migration ausgeführt wurde, zugreifen.
Richten Sie zur Migration von Benutzern und globalen Gruppen eine unidirektionale
Vertrauensstellung zwischen der Quelldomäne und der Zieldomäne ein, damit die Quelldomäne
der Zieldomäne vertraut.
Zur Migration von Ressourcen oder Konvertierung von lokalen Profilen müssen Sie eine der
folgenden Aktivitäten ausführen:
Erstellen einer unidirektionalen Vertrauensstellung zwischen der Quelldomäne und der
Zieldomäne.
Erstellen einer bidirektionalen Vertrauensstellung zwischen Quell- und Zieldomänen.
Weitere Informationen zum Erstellen von Vertrauensstellungen finden Sie unter "Erstellen von
Vertrauensstellungen für Domänen und Gesamtstrukturen" (http://go.microsoft.com/fwlink/?
LinkId=77381) (englischsprachig).
48
von Benutzerkonten zusammen mit dem SID-Verlauf (Security Identifier), von globalen Gruppen
zusammen mit dem SID-Verlauf, von Computern und von Benutzerprofilen verwenden, in der
Quelldomäne über Anmeldeinformationen für einen lokalen Administrator oder einen
Domänenadministrator. Das Migrationskonto weist außerdem delegierte Berechtigungen für die
Benutzer-, Gruppen- und Computerorganisationseinheiten (OUs) in der Zieldomäne auf, mit dem
erweiterten Recht zum Migrieren des SID-Verlaufs für die Benutzerorganisationseinheit. Bei dem
Benutzer muss es sich um einen lokalen Administrator auf dem Computer in der Zieldomäne, auf
dem ADMT installiert ist, handeln. Ein Migrationskonto, das zum Migrieren von Arbeitsstationen
und Domänencontrollern verwendet wird, muss auf den Arbeitsstationen über
Anmeldeinformationen für einen lokalen Administrator oder einen Administrator der Quelldomäne
verfügen, oder das Konto muss über die Anmeldeinformationen als Administrator der
Quelldomäne auf dem Domänencontroller verfügen, oder beides.
In der Zieldomäne muss ein Konto mit delegierten Berechtigungen für die
Computerorganisationseinheit und die Benutzerorganisationseinheit verwendet werden. Sie
können ggf. ein separates Konto für die Migration von Arbeitsstationen verwenden, wenn dieser
Migrationsvorgang an Administratoren delegiert wird, die sich am gleichen Standort wie die
Arbeitsstationen befinden.
In der folgenden Tabelle sind die Anmeldeinformationen aufgelistet, die in der Quell- und
Zieldomäne für verschiedene Migrationsobjekte erforderlich sind.
49
Migrationsobjekt In der Quelldomäne erforderliche In der Zieldomäne erforderliche
Anmeldeinformationen Anmeldeinformationen
Die folgenden Vorgehensweisen stellen Beispiele für das Erstellen von Gruppen oder Konten
zum Migrieren von Konten und Ressourcen dar. Die Vorgehensweisen unterscheiden sich, je
nachdem, ob eine unidirektionale Vertrauensstellung oder eine bidirektionale Vertrauensstellung
besteht. Das Verfahren zum Erstellen von Migrationsgruppen für eine unidirektionale
Vertrauensstellung ist komplexer als das Verfahren für eine bestehende bidirektionale
Vertrauensstellung. Dies hat den Grund, dass bei einer unidirektionalen Vertrauensstellung die
Migrationsgruppe der lokalen Administratorgruppe auf lokalen Arbeitsstationen hinzugefügt
werden muss.
Das Beispielverfarhen zum Erstellen von Migrationsgruppen bei bestehender unidirektionaler
Vertrauensstellung umfasst das Erstellen separater Gruppen für das Migrieren von Konten und
Ressourcen. Jedoch können acct_migrators und res_migrators in einer Gruppe
zusammengefasst werden, wenn Sie sie nicht zur Delegierung verschiedener
Berechtigungssätze getrennt halten müssen.
50
Active Directory-Benutzer und -Computer auf Ansicht und dann auf Erweiterte
Funktionen.
c. Klicken Sie unter Berechtigungen für acct_migrators für die Berechtigung SID-
Verlauf migrieren auf Zulassen.
4. Fügen Sie in der Quelldomäne die Gruppe acct_migrators der Administratorgruppe hinzu.
5. Fügen Sie auf jedem Computer, auf dem Sie lokale Profile konvertieren möchten, die
Gruppe acct_migrators der lokalen Administratorgruppe hinzu.
ADMT, Version 3.1 (v3.1) enthält außerdem Datenbankverwaltungsrollen, die Sie zum Zuweisen
einer Teilmenge von Datenbankberechtigungen an Benutzer verwenden können, die spezifische
Migrationstasks ausführen. Die Datenbankverwaltungsrollen und die Migrationstasks, die sie
ausführen können, werden in der folgenden Tabelle aufgelistet.
Rolle Migrationstask
51
Rolle Migrationstask
So erstellen Sie eine lokale Gruppe in der Quelldomäne zur Unterstützung der
Überwachung
Erstellen Sie in der Quelldomäne eine lokale Gruppe mit dem Namen Quelldomäne$$$,
wobei Quelldomäne der NetBIOS-Name Ihrer Quelldomäne ist, z. B. Boston$$$. Fügen
Sie dieser Gruppe keine Mitglieder hinzu. Andernfalls tritt ein Fehler bei der Migration des
SID-Verlaufs auf.
52
1. Klicken Sie auf dem Domänencontroller in der Quelldomäne, die die PDC-Emulator-
Betriebsmasterrolle (auch als FSMO-Rolle (Flexible Single Master Operations)
bezeichnet) enthält, auf Start und dann auf Ausführen.
2. Geben Sie regedit in das Feld Öffnen ein, und klicken Sie dann auf OK.
Vorsicht
Durch eine fehlerhafte Bearbeitung der Registrierung können ernsthafte
Computerschäden verursacht werden. Bevor Sie Änderungen an der
Registrierung vornehmen, sollten Sie alle wichtigen Computerdaten sichern. Sie
können auch die Startoption Letzte als funktionierend bekannte Konfiguration
verwenden, wenn nach Änderungen Probleme auftreten.
3. Navigieren Sie im Registrierungs-Editor zu folgendem Registrierungsunterschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
4. Ändern Sie den Registrierungseintrag TcpipClientSupport vom Datentyp
REG_DWORD, indem Sie den Wert auf 1 festlegen.
5. Schließen Sie den Registrierungs-Editor, und starten Sie dann den Computer neu.
Hinweis
Wenn Sie eine Migration aus einer Windows Server 2003-Domäne zu einer
anderen Windows Server 2003-Domäne ausführen, muss der
TcpipClientSupport-Registrierungsschlüssel nicht geändert werden.
53
Konfigurieren der
Organisationseinheitsstruktur der
Zieldomäne für die Verwaltung
Das Active Directory-Entwurfsteam erstellt die Organisationseinheitsstruktur (Organizational Unit,
Organisationseinheit) für die Zieldomäne. Dieses Team definiert darüber hinaus die Gruppen, die
für die Verwaltung der einzelnen Organisationseinheiten und der Mitgliedschaft in den Gruppen
zuständig sind. Sie können diese Informationen und die folgende Vorgehensweise verwenden,
um die Zieldomäne für die Verwaltung zu konfigurieren.
54
der Installation aus der vorherigen Version von ADMT (z. B. aus ADMT v2.0 oder ADMT v3.0)
in ADMT v3.1 importieren.
Wenn Sie nicht planen, die lokale Standarddatenbankinstallation zu verwenden, stellen Sie
sicher, dass eine andere SQL Server 2000- oder SQL Server 2005-Datenbankinstallation mit
einer ADMT-Instanz konfiguriert ist. Weitere Informationen zum Erstellen einer ADMT-Instanz
für eine a SQL Server-Datenbank finden Sie unter Installieren von ADMT mithilfe einer
vorkonfigurierten SQL-Datenbank.
55
Seite des Assistenten Vorgang
wird.
Wenn Sie mehrere ADMT v3.1-Konsolen
verwenden oder einen dedizierten
Datenbankserver einsetzen, auf dem Sie
die ADMT-Datenbank zentralisieren
möchten, wählen Sie die Option
Vorhandenen Microsoft SQL Server
verwenden aus. Geben Sie den Server
im Format Server\Instanz an. Wenn Sie
diese Option auswählen, lesen Sie
Installieren von ADMT mithilfe einer
vorkonfigurierten SQL-Datenbank.
Sie sollten die SQL Server-
Datenbankinstanz konfigurieren, bevor
Sie diese Option auswählen. Die
ADMT v3.1-Installation wird zwar
fortgesetzt, wenn keine Verbindung mit
der Datenbank hergestellt werden kann,
Sie können ADMT jedoch erst zum
Migrieren von Konten oder Ressourcen
verwenden, nachdem die
Datenbankinstanz erstellt wurde und
verfügbar ist.
56
Seite des Assistenten Vorgang
57
Syntax Beschreibung
admtdb create /s|server: <Server\Instance> Gibt den Namen des Computers mit
SQL Server sowie die Instanz an, mit der zum
Zweck der Datenbankerstellung eine
Verbindung hergestellt werden soll. Dieser
Parameter ist erforderlich.
admtdb create [/{i|import}: "<v2 database Gibt den vollqualifizierten Pfad zur
path>" Datenbankdatei protar.mdb an, die mit einer
früheren ADMT v2-Installation verwendet
wurde.
Der erforderliche Parameter /server muss mit
dieser Option angegeben werden.
ADMT v2-Daten können zum Zeitpunkt der
Erstellung oder später mithilfe des Befehls
admtdb import in eine leere Datenbank
importiert werden.
admtdb create [/{a|attach}: "<v3 database Gibt den vollqualifizierten Pfad zur
path>" Datenbankdatei protar.mdb an, die mit einer
früheren ADMT v3.0-Installation verwendet
wurde.
Der erforderliche Parameter /server muss mit
dieser Option angegeben werden.
ADMT v3.0-Daten können zum Zeitpunkt der
Erstellung oder später mithilfe des Befehls
admtdb import in eine leere Datenbank
importiert werden.
58
1. Klicken Sie auf dem lokalen Computer auf Start, zeigen Sie auf Verwaltung, und klicken
Sie dann auf Dienste.
2. Navigieren Sie im rechten Bereich zu MSSQL$MS_ADMT, und vergewissern Sie sich
dann, dass in der Spalte Status die Angabe Gestartet angezeigt wird und der Starttyp
auf Automatisch festgelegt ist. Wenn der MSSQL$MS_ADMT-Dienst nicht den Status
Gestartet aufweist, klicken Sie mit der rechten Maustaste auf MSSQL$MS_ADMT.
Klicken Sie dann auf Eigenschaften.
3. Klicken Sie auf der Registerkarte Allgemein in der Dropdownliste Starttyp auf
Automatisch.
4. Klicken Sie unter Dienststatus auf Starten, und klicken Sie dann auf OK.
5. Schließen Sie Dienste.
6. Öffnen Sie eine Eingabeaufforderung, geben Sie den folgenden Befehl ein, und drücken
Sie dann die EINGABETASTE:
admt config /setdatabase: <Server\Instance>
Hinweis
Der Kennwortexportserver-Dienst kann nicht auf schreibgeschützten Domänencontrollern
(Read-Only Domain Controllers, RODCs) installiert werden.
Für die Installation des PES-Diensts in der Quelldomäne ist ein Verschlüsselungsschlüssel
erforderlich. Der Verschlüsselungsschlüssel muss jedoch auf dem Computer erstellt werden, der
ADMT in der Zieldomäne ausführt. Speichern Sie den erstellten Schlüssel in einem
freigegebenen Ordner im Netzwerk oder auf einem Wechselmedium. Auf diese Weise können Sie
ihn an einem sicheren Speicherort speichern und ihn nach Abschluss der Migration neu
formatieren.
Sie können den PES-Dienst vor oder nach der Installation von ADMT v3.1 installieren. In den
folgenden Verfahren wird die Installation und Verwendung des PES-Diensts auf Computern mit
Windows Server 2008 erläutert.
Die Mitgliedschaft in der Gruppe Administratoren (oder eine äquivalente Berechtigung) ist
mindestens erforderlich, um dieses Verfahren auszuführen. Weitere Informationen zum
59
Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter
http://go.microsoft.com/fwlink/?LinkId=83477.
Wert Beschreibung
Konfigurieren Sie nach dem Erstellen des Verschlüsselungsschlüssels den PES-Dienst auf einem
Domänencontroller in der Quelldomäne.
ADMT bietet die Option zum Ausführen des PES-Diensts unter dem lokalen Systemkonto oder
mithilfe der Anmeldeinformationen eines in der Zieldomäne authentifizierten Benutzers. Es wird
empfohlen, den PES-Dienst als in der Zieldomäne authentifizierter Benutzer auszuführen. Auf
diese Weise brauchen Sie die Gruppen Jeder und Anonyme Anmeldung nicht der Gruppe Prä–
Windows 2000 kompatibler Zugriff hinzuzufügen.
Hinweis
Wenn Sie den PES-Dienst unter dem lokalen Systemkonto ausführen, stellen Sie sicher,
dass die Gruppe Prä–Windows 2000 kompatibler Zugriff in der Zieldomäne die Gruppe
Jeder und die Gruppe Anonymer Zugriff enthält.
60
1. Fügen Sie auf dem Domänencontroller, der den PES-Dienst in der Quelldomäne
ausführt, den Verschlüsselungsschlüssel-Datenträger ein.
2. Führen Sie im Ordner %systemroot%\Windows\ADMT\PES das Programm
Pwdmig.msi aus. Wenn Sie während des Schlüsselerstellungsvorgangs auf dem
Domänencontroller in der Zieldomäne ein Kennwort festlegen, geben Sie das Kennwort
ein, das beim Erstellen des Schlüssels eingegeben wurde, und klicken Sie dann auf
Weiter.
Dienst ausführen als Geben Sie das Konto an, unter dem der
PES-Dienst ausgeführt werden soll. Sie
können eins der folgenden Konten angeben:
Das lokale Systemkonto
Ein angegebenes Benutzerkonto
Hinweis
Wenn Sie beabsichtigen, den
PES-Dienst unter einem
authentifizierten Benutzerkonto
auszuführen, geben Sie das
Konto im Format
Domaene\Benutzername an.
Hinweis
Damit Sie die
61
Seite des Assistenten Vorgang
3. Starten Sie den Domänencontroller nach dem Abschluss der Installation erneut.
4. Zeigen Sie nach dem Neustart des Domänencontrollers zum Starten des PES-Diensts
auf Start, dann auf Alle Programme, zeigen Sie auf Verwaltung, und klicken Sie dann
auf Dienste.
5. Klicken Sie im Detailbereich mit der rechten Maustaste auf Kennwortexportserver-
Dienst, und klicken Sie dann auf Start.
Hinweis
Führen Sie den PES-Dienst nur beim Migrieren von Kennwörtern aus. Beenden
Sie den PES-Dienst, nachdem die Migration von Kennwörtern abgeschlossen ist.
So initialisieren Sie ADMT durch Ausführen einer Testmigration einer globalen Gruppe
1. Verwenden Sie in der ADMT-Konsole den Assistenten zum Migrieren von
Gruppenkonten, indem Sie die in der folgenden Tabelle aufgeführten Schritte ausführen.
Akzeptieren Sie Standardeinstellungen, wenn keine Informationen angegeben sind.
63
Seite des Assistenten Vorgang
2. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll
anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler.
3. Vergewissern Sie sich, dass die Testmigration ADMT ordnungsgemäß konfiguriert hat,
indem Sie Folgendes sicherstellen:
In der Quelldomäne ist eine neue lokale Gruppe namens Quelldomäne$$$
vorhanden. Dieses Konto unterstützt die ADMT-Überwachung der Migration des SID-
Verlaufs.
Der Registrierungseintrag TcpipClientSupport wurde im folgenden Unterschlüssel
des PDCs der Quelldomäne erstellt und sein Wert auf 1 festgelegt:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
Die Überwachungsrichtlinie für die Kontenverwaltung ist in den Quell- und
Zieldomänen aktiviert.
64
diese bei der Migration des Computers migriert werden. Dienste, die im Kontext eines
Benutzerkontos ausgeführt werden, müssen jedoch nach dem Abschluss des
Kontenmigrationsvorgangs auf dem Computer aktualisiert werden. ADMT kann ferner das lokale
Systemkonto oder das Netzwerkdienstkonto nicht migrieren, da es sich hier um vordefinierte
Konten handelt, die in Windows Server 2003 immer vorhanden sind.
Der Vorgang des Identifizierens, Migrierens und Aktualisierens von Diensten, die im Kontext von
Benutzerkonten ausgeführt werden, umfasst drei Schritte. Zuerst startet der Administrator ADMT
auf dem Active Directory-Domänencontroller und führt den Assistenten zum Migrieren von
Dienstkonten aus. Im zweiten Schritt sendet der Assistent zum Migrieren von Dienstkonten einen
Agent an einen angegebenen Computer und identifiziert alle Dienste auf dem Computer, die im
Kontext eines Benutzerkontos ausgeführt werden (er migriert die Dienste jedoch nicht). Als dritter
Schritt, der später im Migrationsprozess erfolgen kann, wird dann die Migration der Konten
ausgeführt, wenn die anderen Benutzerkonten mit dem Assistenten zum Migrieren von
Benutzerkonten migriert werden.
Der Assistent zum Migrieren von Dienstkonten überprüft eine vom Administrator definierte Liste
der Server auf Dienste, die für die Verwendung eines Domänenkontos zur Authentifizierung
konfiguriert sind. Die Konten werden dann in der ADMT-Datenbank als Dienstkonten
gekennzeichnet. Das Kennwort wird beim Migrieren eines Dienstkontos nie migriert. Stattdessen
verwendet ADMT eine Klartextdarstellung des Kennworts, um die Dienste nach der Migrierung
der Dienstkonten zu konfigurieren. Anschließend wird eine verschlüsselte Version des Kennworts
in der Datei password.txt im ADMT-Installationsordner gespeichert.
Ein Administrator einer Arbeitsstation oder eines Servers kann jeden beliebigen Dienst installieren
und den Dienst für die Verwendung jedes beliebigen Domänenkontos konfigurieren. Wenn der
Administrator den Dienst nicht so konfigurieren kann, dass er sich mit dem richtigen Kennwort
authentifiziert, wird der Dienst nicht gestartet. Nach der Migration des Dienstkontos konfiguriert
ADMT den Dienst auf der Arbeitsstation oder dem Server für die Verwendung des neuen
Kennworts, und der Dienst startet jetzt unter dem neuen Benutzerkonto.
Schließen Sie den Assistenten zum Migrieren von Dienstkonten nur auf den Servern ein, die von
vertrauenswürdigen Administratoren verwaltet werden. Verwenden Sie den Assistenten nicht zum
Erkennen von Dienstkonten auf Computern, die nicht von vertrauenswürdigen Administratoren
verwaltet werden, wie etwa Arbeitsstationen.
Verteilen Sie Agents auf allen Servern in der Domäne, die von vertrauenswürdigen
Administratoren verwaltet werden, um sicherzustellen, dass keine Dienstkonten übersehen
werden. Wenn Sie ein Dienstkonto auslassen, das ein Konto für einen Dienst freigibt, der bereits
migriert wurde, kann ADMT die Dienstkonten nicht synchronisieren. Sie müssen die Kennwörter
für das Dienstkonto manuell ändern und dann das Kennwort des Dienstkontos auf jedem Server
zurücksetzen, der den betreffenden Dienst ausführt.
Wenn die Konten, die vom Assistenten für die Migration von Dienstkonten in der ADMT-
Datenbank als im Kontext eines Benutzerkontos ausgeführt identifiziert wurden, in die
Zieldomäne migriert werden, erteilt ADMT jedem Konto das Recht zur Anmeldung als Dienst.
Wenn dem Dienstkonto Rechte mithilfe einer Gruppenmitgliedschaft zugewiesen wurden,
aktualisiert der Sicherheitskonvertierungs-Assistent das Konto so, dass ihm diese Rechte
zugewiesen werden. Weitere Informationen zur Ausführung des Sicherheitskonvertierungs-
65
Assistenten finden Sie unter Konvertieren von Dienstkonten in der Migration weiter hinten in
diesem Handbuch.
Sie können Dienstkonten mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption oder eines
Skripts identifizieren.
66
Seite des Assistenten Vorgang
Der Assistent stellt eine Verbindung mit den ausgewählten Computern her und sendet dann einen
Agent, um jeden Dienst auf den Remotecomputern zu überprüfen. Auf der Seite
Dienstkontoinformationen sind die Dienste, die im Kontext eines Benutzerkontos ausgeführt
werden, zusammen mit dem Namen des betreffenden Benutzerkontos aufgelistet. ADMT
vermerkt in seiner Datenbank, dass diese Benutzerkonten als Dienstkonten migriert werden
müssen. Wenn ein Benutzerkonto nicht als Dienstkonto migriert werden soll, wählen Sie das
Konto aus und klicken dann auf Überspringen/Einbeziehen, um den Status von Einbeziehen in
Überspringen zu ändern.
Zum Aktualisieren des Dienstkontroll-Managers mit den neuen Informationen verwenden Sie
SCM aktualisieren. Sofern kein Fehler beim Erreichen eines Computers zum Zweck der
Aktualisierung vorliegt, ist die Schaltfläche SCM aktualisieren nicht verfügbar. Wenn nach der
Identifikation und Migration des Kontos ein Problem beim Aktualisieren eines Dienstkontos
auftritt, stellen Sie sicher, dass der Computer, den Sie zu erreichen versuchen, verfügbar ist, und
starten Sie dann den Assistenten zum Migrieren von Dienstkonten erneut.
Klicken Sie im Assistenten auf SCM aktualisieren, um die Aktualisierung des Diensts zu
versuchen. Wenn Sie den Assistenten zum Migrieren von Dienstkonten bereits zuvor ausgeführt
haben und die Schaltfläche SCM aktualisieren nicht zur Verfügung steht, untersuchen Sie die
ADMT-Protokolldateien, um die Ursache des Problems zu ermitteln. Nachdem Sie das Problem
behoben haben und der Agent erfolgreich eine Verbindung hergestellt hat, steht die Schaltfläche
SCM aktualisieren zur Verfügung.
67
So identifizieren Sie Dienstkonten mithilfe der ADMT-Befehlszeilenoption
1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit
dem Migrationskonto des ADMT-Kontos an.
2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann
die EINGABETASTE:
ADMT SERVICE /N "<computer_name1>" "<computer_name2>" /SD:" <source_domain>" /TD:"
<target_domain>"
Dabei sind <computer_name1> und <computer_name2> die Namen von Computern in der
Quelldomäne, auf denen die Dienstkonten ausgeführt werden.
Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT SERVICE /N "<computer_name1>" "<computer_name2>" /O:" <option_file>.txt"
In der folgenden Tabelle sind die allgemeinen Parameter zum Identifizieren von
Dienstkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem
entsprechenden Äquivalent in der Optionsdatei.
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.
Option Explicit
Dim objMigration
Dim objServiceAccountEnumeration
'
68
'
Set objServiceAccountEnumeration = _
objMigration.CreateServiceAccountEnumeration
'
'
'
'
objServiceAccountEnumeration.Enumerate admtData, _
</Script>
</Job>
69
Konvertieren von Dienstkonten in der
Migration
Beginnen Sie den Vorgang der Migration von Objekten, indem Sie Dienstkonten migrieren.
Informationen über das Identifizieren der zu migrierenden Dienstkonten finden Sie unter
Konvertieren von Dienstkonten in der Migration weiter oben in diesem Handbuch.
Verwenden Sie für die Überführung von Dienstkonten das Active Directory-Migrationsprogramm
(Active Directory Migration Tool, ADMT), um die folgenden Aufgaben auszuführen:
Migrieren der Dienstkonten aus der Quelldomäne in die Zieldomäne.
Ändern der Dienste auf jedem Server in der Quelldomäne in der Weise, dass die Dienste das
Dienstkonto in der Zieldomäne statt in der Quelldomäne verwenden.
Sie können Dienstkonten mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption oder eines
Skripts überführen.
70
Migrieren von Benutzerkonten.
3. Führen Sie den Assistenten zum Migrieren von Benutzerkonten mithilfe der Informationen
in der folgenden Tabelle aus.
Hinweis
71
Seite des Assistenten Vorgang
72
Seite des Assistenten Vorgang
4. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll
anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler.
5. Starten Sie Active Directory-Benutzer und -Computer, navigieren Sie zu der
Organisationseinheit (Organizational Unit, OU), die Sie für Dienstkonten erstellt haben,
und überprüfen Sie dann, ob die Dienstkonten in der Organisationseinheit der
Zieldomäne vorhanden sind.
6. Vergewissern Sie sich, dass jede Anwendung, für die das Dienstkonto überführt wurde,
weiterhin ordnungsgemäß funktioniert.
Dabei sind Server_name1 und Server_name2 die Namen von Servern in der
Quelldomäne, auf denen die Dienstkonten ausgeführt werden. Alternativ können Sie
Parameter in eine Optionsdatei aufnehmen, die Sie in der folgenden Weise auf der
Befehlszeile angeben:
ADMT USER /N "<server_name1>" "<server_name2>" /O: "<option_file>.txt"
In der folgenden Tabelle sind die allgemeinen Parameter zum Überführen von
Dienstkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem
entsprechenden Äquivalent in der Optionsdatei.
<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
it"
73
Parameter Befehlszeilensyntax Optionsdateisyntax
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die
Organisationseinheit des Zieldienstkontos. Überprüfen Sie, ob die Dienstkonten in der
Organisationseinheit der Zieldomäne vorhanden sind.
Option Explicit
Dim objMigration
Dim objUserMigration
'
'
74
'
'
objMigration.ConflictOptions = admtIgnoreConflicting
'
'
objUserMigration.MigrateSIDs = True
objUserMigration.UpdateUserRights = True
objUserMigration.MigrateServiceAccounts = True
'
'
objUserMigration.Migrate admtData, _
</Script>
</Job>
75
Migrieren globaler Gruppen
Damit die Mitgliedschaft globaler Gruppen erhalten bleibt, müssen Sie globale Gruppen
migrieren, bevor Sie Benutzer migrieren.
Hinweis
Migrieren Sie globale Gruppen nicht während der Spitzenarbeitszeiten. Der Vorgang der
Migration globaler Gruppen kann in großem Umfang Netzwerkressourcen sowie
Ressourcen auf dem Domänencontroller in der Zieldomäne belegen.
Für die Migration globaler Gruppen müssen die folgenden Schritte ausgeführt werden:
1. Der Administrator wählt die globalen Gruppenobjekte in der Quelldomäne aus.
2. In der Zieldomäne wird ein neues globales Gruppenobjekt erstellt, und es wird eine neue
primäre Sicherheitskennung (Security Identifier, SID) für das Objekt in der Zieldomäne
erstellt.
3. Damit der Zugriff auf Ressourcen erhalten bleibt, fügt das Active Directory-
Migrationsprogramm (Active Directory Migration Tool, ADMT) die Sicherheitskennung der
globalen Gruppe in der Quelldomäne dem Attribut SID-Verlauf der neuen globalen Gruppe in
der Zieldomäne hinzu.
Nach der Migration werden Ereignisse sowohl in der Quell- als auch in der Zieldomäne
protokolliert.
Hinweis
Wenn der Vorgang der Migration von Benutzerkonten einen längeren Zeitraum in
Anspruch nimmt, müssen Sie globale Gruppen ggf. erneut aus der Quell- in die
Zieldomäne migrieren. Das Ziel besteht darin, Änderungen der Mitgliedschaft
weiterzugeben, die in der Quelldomäne vorgenommen werden, bevor der
Migrationsvorgang abgeschlossen ist. Weitere Informationen zur erneuten Migration
globaler Gruppen finden Sie unter Erneute Migration aller globalen Gruppen nach der
Migration aller Lose weiter unten in diesem Handbuch.
Sie können globale Gruppen mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption oder
eines Skripts migrieren.
77
Seite des Assistenten Vorgang
3. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll
anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler.
4. Öffnen Sie das Snap-In Active Directory-Benutzer und -Computer, und suchen Sie
dann die Zielorganisationseinheit. Überprüfen Sie, ob die globalen Gruppen in der
Organisationseinheit der Zieldomäne vorhanden sind.
Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT GROUP /N "<group_name1>" "<group_name2>" /O: "<option_file>.txt"
In der folgenden Tabelle sind die allgemeinen Parameter zur Migration globaler Gruppen
aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem
entsprechenden Äquivalent in der Optionsdatei.
<Quellorganisationseinh / SourceOU="Quellorganisationsei
eit> Speicherort SO:"Quellorganisationsein nheit"
heit"
<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
it"
78
Parameter Befehlszeilensyntax Optionsdateisyntax
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.
4. Öffnen Sie das Snap-In Active Directory-Benutzer und -Computer, und suchen Sie
dann die Zielorganisationseinheit. Überprüfen Sie, ob die globalen Gruppen in der
Organisationseinheit der Zieldomäne vorhanden sind.
Option Explicit
Dim objMigration
Dim objGroupMigration
'
'
'
'
79
objMigration.TargetOu = "target container"
'
'
objGroupMigration.MigrateSIDs = True
'
'
</Script>
</Job>
81
Organisationseinheitsstruktur handelt und die Zieldomäne keine Organisationseinheitsstruktur
aufweist, migrieren Sie die Organisationseinheiten aus der Quelldomäne.
Wenn Sie eine neue Organisationseinheitsstruktur in der Zieldomäne erstellt haben, migrieren
Sie Lose von Benutzern ohne die Organisationseinheiten. Wenn es sich bei Ihrer Quellumgebung
beispielsweise um eine Windows NT 4.0-Domäne handelt, für die Sie ein Upgrade auf eine
Windows Server 2003-Domäne durchgeführt haben, wies die Quelldomäne möglicherweise keine
Organisationseinheitsstruktur auf; daher können Sie Benutzer ohne Migration der
Organisationseinheiten migrieren.
Weitere Informationen zum Erstellen einer Organisationseinheitsstruktur finden Sie unter
"Entwerfen von Organisationseinheiten für die Delegierung der Verwaltung"
(http://go.microsoft.com/fwlink/?LinkId=76628) (englischsprachig).
Führen Sie die Verwaltung der Mitgliedschaft in globalen Gruppen bis zum Abschluss der
Migration aller Benutzer- und Gruppenkonten weiterhin in der Quelldomäne aus. Wenn Sie eine
Rollbackstrategie unterstützen möchten, synchronisieren Sie alle Änderungen, die Sie an
Benutzern in der Zieldomäne vornehmen, manuell mit den vorhandenen Benutzerkonten in der
Quelldomäne. Weitere Informationen zur Verwaltung von Benutzern und Gruppen während des
Umstrukturierungsprozesses zwischen Gesamtstrukturen finden Sie unter Verwalten von
Benutzern, Gruppen und Benutzerprofilen, weiter oben in diesem Handbuch.
Wenn Sie Organisationseinheiten zusammen mit der Migration von Benutzerkonten migrieren,
migrieren Sie zu den betreffenden Organisationseinheiten gehörenden Gruppen während des
Migrationsprozesses der Benutzerkonten in die Organisationseinheit der Zieldomäne. Wenn Sie
globale Gruppen mithilfe des Migrationprozesses für globale Gruppen migrieren, werden diese in
der Zieldomäne in der Zielorganisationseinheit platziert. Wenn Sie Organisationseinheiten aus
der Quelldomäne in die Zieldomäne migrieren, aktivieren Sie die Option zum gleichzeitigen
Verschieben der globalen Gruppe in die Zieldomäne. Auf diese Weise werden die Gruppen aus
der Zielorganisationseinheit, in der sie während der ursprünglichen Migration globaler Gruppen
platziert wurden, in die Organisationseinheit verschoben, in die sie gehören.
Bei der Verwendung von ADMT zum Migrieren von Benutzerkonten bleibt die
Gruppenmitgliedschaft erhalten. Da globale Gruppen nur Mitglieder aus der Domäne enthalten
können, in der sich die Gruppe befindet, können die Benutzerkonten in der Zieldomäne beim
Migrieren zu einer neuen Domäne nicht Mitglieder der globalen Gruppen in der Quelldomäne
sein. Im Rahmen des Migrationsprozesses identifiziert ADMT die globalen Gruppen in der
Quelldomäne, zu denen die Benutzerkonten gehören, und stellt dann fest, ob die globalen
Gruppen migriert wurden. Wenn ADMT globale Gruppen in der Zieldomäne identifiziert, denen die
migrierten Benutzer in der Quelldomäne angehört haben, fügt das Programm die Benutzer den
entsprechenden globalen Gruppen in der Zieldomäne hinzu.
Bei der Verwendung von ADMT zum Migrieren von Benutzerkonten bleiben außerdem
Benutzerkennwörter erhalten. Nachdem die Benutzerkonten in die Zieldomäne migriert und
aktiviert wurden, können sich die Benutzer mithilfe ihrer ursprünglichen Kennwörter in der
Zieldomäne anmelden. Nach der Anmeldung werden die Benutzer aufgefordert, das Kennwort zu
ändern.
Wenn der Migrationsprozess für das Benutzerkonto erfolgreich ist, die Kennwortmigration jedoch
fehlschlägt, erstellt ADMT ein neues komplexes Kennwort für das Benutzerkonto in der
82
Zieldomäne. Standardmäßig speichert ADMT neue komplexe Kennwörter in der Datei
C:\Programme\Active Directory Migration Tool\Logs\Password.txt.
Wenn in der Zieldomäne eine Gruppenrichtlinieneinstellung aktiv ist, die keine leeren Kennwörter
zulässt (die Einstellung
Standarddomänenrichtlinie/Computerkonfiguration/Sicherheitseinstellungen/Kontorichtlin
ien/Kennwortrichtlinie/Minimale Kennwortlänge ist auf einen anderen Wert als "Null"
festgelegt), schlägt die Migration von Kennwörtern für alle Benutzer mit leerem Kennwort fehl.
ADMT erstellt ein komplexes Kennwort für den betreffenden Benutzer und schreibt einen Fehler
in der Fehlerprotokoll.
Richten Sie ein Verfahren zum Benachrichtigen von Benutzern ein, denen neue Kennwörter
zugewiesen wurden. Beispielsweise können Sie ein Skript erstellen, durch dessen Ausführung
Benutzer eine E-Mail-Nachricht mit ihren neuen Kennwörtern erhalten.
In der folgenden Abbildung sind die an der Migration von Konten beteiligten Schritte dargestellt,
wenn Sie für den Ressourcenzugriff den SID-Verlauf verwenden.
83
Hinweis
Integrierte Konten (z. B. Administratoren, Benutzer und Hauptbenutzer) können keine
Migrationsobjekte des Active Directory-Migrationsprogramms (Active Directory Migration
Tool, ADMT) sein. Da integrierte Kontosicherheitskennungen (Security Identifiers, SIDs)
in jeder Domäne identisch sind, führt die Migration dieser Konten in eine Zieldomäne zu
doppelt vorhandenen Sicherheitskennungen in einer Domäne. Jede Sicherheitskennung
in einer Domäne muss eindeutig sein. Bekannte Konten (z. B. Domänen-Admins und
Domänenbenutzer) können ebenfalls keine ADMT-Migrationsobjekte sein.
Der ADMT-Vorgang zur Benutzerkontenmigration umfasst die folgenden Schritte:
1. ADMT liest die Attribute der Quellbenutzerobjekte.
2. ADMT erstellt ein neues Benutzerobjekt in der Zieldomäne und eine neue primäre
Sicherheitskennung für das neue Benutzerkonto.
3. ADMT fügt die ursprüngliche Sicherheitskennung des Benutzerkontos dem Attribut SID-
Verlauf des neuen Benutzerkontos hinzu.
4. ADMT migriert das Kennwort für das Benutzerkonto.
5. Wenn ADMT globale Gruppen in der Zieldomäne identifiziert, denen die migrierten Benutzer
in der Quelldomäne angehört haben, fügt das Programm die Benutzer den entsprechenden
globalen Gruppen in der Zieldomäne hinzu.
Während der Migration werden Überwachungsereignisse in den Quell- und Zieldomänen
protokolliert.
Sie können Benutzerkonten mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption oder
eines Skripts migrieren.
So migrieren Sie das aktuelle Los von Benutzerkonten mithilfe des ADMT-Snap-Ins
1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit
dem Migrationskonto des ADMT-Kontos an.
2. Verwenden Sie den Assistenten zum Migrieren von Benutzerkonten, und führen Sie die in
der folgenden Tabelle beschriebenen Schritte aus.
84
Seite des Assistenten Vorgang
85
Seite des Assistenten Vorgang
3. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll
anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler.
4. Starten Sie Active Directory-Benutzer und -Computer, und überprüfen Sie, ob die
86
Benutzerkonten in der entsprechenden Organisationseinheit in der Zieldomäne
vorhanden sind.
Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT USER /N "<user_name1>" "<user_name2>" /O "<option_file>.txt"
In der folgenden Tabelle sind die allgemeinen Parameter zum Migrieren von
Benutzerkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und
dem entsprechenden Äquivalent in der Optionsdatei.
<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
it"
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die
Zielorganisationseinheit. Vergewissern Sie sich, dass die Benutzer in der
87
Zielorganisationseinheit vorhanden sind.
Option Explicit
Dim objMigration
Dim objUserMigration
'
'
'
'
objMigration.PasswordOption = admtComplexPassword
88
objMigration.ConflictOptions = admtIgnoreConflicting
'
'
objUserMigration.MigrateSIDs = True
objUserMigration.TranslateRoamingProfile = True
objUserMigration.UpdateUserRights = False
objUserMigration.FixGroupMembership = True
objUserMigration.MigrateServiceAccounts = False
'
'
</Script>
</Job>
89
Konvertieren lokaler Benutzerprofile
Das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) konvertiert nur
Profile für Computer, die Windows NT 4.0, Windows 2000 Server, Windows XP oder
Windows Server 2003 ausführen.
Benutzerprofile werden lokal auf der Arbeitsstation gespeichert. Wenn sich ein Benutzer bei einer
anderen Arbeitsstation anmeldet, muss er oder sie ein neues, eindeutiges lokales Benutzerprofil
erstellen. Konvertieren Sie die lokalen Benutzerprofile für das erste Los von Benutzern
unmittelbar nach dem Migrieren aller Benutzerkonten.
Lokale Profile werden im Ersetzen-Modus konvertiert, denn bei einer Konvertierung im
Hinzufügen-Modus besteht die Gefahr, dass bestimmte Aspekte von Softwareinstallationen, die
Softwarebereitstellung mithilfe von Gruppenrichtlinien verwenden, nicht funktionieren. Alle
Anwendungen, die mit der Windows Installer-Version 2.0 (die auf Arbeitsstationen, die
Windows 2000 Server Service Pack 3 (SP3) oder Service Pack 4 (SP4) und Windows XP Service
Pack 1 (SP1) oder Service Pack 2 (SP2) ausführen, sowie in vielen weit verbreiteten
Softwarepaketen vorhanden ist) verpackt wurden, funktionieren möglicherweise nach dem
Konvertieren des Profils nicht. Beispielsweise werden möglicherweise die
Anwendungsprogrammdateien nicht entfernt, nachdem der letzte Benutzer die Anwendung
entfernt hat. Wenn der ADMT-Sicherheitskonvertierungs-Assistent lokale Profile im Ersetzen-
Modus konvertiert, kehrt er in den Hinzufügen-Modus zurück, wenn ein Profil gesperrt ist. Dies
kann zu einer erfolgreichen Profilkonvertierung führen. Möglicherweise funktioniert die Installation
von Anwendungen nach dem Konvertieren des Profils jedoch nicht.
Hinweis
Konvertieren Sie die lokalen Benutzerprofile in der Nacht, bevor Sie die Benutzer
auffordern, sich mithilfe ihrer neuen Konten in der Zieldomäne anzumelden. Das
Konvertieren von Profilen in vorhergehenden Nacht stellt sicher, dass das neue
Benutzerprofil die aktuellsten Benutzereinstellungen enthält.
Sie können lokale Benutzerprofile mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption
oder eines Skripts konvertieren.
90
Seite des Assistenten Vorgang
4. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem der
91
Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um die
Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden
Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde,
müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen
Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen
MigrationTask#_Computername.log und wird im Ordner
Windows\ADMT\Logs\Agents gespeichert.
Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT SECURITY /N "<computer_name1>" "<computer_name2>" /O "<option_file>.txt"
In der folgenden Tabelle sind die allgemeinen Parameter zum Migrieren von
Benutzerkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und
dem entsprechenden Äquivalent in der Optionsdatei.
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem der
Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um die
Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden
Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde,
müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen
Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen
MigrationTask#_Computername.log und wird im Ordner
Windows\ADMT\Logs\Agents gespeichert.
92
So konvertieren Sie lokale Benutzerprofile mithilfe eines Skripts
Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle und
-Optionen zur Konvertierung lokaler Benutzerprofile enthält. Kopieren Sie das Skript in
Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen
Ordner wie die Datei „AdmtConstants.vbs“.
<Job id=" TranslatingLocalProfilesBetweenForests" >
Option Explicit
Dim objMigration
Dim objSecurityTranslation
'
'
'
'
objMigration.TargetOu = "Computers"
'
'
objSecurityTranslation.TranslationOption = admtTranslateReplace
objSecurityTranslation.TranslateUserProfiles = True
93
'
'
objSecurityTranslation.Translate admtData, _
</Script>
</Job>
Hinweis
Verwenden Sie einen kleinen Wert für den Parameter RestartDelay, um Arbeitsstationen
unmittelbar oder sobald wie möglich nach deren Beitritt zur Zieldomäne erneut zu starten.
Ressourcen, die nach der Migration nicht neu gestartet werden, befinden sich in einem
unbestimmten Zustand.
Sie können Arbeitsstationen und Mitgliedsserver mithilfe des ADMT-Snap-Ins, der ADMT-
Befehlszeilenoption oder eines Skripts konvertieren.
94
Seite des Assistenten Vorgang
95
Seite des Assistenten Vorgang
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem der
Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um die
Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden
Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde,
müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen
Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen
MigrationTask#_Computername.log und wird im Ordner
Windows\ADMT\Logs\Agents gespeichert.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und vergewissern Sie sich, dass
die Arbeitsstationen in der entsprechenden Organisationseinheit in der Zieldomäne
vorhanden sind.
96
Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT COMPUTER /N "<computer_name1>" "<computer_name2>" /O:" <option_file>.txt"
In der folgenden Tabelle sind die allgemeinen Parameter zur Migration von
Arbeitsstationen aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und
dem entsprechenden Äquivalent in der Optionsdatei.
<Quellorganisationseinh / SourceOU="Quellorganisationsei
eit> Speicherort SO:"Quellorganisationsein nheit"
heit"
<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
it"
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Das
Migrationsprotokoll listet Computer, den Abschlussstatus und den Pfad zur Protokolldatei
für jeden Computer auf. Wenn ein Fehler für einen Computer aufgezeichnet wurde,
müssen Sie die Protokolldatei für den betreffenden Computer auf Probleme mit lokalen
Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen
MigrationTask#_Computername.log und wird im Ordner
Windows\ADMT\Logs\Agents gespeichert.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die
Zielorganisationseinheit. Vergewissern Sie sich, dass die Arbeitsstationen und
Mitgliedsserver in der Zielorganisationseinheit vorhanden sind.
97
Bereiten Sie mithilfe des folgenden Beispielskripts Kopieren Sie das Skript in Notepad,
und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie
die Datei „AdmtConstants.vbs“. ein Skript vor, das ADMT-Befehle und -Optionen zur
Migration von Arbeitsstationen enthält.
<Job id="MigratingWorkstationsBwtweenForest" >
Option Explicit
Dim objMigration
Dim objComputerMigration
'
'
'
'
objMigration.SourceOu = "Computers"
objMigration.TargetOu = "Computers"
'
'
objComputerMigration.RestartDelay = 1
objComputerMigration.TranslationOption = admtTranslateAdd
objComputerMigration.TranslateLocalGroups = True
98
objComputerMigration.TranslateUserRights = True
'
'
objComputerMigration.Migrate admtData, _
</Script>
</Job>
So migrieren Sie das aktuelle Los von Benutzerkonten mithilfe des ADMT-Snap-Ins
1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit
dem Migrationskonto des ADMT-Kontos an.
2. Führen Sie den Assistenten zum Migrieren von Benutzerkonten aus, indem Sie die in der
folgenden Tabelle beschriebenen Schritte ausführen.
99
Seite des Assistenten Vorgang
100
Seite des Assistenten Vorgang
3. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll
anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und überprüfen Sie, ob die
101
Benutzerkonten in der entsprechenden Organisationseinheit in der Zieldomäne
vorhanden sind.
So migrieren Sie das aktuelle Los von Benutzern mithilfe der ADMT-Befehlszeilenoption
1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit
dem Migrationskonto des ADMT-Kontos an.
2. Geben Sie den Befehl ADMT User mit den entsprechenden Parametern in der
Befehlszeile ein, und drücken Sie dann die EINGABETASTE.
ADMT USER /N "<user_name1>" "<user_name2>" /SD:" <source_domain>" /TD:"
<target_domain>" /TO:" <target_OU>" /MSS:YES /TRP:YES /UUR:YES
Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT USER /N "<user_name1>" "<user_name2>" /O "<option_file>.txt"
In der folgenden Tabelle sind die allgemeinen Parameter zum Migrieren von
Benutzerkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und
dem entsprechenden Äquivalent in der Optionsdatei.
<Quellorganisationseinh / SourceOU="Quellorganisationsei
eit> Speicherort SO:"Quellorganisationsein nheit"
heit"
<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
it"
102
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die Ziel-OU.
Vergewissern Sie sich, dass die Benutzer in der Zielorganisationseinheit vorhanden sind.
So migrieren Sie das aktuelle Los von Benutzern mithilfe eines Skripts
Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle und
-Optionen zur Migration von Benutzern enthält. Kopieren Sie das Skript in Notepad, und
speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie die
Datei „AdmtConstants.vbs“.
<Job id="MigratingUserAccountsInBatchesBetweenForests" >
Option Explicit
Dim objMigration
Dim objUserMigration
'
'
'
'
objMigration.PasswordOption = admtCopyPassword
objMigration.ConflictOptions = admtReplaceConflicting
103
'
'
objUserMigration.SourceExpiration = 7
objUserMigration.MigrateSIDs = True
objUserMigration.TranslateRoamingProfile = True
objUserMigration.UpdateUserRights = True
objUserMigration.FixGroupMembership = True
objUserMigration.MigrateServiceAccounts = False
'
'
</Script>
</Job>
104
Erneute Migration aller globalen Gruppen
nach der Migration aller Lose
Führen Sie nach der Migration aller Lose eine abschließende erneute globale Migration durch,
um sicherzustellen, dass alle Änderungen letzter Hand, die an der globalen
Gruppenmitgliedschaft in der Quelldomäne vorgenommen wurden, in die Zieldomäne
übernommen werden. Sie können die erneute Migration globaler Gruppen mithilfe des ADMT-
Snap-Ins, der ADMT-Befehlszeilenoption oder eines Skripts ausführen.
3. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll
anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler.
106
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die
Zielorganisationseinheit. Überprüfen Sie, ob die globalen Gruppen in der
Organisationseinheit der Zieldomäne vorhanden sind.
Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT GROUP /N "<group_name1>" "<group_name2>" /O: "<option_file>.txt"
In der folgenden Tabelle sind die allgemeinen Parameter zur Migration globaler Gruppen
aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem
entsprechenden Äquivalent in der Optionsdatei.
<Quellorganisationseinh / SourceOU="Quellorganisationsei
eit> Speicherort SO:"Quellorganisationsein nheit"
heit"
<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
it"
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die
Zielorganisationseinheit. Überprüfen Sie, ob die globalen Gruppen in der
Organisationseinheit der Zieldomäne vorhanden sind.
107
und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie
die Datei „AdmtConstants.vbs“.
<Job id=" RemigratingGlobalGroupsBetweenForests" >
Option Explicit
Dim objMigration
Dim objGroupMigration
'
'
'
'
objMigration.ConflictOptions = admtReplaceConflicting
'
'
objGroupMigration.MigrateSIDs = True
'
108
'
</Script>
</Job>
109
2. Konvertieren Sie die Sicherheit für Dateien, Freigaben, Drucker, lokale Gruppen und
domänenlokale Gruppen im Hinzufügen-Modus.
3. Konvertieren Sie lokale Benutzerprofile für ein Los von Benutzern.
4. Migrieren Sie Arbeitsstationen in Losen, die den Losen der Benutzerkonten entsprechen.
5. Überprüfen Sie vor dem Migrieren des Loses von Benutzerkonten, ob die Migration der
lokalen Profile und der Arbeitsstationen für alle Benutzer im Los erfolgreich war. Migrieren Sie
keine Benutzerkonten, bei deren Profil- oder Arbeitsstationsmigration Fehler aufgetreten sind,
da dies zum Überschreiben der vorhandenen Benutzerprofile führt, wenn sich die Benutzer
bei der Zieldomäne anmelden.
6. Migrieren Sie die Benutzerkonten erneut in kleinen Losen mit den Konten, deren Ablauf in der
Quelldomäne in sieben Tagen festgelegt wird, bei aktiviertem Zielkonto, aktivierter Migration
von Kennwörtern und aktivierter Migration aller Attribute.
7. Führen Sie nach jedem Los eine erneute Migration aller globalen Gruppen durch, um alle
Änderungen an der Gruppenmitgliedschaft zu aktualisieren.
8. Führen Sie nach der Migration aller Benutzer eine abschließende Migration der globalen
Gruppen aus, um alle Änderungen an der Gruppenmitgliedschaft zu aktualisieren.
9. Konvertieren Sie die Sicherheit für Dateien, freigegebene Ordner, Drucker, lokale Gruppen
und domänenlokale Gruppen im Entfernen-Modus.
10. Fordern Sie die Benutzer im Los auf, sich bei der Zieldomäne anzumelden.
Führen Sie die Verwaltung der Mitgliedschaft in globalen Gruppen bis zum Abschluss der
Migration aller Benutzer- und Gruppenkonten weiterhin in der Quelldomäne aus.
In der folgenden Abbildung sind die für die Migration von Konten, die für den Ressourcenzugriff
nicht den SID-Verlauf verwenden, erforderlichen Schritte dargestellt.
110
Migrieren aller Benutzerkonten
Beginnen Sie den Vorgang zur Migration von Benutzerkonten, indem Sie alle Benutzer migrieren.
Anschließend können Sie die Sicherheit für alle Dateien, Drucker, freigegebenen Ordner, lokalen
Gruppen und domänenlokalen Gruppen konvertieren. Dadurch ist sichergestellt, dass Benutzer
nach der Migration weiterhin den passenden Zugriff auf Ressourcen besitzen.
Hinweis
Integrierte Konten (z. B. Administratoren, Benutzer und Hauptbenutzer) können keine
Migrationsobjekte des Active Directory-Migrationsprogramms (Active Directory Migration
Tool, ADMT) sein. Da integrierte Kontosicherheitskennungen (Security Identifiers, SIDs)
in jeder Domäne identisch sind, führt die Migration dieser Konten in eine Zieldomäne zu
doppelt vorhandenen Sicherheitskennungen in einer Domäne. Jede Sicherheitskennung
in einer Domäne muss eindeutig sein. Bekannte Konten (z. B. Domänen-Admins und
Domänenbenutzer) können ebenfalls keine ADMT-Migrationsobjekte sein.
Der ADMT-Vorgang zur Benutzerkontenmigration umfasst die folgenden Schritte:
1. ADMT liest die Attribute der Quellbenutzerobjekte.
2. ADMT erstellt ein neues Benutzerobjekt in der Zieldomäne und eine neue primäre
Sicherheitskennung für das neue Benutzerkonto.
111
3. ADMT fügt die ursprüngliche Sicherheitskennung des Benutzerkontos dem Attribut SID-
Verlauf des neuen Benutzerkontos hinzu.
4. ADMT migriert das Kennwort für das Benutzerkonto.
5. Wenn ADMT globale Gruppen in der Zieldomäne identifiziert, denen die migrierten Benutzer
in der Quelldomäne angehört haben, fügt das Programm die Benutzer den entsprechenden
globalen Gruppen in der Zieldomäne hinzu.
Während der Migration werden Überwachungsereignisse in den Quell- und Zieldomänen
protokolliert.
Sie können Benutzerkonten mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption oder
eines Skripts migrieren.
112
Seite des Assistenten Vorgang
Oder
Melden Sie sich in der Zieldomäne an
dem Computer, auf dem ADMT installiert
ist, mit dem Migrationskonto des ADMT-
Kontos an.
113
Seite des Assistenten Vorgang
Servergespeicherte Profile
konvertieren.
Aktivieren Sie das Kontrollkästchen
Benutzerrechte aktualisieren.
Deaktivieren Sie das Kontrollkästchen
Zugeordnete Benutzergruppen
migrieren.
Aktivieren Sie Gruppenmitgliedschaften
der Benutzer korrigieren.
3. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll
anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und überprüfen Sie, ob die
Benutzerkonten in der entsprechenden Organisationseinheit in der Zieldomäne
vorhanden sind.
Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
114
ADMT USER /N "<user_name1>" "<user_name2>" /O "<option_file>.txt"
In der folgenden Tabelle sind die allgemeinen Parameter zum Migrieren von
Benutzerkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und
dem entsprechenden Äquivalent in der Optionsdatei.
<Quellorganisationseinh / SourceOU="Quellorganisationsei
eit> Speicherort SO:"Quellorganisationsein nheit"
heit"
<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
it"
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die
Zielorganisationseinheit. Vergewissern Sie sich, dass die Benutzer in der
Zielorganisationseinheit vorhanden sind.
115
Option Explicit
Dim objMigration
Dim objUserMigration
'
'
'
'
objMigration.PasswordOption = admtComplexPassword
objMigration.ConflictOptions = admtIgnoreConflicting
'
'
objUserMigration.MigrateSIDs = True
objUserMigration.TranslateRoamingProfile = True
objUserMigration.UpdateUserRights = True
objUserMigration.FixGroupMembership = True
objUserMigration.MigrateServiceAccounts = False
'
116
'Migrate specified user objects.
'
</Script>
</Job>
So konvertieren Sie die Sicherheit für Objekte im Hinzufügen-Modus mithilfe des ADMT-
Snap-Ins
1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit
dem Migrationskonto des ADMT-Kontos an.
2. Verwenden Sie den Sicherheitskonvertierungs-Assistenten, indem Sie die in der
folgenden Tabelle beschriebenen Schritte ausführen.
117
Seite des Assistenten Vorgang
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem der
Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um die
118
Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden
Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde,
müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen
Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen
MigrationTask#_Computername.log und wird im Ordner
Windows\ADMT\Logs\Agents gespeichert.
So konvertieren Sie die Sicherheit für Objekte im Hinzufügen-Modus mithilfe der ADMT-
Befehlszeilenoption
1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit
dem Migrationskonto des ADMT-Kontos an.
2. Geben Sie den Befehl ADMT Security mit den entsprechenden Parametern in der
Befehlszeile ein, und drücken Sie dann die EINGABETASTE.
ADMT SECURITY /N "<computer_name1>" "<computer_name2>" /SD:" <source_domain>"
/TD:" <target_domain>" /TO:" <target_OU>" /TOT:Add
Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT SECURITY /N " <computer_name1>" " <computer_name2>" /O "<option_file>.txt"
In der folgenden Tabelle sind die allgemeinen Parameter zum Migrieren von
Benutzerkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und
dem entsprechenden Äquivalent in der Optionsdatei.
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem der
Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um die
Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden
Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde,
müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen
Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen
MigrationTask#_Computername.log und wird im Ordner
Windows\ADMT\Logs\Agents gespeichert.
119
-Optionen zum Konvertieren der Sicherheit für Objekte im Hinzufügen-Modus enthält.
Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der
Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“.
<Job id=" TranslatingSecurityInAddModeOnObjectsBetweenForests" >
Option Explicit
Dim objMigration
Dim objSecurityTranslation
'
'
'
'
objMigration.TargetOu = "Computers"
'
'
objSecurityTranslation.TranslationOption = admtTranslateAdd
objSecurityTranslation.TranslateFilesAndFolders = True
objSecurityTranslation.TranslateLocalGroups = True
objSecurityTranslation.TranslatePrinters = True
objSecurityTranslation.TranslateRegistry = True
120
objSecurityTranslation.TranslateShares = True
objSecurityTranslation.TranslateUserProfiles = False
objSecurityTranslation.TranslateUserRights = True
'
'
objSecurityTranslation.Translate admtData, _
</Script>
</Job>
Hinweis
Konvertieren Sie die lokalen Benutzerprofile in der Nacht, bevor Sie die Benutzer
auffordern, sich mithilfe ihrer neuen Konten in der Zieldomäne anzumelden. Das
Konvertieren von Profilen in vorhergehenden Nacht stellt sicher, dass das neue
Benutzerprofil die aktuellsten Benutzereinstellungen enthält.
Sie können lokale Benutzerprofile mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption
oder eines Skripts konvertieren.
122
Seite des Assistenten Vorgang
4. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem der
Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um die
Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden
Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde,
müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen
Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen
MigrationTask#_Computername.log und wird im Ordner
Windows\ADMT\Logs\Agents gespeichert.
123
ADMT SECURITY /N "<computer_name1>" "<computer_name2>" /SD:" <source_domain>"
/TD:" <target_domain>" /TO:" <target_OU>" /TOT:Replace /TUP:YES
Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT SECURITY /N "<computer_name1>" " <computer_name2>" /O "<option_file>.txt"
In der folgenden Tabelle sind die allgemeinen Parameter zum Migrieren von
Benutzerkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und
dem entsprechenden Äquivalent in der Optionsdatei.
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem der
Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um die
Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden
Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde,
müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen
Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen
MigrationTask#_Computername.log und wird im Ordner
Windows\ADMT\Logs\Agents gespeichert.
Option Explicit
Dim objMigration
Dim objSecurityTranslation
124
'
'
'
'
objMigration.TargetOu = "Computers"
'
'
objSecurityTranslation.TranslationOption = admtTranslateReplace
objSecurityTranslation.TranslateUserProfiles = True
'
'
objSecurityTranslation.Translate admtData, _
</Script>
</Job>
125
Losweise Migrierung von Arbeitsstationen
Migrieren Sie nach der Migration eines Loses von lokalen Benutzerprofilen das entsprechende
Los der Benutzerarbeitsstationen. Wenn Sie eine Arbeitsstation zwischen Domänen migrieren,
wird die SAM-Datenbank (Security Accounts Manager, Sicherheitskonto-Manager) zusammen mit
dem Computer migriert. Konten in der lokalen SAM-Datenbank (z. B. lokale Gruppen), die
verwendet werden, um den Zugriff auf Ressourcen zu ermöglichen, werden immer zusammen mit
dem Computer verschoben. Daher müssen sie nicht migriert werden.
Hinweis
Verwenden Sie einen kleinen Wert für den Parameter RestartDelay, um Arbeitsstationen
unmittelbar nach deren Beitritt zur Zieldomäne oder sobald wie möglich danach erneut zu
starten. Ressourcen, die nach der Migration nicht neu gestartet werden, befinden sich in
einem unbestimmten Zustand.
Sie können Arbeitsstationen mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption oder
eines Skripts migrieren.
127
Seite des Assistenten Vorgang
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem der
Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um die
Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden
Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde,
müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen
Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen
MigrationTask#_Computername.log und wird im Ordner
Windows\ADMT\Logs\Agents gespeichert.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und vergewissern Sie sich, dass
die Arbeitsstationen in der entsprechenden Organisationseinheit in der Zieldomäne
vorhanden sind.
Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT COMPUTER /N "<computer_name1>" "<computer_name2>" /O:" <option_file>.txt"
In der folgenden Tabelle sind die allgemeinen Parameter zur Migration von
Arbeitsstationen aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und
dem entsprechenden Äquivalent in der Optionsdatei.
<Quellorganisationseinh / SourceOU="Quellorganisationsei
eit> Speicherort SO:"Quellorganisationsein nheit"
heit"
128
Parameter Befehlszeilensyntax Optionsdateisyntax
<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
it"
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Das
Migrationsprotokoll listet Computer, den Abschlussstatus und den Pfad zur Protokolldatei
für jeden Computer auf. Wenn ein Fehler für einen Computer aufgezeichnet wurde,
müssen Sie die Protokolldatei für den betreffenden Computer auf Probleme mit lokalen
Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen
MigrationTask#_ComputerName.log und wird im Ordner Windows\ADMT\Logs\Agents
gespeichert.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die
Zielorganisationseinheit. Vergewissern Sie sich, dass die Arbeitsstationen in der
Zielorganisationseinheit vorhanden sind.
Option Explicit
Dim objMigration
Dim objComputerMigration
129
'
'
'
'
objMigration.SourceOu = "Computers"
objMigration.TargetOu = "Computers"
'
'
objComputerMigration.RestartDelay = 1
objComputerMigration.TranslationOption = admtTranslateAdd
objComputerMigration.TranslateLocalGroups = True
objComputerMigration.TranslateUserRights = True
'
'
objComputerMigration.Migrate admtData, _
130
Set objComputerMigration = Nothing
</Script>
So migrieren Sie das aktuelle Los von Benutzerkonten mithilfe des ADMT-Snap-Ins
erneut
1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit
dem Migrationskonto des ADMT-Kontos an.
2. Verwenden Sie den Assistenten zum Migrieren von Benutzerkonten, und führen Sie die in
der folgenden Tabelle beschriebenen Schritte aus.
131
Seite des Assistenten Vorgang
3. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll
anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und überprüfen Sie, ob die
Benutzerkonten in der entsprechenden Organisationseinheit in der Zieldomäne
vorhanden sind.
So migrieren Sie das aktuelle Los von Benutzern mithilfe der ADMT-Befehlszeilenoption
erneut
1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit
dem Migrationskonto des ADMT-Kontos an.
2. Geben Sie den Befehl ADMT User mit den entsprechenden Parametern in der Befehlszeile
ein, und drücken Sie dann die EINGABETASTE:
ADMT USER /N "<user_name1>" "<user_name2>" /SD:" <source_domain>" /TD:"
<target_domain>" /TO:" <target_OU>" /MSS:YES /TRP:YES /UUR:YES
Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
133
ADMT USER /N "<user_name1>" "<user_name2>" /O "<option_file>.txt"
In der folgenden Tabelle sind die allgemeinen Parameter zum Migrieren von
Benutzerkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und
dem entsprechenden Äquivalent in der Optionsdatei.
<Quellorganisationseinh / SourceOU="Quellorganisationsei
eit> Speicherort SO:"Quellorganisationsein nheit"
heit"
<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
it"
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die
Zielorganisationseinheit. Vergewissern Sie sich, dass die Benutzer in der
Zielorganisationseinheit vorhanden sind.
So migrieren Sie das aktuelle Los von Benutzern mithilfe eines Skripts erneut
Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle und
-Optionen zur Migration von Benutzern enthält. Kopieren Sie das Skript in Notepad, und
speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie die
Datei „AdmtConstants.vbs“.
<Job id="MigratingUserAccountsInBatchesBetweenForests" >
134
<Script language="VBScript" >
Option Explicit
Dim objMigration
Dim objUserMigration
'
'
'
'
objMigration.PasswordOption = admtCopyPassword
objMigration.ConflictOptions = admtReplaceConflicting
'
'
objUserMigration.SourceExpiration = 7
objUserMigration.MigrateSIDs = True
objUserMigration.TranslateRoamingProfile = True
objUserMigration.UpdateUserRights = False
objUserMigration.FixGroupMembership = True
objUserMigration.MigrateServiceAccounts = False
135
'
'
</Script>
</Job>
136
der folgenden Tabelle beschriebenen Schritte aus.
137
Seite des Assistenten Vorgang
Benutzerrechte aktualisieren.
Stellen Sie sicher, dass das
Kontrollkästchen Gruppenmitglieder
kopieren deaktiviert ist.
Stellen Sie sicher, dass das
Kontrollkästchen Migrierte Objekte
aktualisieren deaktiviert ist.
Aktivieren Sie das Kontrollkästchen
Gruppenmitgliedschaft korrigieren.
Aktivieren Sie das Kontrollkästchen
Gruppen-SIDs zur Zieldomäne
migrieren.
3. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll
anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die
Zielorganisationseinheit. Überprüfen Sie, ob die globalen Gruppen in der
Organisationseinheit der Zieldomäne vorhanden sind.
Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
138
über die Befehlszeile angegeben wird:
ADMT GROUP /N "<group_name1>" "<group_name2>" /O: "<option_file>.txt"
In der folgenden Tabelle sind die allgemeinen Parameter zur Migration globaler Gruppen
aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem
entsprechenden Äquivalent in der Optionsdatei.
<Quellorganisationseinh / SourceOU="Quellorganisationsei
eit> Speicherort SO:"Quellorganisationsein nheit"
heit"
<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
it"
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die
Zielorganisationseinheit. Überprüfen Sie, ob die globalen Gruppen in der
Organisationseinheit der Zieldomäne vorhanden sind.
Option Explicit
Dim objMigration
Dim objGroupMigration
'
139
'Create instance of ADMT migration objects.
'
'
'
objMigration.ConflictOptions = admtReplaceConflicting
'
'
objGroupMigration.MigrateSIDs = True
'
'
</Script>
</Job>
140
Konvertieren der Sicherheit im
Entfernungsmodus
Konvertieren Sie die Sicherheit für Objekte, um die Sicherheitskennungen (Security Identifiers,
SIDs) der Konten in der Quelldomäne aus den Zugriffssteuerungslisten der migrierten Objekte zu
entfernen. Führen Sie diesen Vorgang erst aus, nachdem alle Quellkonten deaktiviert wurden.
Führen Sie den Sicherheitskonvertierungs-Assistenten für alle Dateien, freigegebenen Ordner,
Drucker und lokalen Gruppen sowie mindestens einen Domänencontroller aus (um die Sicherheit
für freigegebene lokale Gruppen zu konvertieren).
Wenn Sie die Sicherheit im Entfernungsmodus konvertieren, sind die Sicherheitskennungen in
der Quelldomäne für den Benutzer nicht mehr vorhanden oder verfügbar, wenn das
Zielbenutzerkonto erfolgreich migriert wurde und die Sicherheitskennungen hier hinzugefügt
werden. Dieser Vorgang ermöglicht eine administrative Bereinigung und stellt sicher, dass
Benutzer ihr "neues" Zieldomänenkonto und nicht mehr ihr "altes" Quelldomänenkonto
verwenden.
Sie können die Sicherheit für Objekte im Entfernungsmodus mithilfe des Active Directory-
Migrationspgrogramm-Snap-Ins (ADMT), der ADMT-Befehlszeilenoption oder eines Skripts
konvertieren.
So konvertieren Sie die Sicherheit für Objekte im Entfernungsmodus mithilfe des ADMT-
Snap-Ins
1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit
dem Migrationskonto des ADMT-Kontos an.
2. Verwenden Sie den Sicherheitskonvertierungs-Assistenten, indem Sie die in der
folgenden Tabelle beschriebenen Schritte ausführen.
141
Seite des Assistenten Vorgang
So konvertieren Sie die Sicherheit für Objekte im Entfernungsmodus mithilfe der ADMT-
Befehlszeilenoption
1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit
dem Migrationskonto des ADMT-Kontos an.
2. Geben Sie den Befehl ADMT Security mit den entsprechenden Parametern in der
Befehlszeile ein, und drücken Sie dann die EINGABETASTE.
ADMT SECURITY /N "<computer_name1>" "<computer_name2>" /SD:" <source_domain>"
/TD:" <target_domain>" /TO:" <target_OU>" /TOT:Remove
Alternativ können Sie Parameter in eine Optionsdatei aufnehmen, die Sie in der
folgenden Weise auf der Befehlszeile angeben:
ADMT SECURITY /N "<computer_name1>" "<computer_name2>" /O "<option_file>.txt"
In der folgenden Tabelle sind die allgemeinen Parameter zum Migrieren von
Benutzerkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und
dem entsprechenden Äquivalent in der Optionsdatei.
142
Parameter Befehlszeilensyntax Optionsdateisyntax
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem der
Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um die
Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden
Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde,
müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen
Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen
MigrationTask#_Computername.log und wird im Ordner
Windows\ADMT\Logs\Agents gespeichert.
Option Explicit
Dim objMigration
Dim objSecurityTranslation
'
'
'
143
'Specify general migration options.
'
objMigration.TargetOu = "Computers"
'
'
objSecurityTranslation.TranslationOption = admtTranslateRemove
objSecurityTranslation.TranslateFilesAndFolders = True
objSecurityTranslation.TranslateLocalGroups = True
objSecurityTranslation.TranslatePrinters = True
objSecurityTranslation.TranslateRegistry = True
objSecurityTranslation.TranslateShares = True
objSecurityTranslation.TranslateUserProfiles = False
objSecurityTranslation.TranslateUserRights = True
'
'
objSecurityTranslation.Translate admtData, _
</Script>
</Job>
144
Migrieren von Ressourcen
Der Vorgang des Migrierens von Ressourcen zwischen Active Directory-Domänen in
verschiedenen Gesamtstrukturen umfasst die Migration der folgenden Elemente:
Arbeitsstationskonten und Mitgliedsserver
Domänen und freigegebene lokale Gruppen
Domänencontroller
Nachdem Sie alle Ressourcenobjekte erfolgreich in die Zieldomäne migriert haben, können Sie
die Quelldomäne außer Betrieb nehmen.
Die folgende Abbildung zeigt den Vorgang zum Migrieren von Ressourcenobjekten zwischen
Active Directory-Domänen in verschiedenen Gesamtstrukturen.
145
Sicherheitskontenverwaltung (Security Account Manager, SAM). Wenn Sie eine Arbeitsstation
zwischen Domänen migrieren, wird die SAM-Datenbank zusammen mit dem Computer migriert.
Konten in der lokalen SAM-Datenbank (z. B. lokale Gruppen), die verwendet werden, um den
Zugriff auf Ressourcen zu ermöglichen, werden immer zusammen mit dem Computer
verschoben. Daher müssen Sie nicht migriert werden. Da für die Migration ein Neustart der
Arbeitsstationen und Mitgliedsserver erforderlich ist, ist es wichtig, die Migration für einen
Zeitpunkt zu planen, an dem der Server keine Anforderungen bedient.
Hinweis
Starten Sie Arbeitsstationen sofort neu, nachdem Sie die der Zieldomäne hinzugefügt
haben, indem Sie einen niedrigen Wert (z. B. 1) für den Parameter RestartDelay
auswählen. Ressourcen, die nach der Migration nicht neu gestartet werden, befinden
sich in einem unbestimmten Zustand.
Sie können die Arbeitsstationen und Mitgliedsserver mithilfe des ADMT-Snap-Ins (Active
Directory Migration Tool, Active Directory-Migrationsprogramm), der ADMT-Befehlszeilenoption
oder eines Skripts migrieren.
146
Seite des Assistenten Vorgang
147
Seite des Assistenten Vorgang
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem der
Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um die
Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden
Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde,
müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen
Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen
MigrationTask#_Computername.log und wird im Ordner
Windows\ADMT\Logs\Agents gespeichert.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und vergewissern Sie sich, dass
die Arbeitsstationen in der entsprechenden Organisationseinheit in der Zieldomäne
vorhanden sind.
Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT COMPUTER /N "<computer_name1>" "<computer_name2>" /O:" <option_file>.txt"
In der folgenden Tabelle sind die allgemeinen Parameter zur Migration von
Arbeitsstationen aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und
dem entsprechenden Äquivalent in der Optionsdatei.
<Quellorganisationseinh / SourceOU="Quellorganisationsei
eit> Speicherort SO:"Quellorganisationsein nheit"
heit"
148
Parameter Befehlszeilensyntax Optionsdateisyntax
<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
it"
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Das
Migrationsprotokoll listet Computer, den Abschlussstatus und den Pfad zur Protokolldatei
für jeden Computer auf. Wenn ein Fehler für einen Computer aufgezeichnet wurde,
müssen Sie die Protokolldatei für den betreffenden Computer auf Probleme mit lokalen
Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen
MigrationTask#_Computername.log und wird im Ordner Windows\ADMT\Logs\Agents
gespeichert.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die
Zielorganisationseinheit. Vergewissern Sie sich, dass die Arbeitsstationen in der
Zielorganisationseinheit vorhanden sind.
Option Explicit
Dim objMigration
Dim objComputerMigration
149
'
'
'
'
objMigration.SourceOu = "Computers"
objMigration.TargetOu = "Computers"
'
'
objComputerMigration.RestartDelay = 1
objComputerMigration.TranslationOption = admtTranslateAdd
objComputerMigration.TranslateLocalGroups = True
objComputerMigration.TranslateUserRights = True
'
'
objComputerMigration.Migrate admtData, _
150
Set objComputerMigration = Nothing
</Script>
</Job>
So migrieren Sie Domänen- und freigegebene lokale Gruppen mithilfe des ADMT-Snap-
Ins
1. Melden Sie sich auf dem Computer in der Zieldomäne, auf dem Sie ADMT installiert
haben, mithilfe des ADMT-Ressourcenmigrationskontos an.
2. Verwenden Sie den Assistenten zum Migrieren von Gruppenkonten, und führen Sie die in
der folgenden Tabelle beschriebenen Schritte aus.
151
Seite des Assistenten Vorgang
152
Seite des Assistenten Vorgang
3. Klicken Sie nach der Ausführung des Assistenten auf Protokoll anzeigen. Überprüfen
Sie das Migrationsprotokoll auf Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, suchen Sie die
Zielorganisationseinheit, und überprüfen Sie dann, ob die freigegebenen lokalen
Gruppen in der Organisationseinheit der Zieldomäne vorhanden sind.
So migrieren Sie Domänen- und freigegebene lokale Gruppen mithilfe eines Skripts
Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle und
-Optionen zum Migrieren von Domänen- und freigegebenen lokalen Gruppen enthält.
Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der
Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“.
<Job id=" MigratingDomainAndSharedLocalGroupsBetweenForests" >
Option Explicit
Dim objMigration
Dim objGroupMigration
'
'
153
Set objGroupMigration = objMigration.CreateGroupMigration
'
'
'
'
objGroupMigration.MigrateSIDs = True
'
'
objGroupMigration.Migrate admtData, _
</Script>
</Job>
155
Konvertieren der Sicherheit auf
Mitgliedsservern
Konvertier der Sicherheit auf Mitgliedsservern, um die Zugriffssteuerungslisten (Access Control
Lists, ACLs) der Ressourcen zu bereinigen. Nach der Migration von Objekten in die Zieldomäne
enthalten die Ressourcen die ACL-Einträge der Quelldomänenobjekte. Wenn Sie den SID-Verlauf
verwenden, um den Zugriff auf Ressourcen während der Migration bereitzustellen, verbleiben die
Sicherheitskennungen (SIDs) aus der Quelldomäne in den Zugriffssteuerungslisten, um
Benutzern Zugriff auf Ressourcen zu ermöglichen, während die Migration durchgeführt wird.
Nach dem Abschluss der Migration werden die SIDs aus der Quelldomäne jedoch nicht mehr
benötigt. Verwenden Sie den Sicherheitskonvertierungs-Assistenten im Active Directory-
Migrationsprogramm (Active Directory Migration Tool, ADMT), um die SIDs der Quelldomäne
durch die SIDs der Zieldomäne zu ersetzen.
Wenn Sie nicht den SID-Verlauf für den Ressourcenzugriff verwenden, müssen Sie diesen
Vorgang nicht ausführen, weil Sie die Sicherheitskonvertierung bereits im Entfernen-Modus nach
dem Abschluss der Benutzermigration ausgeführt haben sollten.
Sie können Sicherheit auf Mitgliedsservern mithilfe des ADMT-Snap-Ins, der ADMT-
Befehlszeilenoption oder eines Skripts konvertieren.
156
So konvertieren Sie Sicherheit auf Mitgliedsservern mithilfe des ADMT-Snap-Ins
1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit
dem Migrationskonto des ADMT-Kontos an.
2. Verwenden Sie den Sicherheitskonvertierungs-Assistenten, indem Sie die in der
folgenden Tabelle beschriebenen Schritte ausführen.
157
Seite des Assistenten Vorgang
Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT SECURITY /N "<computer_name1>" "<computer_name2>" /O "<option_file>.txt"
In der folgenden Tabelle sind die allgemeinen Parameter zum Migrieren von
Benutzerkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und
dem entsprechenden Äquivalent in der Optionsdatei.
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem der
Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um die
Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden
Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde,
müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen
Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen
MigrationTask#_Computername.log und wird im Ordner
Windows\ADMT\Logs\Agents gespeichert.
158
im gleichen Ordner wie die Datei „AdmtConstants.vbs“.
<Job id=" TranslatingSecurityOnMemberServersBetweenForests" >
Option Explicit
Dim objMigration
Dim objSecurityTranslation
'
'
'
'
objMigration.TargetOu = "Computers"
'
'
objSecurityTranslation.TranslationOption = admtTranslateReplace
objSecurityTranslation.TranslateFilesAndFolders = True
objSecurityTranslation.TranslateLocalGroups = True
objSecurityTranslation.TranslatePrinters = True
objSecurityTranslation.TranslateRegistry = True
objSecurityTranslation.TranslateShares = True
159
objSecurityTranslation.TranslateUserProfiles = False
objSecurityTranslation.TranslateUserRights = True
'
'
objSecurityTranslation.Translate admtData, _
</Script>
</Job>
Hinweis
Wenn Sie die Quelldomäne außer Betrieb nehmen, zeigen freigegebene lokale
Gruppen sowie lokale Gruppen, die Sie nicht mithilfe des
Sicherheitskonvertierungs-Assistenten konvertiert haben, Gruppenmitglieder als
"Unbekanntes Konto" an. Dies geschieht, weil Mitgliedernamen aus der
Quelldomäne nicht aufgelöst werden. Diese Gruppenmitgliedschaften sind
jedoch noch vorhanden, und dieses Verhalten wirkt sich nicht auf Benutzer aus.
Löschen Sie Einträge mit dem Status "Unbekanntes Konto" nicht, weil dann der
160
Zugriff deaktiviert wird, der durch den SID-Verlauf ermöglicht wird. Führen Sie
den Sicherheitskonvertierungs-Assistenten aus, um diese Einträge zu entfernen.
Active Directory-Domänenneustrukturierung
innerhalb einer Gesamtstruktur
Wenn Sie die Anzahl der Active Directory-Domänen in Ihrer Gesamtstruktur verringern, wird auch
Folgendes verringert oder vereinfacht:
Verwaltungsanforderungen für die Organisation
Replikationsdatenverkehr
Verwaltung von Benutzern und Gruppen
Implementierung von Gruppenrichtlinien
Wenn Benutzer häufig Speicherorten erneut zugewiesen werden, die Teil verschiedener
Domänen sind, können Sie auch Objekte auf regelmäßiger Basis zwischen Domänen migrieren.
Der Vorgang der Neustrukturierung von Active Directory-Domänen innerhalb einer
Gesamtstruktur unterscheidet sich vom Vorgang für die Neustrukturierung von Active Directory-
Domänen zwischen Gesamtstrukturen. Für diesen Vorgang ist eine sorgfältige Planungs- und
Testphase erforderlich.
Task Referenz
161
Task Referenz
(ADMT v3.1)
Hinweis
Wenn Sie eine Gruppenrichtlinie mit Windows
Server 2008-Zieldomänencontrollern ausführen,
nehmen Sie diese Änderung mithilfe der
Gruppenrichtlinienverwaltung vor. Diese
Registrierungseinstellung entspricht der
Einstellung Mit Windows NT 4.0 kompatible
Kryptografiealgorithmen zulassen in der
Gruppenrichtlinie.
Aktivieren Sie für alle Migrationstasks, die Agent- Weitere Informationen finden Sie unter
Bereitstellung verwenden und bei denen Windows- "Aktivieren oder Deaktivieren der
Firewall in Gebrauch ist, die Ausnahme für Datei- und Ausnahme für Datei- und
Druckerfreigabe. Dies kann die Migration für folgende Druckerfreigabe"
Situationen beinhalten: (http://go.microsoft.com/fwlink/?
Migrieren von Arbeitsstationscomputern und LinkID=119315).
Mitgliedsservern, die unter Windows Vista oder
Windows Server 2008 ausgeführt werden.
Migrieren von Sicherheitseinstellungen oder
Ausführen der Sicherheitskonvertierung
162
Task Referenz
Migrieren universeller und globaler Gruppen mithilfe des Migrieren von Gruppen
Assistenten zum Migrieren von Gruppenkonten oder
des Befehlszeilentools ADMT GROUP.
Abschließen der Tasks nach der Migration. Dieser Task Untersuchen von
umfasst die folgenden Untertasks: Migrationsprotokollen auf Fehler
Untersuchen der Migrationsprotokolle auf Fehler. Überprüfen der Gruppentypen
Überprüfen der Gruppentypen. Konvertieren der Sicherheit auf
Konvertieren der Sicherheit auf Mitgliedsservern. Mitgliedsservern
163
Übersicht zum Umstrukturieren von Active
Directory-Domänen innerhalb einer
Gesamtstruktur mithilfe von ADMT v3.1
Der effizienteste Active Directory-Entwurf umfasst die kleinst mögliche Anzahl Domänen. Durch
Minimieren der Anzahl der Domänen in der Gesamtstruktur können Sie die Verwaltungskosten
verringern und die Effizienz Ihrer Organisation steigern.
Möglicherweise müssen Sie eine Umstrukturierung der Domänen in Ihrer Gesamtstruktur
durchführen, wenn Ihre Organisation z. B. einen regionalen Bürostandort schließt und die
regionale Domäne für diesen Standort nicht mehr benötigt wird. Zum Vereinfachen der logischen
Active Directory-Struktur kann auch in den folgenden Fällen eine Umstrukturierung der Domänen
in der Gesamtstruktur sinnvoll sein:
Nach einem Upgrade der Netzwerkinfrastruktur.
Nach dem Erhöhen der Netzwerkbandbreite und der Replikationskapazität.
Der Prozess der Umstrukturierung von Active Directory-Domänen in einer Gesamtstruktur ähnelt
dem Prozess der Kontomigration zwischen Domänen. Bei der Migration von Konten und
Ressourcen zwischen Domänen werden Objekte von der Quelldomäne ohne
Dekommissionierung der Quelldomäne zur Zieldomäne migriert. Beim Umstrukturieren von
Active Directory-Domänen wird die Quelldomäne nach der Migration aller Domänenobjekte aus
der Gesamtstruktur entfernt.
Bevor Sie den Umstrukturierungsvorgang für Active Directory-Domänen in einer Gesamtstruktur
einleiten, überprüfen Sie, ob die Quell- und Zieldomänen auf den funktionalen Stufen
Windows 2000 einheitlich, Windows Server 2003 oder Windows Server 2008-Domäne betrieben
werden. Die Umstrukturierung von Quelldomänen, die im gemischten Domänenfunktionsmodus
von Windows 2000 ausgeführt werden und möglicherweise auch Domänencontroller enthalten
können, die Microsoft Windows NT 4.0 ausführen, wird ausdrücklich nicht empfohlen.
Nachdem Sie den Umstrukturierungsprozess von Active Directory-Domänen in einer
Gesamtstruktur abgeschlossen haben, können Sie die Quelldomäne dekommissionieren, um den
Mehraufwand verringern zu helfen und die Verwaltung auf der Domänenfunktionsebene in der
Organisation zu vereinfachen.
164
Umstrukturieren von Active Directory-
Domänen innerhalb einer Gesamtstruktur
mithilfe von ADMT v3.1
Zum aufrecht Erhalten des Benutzerzugriffs auf Ressourcen während des
Umstrukturierungsprozesses von Domänen müssen die Migrationsschritte in einer bestimmten
Reihenfolge ausgeführt werden. Die folgenden Abbildungen zeigen den Vorgang für die
Neustrukturierung von Active Directory-Domänen innerhalb einer Gesamtstruktur.
Hintergrundinformationen zum
Neustrukturieren von Active Directory-
Domänen innerhalb einer Gesamtstruktur
mithilfe von ADMT v3.1
Die Neustrukturierung von Active Directory-Domänen innerhalb einer Gesamtstruktur umfasst die
Migration von Konten und Ressourcen aus dem Quelldomänen in die Zieldomänen. Im
Gegensatz zur Neustrukturierung von Active Directory-Domänen zwischen Gesamtstrukturen
sind bei einer Neustrukturierung von Domänen innerhalb einer Gesamtstruktur die migrierten
Objekte in der Quelldomäne nicht mehr vorhanden.
Hinweis
Bei einer Migration innerhalb einer Gesamtstruktur werden Computerkonten anders als
Benutzer- und Gruppenkonten behandelt. Damit ein Rollbackvorgang möglich ist, wird
eine neues Computerkonto in der Zieldomäne erstellt, das Quellcomputerkonto wird
jedoch nach der Migration deaktiviert und nicht gelöscht.
165
Außerdem sind beim Migrieren von Konten, Ressourcen und Gruppen besondere Erwägungen
zu berücksichtigen, wenn Sie Active Directory-Domänen innerhalb einer Gesamtstruktur neu
strukturieren, da für Active Directory-Gruppen Eingrenzungsregeln gelten. Aus diesen Gründen
besteht die Herausforderung bei der Neustrukturierung von Active Directory-Domänen in einer
Gesamtstruktur darin, sicherzustellen, dass Benutzer während des Migrationsvorgangs über
ununterbrochenen Zugriff auf Ressourcen verfügen.
166
2. Erstellen einer neuen globalen Gruppe in der Quelldomäne, die Benutzer enthält, die Zugriff
auf die Ressource benötigen.
3. Hinzufügen der neuen globalen Gruppe zur lokalen Domänengruppe.
4. Ausführen der Sicherheitskonvertierung mithilfe einer SID-Zuordnungsdatei (Security
Identifier, Sicherheitskennung), die die bekannte Gruppe der neuen lokalen Domänengruppe
(die im ersten Schritt erstellt wurde) für alle Ressourcen zuordnet, die Berechtigungen mithilfe
bekannter Gruppen zuweisen. Weitere Informationen zum Ausführen einer
Sicherheitskonvertierung mithilfe einer SID-Zuordnungsdatei finden Sie unter Konvertieren
der Sicherheit mithilfe einer SID-Zuordnungsdatei weiter unten in diesem Handbuch.
In kleinen Domänenumgebungen mit wenigen globalen Gruppen sind Sie möglicherweise in der
Lage, geschlossene Mengen von Benutzern und Gruppen zu identifizieren. Wenn Sie
geschlossene Mengen identifizieren können, können Sie Benutzer und Gruppen gleichzeitig
migrieren. In einer großen Domänenumgebung kann ein Benutzer zu mehreren globalen
Gruppen gehören. Daher ist es schwierig, nur geschlossene Mengen von Benutzer und Gruppen
zu identifizieren und zu migrieren. Aus diesem Grund besteht die beste Vorgehensweise im
Migrieren von Gruppen, bevor die Benutzerkonten migriert werden.
Benutzer 1 gehört z. B. zu den globalen Gruppen Global A und Global B und ist Mitglied in
Domäne 1. Wenn ein Administrator Benutzer 1 und Global A in Domäne 2 in der gleichen
Gesamtstruktur verschiebt, sind diese Konten in Domäne 1 nicht mehr vorhanden. Sie sind nur in
Domäne 2 in der gleichen Gesamtstruktur vorhanden. Die Gruppe Global B verbleibt in
Domäne 1. Es entsteht eine offene Menge oder eine Menge, die Benutzer und Gruppen in
mehreren Domänen enthält. Da globale Gruppen nur Mitglieder aus der Domäne enthalten
dürfen, in der die globale Gruppe vorhanden ist, ist die Mitgliedschaft von Benutzer 1 in Global B
nicht mehr gültig, und Benutzer 1 kann nicht mehr basierend auf der Mitgliedschaft in Global B
auf Ressourcen zugreifen. Aus diesem Grund besteht die beste Vorgehensweise im Migrieren
beider globaler Gruppen, bevor Benutzer 1 migriert wird.
Wenn Sie eine offene Menge von Objekten in eine Umgebung migrieren, in der die
Funktionsebene für die Quelldomäne und die Zieldomäne der einheitliche Modus von
Windows 2000 oder höher ist, wandelt ADMT die globale Gruppe in eine universelle Gruppe um,
damit diese Benutzer aus den anderen Domänen enthalten darf und die Gruppenmitgliedschaft
beibehalten werden kann. Wenn die Menge zu einer geschlossenen Menge wird, ändert ADMT
die Gruppe erneut in eine globale Gruppe. Der Vorteil dieses Vorgangs besteht darin, dass ADMT
sicherstellt, dass alle Probleme hinsichtlich geschlossener Mengen behoben werden. Die
Replikationsaufwand des globalen Katalogs erhöht sich jedoch, während die Gruppen universelle
Gruppen sind, weil die Mitgliedschaft in den globalen Katalog kopiert wird.
Hinweis
Wenn die Funktionsebene der Quelldomäne der gemischte Modus von Windows 2000
ist, kann ADMT die globale Gruppe nicht in eine universelle Gruppe umwandeln, weil
universelle Gruppen auf dieser Funktionsebene nicht vorhanden sein können. Selbst
wenn die Zieldomäne im einheitlichen Modus betrieben wird, könnten Benutzer in
Domänen im gemischten Modus nicht die Sicherheitskennungen universeller Gruppen in
ihren Zugriffstoken abrufen, wenn die Gruppen von außerhalb der Domäne stammen.
167
Aus diesem Grund erstellt ADMT eine Kopie der globalen Gruppe in der Zieldomäne und
fügt alle migrierten Benutzer der Kopie dieser Gruppe hinzu. Diese neue Gruppe besitzt
eine neue Sicherheitskennung und keinen SID-Verlauf. Diese Methode erhält den Zugriff
auf Ressourcen nur, wenn Sie den Sicherheitskonvertierungs-Assistenten von ADMT im
Hinzufügemodus zum Aktualisieren von Berechtigungen ausführen, wodurch der
Migrationsvorgang verzögert und verkompliziert wird. Aus diesem Grund wird nicht
empfohlen, Domänen neu zu strukturieren, die auf der Funktionsebene gemischter
Modus von Windows 2000 oder als Windows Server 2003-Zwischendomäne ausgeführt
werden.
SID-Verlauf
Der SID-Verlauf unterstützt die Aufrechterhaltung des Benutzerzugriffs auf Ressourcen während
des Vorgangs der Neustrukturierung von Active Directory-Domänen. Wenn Sie ein Objekt in eine
andere Domäne migrieren, wird dem Objekt eine neue Sicherheitskennung zugewiesen. Weil Sie
Objekten Berechtigungen basierend auf Sicherheitskennungen zuweisen, verliert ein Benutzer
den Zugriff auf die betreffende Ressource, wenn sich die Sicherheitskennung ändert, bis Sie
Berechtigungen erneut zuweisen. Wenn Sie ADMT zum Migrieren von Objekten zwischen
Domänen in der gleichen Gesamtstruktur verwenden, bleibt der SID-Verlauf automatisch
erhalten. Auf diese Weise bleibt die Sicherheitskennung aus der Quelldomäne ein Attribut des
Objekts, nachdem das Objekt in die Zieldomäne migriert wurde.
Eine Organisation, die ihre Active Directory-Domänen neu strukturiert, verschiebt z. B. universelle
und globale Gruppen aus einer Quelldomäne in die Zieldomäne, bevor die Benutzerkonten
verschoben werden. Da es sich um eine Migration innerhalb einer Gesamtstruktur handelt und
die Funktionsebene der Quelldomäne der einheitliche Modus von Windows 2000 ist, sind diese
Gruppen in der Quelldomäne nicht mehr vorhanden. Sie sind ausschließlich in der Zieldomäne
vorhanden. Weil der SID-Verlauf von Benutzern und Gruppen migriert wird, haben die Benutzer
168
basierend auf ihrer Mitgliedschaft in einer Gruppe, die in der Zieldomäne vorhanden ist, auch
weiterhin Zugriff auf Ressourcen in der Quelldomäne.
169
Beurteilen der neuen Struktur der Active
Directory-Gesamtstruktur
Beurteilen Sie die Domänenstruktur Ihrer vorhandenen Active Directory-Gesamtstruktur, und
identifizieren Sie dann die Domänen, die Sie durch Konsolidierung mit anderen Domänen
umstrukturieren möchten. Zu diesem Zweck müssen Sie folgende Aktionen ausführen:
Identifizieren der Quelldomänen, aus denen Objekte migriert werden sollen.
Identifizieren und beurteilen der Organisationseinheitsstruktur (Organizational Unit, OU) der
Quelldomäne, in der diese Objekte platziert werden sollen.
170
Identifizieren der Quelldomänen
Die Quelldomänen sind die Domänen, aus denen Objekte migriert werden sollen und deren
Dekommissionierung vorgesehen ist. Beim Neustrukturieren von Active Directory-Domänen sollte
idealerweise eine möglichst geringe Anzahl von Objekten migriert werden. Identifizieren Sie beim
Auswählen von Quelldomänen die Domänen, in denen die kleinste Anzahl zu migrierender
Objekte vorhanden ist.
171
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services der Job Aids für das
Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/?LinkId=14384,
englischsprachig).
Die folgende Abbildung zeigt ein Beispiel einer Objektzuweisungstabelle für Benutzer und
Gruppen.
172
Planen der Migration von Gruppen
Nur wenn Sie geschlossene Mengen bei der Neustrukturierung von Active Directory-Domänen
innerhalb einer Gesamtstruktur identifizieren können, sollten Sie Gruppen und Benutzer separat
migrieren. Auf diese Weise wird sichergestellt, dass Benutzer auch weiterhin Zugriff auf
erforderliche Ressourcen besitzen.
Die folgende Tabelle listet die einzelnen Gruppentypen und den physikalischen Speicherort der
jeweiligen Gruppe auf.
Gruppentyp Speicherort
173
Jeder Typ von Gruppe wird basierend auf dem physikalischen Speicherort der Gruppe und ihren
Regeln für die Gruppenmitgliedschaft auf andere Weise migriert. Sie können universelle Gruppen
und globale Gruppen mithilfe des Active Directory-Migrationsprogramms (Active Directory
Migration Tool, ADMT) migrieren. Sie können diese für die Dauer der Migration in universelle
Gruppen umwandeln, wenn Sie keine geschlossenen Mengen migrieren. Sie können die
Mitgliedschaft der lokalen Computergruppe mithilfe des Sicherheitskonvertierungs-Assistenten
aktualisieren.
Jeder Gruppentyp verfügt über andere Regeln für die Mitgliedschaft, und jeder Gruppentyp dient
einem anderen Zweck. Dies wirkt sich auf die Reihenfolge aus, in der Gruppen aus den Quell- in
die Zieldomänen migriert werden. Die folgende Tabelle fasst die Gruppen und ihre
Mitgliedschaftsregeln zusammen.
175
Das Benutzerprofil wurde erfolgreich konvertiert, und die Desktopeinstellungen, die
Desktopdarstellung, Verknüpfungen und der Zugriff auf den Ordner Eigene Dateien sind
erhalten geblieben. Vergewissern Sie sich außerdem, dass Anwendungen im Menü Start
angezeigt und über dieses Menü gestartet werden können.
Beim Migrieren von Benutzerkonten kann nicht jede Benutzereigenschaft migriert
werden. Weitere Informationen zu Benutzereigenschaften, die nicht migriert werden
können, finden Sie weiter unten in diesem Handbuch unter Migrieren von
Benutzerkonten.
Nachdem Sie Ressourcen migriert haben, melden Sie sich als Testbenutzer in der Zieldomäne an
und vergewissern sich dann, dass Sie ordnungsgemäß auf Ressourcen zugreifen können.
Wenn in einem der Schritte des Testverfahrens Fehler auftreten, ermitteln Sie die Ursache des
Problems, und stellen Sie dann fest, ob Sie das Problem beheben können, bevor der Zugriff auf
das Objekt in der Zieldomäne möglich sein muss. Wenn Sie das Problem nicht beheben können,
bevor der Zugriff auf das Objekt erforderlich ist, führen Sie einen Rollbackvorgang in die
ursprüngliche Konfiguration aus, damit der Zugriff auf das Benutzer- oder Ressourcenobjekt
sichergestellt ist. Weitere Informationen zum Erstellen eines Rollbackplans finden Sie unter
Erstellen eines Rollbackplans weiter unten in diesem Handbuch.
Erstellen Sie eine Migrationstestmatrix als Teil Ihres Testplans. Füllen Sie eine Testmatrix für
jeden Schritt im Migrationsvorgang aus. Wenn Sie z. B. 10 Lose von Benutzern migrieren, füllen
Sie die Testmatrix 10 Mal aus – einmal für jedes migrierte Los. Wenn Sie 10 Mitgliedsserver
migrieren, füllen Sie die Testmatrix für jeden der 10 Server aus.
Ein Arbeitsblatt, das Sie beim Erstellen einer Testmatrix unterstützt, finden Sie unter "Migration
Test Matrix" (DSSREER_3.doc) im Download
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services der Job Aids für das
Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/?LinkId=14384,
englischsprachig).
Die folgende Abbildung zeigt ein Beispiel für eine ausgefüllte Migrationstestmatrix.
176
Erstellen eines Rollbackplans
Nachdem Sie den Migrationsvorgang begonnen haben, können Sie die Änderungen nicht mehr
rückgängig machen, die Sie an Active Directory-Domänen in Ihrer Gesamtstruktur vornehmen.
Da Konten aus einer Domäne in eine andere verschoben und nicht kopiert werden, wenn Sie
Domänen neu strukturieren, sind die Änderungen nicht rückgängig zu machen. Wenn Sie Ihre
Pläne ändern, nachdem Sie mit dem Migrationsvorgang begonnen haben, besteht die einzige
Möglichkeit, Konten erneut in der Quelldomäne zu speichern, im erneuten Migrieren der Konten.
177
Erstellen Sie einen Rollbackplan für den Fall, dass Sie Konten erneut migrieren müssen,
nachdem Sie mit der Neustrukturierung Ihrer Domänen begonnen haben. Wenn Sie einen
Rollbackplan erstellen möchten, wählen Sie die Methode aus, die Sie zum erneuten Migrieren
von Konten verwenden möchten.
Hinweis
Zum Sicherstellen eines erfolgreichen Rollbacks einer gesamtstrukturinternen Migration
dürfen Sie nicht versuchen, die Objekte in der Zieldomäne zu löschen und sie dann in der
Quelldomäne wiederherzustellen. Sie können sonst die Objekte nicht mehr in der
Quelldomäne wiederherstellen, weil sie vom Proxy für das domänenübergreifende
Verschieben automatisch gelöscht werden, wenn eine Wiederherstellung versucht wird.
Sie können das Active Directory-Migrationsprogramm (ADMT) zum erneuten Migrieren von
Konten aus der Zieldomäne zurück in die Quelldomäne verwenden. In diesem Fall wird die
ursprüngliche Zieldomäne die neue Quelldomäne, und die ursprüngliche Quelldomäne wird zur
neuen Zieldomäne. Führen Sie die gleichen Schritte in den Assistenten aus, die Sie zuvor zum
Migrieren der Konten verwendet haben. Wenn Sie die Konten erneut migrieren, verfügen die
Objekte, die in die Zieldomäne migriert und dann erneut in die Quelldomäne migriert wurden,
neue Sicherheitskennungen (Security Identifiers, SIDs). Sie weisen jedoch ihre ursprüngliche
Sicherheitskennung in ihrem SID-Verlauf auf. Aus diesem Grund sind sie zwar nicht mit den
Konten vor der Migration identisch, sie besitzen jedoch die gleiche Funktionalität.
Wenn Sie eine Dienstkontenmigration umkehren möchten, müssen Sie die Dienste nochmals
aufzählen und die Dienstkonten dann erneut migrieren, indem Sie die Ziel- und Quelldomänen
vertauschen.
Wenn Sie Skripts zum Ausführen der ursprünglichen Migration verwenden, ist die Verwendung
von Skripts für die erneute Migration von Konten die schnellste Methode zum Rückgängigmachen
der Änderungen. Invertieren Sie einfach die Objekte im Skript, die für die Quell- und Zieldomänen
verwendet werden, um die Objekte neu zu migrieren.
Hinweis
Wenn die Funktionsebene der ursprünglichen Quelldomäne der gemischte Modus von
Windows 2000 ist, können Sie keine Rollbackmethode zum Rückgängigmachen der
Änderungen und Migrieren der Konten zurück in die Quelldomäne verwenden. Eine
erneute Migration erfordert, dass die Quelldomäne zur Zieldomäne wird, und die
Funktionsebene der Zieldomäne muss Windows 2000 im einheitlichen Modus,
Windows Server 2003 oder Windows Server 2008 sein. Aus diesem Grund sollten Sie
Domänen nicht neu zu strukturieren, die auf der Funktionsebene gemischter Modus von
Windows 2000 oder als Windows Server 2003-Zwischendomäne ausgeführt werden.
Nachdem Sie Ihren Rollbackplan erstellt haben, müssen Sie ihn testen, um ggf. auftretende
Probleme zu identifizieren und zu beheben, bevor Sie mit der Neustrukturierung der
Active Directory-Domänen beginnen.
178
Erstellen eines Endbenutzermigrationsplans
Entwickeln Sie einen Plan, um alle betroffenen Benutzer über die bevorstehende Kontomigration
zu informieren und so sicherzustellen, dass sie ihre Zuständigkeiten kennen, die Auswirkungen
der Migration verstehen und wissen, an wen sie sich wegen Hilfe und Support wenden können.
Bevor Sie mit der Benutzermigration beginnen, senden Sie einen Hinweis an alle Benutzer, die
für die Migration vorgesehen sind. Da Benutzer normalerweise in Losen von ungefähr 100
Benutzern zugleich migriert werden, ist es außerdem sinnvoll, den Benutzern in jedem Los zwei
oder drei Tage vor der geplanten Umstellung ihres Loses eine letzte Benachrichtigung zu senden.
Wenn Ihre Organisation ein Intranet betreibt, veröffentlichen Sie den Zeitplan zur Kontomigration
und die in der Benutzer-E-Mail enthaltenen Informationen auf einer leicht zugänglichen Webseite.
Nehmen Sie die folgenden Informationen in Ihre Endbenutzerkommunikation auf.
Allgemeine Informationen
Machen Sie Benutzer auf die Tatsache aufmerksam, dass für ihre Benutzerkonten die Migration
zu einer neuen Domäne geplant ist. Verweisen Sie die Benutzer auf eine Webseite oder auf eine
interne Ressource, wo sie weitere Informationen finden und den Zeitplan für die Migration
einsehen können.
Teilen Sie den Benutzern den neuen Domänennamen mit. Achten Sie darauf, die Benutzer zu
informieren, dass sich ihre Kontokennwörter nicht ändern werden. Lassen Sie die Benutzer
wissen, dass das ursprüngliche Domänenkonto unmittelbar im Anschluss an die Migration
deaktiviert wird und dass das deaktivierte Konto nach einem festgelegten Zeitraum gelöscht wird.
Dies ist nicht erforderlich, wenn sie sich mit UPNs (User Principal Names) anmelden.
Auswirkungen
Vergewissern Sie sich, dass den Benutzern bewusst ist, dass sie nach der Migration ihres Kontos
möglicherweise auf einige Ressourcen, wie etwa Websites, freigegebene Ordner oder
Ressourcen, die von Personen in der Gruppe oder Abteilung nicht häufig verwendet werden,
nicht mehr zugreifen können.
Stellen Sie Informationen für Benutzer hinsichtlich der Personen bereit, die sie um Hilfe bitten
können, um den Zugriff auf erforderliche Ressourcen wieder zu erlangen.
179
Schritte vor der Migration
Machen Sie die Benutzer auf alle Schritte aufmerksam, die sie vor dem Beginn des
Migrationsvorgangs ausführen müssen. Beispielsweise müssen sie alle mithilfe von EFS
(Encrypting File System) verschlüsselten Dateien entschlüsseln. Das Versäumnis, die
verschlüsselten Dateien zu entschlüsseln, bewirkt den Verlust des Zugriffs auf die
verschlüsselten Dateien nach der Migration.
Die Benutzer müssen darüber hinaus sicherstellen, dass ihre Computer zum Zeitpunkt der
geplanten Kontenmigration mit dem Netzwerk verbunden sind.
Erwartete Änderungen
Beschreiben Sie weitere Änderungen, die den Benutzern im Anschluss an die Migration auffallen
werden, wie etwa Änderungen in der Verwendung von SmartCards, sicherer E-Mail oder Instant
Messaging, falls zutreffend.
180
Migrationsvorgang an Administratoren delegiert wird, die sich am gleichen Standort wie die
Arbeitsstationen befinden.
Verwenden Sie die Informationen in der folgenden Tabelle, um die Anmeldeinformationen zu
ermitteln, die für Ihre Migration erforderlich sind.
Rolle Migrationstask
181
Rolle Migrationstask
182
Installationsoption für Windows Server 2008 installiert sein oder als schreibgeschützter
Domänencontroller (Read-Only Domain Controller, RODC) ausgeführt werden.
Wenn Sie nicht planen, die lokale Datenbankinstallation zu verwenden, konfigurieren Sie eine
andere SQL Server-Datenbankinstallation mit einer ADMT-Instanz. Weitere Informationen
zum Erstellen einer ADMT-Instanz für eine a SQL Server-Datenbank finden Sie unter
Installieren von ADMT mithilfe einer vorkonfigurierten SQL-Datenbank.
Hinweis
Das folgende Verfahren beschreibt Installationsoptionen für die Konfiguration der
Installation von ADMT v3.1 mit dem Standarddatenbankspeicher auf einem Computer mit
Windows Server 2008. Die Mitgliedschaft in der Gruppe Administratoren (oder eine
äquivalente Berechtigung) ist mindestens erforderlich, um dieses Verfahren auszuführen.
Weitere Informationen zum Verwenden der passenden Konten und
Gruppenmitgliedschaften finden Sie unter http://go.microsoft.com/fwlink/?LinkId=83477.
Hinweis
Das ADMT v3.1-Setup installiert
SQL Server 2005 Express
Edition unabhängig davon, ob
diese Software verwendet wird,
standardmäßig lokal. Das
ADMT v3.1-Setup deaktiviert
SQL Server 2005 Express
Edition jedoch, wenn Sie eine
andere Datenbankinstanz auf
der Seite Datenbankauswahl
183
Seite des Assistenten Vorgang
angeben.
184
Seite des Assistenten Vorgang
Hinweis
Die ADMT v2.0-Datenbankdatei
trägt den Namen Protar.mdb.
Speichern Sie diese Datei in
dem Verzeichnis, das Sie zuvor
für die ADMT v3.0-Installation
verwendet haben.
Wenn Sie Daten aus einer ADMT-
Datenbank, die Sie mithilfe von ADMT v3.0
erstellt haben, in die neue ADMT v3.1-
Datenbank importieren möchten, klicken Sie
auf Ja, Daten aus einer vorhandenen
ADMT v3.0-Datenbank importieren. Wenn
Sie Daten mithilfe dieser Option importieren,
müssen Sie ggf. den Pfad zur ADMT v3.0-
Datenbankdatei angeben.
Hinweis
Diese Option wird nur
angezeigt, wenn während der
Installation keine ADMT v3.0-
Datenbank erkannt wird. Das
ADMT v3.1-Setup versucht, die
ADMT v3.0-Datenbankdateien
an ihrem Standardspeicherort
zu suchen und dort eine
Verbindung mit ihnen
herzustellen. Es handelt sich
um den Unterordner
\MSSQL$MS\Data unter dem
Verzeichnis, in dem ADMT v3.0
installiert wurde. Die
ADMT v3.0-Datenbankdateien
heißen Admt.mdf und
Admt.ldf. Sie müssen den
Speicherort nur suchen und
185
Seite des Assistenten Vorgang
186
Syntax Beschreibung
admtdb create /{s|server}: " <Server\Instanz>" [/ Installiert eine neue ADMT-Datenbank oder
{i|import}:"<v2-Datenbankpfad>"] bereitet eine leere Datenbank vor.
Der Parameter /server gibt den Namen des
Computers mit SQL Server und der Instanz an,
mit dem bzw. der eine Verbindung hergestellt
werden soll, um die Datenbank zu erstellen.
Dieser Parameter ist erforderlich.
Der optionale Parameter /import gibt den Pfad
zur Datei Protar.mdb aus einer früheren
ADMT v2-Installation an. ADMT v1-
Datenbankdateien eignen sich nicht für
Importvorgänge.
admtdb upgrade /{s|server}: <Server\Instanz> Aktualisiert eine vorherige Version einer ADMT-
Datenbank.
Der erforderliche Parameter /server gibt den
Namen des Computers mit SQL Server und der
Instanz an, mit dem bzw. der eine Verbindung
hergestellt werden soll, um die ADMT v3-
Datenbank zu aktualisieren.
Hinweis
Bevor Sie die ADMT-Datenbank
aktualisieren, überprüfen Sie die
Kompatibilität zwischen der Datenbank
und der ADMT-Konsole, indem Sie die
ADMT-Konsole öffnen.
187
Syntax Beschreibung
188
Erneutes Verwenden einer ADMT v3-Datenbank
aus einer vorherigen Installation
Wenn Sie eine vorhandene (getrennte) Datenbank aus einer früheren ADMT v3.0- oder
ADMT v3.1-Installation mit der lokalen SQL Server Express-Instanz verwenden möchten, können
Sie das folgende Verfahren ausführen.
Hinweis
Die Mitgliedschaft in der Gruppe Administratoren (oder eine äquivalente Berechtigung)
ist mindestens erforderlich, um dieses Verfahren auszuführen. Weitere Informationen
zum Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter
http://go.microsoft.com/fwlink/?LinkId=83477.
189
Die Konvertierung von Dienstkonten bezieht sich auf den Prozess des Identifizierens, Migrierens
und Aktualisierens von Diensten, die im Kontext von Benutzerkonten ausgeführt werden. Dieser
Prozess umfasst drei Schritte. Zuerst startet der Administrator das Active Directory-
Migrationsprogramm (Active Directory Migration Tool, ADMT) auf dem Active Directory-
Domänencontroller und führt den Assistenten zum Migrieren von Dienstkonten aus. Im zweiten
Schritt sendet der Assistent zum Migrieren von Dienstkonten einen Agent an einen angegebenen
Computer und identifiziert alle Dienste auf dem Computer, die im Kontext eines Benutzerkontos
ausgeführt werden (er migriert die Dienste jedoch nicht). Als dritter Schritt, der später im
Migrationsprozess erfolgen kann, wird dann die Migration der Konten ausgeführt, wenn die
anderen Benutzerkonten mit dem Assistenten zum Migrieren von Benutzerkonten migriert
werden.
Der Assistent zum Migrieren von Dienstkonten überprüft jeden Dienst auf einem Computer, um
Dienste zu identifizieren, die im Kontext eines Benutzerkontos ausgeführt werden. Während der
Migration von Dienstkonten kann eine Sicherheitslücke auftreten, wenn eine Person, die kein
Dienstadministrator ist, sich mit Administratorberechtigungen bei einem Konto in der
Quelldomäne anmeldet, jedoch auf dem eigenen Computer ein ungültiges Kennwort zum Starten
des Diensts verwendet. Der Dienst wird vor der Kontomigration nicht gestartet – da das Kennwort
nicht richtig ist – es funktioniert jedoch nach der Migration, da ADMT das Kennwort des
Dienstkontos zurücksetzt und alle Dienste, die das betreffende Dienstkonto verwenden, mit dem
neuen Kennwort konfiguriert.
Zur Vermeidung dieses möglichen Sicherheitsproblems ist es wichtig, nur die Server in den
Assistenten zum Migrieren von Dienstkonten aufzunehmen, die von vertrauenswürdigen
Administratoren verwaltet werden. Verwenden Sie den Assistenten zum Migrieren von
Dienstkonten nicht zur Erkennung von Dienstkonten auf Computern, die nicht von
vertrauenswürdigen Administratoren verwaltet werden, wie z. B. Arbeitsstationen.
Wenn Sie einen vertrauenswürdigen Computer nicht identifizieren und konvertieren, dessen
Dienstkonto daher nicht aktualisiert wird, müssen Sie das neue Kennwort, das von ADMT erstellt
wird, manuell festlegen. Rufen Sie zu diesem Zweck das Kennwort aus der Datei Password.txt
ab, und geben Sie dann manuell die Konto- und Kennwortinformationen für den Dienst auf dem
Computer ein, der nicht konvertiert wurde.
Wenn die Konten, die vom Assistenten für die Migration von Dienstkonten in der ADMT-
Datenbank als im Kontext eines Benutzerkontos ausgeführt identifiziert wurden, in die
Zieldomäne migriert werden, erteilt ADMT jedem Konto das Recht zur Anmeldung als Dienst.
190
Seite des Assistenten Vorgang
191
Seite des Assistenten Vorgang
Der Assistent stellt eine Verbindung mit den ausgewählten Computern her und sendet
dann einen Agent, um jeden Dienst auf den Remotecomputern zu überprüfen. Auf der
Seite Dienstkontoinformationen sind die Dienste, die im Kontext eines Benutzerkontos
ausgeführt werden, zusammen mit dem Namen des betreffenden Benutzerkontos
aufgelistet. ADMT vermerkt in seiner Datenbank, dass diese Benutzerkonten als
Dienstkonten migriert werden müssen. Wenn ein Benutzerkonto nicht als Dienstkonto
migriert werden soll, wählen Sie das Konto aus und klicken dann auf
Überspringen/Einbeziehen, um den Status von Einbeziehen in Überspringen zu
ändern.
3. Zum Aktualisieren des Dienstkontroll-Managers mit den neuen Informationen verwenden
Sie SCM aktualisieren. Sofern kein Fehler beim Erreichen eines Computers zum Zweck
der Aktualisierung vorliegt, ist die Schaltfläche SCM aktualisieren nicht verfügbar. Wenn
nach der Identifikation und Migration des Kontos ein Problem beim Aktualisieren eines
Dienstkontos auftritt, stellen Sie sicher, dass der Computer, den Sie zu erreichen
versuchen, verfügbar ist, und starten Sie dann den Assistenten zum Migrieren von
Dienstkonten erneut. Klicken Sie im Assistenten auf SCM aktualisieren, um die
Aktualisierung des Diensts zu versuchen. Wenn Sie den Assistenten zum Migrieren von
Dienstkonten bereits zuvor ausgeführt haben und die Schaltfläche SCM aktualisieren
nicht zur Verfügung steht, untersuchen Sie die ADMT-Protokolldateien, um die Ursache
des Problems zu ermitteln. Nachdem Sie das Problem behoben haben und der Agent
erfolgreich eine Verbindung hergestellt hat, steht die Schaltfläche SCM aktualisieren zur
Verfügung.
192
Quelldomäne, auf denen die Dienstkonten ausgeführt werden.
Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT SERVICE /N "<computer_name1>" "<computer_name2>" /O:" <option_file>.txt"
In der folgenden Tabelle sind die allgemeinen Parameter zum Identifizieren von
Dienstkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem
entsprechenden Äquivalent in der Optionsdatei.
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.
Option Explicit
Dim objMigration
Dim objServiceAccountEnumeration
'
'
Set objServiceAccountEnumeration = _
objMigration.CreateServiceAccountEnumeration
'
193
'Specify general migration options.
'
'
'
objServiceAccountEnumeration.Enumerate admtData, _
</Script>
</Job>
194
Contoso Corporation hat eine Liste der Computer erstellt, die Dienstkonten ausführen, damit der
Assistent zum Migrieren von Dienstkonten zum Identifizieren von Diensten verwendet werden
kann, die im Kontext von Benutzerkonten ausgeführt werden. Das Unternehmen macht sich am
meisten Sorgen um eine Sammlung von Konten, die auf eine SQL Server-Datenbank zugreifen
müssen. Der Zugriff auf diese Datenbank ist ein wichtiger Teil des Geschäfts.
Das Unternehmen hat sich entschieden, das Active Directory-Migrationsprogramm
(Active Directory Migration Tool, ADMT) als Migrationstool zu verwenden und die zugehörigen
Assistenten zu nutzen. Das Unternehmen installiert ADMT und erstellt zwei
Kontenmigrationsgruppen, die für den Migrationsvorgang verwendet werden. Das Unternehmen
weist der erste Gruppe Berechtigungen auf hoher Ebene zu und fügt dieser Gruppe dann die
entsprechenden Mitglieder des Bereitstellungsteams hinzu. Das zentralisierte
Bereitstellungsteam verwendet dieses Konto zum Migrieren von Benutzern. Das Unternehmen
weist der zweiten Gruppe Berechtigungen für Arbeitsstationen und lokale Ressourcen zu. Das
Bereitstellungsteam verwendet die zweite Gruppe zum Migrieren von Ressourcen an den
Remotestandorten.
195
Migrieren von Gruppen
Migrieren Sie Gruppen, bevor Sie die Benutzerkonten migieren, die Mitglied dieser Gruppen sind,
um Ihr System vor dem Problem offener Mengen beim Umstrukturieren von Active Directory-
Domänen innerhalb einer Gesamtstruktur zu schützen. Wenn Sie Gruppen zugleich mit
Benutzern migrieren, können Sie möglicherweise keine verschachtelten Gruppen migrieren,
wodurch eine offene Menge entsteht.
Befolgen Sie darüber hinaus beim Migrieren von Gruppen diese Richtlinien:
Migrieren Sie universelle Gruppen zuerst, gefolgt von globalen Gruppen.
Migrieren Sie domänenlokale Gruppen beim Migrieren der Ressourcen (Domänencontroller
und Mitgliedsserver), auf denen sie zum Zuweisen von Berechtigungen verwendet werden.
Sie können sich entscheiden, computerlokale Gruppen beim Migrieren des Computers zu
einem späteren Zeitpunkt im Umstrukturierungsprozess zu migrieren.
196
besitzen Gruppenmitglieder basierend auf der Mitgliedschaft in der universellen Gruppe weiterhin
Zugriff auf Ressourcen. Wenn Sie universelle Gruppen in Zieldomäne migrieren, sind diese in der
Quelldomäne nicht mehr vorhanden.
Hinweis
Wenn Sie eine kleine Anzahl universeller Gruppen migrieren, können Sie diese
universellen Gruppen zum gleichen Zeitpunkt wie globale Gruppen migrieren.
Sie können universelle Gruppen mithilfe des ADMT-Snap-Ins (Active Directory Migration Tool,
Active Directory-Migrationsprogramm), der ADMT-Befehlszeilenoption oder eines Skripts
migrieren.
197
Seite des Assistenten Vorgang
Hinweis
Wenn Sie eine Gruppenmigration mit sIDHistory-Migration über die Befehlszeile
starten, muss der Befehl auf einem Domänencontroller in der Zieldomäne
198
ausgeführt werden.
2. Geben Sie den Befehl ADMT Group mit den entsprechenden Parametern in einer
Befehlszeile ein, und drücken Sie dann die EINGABETASTE:
ADMT GROUP /N "<group_name1>" "<group_name2>" /IF:YES /SD:" <source_domain>" /TD:"
<target_domain>" /TO:" <target_OU>"
Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT GROUP /N "<group_name1>" "<group_name2>" /O: "<option_file>.txt"
Die folgende Tabelle nennt die Parameter, die für die Migration universeller Gruppen
erforderlich sind, die Befehlszeilenparameter sowie die Optionsdateientsprechungen.
Eine vollständige Liste aller verfügbaren Parameter finden Sie in der Hilfe zu ADMT v3.1.
<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
it"
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie dann die
Organisationseinheit der Zieldomäne. Überprüfen Sie, ob die universellen Gruppen in der
Organisationseinheit der Zieldomäne vorhanden sind.
Hinweis
Wenn Sie eine Gruppenmigration mit sIDHistory-Migration über ein Skript
starten, müssen Sie das Skript auf einem Domänencontroller in der Zieldomäne
ausführen.
<Job id="MigratingGroupsWithinForest" >
199
<Script language="VBScript" >
Option Explicit
Dim objMigration
Dim objGroupMigration
'
'
'
'
objMigration.IntraForest = True
'
'
</Script>
</Job>
200
Migrieren globaler Gruppen
Migrieren Sie globale Gruppen (ohne Mitglieder) aus der Quelldomäne in die Zieldomäne, um
sich vor dem Problem offener Mengen zu vermeiden. (Weitere Informationen zu offenen Mengen
finden Sie unter Hintergrundinformationen zum Neustrukturieren von Active Directory-Domänen
innerhalb einer Gesamtstruktur mithilfe von ADMT v3.1 weiter oben in diesem Handbuch.)
Nachdem die globalen Gruppen in die Zieldomäne migriert wurden, sind sie in der Quelldomäne
nicht mehr vorhanden, wenn die Quelldomäne die Funktionsebene Windows 2000 im
einheitlichen Modus oder höher aufweist.
Da globale Gruppen nur Mitglieder aus ihrer eigenen Domäne enthalten, können Sie nicht aus
einer Domäne in eine andere migriert werden. Das Active Directory-Migrationsprogramm (ADMT)
ändert globale Gruppen während ihrer Migration in universelle Gruppen. Die universelle Gruppe
in der Zieldomäne speichert den SID-Verlauf (Security Identifier, Sicherheitskennung) der
globalen Gruppe in der Quelldomäne. Auf diese Weise können Benutzer weiterhin auf
Ressourcen in der Quelldomäne zugreifen, nachdem die globalen Gruppen migriert wurden.
ADMT setzt die universellen Gruppen auf globale Gruppen zurück, nachdem alle Mitglieder der
globalen Gruppe aus der Quelldomäne in die Zieldomäne migriert wurden.
Sie müssen integrierte und bekannte globale Gruppen nicht in die Migration einschließen, weil
diese Gruppen in der Zieldomäne bereits vorhanden sind. Wenn Sie eine integrierte und
bekannte globale Gruppe für die Migration auswählen, migriert ADMT diese nicht. ADMT fügt
stattdessen einen Vermerk in das Protokoll ein und setzt die Migration anderer globaler Gruppen
fort.
Das Verfahren zum Verwenden des Assistenten zum Migrieren von Gruppenkonten zum
Migrieren globaler Gruppen ist mit dem Verfahren zum Migrieren universeller Gruppen identisch.
Weitere Informationen zum Verfahren zum Migrieren globaler und universeller Gruppen finden
Sie unter Migrieren universeller Gruppen weiter oben in diesem Handbuch.
Nachdem Sie den Migrationsvorgang für globale Gruppen abgeschlossen haben, verwenden Sie
Active Directory-Benutzer und -Computer, um zu überprüfen, ob die globalen Gruppen
erfolgreich migriert wurden. Bestätigen Sie, dass die globalen Gruppen in der Quelldomäne nicht
mehr vorhanden sind und die Gruppen in der Zieldomäne in der Organisationseinheit angezeigt
werden, die Sie während des Migrationsvorgangs angegeben haben. Die globalen Gruppen
werden als universelle Gruppen in der Zieldomäne aufgelistet, wenn sie noch Mitglieder in der
Quelldomäne besitzen. Wenn Sie eine Liste der Mitglieder der universellen Gruppe anzeigen
möchten, klicken Sie mit der rechten Maustaste auf die Gruppe, klicken Sie auf Eigenschaften,
und klicken Sie dann auf die Registerkarte Mitglieder. Die ursprünglichen Mitglieder der globalen
Gruppe werden aufgelistet. Beachten Sie jedoch, dass die Benutzerkonten noch nicht migriert
wurden.
Wenn Sie während der Migration innerhalb einer Gesamtstruktur Benutzerkonten migrieren, nicht
jedoch die globalen Gruppen in der Quelldomäne, bei der die Benutzerkonten Mitglieder sind,
aktualisiert ADMT die globalen Gruppen in der Quelldomäne trotzdem. ADMT entfernt die
Mitgliedschaft der migrierten Benutzerkonten in der globalen Gruppe in der Quelldomäne, weil die
globale Gruppe nur Mitglieder aus der Quelldomäne enthalten kann. Als Ergebnis besteht die
201
Möglichkeit, dass Benutzer nach der Migration nicht mehr auf Ressourcen in der Quelldomäne
zugreifen, weil sie nicht mehr Mitglieder der betreffenden Gruppen sind.
Sie können globale Gruppen mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption oder
eines Skripts migrieren.
202
Seite des Assistenten Aktion
3. Nachdem der Assistent ausgeführt wurde, klicken Sie auf Protokoll anzeigen, und
überprüfen Sie das Migrationsprotokoll dann auf Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie dann die
Organisationseinheit der Zieldomäne. Bestätigen Sie, dass die globalen Gruppen in der
Organisationseinheit der Zieldomäne vorhanden sind.
Hinweis
Wenn Sie eine Gruppenmigration mit sIDHistory-Migration über die Befehlszeile
starten, müssen Sie den Befehl auf einem Domänencontroller in der Zieldomäne
203
ausführen.
2. Geben Sie den Befehl ADMT Group mit den entsprechenden Parametern in einer
Befehlszeile ein, und drücken Sie dann die EINGABETASTE:
ADMT GROUP /N "<group_name1>" "<group_name2>" /IF:YES /SD:" <source_domain>" /TD:"
<target domain>" /TO:" <target OU>"
Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT GROUP /N "<group_name1>" "<group_name2>" /O: "<option_file>.txt"
Die folgende Tabelle nennt die Parameter, die für die Migration globaler Gruppen
erforderlich sind, die Befehlszeilenparameter sowie die Optionsdateientsprechungen.
<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
it"
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie dann die
Organisationseinheit der Zieldomäne. Bestätigen Sie, dass die globalen Gruppen in der
Organisationseinheit der Zieldomäne vorhanden sind.
Hinweis
Wenn Sie eine Gruppenmigration mit sIDHistory-Migration über ein Skript
starten, muss das Skript auf einem Domänencontroller in der Zieldomäne
ausgeführt werden.
2. Nach Abschluss der Migration der globalen Gruppe mithilfe eines Skripts überprüfen Sie
das Migrationsprotokoll. Die Datei migration.log wird in dem Ordner gespeichert, in dem
Sie ADMT installiert haben. Dies ist normalerweise Windows\ADMT\Logs.
Hinweis
204
Da universelle Gruppen in den globalen Katalog repliziert werden, kann sich die
Konvertierung globaler Gruppen in universelle Gruppen negativ auf den
Replikationsdatenverkehr auswirken. Wenn die Gesamtstruktur auf der
Funktionsebene Windows Server 2003 oder Windows Server 2008 betrieben
wird, werden diese Auswirkungen verringert, weil nur Änderungen an der
Mitgliedschaft der universellen Gruppe repliziert werden. Wenn die
Gesamtstruktur jedoch nicht auf der Funktionsebene Windows Server 2003 oder
Windows Server 2008 betrieben wird, wird die gesamte Gruppenmitgliedschaft
bei jeder Änderung der Mitgliedschaft der universellen Gruppe repliziert.
206
Seite des Assistenten Vorgang
Ein Dialogfeld Migrationsstatus setzt Sie über den aktuellen Status der Migration in
Kenntnis. Zu diesem Zeitpunkt verschiebt ADMT die Konten in die Zieldomäne, erstellt
ein neues Kennwort für die Konten, weist den Konten das Recht zur Anmeldung als
Dienst zu und stellt diese neuen Informationen den Diensten zur Verfügung, die die
Konten verwenden. Wenn der Status im Dialogfeld Migrationsstatus als
Abgeschlossen aufgeführt wird, können Sie mit der verbleibenden
gesamtstrukturinternen Migration fortfahren.
Vor dem Abschluss der Migration der Dienstkonten stellen Benutzer möglicherweise
Unterbrechungen bei der Verwendung der Dienste fest. Dies hat den Grund, dass die
Dienste bis zu ihrem Neustart immer noch das migrierte Konto verwenden. Führen Sie
für alle Dienste, die kontinuierlich Anmeldeinformationen verwenden, einen manuellen
Neustart aus, um optimale Ergebnisse sicherzustellen.
207
dem Migrationskonto des ADMT-Kontos an.
2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann
die EINGABETASTE:
ADMT USER /N "<server_name1>" "<server_name2>" /IF:YES /SD:" <source_domain>"
/TD:" <target_domain>" /TO:" <target_OU>" /MSA:YES
Dabei sind <Server_name1> und <Server_name2> die Namen von Servern in der
Quelldomäne, auf denen die Dienstkonten ausgeführt werden. Als Alternative können Sie
auch Parameter in eine Optionsdatei einfügen, die wie folgt über die Befehlszeile
angegeben wird:
ADMT USER /N "<server_name1>" "<server_name2>" /O: "<option_file>.txt"
Die folgende Tabelle nennt die Parameter, die für die Migration von Dienstkonten
erforderlich sind, die Befehlszeilensyntax sowie die Optionsdateientsprechungen.
<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
it"
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die
Organisationseinheit der Zieldomäne. Überprüfen Sie, ob die Dienstkonten in der
Organisationseinheit der Zieldomäne vorhanden sind.
208
<Script language="VBScript" >
Option Explicit
Dim objMigration
Dim objUserMigration
'
'
'
'
objMigration.IntraForest = True
'
'
objUserMigration.UpdateUserRights = True
objUserMigration.MigrateServiceAccounts = True
'
'
209
objUserMigration.Migrate admtData, _
</Script>
</Job>
210
Migrieren von Organisationseinheiten und
Unterstrukturen von Organisationseinheiten
Wenn Sie Organisationseinheiten (Organizational Units, OUs) und Unterstrukturen Ihrer
Organisationseinheiten in die Zieldomäne kopieren möchten, können Sie entweder die
Befehlszeilen- oder die Skriptoption verwenden und die entsprechenden Parameter ersetzen. Sie
müssen eine Quellorganisationseinheit und eine Zielorganisationseinheit angeben, und die
Zielorganisationseinheit muss vorhanden sein. Alle Objekte in der Quellorganisationseinheit und
alle untergeordneten Organisationseinheiten werden in die Zielorganisationseinheit migriert, die
angegebene Quellorganisationseinheit wird selbst jedoch nicht migriert.
Wenn Sie die Befehlszeilenoption zum Migrieren der Konten, Gruppen oder Benutzer verwenden
und darüber hinaus Organisationseinheiten migrieren möchten, ändern Sie die Befehlszeile, um
die Option /D zu verwenden. Statt die Option /N (/IncludeName) zu verwenden, müssen Sie die
Option /D (/IncludeDomain) mit RECURSE und MAINTAIN wie folgt verwenden:
ADMT /D:RECURSE+MAINTAIN /O "<option_file.txt>"
Wenn Sie Konten, Gruppen oder Computer mithilfe der Skriptoption migrieren und darüber
hinaus Organisationseinheiten migrieren möchten, ändern Sie das Skript, um die Option
admtDomain zu verwenden. Statt die Option admtData oder admtFile zu verwenden, müssen
Sie die Option admtDomainmit admtRecurse und admtMaintainHierarchy wie folgt
verwenden:
objUserMigration.Migrate admtDomain + admtRecurse + admtMaintainHierarchy
211
Seite des Assistenten Vorgang
212
Seite des Assistenten Vorgang
Nachdem Sie im Assistenten zum Migrieren von Benutzerkonten auf Fertig stellen geklickt
haben, wird das Dialogfeld Migrationsstatus angezeigt. Nachdem sich der Status in
Abgeschlossen geändert hat, zeigen Sie das Migrationsprotokoll an, um zu bestimmen, ob
während des Migrationsprozesses Fehler aufgetreten sind. Klicken Sie im Dialogfeld
Migrationsstatus auf Schließen.
Die migrierten Benutzerkonten können sich nur bei der Zieldomäne anmelden, und sie
werden bei der ersten Anmeldung an der Zieldomäne zum Ändern des Kennworts
aufgefordert.
Hinweis
Wenn Sie eine Benutzermigration mit sIDHistory-Migration über die Befehlszeile
starten, müssen Sie den Befehl auf einem Domänencontroller in der Zieldomäne
ausführen.
2. Geben Sie den Befehl ADMT User mit den entsprechenden Parametern in einer
213
Befehlszeile ein, z. B.:
ADMT USER /N "<user_name1>" "<user_name2>" /IF:YES /SD:" <source_domain>" /TD:"
<target_domain>" /TO:" <target_OU>" /TRP:YES /UUR:YES
Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT USER /N "<user_name1>" "<user_name2>" /O "<option_file>.txt"
Die folgende Tabelle nennt die Parameter, die für die Migration von Benutzerkonten
erforderlich sind, die Befehlszeilenparameter sowie die Optionsdateientsprechungen.
<Quellorganisationseinh / SourceOU="Quellorganisationsei
eit> Speicherort SO:"Quellorganisationsein nheit"
heit"
<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
it"
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie dann die
Organisationseinheit der Zieldomäne. Vergewissern Sie sich, dass die Benutzer in der
Organisationseinheit der Zieldomäne vorhanden sind.
Hinweis
Wenn Sie eine Benutzermigration mit sIDHistory-Migration über ein Skript
starten, muss das Skript auf einem Domänencontroller in der Zieldomäne
214
ausgeführt werden.
Verwenden Sie das folgende Beispiel, um ein Skript vorzubereiten, das ADMT-Befehle
und Optionen zum Migrieren von Benutzerkonten innerhalb einer Gesamtstruktur
beinhaltet. Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der
Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“.
<Job id=" MigratingUserAccountsWithinForest" >
Option Explicit
Dim objMigration
Dim objUserMigration
'
'
'
'
objMigration.IntraForest = True
'
'
objUserMigration.TranslateRoamingProfile = True
215
objUserMigration.UpdateUserRights = True
objUserMigration.FixGroupMembership = True
objUserMigration.MigrateServiceAccounts = False
'
'
</Script>
</Job>
216
neuer Profilordner auf dem Server mit den richtigen Zugriffssteuerungslisten erstellt. Der
Administrator muss sicherstellen, dass der Benutzer auf den Profilordner zugreifen kann.
Sie können lokale Benutzerprofile mithilfe des Active Directory-Migrationspgrogramm-Snap-Ins
(ADMT), der ADMT-Befehlszeilenoption oder eines Skripts konvertieren.
Vorsicht
Vergewissern Sie sich, dass die Benutzerprofilkonvertierung für jeden Benutzer
erfolgreich ist, bevor sich der betreffende Benutzer anmelden darf. Wenn bei der
Benutzerprofilkonvertierung für einen Benutzer ein Fehler auftritt, darf sich dieser
Benutzer nicht an der Zieldomäne anmelden. In diesem Fall führen Sie manuell einen
Rollbackvorgang für das Benutzerkonto aus, indem Sie das Benutzerkonto in der
Zieldomäne deaktivieren und das Benutzerkonto in der Quelldomäne aktivieren.
217
Seite des Assistenten Vorgang
Alternativ können Sie Parameter in eine Optionsdatei aufnehmen, die Sie in der
folgenden Weise auf der Befehlszeile angeben:
ADMT SECURITY /N "<computer_name1>" "<computer_name2>" /O "option_file.txt "
Die folgende Tabelle nennt die Parameter, die für die Konvertierung lokaler
Benutzerprofile erforderlich sind, die Befehlszeilenparameter sowie die
Optionsdateientsprechungen.
218
Parameter Befehlszeilensyntax Optionsdateisyntax
Option Explicit
Dim objMigration
Dim objSecurityTranslation
'
'
'
'
219
objMigration.IntraForest = True
'
'
objSecurityTranslation.TranslationOption = admtTranslateReplace
objSecurityTranslation.TranslateUserProfiles = True
'
'
objSecurityTranslation.Translate admtData, _
</Script>
</Job>
220
Hinweis
Starten Sie Mitgliedsarbeitsstationen und Server sofort neu, nachdem Sie die der
Zieldomäne hinzugefügt haben, indem Sie einen niedrigen Wert für den Parameter
RestartDelay auswählen. Ressourcen, die nach der Migration nicht neu gestartet werden,
befinden sich in einem unbestimmten Zustand.
Firewalls, wie etwa die Windows-Firewall in Windows XP Service Pack 2 (SP 2), können den
Abschluss der ADMT-Computerkontomigration (Active Directory Migration Tool, Active Directory-
Migrationsprogramm) verhindern. Testen Sie die Computermigration ausführlich in einer
Laborumgebung, um alle möglichen Probleme einzukreisen, bevor Sie die Migration in der
Produktionsumgebung ausführen. Weitere Informationen zum Konfigurieren der Windows-
Firewall finden Sie unter "Windows-Firewall sperrt nach der Installation von Windows XP Service
Pack 2 eventuell den Internetzugriff für einige Programme" (http://go.microsoft.com/fwlink/?
LinkId=76705) und "Dienste und Port-Anforderungen für das Microsoft Windows-Serversystem"
(http://go.microsoft.com/fwlink/?LinkId=58432).
Computerkonten werden bei der Migration zwischen Domänen innerhalb einer Active Directory-
Gesamtstruktur anders als Benutzer- und Gruppenkonten behandelt. Während Benutzer- und
Gruppenkonten in der Quelldomäne während einer Migration innerhalb einer Gesamtstruktur
gelöscht werden, werden Computerkonten in der Quelldomäne stattdessen deaktiviert, und es
wird ein neues Computerkonto in der Zieldomäne erstellt.
Dadurch wird ein späteres Rollback der Computermigration ermöglicht, sollte es erforderlich
werden. Nachdem die Migration abgeschlossen wurde, und Ihre Tests bestätigen, dass der
Computer wie erwartet funktioniert, können Sie das Computerkonto in der Quelldomäne ohne
Gefahr löschen.
Sie können Arbeitsstationen und Mitgliedsserver mithilfe des ADMT-Snap-Ins, der ADMT-
Befehlszeilenoption oder eines Skripts migrieren.
221
Seite des Assistenten Vorgang
222
Seite des Assistenten Vorgang
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem der
Assistent abgeschlossen wurde, klicken Sie auf Protokoll anzeigen, um die Liste der
Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden Computer
anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde, müssen Sie die
Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen Gruppen
überprüfen. Die Protokolldatei für jeden Computer trägt den Namen
MigrationTask#_ComputerName.log und wird im Ordner Windows\ADMT\Logs\Agents
gespeichert.
223
So migrieren Sie Arbeitsstationen und Mitgliedsserver mithilfe der ADMT-
Befehlszeilenoption
1. Melden Sie sich bei dem Computer in der Zieldomäne, in der ADMT installiert ist, mit
einem Benutzerkonto an, das Mitglied der ADMT-Ressourcenmigrationsgruppe ist.
2. Geben Sie den Befehl ADMT Computer mit den entsprechenden Parametern in der
Befehlszeile ein, und drücken Sie dann die EINGABETASTE:
ADMT COMPUTER /N "<computer_name1>" "<computer_name2>" /IF:YES /SD:"
<source_domain>" /TD:" <target_domain>" /TO:" <target_OU>" /RDL:1
Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT COMPUTER /N "<computer_name1>" "<computer_name2>" /O:" <option_file>.txt"
Die folgende Tabelle nennt die Parameter, die für die Migration von Arbeitsstationen und
Mitgliedsservern erforderlich sind, die Befehlszeilenparameter sowie die
Optionsdateientsprechungen.
<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
it"
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Das
Migrationsprotokoll listet Computer, den Abschlussstatus und den Pfad zur Protokolldatei
für jeden Computer auf. Wenn ein Fehler für einen Computer aufgezeichnet wurde,
224
müssen Sie die Protokolldatei für den betreffenden Computer auf Probleme mit lokalen
Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen
MigrationTask#_ComputerName.log und wird im Ordner Windows\ADMT\Logs\Agents
gespeichert.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie dann die
Organisationseinheit der Zieldomäne. Vergewissern Sie sich, dass die Arbeitsstationen
und Mitgliedsserver in der Organisationseinheit der Zieldomäne vorhanden sind.
Option Explicit
Dim objMigration
Dim objComputerMigration
'
'
'
'
objMigration.IntraForest = True
objMigration.SourceOu = "Computers"
225
objMigration.TargetDomain = "target domain"
objMigration.TargetOu = "Computers"
'
'
objComputerMigration.TranslationOption = admtTranslateAdd
objComputerMigration.TranslateLocalGroups = True
objComputerMigration.TranslateUserRights = True
objComputerMigration.RestartDelay = 1
'
'
objComputerMigration.Migrate admtData, _
</Script>
</Job>
227
Seite des Assistenten Vorgang
Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT GROUP /N "<group_name1>" "<group_name2>" /O: "<option_file>.txt"
Die folgende Tabelle nennt die Parameter, die für die Migration lokaler Domänengruppen
erforderlich sind, die Befehlszeilenparameter sowie die Optionsdateientsprechungen.
Eine vollständige Liste aller verfügbaren Parameter finden Sie in der Hilfe zu ADMT v3.1.
<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
228
Parameter Befehlszeilensyntax Optionsdateisyntax
it"
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie dann die
Organisationseinheit der Zieldomäne. Überprüfen Sie, ob die lokalen Domänengruppen
in der Organisationseinheit der Zieldomäne vorhanden sind.
229
Seite des Assistenten Vorgang
230
Seite des Assistenten Vorgang
Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT GROUP /N "<group_name1>" "<group_name2>" /O: "<option_file>.txt"
Die folgende Tabelle nennt die Parameter, die für die Migration lokaler Domänengruppen
erforderlich sind, die Befehlszeilenparameter sowie die Optionsdateientsprechungen.
Eine vollständige Liste aller verfügbaren Parameter finden Sie in der Hilfe zu ADMT v3.1.
<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
it"
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie dann die
Organisationseinheit der Zieldomäne. Überprüfen Sie, ob die lokalen Domänengruppen
231
in der Organisationseinheit der Zieldomäne vorhanden sind.
232
Untersuchen von Migrationsprotokollen auf
Fehler
Das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) unterhält ein
detailliertes Protokoll jeder Aktion, die beim Migrieren von Ressourcen zwischen Active Directory-
Domänen ausgeführt wird. Fehler, die während des Migrationsprozesses auftreten, werden im
Migrationsprotokoll vermerkt, obwohl sie möglicherweise keine Warnmeldung in ADMT auslösen.
Das Untersuchen des Migrationsprotokolls nach dem Abschluss einer Migration ist eine gute
Methode, um festzustellen, ob alle Aufgaben erfolgreich abgeschlossen wurden. Da es wichtig ist,
die Schritte der Migration in einer bestimmten Reihenfolge durchzuführen, ist es sinnvoll, das
Migrationsprotokoll nach jedem Schritt zu überprüfen, damit alle Fehler rechtzeitig entdeckt
werden, um sie beheben zu können.
Hinweis
Protokolldateien werden im Ordner Windows\ADMT\Logs auf dem Computer erstellt,
auf dem ADMT installiert ist.
233
den globalen Katalog replizieren, ist die Überprüfung wichtig, ob die universellen Gruppen
ordnungsgemäß zurück in globale Gruppen geändert werden.
Verwenden Sie das Snap-In Active Directory-Benutzer und -Computer, um zu bestätigen,
dass universelle Gruppen erfolgreich migriert wurden. Wenn Sie lokale Domänengruppen
manuell geändert haben, stellen Sie sicher, dass Sie diese auf lokale Domänengruppen
zurücksetzen, nachdem alle Ressourcen migriert wurden.
234
Seite des Assistenten Vorgang
Dabei sind <Computer_name1> und <computer_name2> die Namen von Computern, für die
Sie die Sicherheit konvertieren möchten.
Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT Security /N "<computer_name1>" "<computer_name2>" /O:" <option_file>.txt"
In der folgenden Tabelle sind die allgemeinen Parameter zum Konvertieren der Sicherheit
auf Mitgliedsservern aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter
und dem entsprechenden Äquivalent in der Optionsdatei.
3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.
Option Explicit
Dim objMigration
Dim objSecurityTranslation
'
'
236
'
'
objMigration.IntraForest = True
objMigration.TargetOu = "Computers"
'
'
objSecurityTranslation.TranslationOption = admtTranslateReplace
objSecurityTranslation.TranslateFilesAndFolders = True
objSecurityTranslation.TranslateLocalGroups = True
objSecurityTranslation.TranslatePrinters = True
objSecurityTranslation.TranslateRegistry = True
objSecurityTranslation.TranslateShares = True
objSecurityTranslation.TranslateUserProfiles = False
objSecurityTranslation.TranslateUserRights = True
'
'
objSecurityTranslation.Translate admtData, _
</Script>
</Job>
237
Konvertieren der Sicherheit mithilfe einer
SID-Zuordnungsdatei
Wenn Sie Sicherheitskonvertierung durchführen müssen, damit die dem Quellkonto oder der
Quellkontengruppe erteilten Berechtigungen dem Zielkonto oder der Zielkontengruppe erteilt
werden, verwenden Sie eine Datei für die SID-Zuordnung (Security Identifier), um die zwei
Konten einander zuzuordnen. Die SID-Zuordnungsdatei ist eine Datei im Format mit durch
Kommas getrennten Werten (CSV), die Kontenpaare auflistet , entweder im Windows NT-
Kontennamen- (Domäne\Name) oder SID-Format. Das Konto auf der linken Seite ist das
Quellkonto, und das Konto auf der rechten Seite ist das Zielkonto. Die Sicherheitskonvertierung
des Active Directory-Migrationsprogramms (Active Directory Migration Tool, ADMT) überträgt die
Sicherheit vom Quellkonto auf das Zielkonto.
Auf die SID-Zuordnungsdatei kann im Sicherheitskonvertierungs-Assistenten oder auf der
Befehlszeile verwiesen werden. Die Option lautet /SMF, so dass die vollständige Befehlszeile etwa
so aussieht:
ADMT SECURITY /N "<computer_name>" /SMF:" <sid_mapping_file_path>"
238
Beispiel: Ausführen von Aufgaben nach der
Migration
Das Team für die Migrationsnacharbeit bei Contoso Corporation beginnt die Aufgaben nach
Abschluss der Migration während der ersten Woche der Migration. Die Teammitglieder
untersuchen das Migrationsprotokoll nach dem Abschluss der ersten Gruppe von Migrationen am
ersten Tag. Sie analysieren das Migrationsprotokoll und definieren die Aktion, die zum Migrieren
von Konten erforderlich ist, bei denen Fehler festgestellt wurden. Auf diese Weise kann das
Migrationsteam ohne Unterbrechung mit der Migration fortfahren.
Während der zweiten Woche des Migrationsprozesses überprüft das Bereitstellungsteam, ob
globale Gruppen nach dem Abschluss der Benutzermigration aus dem Status als universelle
Gruppe wieder in den Status als globale Gruppe zurückgekehrt sind. Nachdem die
Mitgliedsserver migriert wurden, führt das Bereitstellungsteam den Sicherheitskonvertierungs-
Assistenten aus, um die SIDs (Security Identifiers) der Quelldomäne aus den
Zugriffssteuerungslisten (Access Control Lists, ACLs) der Mitgliedsserver zu entfernen.
Schließlich dekommissionieren die Mitglieder des Bereitstellungsteams die Domäne Africa am
Ende der zweiten Woche, indem sie Active Directory oder AD DS von den Domänencontrollern in
der Africa-Domäne entfernen. Anschließend migrieren sie die Domänencontroller als
Mitgliedsserver in die Domäne EMEA.
239
Die Seite Domänenauswahl, die alle ADMT-Assistenten enthalten, stellt nun ein Verfahren zur
Verfügung, mit dem Sie einen bestimmten Quell- und Zieldomänencontroller auswählen können.
Als Alternative können Sie auch Beliebiger Domänencontroller in der Dropdownliste
auswählen. Wenn Sie einen Domänencontroller angeben, wird dieser verwendet, wenn er
verfügbar ist. Wenn Sie Beliebiger Domänencontroller auswählen, fragt ADMT einen
bevorzugten Domänencontroller ab. Wenn kein bevorzugter Domänencontroller konfiguriert
wurde, verwendet ADMT den DC-Locatordienst, um einen Domänencontroller in der
angegebenen Domäne zu suchen.
Wenn Sie einen bevorzugten Domänencontroller verwenden möchten, müssen Sie diesen
mithilfe der Befehlszeilenoption admt config konfigurieren. Sie müssen die Quell- und
Zieldomänencontroller unabhängig voneinander konfigurieren. Nachdem Sie einen bevorzugten
Domänencontroller konfiguriert haben, ermittelt ADMT dessen Gültigkeit und Verfügbarkeit und
verwendet ihn dann bei jeder Ausführung von ADMT automatisch.
Hinweis
Wenn Sie eine Migration innerhalb der Gesamtstruktur ausführen, wird immer der
Domänencontroller, der die Funktion des RID-Betriebsmasters (Relative ID, auch als
Flexible Single Master Operations oder FSMO bezeichnet) ausübt, standardmäßig
verwendet. Wenn Sie einen anderen Domänencontroller als den RID-Betriebsmaster als
bevorzugten Domänencontroller auswählen, setzt ADMT Ihre Auswahl außer Kraft und
verwendet immer den RID-Betriebsmaster.
Wert Beschreibung
Wert Beschreibung
240
Wert Beschreibung
an.
Sie können den bevorzugten Domänencontroller auch löschen, den Sie in der Quell- oder
Zieldomäne konfiguriert haben.
Wert Beschreibung
Sie können die bevorzugten Domänencontroller auch anzeigen, die Sie in der Quell- oder
Zieldomäne konfiguriert haben.
241
So benennen Sie Objekte mithilfe einer Includedatei um
Verwenden Sie Quellname, Ziel_RDN, Ziel_SAM, und Ziel_UPN als
Spaltenüberschriften oben in der Includedatei. Quellname ist der Name des Quellkontos
und muss als erste Spaltenüberschrift aufgelistet werden.
Hinweis
Wenn der Ziel-UPN (User Principal Name, Benutzerprinzipalname) für einen
Benutzer die Angabe eines Domänennamens erfordert, der sich vom UPN der
Zieldomäne unterscheidet, verwenden Sie dieses Format, um sicherzustellen,
dass der Benutzername beibehalten und von ADMT während der Migration nicht
geändert wird.
Sie müssen den Kontonamen als Benutzernamen, relativ definierten Namen oder
kanonischen Namen angeben. Wenn Sie den Kontonamen als relativ definierten Namen
angeben, müssen Sie auch die Quellorganisationseinheit angeben.
Die Spaltenüberschriften Ziel_RDN, Ziel_SAM und Ziel_UPN sind optional und können
in beliebiger Reihenfolge aufgelistet werden.
Hinweis
Die Spaltenüberschrift Ziel_UPN ist nur für die Migration von Benutzerkonten
relevant, da Gruppen- und Computerkonten keinen UPN aufweisen.
Quellname,Ziel_RDN,Ziel_UPN
abc,CN=def,def@contoso.com
Dieser Includedateieintrag ändert den Ziel_RDN für den Benutzer "abc" in "CN=def" und den
Ziel_UPN in def@contoso.com. Der Ziel_SAM für den Benutzer "abc" ändert sich als Ergebnis
der Migration nicht.
Wichtig
Sie müssen "CN=" angeben, bevor Sie einen RDN-Wert verwenden.
242
Verwenden einer Includedatei
Wenn Sie eine große Anzahl von Benutzern, Gruppen oder Computern migrieren, ist es
effizienter, eine Includedatei zu verwenden. Eine Includedatei ist eine Textdatei, in der Sie die zu
migrierenden Benutzer-, Gruppen- und Computerobjekte auflisten. Dabei wird für jedes Objekt
eine separate Zeile verwendet. Sie können Benutzer, Gruppen und Computer zusammen in einer
Datei auflisten, oder Sie können eine separate Datei für jeden Objekttyp erstellen.
Nachdem Sie die Includedatei (oder Includedateien) erstellt haben, geben Sie den Namen der
Datei während der Migration an. Das Active Directory-Migrationsprogramm (Active Directory
Migration Tool, ADMT) greift zum Abrufen der enthaltenen Informationen auf die Datei zu.
Hinweis
Informationen zur richtigen Befehlszeilensyntax für das Migrieren von Benutzern
und Gruppen finden Sie, wenn Sie in der Hilfe von ADMT, Version 3.1, nach
"admt benutzer" und "admt gruppe" suchen.
Die folgenden Informationen beschreiben die Felder einer Includedatei und bieten Beispiele zu
jedem Feld:
Feld "Quellname"
243
Das Feld Quellname gibt den Namen des Quellobjekts an. Sie können einen Kontonamen oder
einen relativ definierten Namen angeben. Wenn Sie nur Quellnamen angeben, ist es optional,
eine Kopfzeile in der ersten Zeile der Datei zu definieren.
Das folgende Beispiel enthält eine Headerzeile, die das Feld Quellname angibt, und einen
Quellobjektnamen, der in mehreren Formaten angegeben wird. Die zweite Zeile gibt einen
Kontonamen an. In der dritten Zeile ist ein Kontoname im Kontonamenformat von
Windows NT 4.0 angegeben. Die vierte Zeile gibt einen relativ definierten Namen an.
Quellname
Name
Domäne\Name
CN=Name
Feld "Zielname"
Sie können das Feld Zielname verwenden, um einen Basisnamen anzugeben, der zum
Generieren eines relativ definierten Zielnamens, eines SAM-Zielkontonamens (Security Accounts
Manager, Sicherheitskonto-Manager) und eines UPN-Zielnamens (User Principal Name,
Benutzerprinzipalname) verwendet wird. Das Feld Zielname darf nicht mit anderen
Zielnamenfeldern kombiniert werden, die weiter unten beschrieben werden.
Hinweis
Der Ziel-UPN wird nur für Benutzerobjekte generiert, und es wird nur ein UPN-Präfix
generiert. Ein UPN-Suffix wird mithilfe eines Algorithmus angehängt, der davon abhängt,
ob ein UPN-Suffix für die Zielorganisationseinheit (Organizational Unit, OU) oder die
Zielgesamtstruktur definiert ist. Wenn es sich bei dem Objekt um einen Computer
handelt, enthält der SAM-Zielkontoname das Suffix "$".
Im folgenden Eingabebeispiel werden der relativ definierte Zielname, der SAM-Zielkontoname
und der Ziel-UPN als "CN=Neuer_Name", "Neuer_Name" bzw. "Neuer_Name" generiert.
Quellname,Zielname
Alter_Name, Neuer_Name
Felder "Ziel_RDN", "Ziel_SAM" und "Ziel_UPN"
Sie können die Felder Ziel_RDN, Ziel_SAM, und Ziel_UPN verwenden, um die verschiedenen
Zielnamen unabhängig voneinander anzugeben. Sie können beliebige Kombinationen dieser
Felder in beliebiger Reihenfolge angeben. Ziel_RDN gibt den relativ definierten Zielnamen für das
Objekt an.
Ziel_SAM gibt den SAM-Zielkontonamen für das Objekt an. Beachten Sie, dass der Name für
Computer das Suffix "$" enthalten muss, damit es sich um einen gültigen SAM-Kontonamen für
einen Computer handelt.
Ziel_UPN gibt den Ziel-UPN (User Principal Name, Benutzerprinzipalname) für das Objekt an.
Sie können nur das UPN-Präfix oder einen vollständigen UPN-Namen (Präfix@Suffix) angeben.
Wenn der angegebene Name ein Leerzeichen (" ") oder ein Komma (",") enthält, müssen Sie den
Namen in doppelte Anführungszeichen (") einschließen. Darüber hinaus muss einem
Kommazeichen (",") ein Escapezeichen ("\") vorangestellt werden, da der Vorgang ansonsten zu
244
einem Fehler führt. ADMT zeichnet einen Fehler aufgrund ungültiger Syntax in der Protokolldatei
auf.
Quellname,Ziel_RDN
Alter_Name, CN=Neuer_Name
Quellname,Ziel_RDN,Ziel_SAM
Alter_Name, "CN=Neuer_RDN", Neuer_SAM_Name
Quellname,Ziel_RDN,Ziel_SAM,Ziel_UPN
Alter_Name, "CN=letzter, erster", Neuer_SAM_Name, Neuer_UPN_Name
Quellname,Ziel_SAM,Ziel_UPN,Ziel_RDN
Hinweis
Verwenden Sie dieses Format beim Umbenennen von Benutzerobjekten, um z. B. eine
Zieldomäne oder eine unterschiedliche Domäne für den Ziel-UPN anzugeben. Weitere
Informationen finden Sie unter Umbenennen von Objekten während der Migration.
Alter_Name, Neuer_SAM_Name, Neuer_UPN_Name@zieldomaene.com, "CN=Neuer_Name"
Hinweis
Objekte können während der Migration auch mithilfe einer Includedatei umbenannt
werden. Weitere Informationen zum Verwenden einer Includedatei finden Sie unter
Umbenennen von Objekten während der Migration.
[Migration]
IntraForest=No
SourceDomain=Quelldomänenname
245
SourceOu=Pfad_der_Quellorganisationseinheit
TargetDomain=Zieldomänenname
TargetOu=Pfad_der_Zielorganisationseinheit
PasswordOption=Complex
PasswordServer=""
PasswordFile=""
ConflictOptions=Ignore
UserPropertiesToExclude=""
InetOrgPersonPropertiesToExclude=""
GroupPropertiesToExclude=""
ComputerPropertiesToExclude=""
[User]
DisableOption=EnableTarget
SourceExpiration=None
MigrateSIDs=Yes
TranslateRoamingProfile=No
UpdateUserRights=No
MigrateGroups=No
UpdatePreviouslyMigratedObjects=No
FixGroupMembership=Yes
MigrateServiceAccounts=No
UpdateGroupRights=No
[Group]
MigrateSIDs=Yes
UpdatePreviouslyMigratedObjects=No
FixGroupMembership=Yes
UpdateGroupRights=No
MigrateMembers=No
DisableOption=EnableTarget
SourceExpiration=None
TranslateRoamingProfile=No
MigrateServiceAccounts=No
[Security]
246
TranslationOption=Add
TranslateFilesAndFolders=No
TranslateLocalGroups=No
TranslatePrinters=No
TranslateRegistry=No
TranslateShares=No
TranslateUserProfiles=No
TranslateUserRights=No
SidMappingFile=SID_Zuordnungsdatei
Sie können Optionen auskommentieren, indem Sie am Anfang der betreffenden Zeile ein
Semikolon einfügen.
Hinweis
Wenn ein Parameter nicht angegeben wird, wird die Standardeinstellung verwendet.
247
ADMT ersetzt in den Vor-Windows 2000-Namen des SAM-Kontonamens und UPNs (User
Principal Name, Benutzerprinzipalname) die folgenden Zeichen durch einen Unterstrich ("_"):
"*+,/:;<=>?[\]|
Der Punkt (".") wird durch einen Unterstrich ("_") ersetzt, wenn er das letzte Zeichen eines
Namens ist.
Die Gruppenmitgliedschaft von Zielkonten wird nach nachfolgenden Benutzermigrationen
aktualisiert
Wenn Sie einen Benutzer migrieren, der bereits zuvor migriert wurde, aktualisiert die Option
Zugeordnete Benutzergruppen migrieren im Assistenten zum Migrieren von Benutzerkonten
die Gruppenmitgliedschaft des migrierten Kontos. Während nachfolgender Benutzermigrationen
werden alle neuen Gruppen, bei denen der Quellbenutzer Mitglied ist, an die
Gruppenmitgliedschaft des Benutzers im Zielkonto angehängt.
Beispiel: Bob ist ein Benutzer der Domäne HB-ACCT-WC. Er ist Mitglied der Gruppe HB-ACCT-
WC \Autoren, und er wird zusammen mit der Gruppe Autoren in die Zieldomäne hay-buv.tld
(NetBIOS-Name HAY-BUV) migriert. Nach der ersten Migration ist Bob Mitglied von HAY-
BUV\Autoren. Bob wird nach dieser ersten Migration außerdem den folgenden Gruppen in der
Quelldomäne hinzugefügt:
1. HB-ACCT-WC\Bob wird der Gruppe HB-ACCT-WC\Editoren hinzugefügt.
2. HAY-BUV\Bob wird HAY-BUV\TechEditoren hinzugefügt.
Wenn HB-ACCT-WC\Bob erneut migriert wird, um seine Gruppenkonten zu korrigieren, ist HAY-
BUV\Bob ein Mitglied von HAY-BUV\Autoren, HAY-BUV\Editoren und HAY-BUV\TechEditoren.
Um das Konto nur auf die Gruppen des Quellbenutzers zurückzusetzen, müssen Sie das
Zielkonto löschen und dann die Migration des Quellkontos wiederholen.
Es ist auch möglich, Gruppen mit der Option Vorhandene Mitglieder entfernen erneut zu
migrieren.
Berechtigungen für einen Benutzer, der aus einer Active Directory-Domäne migriert wird,
werden während der Migration auf Standardwerte zurückgesetzt
Wenn Sie einen Benutzer aus einer Active Directory-Domäne in eine andere migrieren, erstellt
der Assistent zum Migrieren von Benutzerkonten eine neue Sicherheitsbeschreibung für migrierte
Benutzerobjekte, indem Einstellungen aus der Zieldomäne verwendet werden. Die Registerkarte
Sicherheit wird nur angezeigt, wenn Sie Ansicht\Erweiterte Funktionen auswählen.
Dieses Verhalten ist beabsichtigt, weil die Zieldomäne – nicht die Quelldomäne – die
Sicherheitseinstellungen für das migrierte Benutzerkonto vorschreibt.
Anzeige einer falschen Fehlermeldung während einer Benutzergruppenkorrektur, wenn ein
Benutzerkonto gelöscht wird
Wenn Sie nach einer Migration ein Benutzerkonto in der Zieldomäne löschen und eine Gruppe,
die das Benutzerkonto in der Quelldomäne (als Mitglied einer anderen Gruppe) enthalten hat,
zwischen den gleichen Domänen migriert wird, protokolliert ADMT die folgende falsche
Fehlermeldung:
<Konto> kann nicht zu <Gruppe> hinzugefügt werden, da <Konto> nicht zur Zieldomäne
migriert wurde.
248
Wenn Sie diese Fehlermeldung erhalten, migrieren Sie das Benutzerkonto erneut in die
Zieldomäne.
Der Ausschluss der Eigenschaft "useraccountcontrol" wird ignoriert
Die Benutzereigenschaft userAccountControl wird immer kopiert, wenn eine Migration aus
Windows NT 4.0-Domänen stattfindet. Selbst wenn Sie diese Eigenschaft auf der Seite
Objekteigenschaftsausnahme ausgeschlossen haben, wird diese Ausnahme ignoriert und die
Eigenschaft migriert.
Wenn die Migration jedoch aus Active Directory-Domänen erfolgt, wird der Ausschluss dieser
Eigenschaft beachtet, und sie wird während der Benutzermigration nicht kopiert.
Die Option "Vorhandene Benutzerrechte entfernen" funktioniert nicht
249
Wenn Zugeordnete Benutzergruppen migrieren ausgewählt ist, migriert der Assistent zum
Migrieren von Benutzerkonten nur Gruppen, bei denen der Benutzer direkt Mitglied ist. Gruppen,
denen der Benutzer durch Verschachtelung von Gruppen angehört, werden nicht migriert.
Wenn Sie Gruppen mithilfe des Assistenten zum Migrieren von Gruppenkonten migrieren, werden
alle Benutzer und Gruppen, die Mitglied einer bestimmten Gruppe sind, einschließlich Gruppen,
die über Verschachtelung von Gruppen Mitglied sind, rekursiv vom Assistenten migriert, wenn die
Option Gruppenmitglieder kopieren aktiviert ist.
Wenn in der Quelldomäne Windows 2000 oder Windows Server 2003 ausgeführt wird, empfiehlt
sich bei verschachtelten Gruppen, die betroffenen Objekte mithilfe des Assistenten zum Migrieren
von Gruppenkonten zu migrieren, wenn Sie Gruppenmitgliedschaften beibehalten möchten, die
sich über die Verschachtelung ergeben.
250
Wenn Sie die Dienstkontenmigration auf einem Computer mit Windows Server 2008 oder
Windows Vista ausführen und diese viel länger als erwartet dauert, können Sie die Leistung
steigern, indem Sie eine Windows-Firewallausnahme für Remotedienstverwaltung auf dem
verwendeten Computer aktivieren. Weitere Informationen finden Sie im folgenden Verfahren.
Hinweis
Wenn Sie In Konflikt stehende Objekte migrieren und zusammenführen auf der Seite
Konfliktverwaltung des Computermigrations-Assistenten auswählen, müssen Sie das
Computerkonto nicht löschen, das in der Zieldomäne erstellt wurde, bevor Sie versuchen,
den Computer erneut zu migrieren.
Migrieren Sie Computer vor Gruppen bei einer Migration zwischen Gesamtstrukturen
Wenn Sie eine Migration zwischen Gesamtstrukturen ausführen und Computer vorhanden sind,
die Mitglieder von Gruppen sind (mit Ausnahme der Gruppe Domänencomputer), müssen Sie
diese Computer migrieren, bevor Sie die Gruppen migrieren, zu denen sie gehören. Für
Migrationen zwischen Gesamtstrukturen ist dies Voraussetzung und verhindert, dass diese
Computer ihre Gruppenmitgliedschaft verlieren.
251
Zeitweiser Fehler des ADMT-Remote-Agent-Diensts
Wenn ein Fehler bei der Bereitstellung des ADMT-Remote-Agent-Diensts auf einem
Remotecomputer als Teil einer Computermigration, Sicherheitskonvertierung,
Dienstkontenidentifizierung oder eines Kontoreferenzberichts auftritt, kann sich der Agent
möglicherweise nicht selbst beenden oder deinstallieren. Wenn dies der Fall ist, wird mit jeder
nachfolgenden Agent-Bereitstellung eine Meldung ausgegeben, die besagt, dass eine Instanz
des Agents bereits ausgeführt wird, bis der ADMT-Agent-Prozess geschlossen oder der
Remotecomputer neu gestartet wird.
Die Computermigration kann zu einem Fehler führen, wenn ein Computerkonto mit dem
gleichen NetBios-Namen bereits in der Zieldomäne vorhanden ist.
Wenn Sie einen Computer mehrmals zwischen zwei Domänen migrieren, tritt ggf. ein Fehler bei
der Verteilung von Agents auf, wenn in der Zieldomäne ein Computerkonto bereits vorhanden ist,
das den gleichen NetBIOS-Namen wie der Computer besitzt, der aus der Quelldomäne migriert
wird.
ADMT konnte die Domänenzuordnung eines bestimmten Computers nicht ändern.
Aufgrund dieses Fehlers verlor der Computer die Zugehörigkeit zu allen Domänen.
Ursache:Ursache: Der Grund dafür kann eine fehlerhafte Konfiguration der Migrationsumgebung
oder eine Fehlfunktion des Quell- oder Zielcomputers sein.
Lösung: Fügen Sie den Computer einer Domäne als Mitglied hinzu, und erstellen Sie das
Computerkonto mithilfe der folgenden Verfahren in der Domäne:
Hinweis
Wenn Sie einer Domäne beitreten möchten, müssen Sie die Anmeldeinformationen eines
Kontos mit Administratorberechtigungen für die Domäne eingeben, der der Computer
beitreten soll. Sie müssen den Computer neu starten, um den Beitritt des Computers zur
Domäne abzuschließen.
252
Behandlung von Problemen bei der
Kennwortmigration
Dieses Thema behandelt ein bekanntes Problem beim Migrieren von Kennwörtern mit dieser
Version des Active Directory-Migrationsprogramms (Active Directory Migration Tool, Version 3.1
(ADMT v3.1)).
Migrierte Kennwörter entsprechen möglicherweise nicht der Kennwortrichtlinie der
Zieldomäne
Die Migration von Kennwörtern in ADMT umgeht die Überprüfungen durch die Kennwortrichtlinie.
Wenn eine Kennwortrichtlinie festgelegt ist, wird sie erst durchgesetzt, wenn das Kennwort
geändert wird. Aus diesem Grund verlangt ADMT von migrierten Benutzern immer das Ändern
des Kennworts bei der nächsten Anmeldung.
Nach einer Migration zwischen Gesamtstrukturen können sich Benutzer nicht an der
neuen Domäne anmelden.
Ursache: Beim Durchführen einer Migration zwischen Gesamtstrukturen aktiviert ADMT für
migrierte Benutzer immer die Option Benutzer muss Kennwort bei der nächsten Anmeldung
ändern. Wenn die Option Benutzer kann Kennwort nicht ändern für das Benutzerkonto
aktiviert ist, ist die Anmeldung über das Zielkonto erst dann möglich, wenn eine oder beide
Optionen geändert wurden.
Lösung: Ändern Sie die Optionen mithilfe eines der folgenden Verfahren:
So entfernen Sie das Flag "Benutzer muss Kennwort bei der nächsten Anmeldung
ändern"
Klicken Sie unter Active Directory-Benutzer und -Computer auf den Benutzernamen,
und klicken Sie dann auf Kennwort zurücksetzen.
Nach einer Migration innerhalb einer Gesamtstruktur können sich Benutzer nicht an der
neuen Domäne anmelden.
Ursache: Die in der alten Domäne für die Benutzerkonten verwendeten Kennwörter verstoßen
möglicherweise gegen die Kennworteinschränkungen in der neuen Domäne.
253
Bei einer Migration innerhalb einer Gesamtstruktur werden die Kennwörter für die
Benutzerkonten von der Quelldomäne zur Zieldomäne migriert. Wenn die Benutzerkonten der
Quelldomäne über Kennwörter verfügen, die auf dem Ziel gegen die Kennworteinschränkungen
(wie etwa die Mindestlänge) verstoßen, sind die betroffenen migrierten Benutzer erst dann in der
Lage, sich anzumelden, wenn das Kennwort auf einen Wert festgelegt wird, der die Richtlinie für
Kennwörter in der Zieldomäne erfüllt.
Wenn die Benutzer versuchen, die ungültigen Kennwörter zu verwenden, werden ihre neuen
Benutzerkonten möglicherweise gesperrt. Wenn Sie im Assistenten für die Migration von
Benutzerkonten die Option Zielkonten deaktivieren ausgewählt haben, werden die neuen
Benutzerkonten deaktiviert. Daher sind die migrierten Benutzer erst dann in der Lage, sich
anzumelden, wenn die Sperrung der Konten aufgehoben oder die Konten als aktiviert
gekennzeichnet wurden.
Lösung: Setzen Sie die Kennwörter der Benutzerkonten auf einen Wert zurück, der die
Richtlinie für Kennwörter in der neuen Domäne erfüllt, und aktivieren Sie die Benutzerkonten,
falls sie aufgrund eines wiederholten Kennwortfehlers deaktiviert wurden.
Migrierte Benutzer erhalten eine Fehlermeldung, die anzeigt, dass der Benutzername oder
das Kennwort falsch ist.
Ursache: Migrierte Benutzer können sich aufgrund der Kennwortrichtlinie nicht anmelden, selbst
wenn die Kennwortrichtlinien scheinbar deaktiviert sind.
Während einer Migration deaktivieren einige Systemadministratoren möglicherweise die
Kennwortrichtlinien für die Zieldomäne. Wenn sie dabei die Richtlinie der Mindestkennwortlänge
deaktivieren, ohne die Kennwortrichtlinie auf Null festzulegen, ist es möglich, dass sich die
Benutzer nicht anmelden können, da eine gültige Kennwortrichtlinie noch immer wirksam ist.
Lösung: Legen Sie die Richtlinie für die minimale Kennwortlänge auf Null fest. Wenn die
Kennwortrichtlinie mit der Länge Null wirksam ist, kann die Richtlinie der Mindestkennwortlänge
deaktiviert werden.
254
zu reparieren. Der Assistent zum Migrieren von Exchange-Servern gehört zum Liefer- und
Installationsumfang von Exchange Server 2003.
Sicherheitskonvertierung für native Registrierungsschlüssel steht nicht zur Verfügung,
wenn Sie 64-Bit-Versionen vor Windows Vista ausführen
Dies ist ein bekanntes Problem, das seine Ursache in Inkonsistenzen bei der Verarbeitung der
Registrierungsumleitung durch das WOW64-Subsystem (Windows-on-Windows 64-Bit) zwischen
Windows Vista und früheren Versionen des Betriebssystems Microsoft Windows hat. Dieses
Problem betrifft die Ausführung der Sicherheitskonvertierung an einheitlichen
Registrierungsspeicherorten für 64-Bit-Versionen von Windows Vista oder Windows Server 2008
nicht.
Nach der Migration können neue Benutzerkonten in der Zieldomäne nicht auf Ressourcen
zugreifen, für die die Quelldomänenkonten über Berechtigungen verfügen.
Ursache: Die Einstellungen, die für die Ausführung von ADMT erforderlich sind, wurden nicht
ordnungsgemäß eingerichtet.
Die meisten Migrationsprobleme werden durch eine nicht ordnungsgemäß konfigurierte
Migrationsumgebung verursacht.
Lösung: Öffnen Sie die Migrationsprotokolldatei, und suchen Sie nach dem Konto, das Sie mit
dem SID-Verlauf (Security Identifier) migriert haben. Wenn der SID-Verlauf zum Konto
hinzugefügt wurde, sollte ein Eintrag ähnlich dem folgenden angezeigt werden:
06.10.2005 18:28:50-SID für Benutzerkontoname zum SID-Verlauf von Benutzerkontoname
hinzugefügt
Wenn Sie eine Fehlermeldung erhalten, ist es nahezu sicher, dass Sie die Umgebung nicht
ordnungsgemäß konfiguriert haben. Sie sollten die Konfigurationsthemen vor dem erneuten
Migrationsversuch noch einmal lesen.
Die Migration des SID-Verlaufs funktioniert nicht.
Ursache: Es müssen mehrere Bedingungen erfüllt sein, damit die Migration des SID-Verlaufs
funktioniert.
Lösung: Konfigurieren Sie die Migrationsumgebung vor der Ausführung von ADMT
ordnungsgemäß, und arbeiten Sie die Konfigurationsthemen durch, bevor Sie die Migration
fortsetzen.
Hinweis
Bei der Migration eines zuvor migrierten Sicherheitsprinzipals zu einer neuen Domäne
sollten die Kriterien für die Migration des SID-Verlaufs für alle drei Domänen festgelegt
sein.
Angenommen, Sie haben die folgenden drei Domänen: DomäneA, DomäneB und DomäneC.
DomäneA ist eine Windows NT 4.0-Domäne. DomäneB und DomäneC sind Windows 2000-
Domänen im einheitlichen Modus. Benutzer1 in DomäneA (DomäneA\Benutzer1) wird als
DomäneB\Benutzer1 nach DomäneB migriert, und der SID-Verlauf wird konvertiert.
255
DomäneB\Benutzer1 verfügt jetzt über die primäre SID für DomäneB\Benutzer1 und den Wert
des SID-Verlaufs für DomäneA\Benutzer1. Wenn ein Administrator DomäneB\Benutzer1 zu
DomäneC\Benutzer1 migrieren möchte und alle SIDs von DomäneB\Benutzer1 erhalten will,
müssen die richtigen Konfigurationseinstellungen wirksam sein, um die Migration von DomäneA
zu DomäneC und von DomäneB zu DomäneC zu ermöglichen. Wenn DomäneA außer Betrieb
genommen wurde oder die korrekte Konfiguration zwischen DomäneA und DomäneC nicht
gewährleistet werden kann, migriert ADMT die SID für DomäneB\Benutzer1 zu
DomäneC\Benutzer1 und protokolliert die Tatsache, dass die SID von DomäneA\Benutzer1 nicht
migriert werden konnte.
Wenn DomäneA nicht existiert, schreibt ADMT eine Fehlermeldung in das Protokoll, führt die
Migration jedoch erfolgreich aus. Sie können diese Fehlermeldung ignorieren.
Berechtigungen für eine Ressource zeigen "Unbekanntes Konto" für eine migrierte
Gruppe oder einen migrierten Benutzer an.
Ursache: Wenn die Domänencontroller in der Quelldomäne bei der Migration eines Gruppen-
oder Benutzerkontos nicht mehr zur Verfügung stehen, können Computer unter Windows NT 4.0
oder Windows 2000 in Domänen außerhalb der Zielgesamtstruktur (in einer Domäne im
gemischten Modus) den SID-Verlauf des Gruppen- oder Benutzerobjekts mithilfe des globalen
Katalogs der Zieldomäne möglicherweise nicht auflösen.
Solange auf die Quelldomäne zugegriffen werden kann, kann der Name des Gruppen- oder
Benutzerkontos aufgelöst werden. Die Unfähigkeit, den Kontonamen aufzulösen, ist ein rein
administratives Problem. Können die Namen des Gruppen- oder Benutzerkontos über den SID-
Verlauf nicht aufgelöst werden, erhält dieses Konto dennoch den gewünschten Zugriff auf diese
Ressource. Wenn beispielsweise ein Benutzerkonto als "Unbekanntes Konto" in der
Mitgliederliste einer Gruppe angezeigt wird, ist der Benutzer noch immer Mitglied dieser Gruppe
und verfügt über die dieser Gruppe zugeordneten Rechte.
Lösung: Dieses Auflösungsproblem des SID-Verlaufs kann durch Ausführen des
Sicherheitskonvertierungs-Assistenten behoben werden, der die Quellkonto-SID durch die neue
Zielkonto-SID für alle Ressourcen auf allen betroffenen Computern ersetzt. Dieses Problem wird
deutlicher, wenn Sie die Quellkontendomäne vor der Migration der Quellressourcendomäne
außer Betrieb nehmen. Sie sollten daher alle Quelldomänen zusammen als letzten Schritt des
Migrationsvorgangs außer Betrieb nehmen.
Nach der Migration können neue Benutzerkonten in der Zieldomäne nicht auf Ressourcen
zugreifen, für die die Quelldomänenkonten über Berechtigungen verfügen.
Ursache: Die Einstellungen, die für die Ausführung von ADMT erforderlich sind, wurden nicht
ordnungsgemäß eingerichtet.
Die meisten Migrationsprobleme werden durch eine nicht ordnungsgemäß konfigurierte
Migrationsumgebung verursacht.
256
Lösung: Öffnen Sie die Migrationsprotokolldatei, und suchen Sie nach dem Konto, das Sie mit
dem SID-Verlauf migriert haben. Wenn der SID-Verlauf zum Konto hinzugefügt wurde, sollte ein
Eintrag ähnlich dem folgenden angezeigt werden:
06.10.2005 18:28:50-SID für Benutzerkontoname zum SID-Verlauf von Benutzerkontoname
hinzugefügt
Wenn Sie eine Fehlermeldung erhalten, ist es nahezu sicher, dass Sie die Umgebung nicht
ordnungsgemäß konfiguriert haben. Sie sollten die Konfigurationsthemen vor dem erneuten
Migrationsversuch noch einmal lesen.
Ich erhalte die folgende Fehlermeldung: "Der Papierkorb auf C:\ ist beschädigt. Soll der
Papierkorb für dieses Laufwerk geleert werden?"
Ursache: Dieses Verhalten ist beabsichtigt. Aus Sicherheitsgründen sollte jeder Benutzer, der
sich bei einem Computer unter Windows 2000 oder Windows Server 2003 anmeldet, seinen
eigenen, benutzerspezifischen Papierkorb erhalten. Die Zugriffsteuerungsliste (Access Control
List, ACL) kann für jede Instanz des Papierkorbs nur eine benutzerspezifische SID enthalten.
Wenn das Profil eines Benutzers mit der Option Hinzufügen migriert wird, wird die SID des
Quelldomänenbenutzers zum SID-Verlauf des Papierkorbs hinzugefügt. Dadurch werden zwei
benutzerspezifische SIDs in der Zugriffsteuerungsliste des Papierkorbs platziert. Dieses Problem
tritt nicht auf, wenn Sie die Profile mithilfe der Option Ersetzen migrieren.
Lösung: Klicken Sie in der Fehlermeldung auf Ja, dann wird der Papierkorb ohne Problem
geleert. Wenn Sie auf Nein klicken, wird die Fehlermeldung so lange angezeigt, bis der
Papierkorb geleert wird.
257
dem Microsoft Support Services in Verbindung setzen, um Details zum Ändern des von
Exchange-Diensten verwendeten Dienstkontos eines Standorts zu erhalten.
Wichtig
Es wird dringend empfohlen, Benutzer und Gruppen nur zwischen Domänen im
einheitlichen Modus zu migrieren.
Globale Gruppen werden für Migrationen innerhalb einer Gesamtstruktur ohne SID-Verlauf
kopiert, wenn sie nicht mit Gruppenmitgliedern migriert werden und die Quelldomäne im
gemischten Modus betrieben wird.
Wenn Sie eine globale Gruppe in eine Domäne im gemischten Modus bei einer Migration
innerhalb einer Gesamtstruktur mithilfe des Assistenten zum Migrieren von Gruppenkonten
migrieren, wird diese globale Gruppe ohne SID-Verlauf kopiert – nicht migriert –, anstatt
verschoben zu werden, wenn Sie die Option Gruppenmitglieder kopieren nicht auswählen.
Dieses Verhalten ergibt sich aus den Regeln für globale Gruppenmitgliedschaft.
Wenn ADMT die globale Gruppe verschiebt, anstatt sie zu kopieren, "verwaisen" die
Gruppenmitglieder und verlieren jeden Ressourcenzugriff, der durch die Mitgliedschaft in der
Gruppe erteilt wird, weil globale Gruppen keine Mitglieder aus anderen Domänen enthalten
können.
258
Wenn die Mitglieder dieser globalen Gruppe zu einem späteren Zeitpunkt migriert werden, wird
die Gruppenmitgliedschaft wiederhergestellt. Da der SID-Verlauf jedoch nicht mit der Gruppe
migriert wird, müssen Sie den Sicherheitskonvertierungs-Assistenten ausführen, um die
Zugriffssteuerungslisten zu aktualisieren. Dieser Vorgang wäre auch bei einer Migration zwischen
Gesamtstrukturen ohne SID-Verlauf erforderlich.
Wichtig
Es wird dringend empfohlen, Benutzer und Gruppen nur zwischen Domänen im
einheitlichen Modus zu migrieren.
Die Tabelle migrierter Objekte wird nicht synchronisiert.
Wenn der Administrator in der Zieldomäne eine migrierte Gruppe nach der Migration löscht,
werden die Einträge für die migrierte Gruppe nicht aus der Tabelle der migrierten Objekte
entfernt. Wenn eine Gruppe mit dem gleichen Namen wie die in der Zieldomäne gelöschte
Gruppe aus der Quelldomäne migriert wird, kann ein Fehler auftreten. Dieser Fehler tritt nur auf,
wenn Benutzer mit der Gruppe migriert werden. In diesem Fall wird die folgende Fehlermeldung
angezeigt:
ERR2:7422 Failed to move object <object_RDN>, hr=80070057 The parameter is incorrect.
Die Einträge des Ereignisprotokolls für den ADMT-Agent sind nicht lesbar.
Ursache: Sie sind nicht an einem Computer angemeldet, auf dem ADMT installiert ist.
Lösung: Der Agent schreibt möglicherweise Ereignisprotokolleinträge auf den Computer, auf
dem er ausgeführt wird. Die Agentsoftware wird jedoch entfernt, wenn die Aufgabe des Agents
abgeschlossen ist. Sie können die Einträge des Ereignisprotokolls auf dem Computer, an den der
Agent verteilt wurde, anzeigen, indem Sie auf dem Computer, auf dem ADMT installiert ist, die
Ereignisanzeige ausführen.
259
Ursache: Fehlerhafte Einstellung der Protokollierungsstufe.
Standardmäßig schreibt ADMT Zusammenfassungsinformationen in seine Protokolldateien. Die
Detailebene kann durch Ändern des Registrierungseintrags erhöht werden, der die
Protokollierungsstufe steuert.
Lösung: Legen Sie den Wert des Registrierungsschlüssels
HKEY_LOCAL_MACHINE\Software\Microsoft\ADMT\TranslationLogLevel auf dem
Computer, auf dem ADMT installiert ist, auf 7 fest.
Sie können den ausführlichen Protokollierungsmodus für die Problemdiagnose und -behebung
verwenden. Der ausführliche Protokollierungsmodus kann die Erstellung sehr großer
Protokolldateien zur Folge haben, insbesondere in Fällen, in denen viele Dateien oder andere
Objekte auf dem Zielcomputer gespeichert sind, deren Zugriffsteuerungslisten (Access Control
Lists, ACLs) aktualisiert werden müssen. Da die Agentenprotokolle in den durch die
Umgebungsvariable %TEMP% angegebenen Ordner geschrieben werden, sollte der Datenträger,
auf den diese Umgebungsvariable zeigt, über ausreichend Speicherplatz verfügen. Wenn Sie
sich mit dem ausführlichen Modus anmelden, müssen Sie möglicherweise den Wert der
Umgebungsvariablen %TEMP% ändern, bevor Sie einen Agent verteilen.
Ursache: Beim Generieren von Berichten aktualisiert ADMT die Konsole nicht automatisch.
Lösung: Wenn Sie die Berichte anzeigen möchten, schließen Sie ADMT, und öffnen Sie das
Programm dann erneut.
260
mithilfe einer Befehlszeile oder eines Skripts ausgeführt werden, mit Ausnahme von
Benutzermigrationen aus einer Windows NT 4.0-Quelldomäne mit SID-Verlauf (Security
Identifier). Alle Migrationsvorgänge funktionieren jedoch bei Ausführung von der
Benutzeroberfläche (User Interface, UI).
Doppelte Befehlszeilenparameter bewirken ein Überschreiben aller vorhergehenden
Vorkommen
Wenn ein Befehlszeilenparameter mehr als einmal angegeben wird, überschreibt der letzte Wert
den vorhergehenden Wert. Dieses Verhalten ist beabsichtigt.
Erweiterte Zeichen werden von der Befehlszeilenoberfläche nicht angezeigt
Die ADMT-Befehlszeilenoberfläche konvertiert keine Unicode-Zeichen. Daher werden erweiterte
Zeichen, wie etwa der deutsche "Umlaut", nicht ordnungsgemäß angezeigt.
Die Option zum Aktivieren von Quellkonten ist in Migrationen zwischen Gesamtstrukturen
nicht deaktiviert
Beim Ausführen von Migrationen zwischen Gesamtstrukturen werden Konten zwischen Domänen
verschoben, nicht kopiert. Das Quellkonto wird im Rahmen der Verschiebung entfernt. Die Option
zum Aktivieren eines Quellkontos steht jedoch auf der ADMT-Befehlszeilenoberfläche zur
Verfügung. Wenn Sie diese Option verwenden, wird folgende Warnung angezeigt:
WRN1: 7362: <object_name> - Could not enable source account. The parameter is wrong
Ursache: Der Agent wird mit ungültigen Anmeldeinformationen verteilt, oder die
Migrationsumgebung ist nicht ordnungsgemäß konfiguriert.
Lösung: Ein Agent wird an einen Remotecomputer verteilt, der die Anmeldeinformationen des
Kontos benutzt, das für die Ausführung von ADMT verwendet wird. Nachdem der Agent auf dem
Remotecomputer installiert wurde, wird er unter dem lokalen Systemkonto ausgeführt. Die
Anmeldeinformationen, die Sie dem Assistenten vor der Verteilung des Agenten an den
Remotecomputer bereitstellen, werden verwendet, um Ergebnisse auf eine Freigabe
zurückzuschreiben, die auf dem Computer erstellt wurde, auf dem ADMT ausgeführt wird. Der
Agent muss berechtigt sein, sich lokal beim Remotecomputer anzumelden; wird der Agent für die
Migration von Computern verwendet, muss er über Administratorrechte für die Quelldomäne
verfügen und lokaler Administrator auf allen Arbeitsstationen sein.
Erstellen Sie Vertrauensstellungen, damit die Quell- und die Zieldomäne einander vertrauen, um
sicherzustellen, dass Sie über die richtigen Anmeldeinformationen verfügen. Fügen Sie die
Gruppe Domänen-Admins der Zieldomäne (Ziel\Domänen-Admins) zur integrierten
261
Administratorgruppe der Quelldomäne hinzu (Quelle\Administratoren). Melden Sie sich mithilfe
des Kontos Ziel\Domänen-Admins an, und geben Sie Anmeldeinformationen für das Konto
Quelle\Administratoren an, wenn Sie dazu aufgefordert werden. Dadurch erhalten Sie
Administratorberechtigungen sowohl für die Quell- als auch für die Zieldomäne.
Ursache: Es besteht eine aktive Verbindung, wie etwa ein zugeordnetes Laufwerk oder ein
zugeordneter Drucker, zu einem Computer, auf dem ein Agent installiert wird. Der
Verteilungsvorgang kann nicht durchgeführt werden, da ein Konflikt zwischen den
Anmeldeinformationen der Agentinstallation und den vorhandenen Anmeldeinformationen
vorliegt.
Lösung: Entfernen Sie alle aktiven Verbindungen zwischen dem Computer mit ADMT und dem
Computer, an den der Agent verteilt wird.
Beim Versuch, die Ergebnisse eines Remoteagentvorgangs anzuzeigen, erhalte ich die
folgende Fehlermeldung: "Die Datei ComputerName\(%SystemRoot%)$\temp\dctlog.txt
kann nicht geöffnet werden."
Ursache: Die standardmäßige administrative Freigabe für den Systemdatenträger des
Computers, an den der Agent verteilt wurde, ist nicht aktiviert.
Da die Standardfreigabe nicht aktiviert ist, kann ADMT die Protokolldatei nicht lesen.
Lösung: Aktivieren Sie die Standardfreigabe des Systemdatenträgers erneut.
Ursache: Dieser Fehler kann auftreten, wenn die Agentüberwachung geschlossen wird, bevor
alle Agents die Ergebnisse in die ADMT-Berichtsdatenbank zurückgeschrieben haben.
Lösung: Sie können dieses Problem verhindern, indem Sie die Agentüberwachung erst dann
beenden, wenn alle Agents ihre Tasks abgeschlossen haben.
Ich muss wissen, welche Protokolle und Ports ADMT zum Herstellen der
Konsolenkommunikation mit Domänencontrollern und auf Arbeitsstationen ausgeführten
ADMT-Agents verwendet
Ursache: Wenn ADMT in Umgebungen ausgeführt wird, die über eine Firewall verfügen, müssen
möglicherweise Portausnahmen festgelegt werden, um den ADMT-bedingten Verkehr im
Netzwerk zu unterstützen.
Lösung: Die ADMT-Konsole verwendet LDAP-Port (Lightweight Directory Access Protocol) 389
für die Kommunikation mit Domänencontrollern und RPC (Remote Procedure Call) für die
262
Kommunikation mit ADMT-Agents. Für die RPC-Kommunikation kann jeder verfügbare Port im
Bereich zwischen 1024 und 5000 verwendet werden. Weitere Informationen finden Sie im Artikel
836429 in der Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkId=122010).
Warum werden die Dateien, die ADMT für die Agentbereitstellung generiert, nach der
Verwendung nicht entfernt?
Dateien, die auf Clientcomputern generiert werden, auf denen der ADMT-Agentdienst zur
Sicherheitskonvertierung von lokalen Gruppen ausgeführt wurde, werden an den folgenden
Speicherorten platziert:
%windir%\onepointdomainagent (ADMT v3.0 und v3.1)
%programfiles%\onepointdomainagent (ADMT v2.0)
Dateien an diesen Speicherorten bleiben nach dem Neustart möglicherweise aus folgenden
Gründen erhalten:
Wenn ADMT noch auf dem Computer installiert ist.
Wenn nach dem Entfernen von ADMT vom Computer keine Bereinigung der Registrierung
ausgeführt wird, um alle Einträge aus dem Pfad HKLM\Software\Microsoft\ADMT zu
entfernen.
Wenn der Neustart des Computers ausgeführt wird, bevor die ADMT-Agentprozesse
abgeschlossen oder beendet wurden. Zum Überprüfen, ob die ADMT-Prozesse beendet
wurden, kann der Task-Manager verwendet werden, um zu prüfen, ob die ADMTAgnt.exe
und DctAgentServices.exe auf der Registerkarte Prozesse nicht mehr aufgelistet sind.
Wenn einer dieser Prozesse aufgelistet wird, verwenden Sie Task Manager, um die Prozesse
zuerst zu beenden, bevor Sie einen Neustart ausführen.
Weitere Ressourcen
Diese Ressourcen enthalten weitere Informationen, Tools und Arbeitshilfen, die in Beziehung mit
diesem Handbuch stehen.
Verwandte Informationen
Entwerfen und Bereitstellen von Verzeichnis- und Sicherheitsdiensten
(http://go.microsoft.com/fwlink/?LinkId=76005, englischsprachig)
Dieses Dokument enthält Beschreibungen und Anleitungen zur Bereitstellung von
Active Directory sowie zum Einrichten von Sicherheitsmaßnahmen. Diese Maßnahmen
umfassen das Erstellen einer Autorisierungsstrategie (basierend auf Sicherheitsgruppen), um
den Zugriff von Benutzern auf Ressourcen effektiv zu verwalten.
263
Verwandte Tools
Artikel 295758 in der Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?
LinkId=77553, englischsprachig)
Verwandte Arbeitshilfen
Download Job_Aids_Designing_and_Deploying_Directory_and_Security_Services der
Job Aids für das Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/?
LinkId=14384, englischsprachig)
Dieses Paket enthält Arbeitsblätter und Beispielskripts, die Sie für Ihre eigene Migration
anpassen können.
264