Использование этой опции позволяет администраторам перевести существующие учетные записи и ресурсы Windows NT4 во вновь созданную структуру доменов и организационных единиц системы Windows Server 2003.
Миграция доменов учетных записей и доменов ресурсов в организационные единицы Active Directory упрощает и повышает безопасность процесса делегирования полномочий внутри дерева доменов Active Directory. Когда структура организационных единиц доменов Active Directory сконфигурирована, возможна миграция ресурсов и правил безопасности домена с помощью оснастки ADMT, как показано на рис. 14.2.
Миграция NT-доменов учетных записей и ресурсов в домены Active Directory
Результаты миграции правил безопасности
Когда в домене Windows NT4 созданы правила безопасности, каждому объекту в отдельности присваивается уникальный идентификатор защиты (security identifier - SID). SIDHistory - это запись принадлежности каждого правила безопасности к группам и доменам системы Windows NT4, а каждый идентификатор SID является уникальным.
После выполнения миграции этих типов правил безопасности в систему Windows Server 2003 и Active Directory каждому правилу безопасности присваивается новый SID с информацией о его новой принадлежности к доменам и группам. Поскольку новый SID не содержит информацию о прежнем членстве правила, когда пользователь или группа обращается к ресурсам прежнего домена Windows NT4, таким как файлы, может оказаться, что разрешение на доступ отсутствует.
Во избежание затруднений подобного рода в процессе миграции и после нее воспользуйтесь оснасткой Microsoft ADMT консоли MMC для импорта записи принадлежности правил SIDHistory. Оснастка ADMT консоли MMC позволяет выполнить миграцию записей SIDHistory для каждого объекта. Эти записи содержат информацию о прежнем состоянии правил и позволяют избежать проблем с доступом на последующих этапах процесса миграции.
Использование оснастки Microsoft Active Directory Migration Tool v2 консоли MMC
Оснастка ADMT (Active Directory Migration Tool - Инструментальное средство миграции в Active Directory) консоли MMC представляет собой эффективное средство переноса учетных записей пользователей, групп и компьютеров из одного домена в другой. Она обеспечивает миграцию прав доступа и настроек домена обмена почтой, а также поддерживает процедуру отката в случае возникновения ошибок миграции. Оснастка ADMT консоли MMC включает в себя несколько компонентов и функций, которые перечислены ниже.
• Мастера миграции ADMT. В состав оснастки ADMT консоли MMC входит набор мастеров, каждый из которых предназначен для миграции определенных компонентов. Существуют различные мастера для миграции учетных записей пользователей (Users), групп (Groups), компьютеров (Computers) и доверительных отношений (Trusts).
• Средства поддержки клиентов. Оснастка ADMT автоматически устанавливает службу для клиентов исходного домена, что устраняет необходимость вручную инсталлировать клиентское программное обеспечение для целей миграции. Кроме того, после завершения миграции подобные службы автоматически удаляются.
• Средства миграции записей SIDHistory и правил безопасности. Сетевые пользователи сохраняют доступ к общим файлам, приложениям и другим защищенным сетевым службам посредством миграции атрибутов SIDHistory в новый домен. В результате сохраняется сложная структура средств защиты исходного домена.
• Средства тестовой миграции и функции отката. Крайне полезное свойство оснастки ADMT v2 консоли MMC состоит в возможности выполнять имитацию сценария миграции в процессе работы с каждым мастером миграции. Это помогает идентифицировать любые возможные проблемы миграции еще до ее реализации. Помимо этого, все недавно выполненные операции перевода учетных записей пользователей, компьютеров или групп можно отменить, что обеспечивает восстановление прежнего состояния (откат) в случае возникновения ошибок миграции.
Установка оснастки ADMT v2 консоли MMC выполняется очень просто, но требует знания методов использования различных мастеров. Кроме того, для перевода ресурсов с одного домена на другой следует отдать предпочтение наиболее надежному методу.
Пример процесса миграции, приведенный в последующих разделах, описывает наиболее типичный случай использования инструментария ADMT - перенос учетных записей пользователей, групп и компьютеров в лес другого домена. Эта процедура ни в коей мере не является единственно возможной. Для достижения желаемых результатов могут применяться множество других методик миграции. Важно соотнести возможности инструментальных средств ADMT с задачами миграции в конкретной организации.