Миграция из домена в домен (Windows Server 2003)

Задача миграции из домена в домен не тривиальна, но есть различные пути решения. Попробуем рассмотреть различные варианты.

Форум системных администраторов — Миграция из домена в домен

Утилиты для миграции профилей пользователей

Перенос пользователей с одного домена в другой (AD)

Перенос профиля пользователя Windows

Правильный перенос профиля пользователя в AD

ADMT 3 Interforest migration

Миграция из домена в домен на TechNet

http://forum.ixbt.com/topic.cgi?id=7:32714

Подготовка к миграции домена:
1. Установить утилиту ADMT на контроллере домена в старом домене.
2. Удостовериться что новый домен находится в nativ mode.
3. Установить двухсторонние доверительные отношения между старым и новым доменами.
4. Настроить репликацию WINS между серверами WINS старого и нового доменов.
5. В новом домене изменить Default Domain Controllers Policy — открыть Computer Configuration/
Windows Settings/ Security Settings/ Local Policies/ Security Options/ Network access/ — включить
опцию Let Everyone permissions apply to anonymous users.
6. Добавить группу Everyone в группу Pre-Windows 2000 Compatible Access, запустив команду
net localgroup «Pre-Windows 2000 Compatible Access» Everyone /add.
7. Добавить группу Anonymous Logon в группу Pre-Windows 2000 Compatible Access, запустив команду
net localgroup «Pre-Windows 2000 Compatible Access» «Anonymous Logon» /add.
8. Перезагрузить контроллер домена.
9. Создать в старом домене (например в домене firma) пустую локальную группу firma$$$.
10. Удостовериться в том, что все подключенные сетевые диски между контроллерами старого и нового
доменов отключены.
11. На PDC старого домена в реестре создаем запись HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Control\Lsa\TcpipClientSupport:REG_DWORD и задаем значение — 0х1. Этот сервер будет
выступать как исходный контейнер для пользователей, групп и компьютеров.
12. Перезагружаем контроллер домена.
13. На контроллере домена старого домена (например в домене firma.local) на котором установлен
ADMT установить дискету в дисковод а и из командной строки перейти в каталог в котором
установлен ADMT и набрать команду admt key firma.local a: * В ответ на запрос — ввести пароль.
14. С установочного диска Windows 2003 Server из каталога \i386\Admt запустить программу
Pwdmig.exe.
15. При запросе сохраненного файла паролей — указать путь к дискете, созданной в п. 13.
16. Учетная запись, под которой планируется осуществить миграцию домена, должна обладать
следующими правами — быть членом в группе Administrators старого домена, администратором
на всех компьютерах, которые необходимо мигрировать, членом Domain Admins в новом домене.
17. Должен быть включен аудитуправления учетными записями пользователей и групп в старом
и новом доменах.
18. С помощью утилиты Netdom необходимо разрешить применение механизма SIDHistory, выполнив
на контроллере нового домена следующую команду:
netdom trust firma.domain.old /domain:firma.domain.new /enablesidhistory:yes
19. С помощью утилиты Netdom необходимо отключить фильтрацию SID, выполнив на контроллере
нового домена следующую команду:
netdom trust firma.domain.old /domain:firma.domain.new /quarantine:no

Миграция:
1. Мигрируем глобальные и универсальные группы с включением опций Update user rights и
Migrate group SIDs to target domain.
2. Мигрируем пользователя с включенными опциями Migrate password, Enable target accounts,
Migrate user SIDs to target domain, Update user rights, Fix users group memberships.
3. Перед миграцией компьютера проверяем входит ли учетная запись под которой планируется
осуществить миграцию в группу локальных администраторов, отключаем все файерволы и
останавливаем их службы, проверяем запущены ли службы «Удаленный вызов процедур (RPC)» и
«Удаленный реестр». При миграции, если к компьютеру локально не подключены принтеры, то
устанавливаем все флажки кроме printers, если принтер подключен, то устанавливаем и этот
флажок.

Вот вроде и все. При миграции важен следующий порядок: сначала мигрируем группы, затем
пользователя и только потом компьютер на котором находится профиль пользователя, иначе
у пользователя в новом домене появится новый профиль и все его настройки потеряются.
Компьютер рекомендуется мигрировать сразу после пользователя. Необходимо иметь ввиду,
что если миграция группы и пользователя занимает несколько секунд, то миграция компьютера
может занять несколько часов, в зависимости от объема данных и мощности компьютера.