ADMTmigguide
of 291
-
Upload
moises-magalhaes -
Category
Documents
-
view
85 -
download
0
Transcript of ADMTmigguide
Guia do ADMT: migrando e reestruturando domnios do Active DirectoryMicrosoft Corporation Publicado em: Junho de 2010 Autor: Justin Hall Editores: Jim Becker, Margery Spears
ResumoEste guia explica como usar a Ferramenta de Migrao do Active Directory verso 3.1 (ADMT v3.1) ou ADMT v3.2 para migrar usurios, grupos, contas de servio gerenciadas e computadores entre domnios do Active Directory de florestas diferentes (migrao entre florestas) ou entre domnios do Active Directory da mesma floresta (migrao dentro da floresta). Ele tambm mostra como usar o ADMT para realizar uma converso de segurana entre florestas diferentes do Active Directory.
As informaes contidas neste documento, incluindo URLs e outras referncias a sites da Internet, esto sujeitas a alteraes sem aviso prvio. A menos que haja observao em contrrio, os exemplos de empresas, organizaes, produtos, nomes de domnio, endereos de email, logotipos, pessoas, lugares e eventos aqui representados so fictcios e nenhuma associao com qualquer empresa, organizao, produto, nome de domnio, endereo de email, logotipo, pessoa, lugar ou evento real intencional ou implcita. A conformidade com todas as leis de direitos autorais aplicveis responsabilidade do usurio. Sem limitao dos direitos autorais, nenhuma parte deste documento pode ser reproduzida, armazenada ou introduzida em um sistema de recuperao nem transmitida sob qualquer forma, por qualquer meio (eletrnico, mecnico, fotocpia, gravao, etc.) ou para qualquer finalidade, sem a permisso por escrito da Microsoft Corporation. A Microsoft pode ter patentes ou requisies para a obteno de patentes, marcas comerciais, direitos autorais ou outros direitos de propriedade intelectual que abranjam o contedo deste documento. A posse deste documento no lhe confere nenhum direito sobre as patentes, as marcas comerciais, os direitos autorais ou outros direitos de propriedade intelectual citados, salvo aqueles expressamente mencionados em um contrato de licena, por escrito, da Microsoft. 2010 Microsoft Corporation. Todos os direitos reservados. Active Directory, Microsoft, Windows e Windows Server so marcas registradas ou comerciais da Microsoft Corporation nos Estados Unidos e/ou em outros pases. Os nomes de empresas e produtos reais aqui mencionados podem ser marcas comerciais de seus respectivos proprietrios.
ContedoGuia do ADMT: migrando e reestruturando domnios do Active Directory.................................... 9 Reestruturao dos Domnios do Active Directory Entre Florestas ..........................................10 Reestruturao dos Domnios do Active Directory Entre Florestas ..........................................10 Termos e definies ...............................................................................................................11 Ferramenta de Migrao do Active Directory ..........................................................................12 Usando um arquivo de incluso ..........................................................................................14 Campo SourceName .......................................................................................................15 Campo TargetName ........................................................................................................15 Campos TargetRDN, TargetSAM e TargetUPN................................................................16 Renomeando objetos .......................................................................................................16 Usando um arquivo de excluso ......................................................................................17 Usando scripts ....................................................................................................................17 Verses e ambientes com suporte da Ferramenta de Migrao do Active Directory ...................19 Suporte para recursos do Windows Server .............................................................................22 Prticas recomendadas para a migrao do Active Directory .....................................................23 Prticas recomendadas para o uso da Ferramenta de Migrao do Active Directory ..................23 Prticas recomendadas para a execuo de migraes de contas de usurio e de grupo ..........24 Prticas recomendadas para executar migraes de computadores ..........................................25 Prticas recomendadas para reverter uma migrao .................................................................26 Reestruturao dos Domnios do Active Directory Entre Florestas .............................................27 Lista de verificao: Executando uma migrao entre florestas..................................................27 Viso geral da reestruturao de domnios do Active Directory entre florestas (Guia de Migrao da ADMT v3.1) .......................................................................................................................31 Processo de reestruturao de domnios do Active Directory entre florestas ..............................31 Informaes bsicas sobre a reestruturao de domnios do Active Directory entre florestas .....32 Processo de migrao de conta .............................................................................................33 Processo de migrao de recurso ..........................................................................................34 Planejando reestruturar domnios do Active Directory entre florestas .........................................34 Determinando seu processo de migrao de contas ..................................................................35 Usando o histrico SID para preservar o acesso a recursos ......................................................37
Usando filtragem de SID durante a migrao de contas de usurios ..........................................38 Atribuindo funes e localizaes de objetos .............................................................................39 Desenvolvendo um plano de testes para a sua migrao ...........................................................41 Criando um Plano de Reverso .................................................................................................43 Gerenciando usurios, grupos e perfis de usurio......................................................................44 Administrando contas de usurio ............................................................................................45 Atributos que so sempre excludos pelo sistema ...............................................................46 Lista de excluso de atributos do sistema ...........................................................................46 Lista de excluso de atributos .............................................................................................46 Administrando grupos globais.................................................................................................46 Planejando uma migrao de perfil de usurio .......................................................................47 Preparao para a migrao de perfis mveis com computadores que executam o Windows Vista e o Windows 7 ........................................................................................................48 Criando um plano de comunicao de usurio final ...................................................................50 Informaes gerais .................................................................................................................50 Impacto ..................................................................................................................................51 Status do logon durante a migrao .......................................................................................51 Etapas pr-migrao ..............................................................................................................51 Alteraes esperadas .............................................................................................................51 Agendamento e informaes de suporte.................................................................................51 Preparando os domnios de origem e de destino .......................................................................51 Instalando o software de criptografia elevada de 128 bits...........................................................52 Estabelecendo confianas necessrias para a sua migrao .....................................................53 Estabelecendo contas de migrao para a sua migrao ...........................................................53 Configurando os domnios de origem e de destino para a migrao de histrico SID .................57 Configurando a Estrutura da UO do Domnio de Destino para Administrao.............................59 Instalando o ADMT no domnio de destino.................................................................................60 Instalando o ADMT v3.1 .........................................................................................................60 Pr-requisitos para a instalao do ADMT v3.1 ...................................................................60 Instalando o ADMT v3.1 usando o armazenamento de banco de dados padro ..................61 Instalando o ADMT v3.2 .........................................................................................................63 Pr-requisitos para a instalao do ADMT v3.2 ...................................................................64 Instalar o ADMT v3.2 ..........................................................................................................64 Separe um arquivo de banco de dados existente de uma verso anterior do ADMT e do SQL Server .........................................................................................................................65
Reconfigurando uma instalao de banco de dados com o Admtdb.exe .................................66 Reutilizar um banco de dados existente do ADMT de uma instalao anterior ........................68 Habilitando a migrao de senhas .............................................................................................69 Inicializando o ADMT executando uma migrao de teste..........................................................72 Identificando contas de servio para a sua migrao .................................................................74 Identificando contas de servio...............................................................................................74 Migrando Contas .......................................................................................................................79 Fazendo a transio de contas de servio na sua migrao .......................................................80 Migrando grupos globais............................................................................................................85 Migrando contas ao usar o histrico SID ....................................................................................90 Migrando contas de servio gerenciado .....................................................................................93 Migrando todas as contas de usurio.........................................................................................98 Repetindo a migrao de contas de usurio e migrando estaes de trablaho em lotes...........104 Convertendo perfis de usurios locais ..................................................................................105 Migrando estaes de trabalho em lotes...............................................................................109 Repetindo a migrao de contas de usurio em lotes ...........................................................115 Repetindo a migrao de todos os grupos globais depois da migrao da conta de usurio .120 Repetindo a migrao de todos os grupos globais depois que todos os lotes so migrados .....120 Migrando contas sem usar o histrico SID ...............................................................................125 Migrando contas de servio gerenciado ...................................................................................126 Migrando todas as contas de usurio.......................................................................................132 Convertendo a segurana no modo de adio .........................................................................138 Repetindo a migrao de contas de usurio e migrando estaes de trabalho em lotes...........142 Convertendo perfis de usurios locais ..................................................................................142 Migrando estaes de trabalho em lotes...............................................................................146 Repetindo a migrao de contas de usurio em lotes ...........................................................152 Repetindo a migrao de todos os grupos globais depois da migrao da conta de usurio .157 Repetindo a migrao de todos os grupos globais depois que todos os lotes so migrados .....158 Convertendo segurana no modo de remoo.........................................................................162 Migrando Recursos .................................................................................................................166
Migrando estaes de trabalho e servidores membros.............................................................167 Migrando grupos locais compartilhados e de domnio ..............................................................173 Migrando controladores de domnio .........................................................................................176 Executando a migrao ...........................................................................................................177 Fazendo a converso de segurana em servidores membros ..................................................178 Descomissionando o domnio de origem..................................................................................182 Reestruturao dos Domnios do Active Directory Entre Florestas ...........................................183 Lista de verificao: Executando uma migrao entre florestas................................................183 Viso geral da reestruturao de domnios do Active Directory dentro de uma floresta ............186 Reestruturando domnios do Active Directory dentro de uma floresta usando o ADMT v3.1 .....187 Informaes gerais sobre a reestruturao de domnios do Active Directory dentro de uma floresta .................................................................................................................................187 Conjuntos fechados e conjuntos abertos ..............................................................................188 Usurios e grupos .............................................................................................................188 Recursos e grupos locais ..................................................................................................190 Histrico do SID ...................................................................................................................190 Atribuindo acesso de recurso a grupos .................................................................................191 Preparando-se para reestruturar os domnios do Active Directory dentro de uma floresta ........191 Avaliar a nova estrutura de florestas do Active Directory ..........................................................192 Identificar os domnios de origem .........................................................................................193 Identificar e avaliar a estrutura da UO do domnio de destino ...............................................193 Atribuir funes e localizaes dos objetos de domnio ............................................................193 Planejar a migrao de grupos ................................................................................................195 Planejar migraes de teste.....................................................................................................197 Criar um plano de reverso .....................................................................................................199 Criar um plano de comunicao de usurio final ......................................................................200 Informaes gerais ...............................................................................................................201 Impacto ................................................................................................................................201 Status do logon durante a migrao .....................................................................................201 Etapas pr-migrao ............................................................................................................201 Alteraes esperadas ...........................................................................................................201 Agendamento e informaes de suporte...............................................................................202
Criar grupos de contas de migrao ........................................................................................202 Instalando o ADMT no domnio de destino...............................................................................204 Instalando o ADMT v3.1 .......................................................................................................205 Pr-requisitos para a instalao do ADMT v3.1 .................................................................205 Instalando o ADMT v3.1 usando o armazenamento de banco de dados padro ................205 Instalando o ADMT v3.2 .......................................................................................................208 Pr-requisitos para a instalao do ADMT v3.2 .................................................................208 Instalar o ADMT v3.2 ........................................................................................................209 Separe um arquivo de banco de dados existente de uma verso anterior do ADMT e do SQL Server .......................................................................................................................210 Reconfigurando uma instalao de banco de dados com o Admtdb.exe ...............................210 Reutilizar um banco de dados existente do ADMT de uma instalao anterior ......................212 Planejar a transio de contas de servio ................................................................................213 Exemplo: Preparando para Reestruturar os Domnios do Active Directory ...............................218 Migrando objetos de domnio entre os domnios do Active Directory ........................................219 Migrar grupos ..........................................................................................................................219 Migrar grupos universais..........................................................................................................220 Migrar grupos globais ..............................................................................................................224 Migrar contas de servio..........................................................................................................228 Migrando contas de servio gerenciado ...................................................................................233 Migrar contas de usurio .........................................................................................................238 Migrando UOs e subrvores de UOs .......................................................................................238 Migrar contas...........................................................................................................................239 Converter perfis de usurios locais ..........................................................................................244 Migrar estaes de trabalho e servidores membros .................................................................248 Migrar grupos locais de domnio ..............................................................................................255 Exemplo: Reestruturando os Domnios do Active Directory ......................................................257 Executando tarefas ps-migrao............................................................................................258 Examinar logs da migrao procura de erros ........................................................................258 Acessando arquivos de log do ADMT ...................................................................................259 Verificar os tipos de grupos .....................................................................................................259
Fazer a converso de segurana em servidores membros.......................................................260 Converter segurana usando um arquivo de mapeamento de SID ...........................................264 Descomissionar o domnio de origem ......................................................................................264 Exemplo: Executando tarefas ps-migrao ............................................................................265 Apndice: Procedimentos Avanados ......................................................................................265 Configurar um controlador de domnio preferencial ..................................................................266 Renomear objetos durante a migrao ....................................................................................268 Usar um arquivo de incluso....................................................................................................269 Para especificar um arquivo de incluso ...............................................................................269 Usar um arquivo de opo .......................................................................................................271 Soluo de problemas da ADMT .............................................................................................273 Solucionando problemas de instalao do ADMT ....................................................................274 Solucionando problemas de migrao de usurios ..................................................................275 Solucionando problemas de migrao de grupos .....................................................................276 Solucionando problemas de migrao de conta de servio ......................................................277 Solucionando problemas de migrao de conta de servio gerenciado ....................................279 Solucionando problemas de migrao de computadores .........................................................281 Solucionando problemas de migrao de senhas ....................................................................282 Solucionando problemas de converso de segurana..............................................................284 Solucionando problemas de migrao entre florestas ..............................................................286 Solucionando problemas do arquivo de log da ADMT ..............................................................287 Solucionando problemas de linha de comando do ADMT.........................................................288 Solucionando problemas de operaes de agente ...................................................................289 Recursos adicionais ................................................................................................................291 Informaes relacionadas.....................................................................................................291 Ferramentas relacionadas ....................................................................................................291 Auxlios de trabalho relacionados .........................................................................................291
Guia do ADMT: migrando e reestruturando domnios do Active DirectoryAplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2 Para obter uma verso disponvel para download desse guia no formato .doc, consulte o Guia do ADMT: Migrando e reestruturando domnios do Active Directory (http://go.microsoft.com/fwlink/?LinkId=191734). Como parte da implantao do servio de diretrio do Active Directory ou do AD DS (Servios de Domnio do Active Directory), voc pode optar por reestruturar seu ambiente pelas seguintes razes: y y Para otimizar a organizao dos elementos dentro da estrutura lgica do Active Directory Para ajudar a concluir uma fuso, aquisio ou alienao comercial
A reestruturao envolve a migrao de recursos entre domnios do Active Directory na mesma floresta ou em florestas diferentes. Depois de implantar o Active Directory ou o AD DS, voc pode decidir reduzir ainda mais a complexidade do seu ambiente reestruturando domnios entre florestas ou reestruturando domnios dentro de uma nica floresta. Voc pode usar a Ferramenta de Migrao do Active Directory (ADMT) para realizar migraes de objetos e converso de segurana conforme necessrio para que os usurios possam manter o acesso a recursos de rede durante o processo de migrao. Para obter mais informaes sobre as diferentes verses do ADMT que esto disponveis, quando usar cada verso e como obt-las, consulte Verses e ambientes com suporte da Ferramenta de Migrao do Active Directory. Neste guia y y y y y y Prticas recomendadas para a migrao do Active Directory Reestruturao dos Domnios do Active Directory Entre Florestas Reestruturao dos Domnios do Active Directory Entre Florestas Apndice: Procedimentos Avanados Soluo de problemas da ADMT Recursos adicionais
As sees a seguir explicam os principais cenrios de migrao usando a ADMT. Depois que voc determinar o cenrio apropriado para o seu ambiente, siga as etapas a seguir neste guia para esse cenrio.
9
Reestruturao dos Domnios do Active Directory Entre FlorestasVoc pode executar uma reestruturao entre florestas para alteraes comerciais, como fuses ou aquisies ou alienaes, nas quais suas organizaes tm de combinar ou dividir recursos. Como parte do processo de reestruturao, quando voc migra objetos entre florestas, os ambientes de origem e de destino existem simultaneamente. Isso possibilita a reverso para o ambiente de origem durante a migrao, se for necessrio. No h suporte para dividir ou clonar florestas, por exemplo, para acomodar a alienao de uma organizao. Para obter mais informaes, consulte Reestruturando limitaes (http://go.microsoft.com/fwlink/?LinkId=121736). (em ingls) Importante Se voc estiver usando o ADMT v3.1, todos os domnios de destino devero estar pelo menos no nvel funcional nativo do Windows 2000. Se voc estiver usando o ADMT v3.2, todos os domnios de origem e de destino devero estar pelo menos no nvel funcional do Windows Server 2003.
Reestruturao dos Domnios do Active Directory Entre FlorestasQuando reestruturar domnios em uma floresta, voc poder consolidar sua estrutura de domnio e reduzir a sobrecarga e a complexidade administrativa. Ao contrrio do processo para reestruturar domnios entre florestas, quando voc reestrutura domnios em uma floresta, as contas migradas no existem mais no domnio de origem. Portanto, a reverso da migrao s poder ocorrer quando voc executar o processo de migrao novamente em ordem inversa, do domnio de destino anterior para o domnio de origem anterior. Importante Se voc estiver usando o ADMT v3.1, todos os domnios de destino devero estar pelo menos no nvel funcional nativo do Windows 2000. Se voc estiver usando o ADMT v3.2, todos os domnios de origem e destino devero estar pelo menos no nvel funcional do Windows Server 2003. A tabela a seguir lista as diferenas entre uma reestruturao dos domnios entre florestas e uma reestruturao dos domnios intraflorestal.Considerao de migrao Reestruturao entre florestas Reestruturao entre florestas
Preservao do objeto
Os objetos so clonados em vez de migrados. O objeto original permanece no local de origem para manter o acesso aos recursos dos usurios.
Os objetos de usurio e de grupo so migrados e deixam de existir no local de origem. Os 10
Considerao de migrao
Reestruturao entre florestas
Reestruturao entre florestas
objetos da conta de servio gerenciado e do computador copiados e as contas originais permanecem habilitados no domnio de origem. Manuteno do histrico do SID (identificador de segurana) A manuteno do histrico do SID opcional. O histrico SID necessrio para as contas de usurio, de grupo e do computador, mas no para as contas de servio gerenciado. As senhas so sempre mantidas. Os perfis locais so migrados automaticamente porque o GUID (identificador global exclusivo) preservado.
Reteno de senha Migrao do perfil local
A reteno de senha opcional. Voc deve utilizar ferramentas como a ADMT para migrar perfis locais.
Conjuntos fechados
Voc no tem de migrar contas em conjuntos Voc deve migrar fechados. Para obter mais informaes, contas em conjuntos fechados. consulte Informaes gerais para reestruturao dos domnios do Active Directory dentro de uma floresta (http://go.microsoft.com/fwlink/?LinkId=122123). (em ingls)
Termos e definiesOs termos a seguir se aplicam ao processo de reestruturao dos domnios do Active Directory. Migrao O processo de mover ou copiar um objeto de um domnio de origem para um domnio de destino, preservando ou modificando caractersticas do objeto para torn-lo acessvel no novo domnio.
11
Reestruturao do domnio Um processo de migrao que envolve a alterao da estrutura do domnio de uma floresta. Uma reestruturao de domnio pode envolver a consolidao ou a adio de domnios e pode ocorrer entre florestas ou em uma floresta. Objetos de migrao Objetos de domnio que so movidos do domnio de origem para o domnio de destino durante o processo de migrao. Os objetos de migrao podem ser contas de usurio, contas de servio, grupos ou computadores. Domnio de origem O domnio do qual os objetos so movidos durante uma migrao. Quando ocorre uma reestruturao de domnios do Active Directory entre florestas, o domnio de origem um domnio do Active Directory em uma floresta diferente do domnio de destino. Domnio de destino O domnio para o qual os objetos so movidos durante uma migrao. Contas internas Grupos de segurana padro que possuem conjuntos comuns de direitos e permisses. Voc pode usar contas internas para conceder permisses para contas ou grupos designados como membros desses grupos. Os SIDs (identificadores de segurana) de contas internas so idnticos em todos os domnios. Portanto, as contas internas no podem ser objetos de migrao.
Ferramenta de Migrao do Active DirectoryVoc pode usar a ADMT para migrar objetos em florestas do Active Directory. Essa ferramenta inclui assistentes que automatizam tarefas de migrao, como migrao de usurios, grupos, contas de servio, computadores e confianas e execuo de converso de segurana. Voc pode executar tarefas da ADMT usando o console da ADMT, uma linha de comando ou um script. Quando voc executa a ADMT na linha de comando, geralmente mais eficiente usar um arquivo de opo para especificar as opes da linha de comando. Voc pode usar a referncia do arquivo de opo da ADMT do exemplo a seguir para ajud-lo a criar arquivos de opes. Os exemplos de sintaxe da linha de comando so fornecidos para cada tarefa que voc deve executar para reestruturar os domnios dentro da floresta. A listagem a seguir mostra opes comuns que se aplicam a vrias tarefas de migrao. Cada tipo de tarefa de migrao tem uma seo que lista opes especficas dessa tarefa. O nome da seo corresponde ao nome da tarefa quando voc executa a ADMT na linha de comando. Voc pode comentar itens com um ponto e vrgula. Na lista a seguir, os valores padro so comentados.[Migration] ;IntraForest=No ;SourceDomain="nome_de_domnio_de_origem" ;SourceOu="caminho_de_uo_de_origem"
;TargetDomain="nome_de_domnio_de_destino" ;TargetOu="caminho_de_uo_de_destino" ;PasswordOption=Complex
12
;PasswordServer="" ;PasswordFile="" ;ConflictOptions=Ignore ;UserPropertiesToExclude="" ;InetOrgPersonPropertiesToExclude="" ;GroupPropertiesToExclude="" ;ComputerPropertiesToExclude=""
[User] ;DisableOption=EnableTarget ;SourceExpiration=None ;MigrateSIDs=Yes ;TranslateRoamingProfile=No ;UpdateUserRights=No ;MigrateGroups=No ;UpdatePreviouslyMigratedObjects=No ;FixGroupMembership=Yes ;MigrateServiceAccounts=No ;UpdateGroupRights=No
[Group] ;MigrateSIDs=Yes ;UpdatePreviouslyMigratedObjects=No ;FixGroupMembership=Yes ;UpdateGroupRights=No ;MigrateMembers=No ;DisableOption=EnableTarget ;SourceExpiration=None ;TranslateRoamingProfile=No ;MigrateServiceAccounts=No
[Security] ;TranslationOption=Add ;TranslateFilesAndFolders=No
13
;TranslateLocalGroups=No ;TranslatePrinters=No ;TranslateRegistry=No ;TranslateShares=No ;TranslateUserProfiles=No ;TranslateUserRights=No ;SidMappingFile="SidMappingFile.txt"
Quando voc executa a ADMT na linha de comando, no precisar incluir uma opo em seu comando se desejar aceitar o valor padro. Neste guia, entretanto, so fornecidas tabelas que listam parmetros e valores possveis para referncia. As tabelas listam o equivalente linha de comando de cada opo mostrada no procedimento do console da ADMT correspondente, incluindo as opes nas quais voc aceita o valor padro. Voc pode copiar a referncia do arquivo de opo no Bloco de Notas e salv-la usando uma extenso de nome de arquivo .txt. Como um exemplo, para migrar um pequeno nmero de computadores, voc pode digitar cada nome de computador na linha de comando, usando a opo /N e, em seguida, listar outras opes de migrao dentro de um arquivo de opo, como a seguir:ADMT COMPUTER /N "" "" /O:".txt"
Em que e so os nomes dos computadores do domnio de origem que voc est migrando neste lote.
Usando um arquivo de inclusoQuando voc migra um nmero grande de usurios, grupos ou computadores, mais eficiente usar um arquivo de incluso. Um arquivo de incluso um arquivo de texto no qual voc lista os objetos de usurio, grupo e computador que deseja migrar, com cada objeto em uma linha separada. Voc dever usar um arquivo de incluso se desejar renomear objetos durante a migrao. Voc pode listar usurios, grupos e computadores juntos em um arquivo ou pode criar um arquivo separado para cada tipo de objeto. Em seguida, especifique o nome do arquivo de incluso com a opo /F, como a seguir:ADMT COMPUTER /F "" /IF:YES /SD:" /TD:"" /TO:""
Para especificar os nomes de usurios, grupos ou computadores, use uma das seguintes convenes: y O nome da conta do SAM (Gerenciador de Contas de Segurana). Para especificar um nome de computador nesse formato, voc deve anexar um smbolo de cifro ($) no nome do computador. Por exemplo, para especificar um computador com o nome Workstation01, use Workstation01$. 14
y
O nome diferenciado relativo (tambm conhecido como RDN), por exemplo, cn= Workstation01. Se voc especificar a conta como um nome diferenciado relativo, dever especificar a UO (unidade organizacional) de origem. O nome cannico. Voc pode especificar o nome cannico como nome de domnio DNS/caminho_da_uo/nome_do_objeto ou caminho_da_uo/nome_do_objeto, por exemplo, Asia.trccorp.treyresearch.net/Computers/Workstation01 ou Computers/Workstation01.
y
As seguintes sees descrevem os campos de um arquivo de incluso e fornecem exemplos para cada campo:
Campo SourceNameO campo SourceName especifica o nome do objeto de origem. Voc pode especificar um nome de conta ou um nome diferenciado relativo. Se voc especificar apenas nomes de origem, ser opcional definir um cabealho na primeira linha do arquivo. O exemplo a seguir ilustra uma linha de cabealho que especifica o campo SourceName. O exemplo mostra tambm um nome de objeto de origem que especificado em vrios formatos. A segunda linha especifica um nome de conta. A terceira linha especifica um nome diferenciado relativo. SourceName name CN=name
Campo TargetNameVoc pode usar o campo TargetName para especificar um nome base que usado para gerar um nome diferenciado relativo de destino, um nome de conta do SAM de destino e um UPN (nome principal de usurio) de destino. O campo TargetName no pode ser combinado com outros campos de nome de destino que so descritos nesta seo. Observao O UPN de destino gerado apenas para objetos de usurio e apenas um prefixo UPN gerado. Um sufixo UPN anexado usando um algoritmo que depende se um sufixo UPN est definido para a UO de destino ou a floresta de destino. Se o objeto for um computador, a conta de SAM de destino incluir um sufixo "$". O exemplo de entrada a seguir gera o nome diferenciado relativo de destino, o nome da conta do SAM de destino e o UPN de destino como "CN=newname", "newname" e "newname", respectivamente. SourceName,TargetName oldname, newname
15
Campos TargetRDN, TargetSAM e TargetUPNVoc pode usar os campos TargetRDN, TargetSAM e TargetUPN para especificar os nomes de destino diferentes, independentemente um do outro. Voc pode especificar qualquer combinao desses campos em qualquer ordem. TargetRDN especifica o nome diferenciado relativo de destino para o objeto. TargetSAM especifica o nome de conta do SAM de destino para o objeto. Para computadores, o nome deve incluir um sufixo "$" que seja um nome de conta do SAM vlido para um computador. TargetUPN especifica o UPN de destino do objeto. Voc pode especificar apenas o prefixo UPN ou um nome UPN completo (prefixo@sufixo). Se o nome especificado contiver um espao ou uma vrgula, voc dever colocar o nome entre aspas duplas (" "). SourceName,TargetRDN oldname, CN=newname SourceName,TargetRDN,TargetSAM oldname, "CN=New RDN", newsamname SourceName,TargetRDN,TargetSAM,TargetUPN oldname, "CN=last\, first", newsamname, newupnname Observao Uma vrgula dentro do valor CN deve ser precedida por um caractere de espao ("\") ou a operao falhar e a ADMT registrar um erro de sintaxe invlido no arquivo de log. SourceName,TargetSAM,TargetUPN,TargetRDN oldname, newsamname, newupnname@targetdomain, "CN=New Name"
Renomeando objetosUse o seguinte formato em um arquivo de incluso para renomear objetos de computador, usurio ou grupo durante a migrao: y Use SourceName, TargetRDN, TargetSAM e TargetUPN como cabealhos de colunas na parte superior do arquivo de incluso. SourceName o nome da conta de origem e deve ser listado como o cabealho da primeira coluna. Os cabealhos de coluna TargetRDN, TargetSAM e TargetUPN so opcionais e voc pode list-los em qualquer ordem. necessrio especificar o nome da conta como um nome de usurio, nome diferenciado relativo ou nome cannico. Se voc especificar o nome da conta como um nome diferenciado relativo, dever especificar tambm a UO de origem.
y
Estes itens so exemplos de arquivos de incluso vlidos em que a opo de renomeao usada: SourceName,TargetSAM abc,def
16
Essa entrada do arquivo de incluso altera o nome da conta TargetSAM do usurio "abc" para "def." O TargetRDN e o TargetUPN, que no so especificados nesse arquivo de incluso, no so alterados como resultado da migrao. SourceName,TargetRDN,TargetUPN abc,CN=def,[email protected] Essa entrada do arquivo de incluso altera o TargetRDN do usurio abc para CN=def e o TargetUPN para [email protected]. O TargetSAM do usurio abc no alterado como resultado da migrao. Importante Voc deve especificar CN= antes de usar um valor RDN.
Usando um arquivo de exclusoVoc pode excluir objetos da migrao usando um arquivo de excluso. Um arquivo de excluso uma arquivo de texto que lista o atributo SAMAccountName dos objetos que voc deseja excluir. Por exemplo, para excluir as contas de servio gerenciado a seguir, crie um arquivo de texto:MSA_USER5$ MSA_USER6$
Depois, especifique o nome do arquivo de excluso quando executar o comando admt. Por exemplo:admt managedserviceaccount /ef:exclude file name
Como opo, voc pode especificar contas especficas usando o parmetro /en:admt managedserviceaccount /en:conta de servio gerenciado 1 conta de servio gerenciado 2
Usando scriptsOs scripts de amostra que so fornecidos neste guia referem-se s constantes simblicas que so definidas em um arquivo chamado AdmtConstants.vbs. A listagem a seguir mostra o arquivo VBScript (Microsoft Visual Basic Scripting Edition) de constantes da ADMT. As constantes so fornecidas tambm na pasta de instalao da ADMT, no arquivo TemplateScript.vbs, no diretrio %systemroot%\WINDOWS\ADMT. Para usar os scripts de amostra deste guia, copie o arquivo VBScript de constantes da ADMT no Bloco de Notas e salve-o como AdmtConstants.vbs. Certifique-se de salv-lo na mesma pasta em que voc planeja salvar os scripts de amostra que so fornecidos neste guia.Option Explicit
'----------------------------------------------------------------------------
17
' Constantes de script da ADMT '----------------------------------------------------------------------------
' Constantes de PasswordOption
Const admtComplexPassword Const admtCopyPassword
= &H0001 = &H0002
' Observe que a constante a seguir no pode ser especificada sozinha. ' Ela deve ser especificada junto com admtComplexPassword ou admtCopyPassword. Const admtDoNotUpdatePasswordsForExisting = &H0010
' Constantes ConflictOptions
Const admtIgnoreConflicting Const admtMergeConflicting Const admtRemoveExistingUserRights Const admtRemoveExistingMembers Const admtMoveMergedAccounts
= &H0000 = &H0001 = &H0010 = &H0020 = &H0040
' Constantes DisableOption
Const admtLeaveSource Const admtDisableSource
= &H0000 = &H0001
Const admtTargetSameAsSource = &H0000 Const admtDisableTarget Const admtEnableTarget = &H0010 = &H0020
' Constante SourceExpiration
Const admtNoExpiration = -1
' Opo de converso
18
Const admtTranslateReplace = 0 Const admtTranslateAdd Const admtTranslateRemove = 1 = 2
' Tipo de relatrio
Const admtReportMigratedAccounts
= 0
Const admtReportMigratedComputers = 1 Const admtReportExpiredComputers = 2
Const admtReportAccountReferences = 3 Const admtReportNameConflicts = 4
' Constantes de opo
Const admtNone Const admtData Const admtFile Const admtDomain Const admtRecurse
= 0 = 1 = 2 = 3 = &H0100 = &H0000
Const admtFlattenHierarchy
Const admtMaintainHierarchy = &H0200
Verses e ambientes com suporte da Ferramenta de Migrao do Active DirectoryEste tpico explica as diferentes verses da Ferramenta de Migrao do Active Directory (ADMT) que esto disponveis. Ele fornece links para baixar cada verso, e explica os requisitos para instal-las, os ambientes com suporte em que elas podem ser usadas e como elas trabalham com certos recursos do Active Directory no Windows Server.verso do ADMT Platafo Requisitos rma de de domnio instala de origem o Requisitos de domnio de destino Objetos de migrao de computador com suporte
ADMT v3.0
Windo
Domnios
O nvel funcional de domnio
Migra 19
verso do ADMT
Platafo Requisitos rma de de domnio instala o de origem
Requisitos de domnio de destino
Objetos de migrao de computador com suporte
(http://go.microsoft.com/f wlink/?LinkID=68791)
ws de origem de destino mnimo Windows 2000 nativo. Server podem 2003 conter controladore s de domnio que executem o Windows N T, o Windows 2000 Server ou o Windows Server 2003. Nenhum nvel funcional de domnio mnimo exigido para um domnio de origem. Windo ws Server 2008 Domnios de origem podem conter controladore s de domnio que executam o Windows 2000 Server, Windows Server 2003 ou o Windows O nvel funcional de domnio de destino mnimo Windows 2000 nativo. Se o domnio de destino tiver controladores de domnio que executem o Windows Server 2008 R2, use o ADMT v3.2. Observao H problemas conhecidos ao usar o ADMT v3.1 para migrar objetos para um domnio que tenha
computador es que executam o Windows 2000 Profes sional, o Windows X P, o Windows N T 4, o Windows 20 00 Server e o Windows Server 2003.
ADMT v3.1 (http://go.microsoft.com/f wlink/?LinkId=121732)
Migra computador es que executam o Windows 2000 Profes sional, o Windows X P, o Windows Vi sta, o Windows 20 00 Server, o Windows Server 2003 20
verso do ADMT
Platafo Requisitos rma de de domnio instala o de origem
Requisitos de domnio de destino
Objetos de migrao de computador com suporte
Server 2008 . Nenhum nvel funcional de domnio mnimo exigido para um domnio de origem, mas o ADMT v3.1 no pode ser usado para migrar objetos de domnios do Windows NT 4. ADMT v3.2 (http://go.microsoft.com/f wlink/?LinkId=186197) Windo ws Server 2008 R2
controladores de domnio do Windows Server 2008 R2. Para obter mais informaes, consulte o artigo 976659 da Base de Dados de Conhecimento Microsoft (http://go.microsoft.co m/fwlink/?LinkId=1822 90).
eo Windows Server 2008 .
O nvel O nvel funcional de domnio funcional de de destino mnimo domnio de Windows Server 2003. origem mnimo Windows Se rver 2003.
Migra computador es que executam o Windows X P, o Windows Vi sta, o Windows 7, o Windows Server 2003, o Windows Server 2008 eo Windows Server 2008 R2.
21
Suporte para recursos do Windows ServerNenhuma verso do ADMT pode ser instalada em um controlador de domnio somente leitura (RODC) ou em uma instalao do Server Core. Um RODC no pode ser usado como um controlador de domnio de origem ou destino para migrao. Alm disso, o ADMT v3.2 fornece o seguinte suporte para novos recursos do Active Directory no Windows Server 2008 R2.Recurso Impacto de usar o ADMT v3.2
Contas de servio gerenciado
Pode ser migrado usando o Assistente para Migrao da Conta de Servio Gerenciado ou o comando admt managedserviceaccount. Contas de usurio que esto habilitadas para a Garantia de Mecanismo de Autenticao precisam ser migradas usando um arquivo de incluso Importante O Nome do Usurio Principal (UPN) alterado quando um usurio migrado, o que impede o funcionamento da Garantia do Mecanismo de Autenticao. Para contornar esse problema, voc precisa manter um registro das UPNs das contas de usurio que esto habilitadas para Garantia de Mecanismo de Autenticao e migr-las usando um arquivo de incluso. Em um arquivo de incluso, voc pode especificar as targetUPNs para que esses usurios sejam migrados. Assim voc pode substituir as UPNs nesse domnio de destino pela UPNS original do domnio de origem. Para obter mais informaes sobre como usar um arquivo de incluso, consulte Usar um arquivo de incluso.
Garantia do Mecanismo de Autenticao
Associao offline de domnio
Nenhum impacto 22
Recurso
Impacto de usar o ADMT v3.2
Lixeira do Active Directory Windows PowerShell
Nenhum impacto No incorporado no ADMT v3.2
Prticas recomendadas para a migrao do Active DirectoryAplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2 Para garantir que o processo de migrao seja o mais contnuo possvel, siga estas prticas recomendadas: y y y y Prticas recomendadas para o uso da Ferramenta de Migrao do Active Directory Prticas recomendadas para a execuo de migraes de contas de usurio e de grupo Prticas recomendadas para executar migraes de computadores Prticas recomendadas para reverter uma migrao
Prticas recomendadas para o uso da Ferramenta de Migrao do Active DirectoryAplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2 y Durante as migraes, faa backups regulares de controladores de domnio tanto nos domnios de origem quanto nos domnios de destino. Se voc estiver migrando computadores que contenham compartilhamentos de arquivo para a execuo de converso de segurana, recomendamos que voc tambm faa backup desses computadores durante migraes. Antes de iniciar uma migrao, execute uma migrao de teste criando um usurio de teste, adicionando o usurio de teste aos grupos globais adequados e verificando o acesso a recursos antes e depois da migrao. Teste seus cenrios de migrao em um ambiente de teste antes de migrar objetos do ambiente de produo. Tenha um plano de recuperao e garanta que seu plano de recuperao funcione durante a fase de teste de sua migrao. Descriptografe arquivos que tenham sido criptografados por meio do EFS (sistema de criptografia de arquivos). Falha ao descriptografar arquivos criptografados resulta na perda do acesso a arquivos criptografados aps a migrao. Certifique-se de comunicar aos
y
y y y
23
usurios finais de que eles precisaro descriptografar quaisquer arquivos criptografados ou perdero o acesso a esses arquivos. y Garanta que o horrio do sistema esteja sincronizado em cada domnio do qual objetos sejam migrados. A autenticao Kerberos falha se o horrio estiver diferente.
Prticas recomendadas para a execuo de migraes de contas de usurio e de grupoAplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2 y Durante as migraes, faa backups regulares de controladores de domnio tanto nos domnios de origem quanto nos domnios de destino. Se voc estiver migrando computadores que contenham compartilhamentos de arquivo para a execuo de converso de segurana, recomendamos que voc tambm faa backup desses computadores durante migraes. Recomenda-se migrar usurios em lotes. Um tamanho de lote de 100 usurios ajuda a manter o processo de migrao gerencivel. Sempre administre as alteraes em contas de usurio e contas de grupo no domnio de origem durante o processo de migrao. Use a opo Migrar e mesclar objetos conflitantes na pgina Gerenciamento de Conflitos do Assistente para Migrao de Conta de Usurio e o Assistente para Migrao de Conta de Grupo para repetir a migrao de usurios e grupos sempre que necessrio durante a migrao. Administrar alteraes no domnio de origem e usar a opo Migrar e mesclar objetos conflitantes durante a migrao faz com que todas as alteraes realizadas em um objeto no domnio de origem sejam refletidas no domnio de destino depois de migrado. Para manter o acesso aos recursos, verifique se os membros do grupo aderem s seguintes diretrizes: y y y y Usam grupos globais para agrupar usurios. Usam grupos locais para proteger recursos. Inserem grupos globais em grupos locais para conceder aos membros dos grupos globais acesso a um recurso.
y y y
y
Aderem s diretrizes na tabela a seguir quando voc converte perfis de usurio.
24
Tipo de perfil
Diretrizes de converso
Perfis mveis
Selecione a opo Converter perfis mveis na pgina Opes do Usurio no Assistente para Migrao de Conta de Usurio. Em seguida, converta os perfis de usurio local de um lote de usurios imediatamente depois de migrar esses usurios. Converta perfil locais como uma etapa parte do processo de migrao de conta de usurio. Selecione Perfis de usurio na pgina Converter Objetos do Assistente para Converso de Segurana. Converta os perfis de usurio local de um lote de usurios imediatamente depois de migrar esses usurios. Os usurios perdem seus perfis existentes quando suas contas de usurio so migradas.
Perfis locais
Perfis no gerenciados
Importante importante verificar se a converso do perfil local foi realizada com xito antes que os usurios faam logon no domnio de destino. Se os usurios fizerem logon no domnio de destino usando suas novas contas de destino e seus perfis no tiverem sido convertidos com xito, eles precisaro migrar novamente do domnio de origem para o domnio de destino. Para obter mais informaes sobre as etapas a serem seguidas se uma converso de perfil local falhar, consulte Solucionando problemas de converso de segurana.
Prticas recomendadas para executar migraes de computadoresAplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2 y Durante as migraes, faa backups regulares de controladores de domnio tanto nos domnios de origem quanto nos domnios de destino. Se voc estiver migrando computadores que contenham compartilhamentos de arquivo para a execuo de converso de segurana, recomendamos que voc tambm faa backup desses computadores durante a migrao.
25
y
Verifique se as estaes de trabalho e os servidores membros foram reiniciados imediatamente aps voc associ-los ao domnio de destino. A Ferramenta de Migrao do Active Directory (ADMT) automatiza a reinicializao de estaes de trabalho e servidores membros, mas voc deve utilizar a opo Minutos at que os computadores sejam reinicializados aps a concluso do assistente do Assistente para Migrao de Computadores para selecionar o perodo de tempo decorrido at que o computador seja reiniciado. Os computadores que no forem reiniciados aps a migrao ficaro em um estado indeterminado. Comunique aos usurios finais que seus computadores devero estar conectados rede no horrio agendado para migrao.
y
Prticas recomendadas para reverter uma migraoAplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2 y Reverta as contas de usurios e grupos que foram migradas entre florestas habilitando as contas no domnio de origem (se elas foram desabilitadas durante a migrao), verificando se as contas tm acesso aos recursos no domnio de origem e, em seguida, verificando se os scripts de logon e os perfis de usurio funcionam conforme configurado no domnio de origem. Reverta os recursos que foram migrados entre florestas alterando a associao de domnio de servidores e estaes de trabalho e, em seguida, reiniciando-os. Efetue logon nos recursos no domnio de origem para garantir que os recursos sejam acessveis. Reverta as contas e os recursos que foram migrados dentro de uma floresta migrando os objetos novamente do domnio de destino para o domnio de origem. As contas e os recursos que foram migrados dentro de uma floresta so movidos e no so copiados. Portanto, eles deixam de existir no domnio de origem. Observao Para garantir uma reverso bem-sucedida de uma migrao entre florestas, no tente excluir os objetos no domnio de destino e, em seguida, restaur-los no domnio de origem. No ser possvel recuperar os objetos do domnio de origem porque eles so automaticamente excludos pelo proxy de movimentao entre domnios aps tentativa de restaurao. Observao Ao executar uma migrao interna na floresta usando o ADMT v3.1, se o nvel funcional do domnio de origem for o Windows 2000 misto, voc no poder migrar os objetos novamente do domnio de destino para o domnio de origem para desfazer as alteraes da migrao. Uma nova migrao requer que o domnio de
y
y
26
origem se torne o domnio de destino e, com o ADMT v3.1, o nvel funcional do domnio de destino dever estar pelo menos no nvel do Windows 2000 nativo.
Reestruturao dos Domnios do Active Directory Entre FlorestasAplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2 A reestruturao de domnio do Active Directory entre florestas envolve realocar objetos de domnios de origem em uma floresta para domnios de destino em outra. Pode ser necessrio reestruturar domnios do Active Directory entre florestas para: y y y y Migrar um domnio piloto para seu ambiente de produo. Mesclar usurios e recursos com outra organizao devido a uma fuso corporativa e necessidade de consolidar as duas infraestruturas de tecnologia da informao (TI). Realocar usurios e recursos regularmente devido a uma implantao planejada de vrias florestas. Remover objetos de sua floresta devido a uma alienao para outra organizao ou para mesclar posteriormente em uma floresta nova ou existente para essa organizao. Lista de verificao: Executando uma migrao entre florestas Viso geral da reestruturao de domnios do Active Directory entre florestas (Guia de Migrao da ADMT v3.1) Reestruturando limitaes Planejando reestruturar domnios do Active Directory entre florestas Preparando os domnios de origem e de destino Migrando Contas Migrando Recursos Executando a migrao
Nesta seo y y y y y y y y
Lista de verificao: Executando uma migrao entre florestasAplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2 A migrao de domnio do Active Directory entre florestas (migrao entre florestas) envolve realocar objetos de domnios de origem em uma floresta para domnios de destino em outra. Pode ser necessrio reestruturar os domnios do Active Directory entre as florestas pelos seguintes motivos: 27
y y
Para migrar um domnio piloto para seu ambiente de produo Para mesclar sua floresta do Active Directory com a floresta de outra organizao e consolidar as suas infraestruturas de tecnologia de informao (TI)Referncia
Tarefa
Leia as instrues de pr-instalao da Ferramenta de Migrao do Active Directory (ADMT). Para migrar computadores que estejam executando o Windows Server 2008, o Windows Server 2003, o Windows Vista (sem o Service Pack 1), o Windows XP e o Microsoft Windows 2000 (usando o ADMT 3.1) para um domnio de destino com controladores de domnio que estejam executando o Windows Server 2008 R2 ou o Windows Server 2008, defina primeiro a seguinte chave do Registro nos controladores de domnio de destino: Observao Esta chave de Registro no precisa ser definida para migrar computadores que executem o Windows Server 2008 R2, o Windows 7 ou o Windows Vista SP1. Caminho do Registro: HKLM\System\CurrentControlSet\Services\Netlogon \Parameters Valor do Registro: AllowNT4Crypto Tipo: REG_DWORD Dados: 1 Observao Essa configurao do Registro corresponde configurao Permitir algoritmos de criptografia compatveis com Windows NT 4.0 da Diretiva de Grupo. Para tarefas de migrao que usem a implantao de agente e o Firewall do Windows, habilite a exceo Compartilhamento de Arquivo e Impressora. Isso pode incluir migrao nas seguintes situaes: y Migrao de computadores de estao de trabalho e de servidores membros que estejam executando o Windows Server 2008 R2, o Windows
Instalando o ADMT no domnio de destino Para obter mais informaes sobre como fazer essa alterao usando a Diretiva de Grupo, consulte Problemas conhecidos relacionados instalao e remoo de AD DS (http://go.microsoft.com/fwlink/?LinkId= 119321).
Para obter mais informaes sobre como fazer essa alterao no Firewall do Windows, consulte Habilitar ou desabilitar a exceo de compartilhamento de arquivos e impressoras (http://go.microsoft.com/fwlink/?LinkID= 28
Tarefa
Referncia
Server 2008, o Windows Server 2003, o Windows 7, o Windows Vista ou o Windows XP. y Migrao de configuraes de segurana ou execuo de converso de segurana
119315).
Prepare-se para reestruturar os domnios do Active Directory dentro de uma floresta. Essa tarefa possui as seguintes subtarefas: y y y y y y Determine o processo de migrao da sua conta. Atribua localizaes e funes de objeto. Desenvolva um plano de testes para sua migrao. Crie um plano de reverso. Gerencie usurios, grupos e perfis de usurios. Crie um plano de comunicao de usurio.
Instalando o ADMT no domnio de destino Planejando reestruturar domnios do Active Directory entre florestas
Prepare os domnios de origem e destino. Essa tarefa possui as seguintes subtarefas: y y y y Instale o software de criptografia de 128 bits. Estabelea confianas necessrias para a migrao. Estabelea contas de migrao para a sua migrao. Configure o domnios de origem e destino para a migrao do histrico do identificador de segurana (SID). Configure a estrutura de unidade organizacional (UO) do domnio de destino. Instale o ADMT no domnio de destino. Especifique contas de servio para a sua migrao.
Instalando o ADMT no domnio de destino Planejando reestruturar domnios do Active Directory entre florestas
y y y
Especifique e transfira contas de servio usando o Fazendo a transio de contas de servio na sua migrao Assistente para Migrao de Conta de Servio ou as ferramentas de linha de comando do ADMT. Voc pode usar a ferramenta de linha de comando admt service para especificar contas de servio no domnio de origem. Voc pode usar a ferramenta de linha de comando admt user para transferir as suas contas de servio especificadas. Migre grupos globais usando o Assistente para Migrao de Conta de Grupo ou a ferramenta de linha Migrando grupos globais 29
Tarefa
Referncia
de comando admt group. Migre contas de servio gerenciado, contas de usurio e contas de estao de trabalho com seus histricos SID em lotes. Voc pode usar o Assistente para Migrao de Conta de Usurio ou a ferramenta de linha de comando admt user para migrar contas de usurio. Voc pode usar o Assistente para Migrao de Conta de Servio Gerenciado ou a ferramenta de linha de comando admt managedserviceaccount para migrar contas de servio gerenciado. Migre recursos, como servidores membros e grupos de domnio local. Voc pode usar o Assistente para Migrao de Conta de Computador ou a ferramenta de linha de comando admt computer para migrar contas de computador. Voc pode usar o Assistente para Migrao de Conta de Grupo ou a ferramenta de linha de comando admt group para migrar grupos. Converta segurana nos servidores para adicionar os SIDs das contas de usurio e de grupo no domnio de destino s contas de listas de controle de acesso (ACLs) de todos os recursos. Voc pode usar o Assistente para converso de segurana ou a ferramenta de linha de comando admt security. Migrando contas ao usar o histrico SID Migrando contas de servio gerenciado Migrando todas as contas de usurio
Repetindo a migrao de contas de usurio e migrando estaes de trablaho em lotes
Convertendo a segurana no modo de adio
Repita migraes de contas de usurio, computadores Repetindo a migrao de contas de de estao de trabalho e servidores membros, incluindo usurio e migrando estaes de trablaho em lotes a converso de perfis de usurios locais para objetos de usurio e de computador migrados anteriormente. Faa a migrao de grupos locais de domnio usando o Assistente para Migrao de Conta de Grupo ou a ferramenta de linha de comando admt group. Migre controladores de domnio. Concluir tarefas ps-migrao. Essa tarefa possui as seguintes subtarefas: y y Faa a converso de segurana em servidores membros. Encerre os domnios de origem. Migrando grupos locais compartilhados e de domnio Migrando controladores de domnio Fazendo a converso de segurana em servidores membros Descomissionando o domnio de origem
30
Viso geral da reestruturao de domnios do Active Directory entre florestas (Guia de Migrao da ADMT v3.1)Aplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2 Ao reestruturar domnios entre florestas, voc pode reduzir o nmero de domnios em sua organizao, o que ajuda a reduzir a complexidade administrativa e os custos de sobrecarga associados do ambiente do Active Directory. A reestruturao de domnios envolve copiar contas e recursos de um domnio de origem para um domnio de destino em outra floresta do Active Directory. Se voc estiver usando a verso 3.1 da Ferramenta de Migrao do Active Directory (ADMT), o domnio de destino dever estar pelo menos em um nvel funcional nativo do Windows 2000. Se voc estiver usando a verso 3.2 do ADMT, os domnios de origem e de destino devero estar pelo menos em um nvel funcional do Windows Server 2003. Se sua organizao tiver sido fundida a outra organizao ou infraestrutura de tecnologia da informao (TI), voc poder reestruturar domnios para consolidar contas e recursos entre as duas infraestruturas. Nesta seo y y Processo de reestruturao de domnios do Active Directory entre florestas Informaes bsicas sobre a reestruturao de domnios do Active Directory entre florestas
Processo de reestruturao de domnios do Active Directory entre florestasAplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2 Reestruturar domnios do Active Directory entre florestas envolve o planejamento e a preparao da reestruturao de domnio para sua organizao. Essa tarefa tambm requer que contas e recursos sejam migrados para um domnio do Active Directory em outra floresta. A figura a seguir mostra o processo de reestruturao de domnios do Active Directory entre florestas.
31
Informaes bsicas sobre a reestruturao de domnios do Active Directory entre florestasAplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2 O processo de migrao entre florestas no considerado destrutivo porque os objetos de migrao continuam a existir no domnio de origem at que o domnio de origem seja descomissionado. Como os ambientes do domnio de origem e de destino existem simultaneamente durante a migrao, voc tem a opo de reverter para o ambiente de origem caso a migrao falhe por algum motivo, por exemplo, se um determinado objeto no migrar ou o acesso no for mantido e preservado no domnio de destino aps a execuo da migrao. Voc pode usar a Ferramenta de Migrao do Active Directory (ADMT) para migrar contas e recursos entre domnios, preservando permisses de usurio e objeto. Durante o processo de reestruturao entre florestas, os usurios tm acesso contnuo a recursos necessrios. Alm disso, voc pode mover usurios, grupos e recursos independentemente um do outro. As sees restantes neste tpico explicam o processo de migrao de conta e recurso.
32
Processo de migrao de contaA reestruturao de contas entre florestas do Active Directory envolve a cpia de usurios, grupos e perfis locais do domnio de origem para o domnio de destino, preservando os direitos de acesso e atributos desses objetos. Quando contas de usurio so migradas entre domnios do Active Directory em florestas diferentes, a conta original permanece em seu lugar no domnio de origem e uma nova conta criada no domnio de destino. Como o identificador de segurana (SID) de uma entidade de segurana (usurio ou grupo) sempre contm um identificador para o domnio no qual a entidade de segurana est localizada, um novo SID criado para o usurio no domnio de destino. Como o ADMT pode migrar o SID da entidade de segurana original para a entidade de segurana do domnio de destino, no preciso executar tarefas adicionais para garantir acesso a recursos a menos que voc esteja usando a filtragem do SID entre as florestas. Se voc estiver usando o ADMT v3.1 e a verso 5.5 do Microsoft Exchange Server, use o Assistente para Migrao do Exchange Server do ADMT para converter a segurana nas caixas de correio dos usurios migrados. Se estiver usando servidores Exchange 2000, o ADMT no fornece ferramentas para migrao de caixa de correio. Neste caso, planeje migrar caixas de correio primeiro usando a ferramenta de migrao de caixa de correio do Exchange 2000 e depois migre contas de usurio. Se estiver usando a Diretiva de Grupo para gerenciar redirecionamento de pasta ou distribuio de software, certifique-se de que estas diretivas continuem aplicveis ao migrar contas de usurio para uma nova floresta. Alm disso, se estiver usando um objeto de Diretiva de Grupo (GPO) para conceder ou negar acesso no domnio de origem e no no domnio de destino, o ADMT no poder determinar o acesso remoto a ser atribudo ao usurio. Se estiver usando a Diretiva de Grupo para gerenciar redirecionamento de pasta, Arquivos Offline no funcionar depois que a conta de usurio for migrada para uma nova floresta. Arquivos Offline armazena o SID do usurio como proprietrio; o SID alterado quando a conta de usurio migrada. Para restaurar a propriedade de Arquivos Offline, use o Assistente para converso de segurana do ADMT para substituir as permisses nos arquivos e pastas no computador cliente que contm o cache de arquivos offline. Para garantir que os usurios continuem tendo acesso a Arquivos Offline aps migrar contas de usurio para o domnio de destino, voc pode fazer o seguinte: 1. Converta segurana em computadores clientes para atualizar Arquivos Offline. 2. Se o histrico do SID da conta de usurio no tiver sido migrado para o domnio de destino, converta segurana no servidor que hospeda pastas redirecionadas. Se estiver usando redirecionamento de pasta, uma das seguintes opes ocorre: y Se o caminho do redirecionamento de pasta for diferente no novo ambiente, os usurios podero acessar a pasta se o histrico do SID da conta de usurio tiver sido migrado para o domnio de destino. A extenso do redirecionamento de pasta copia os arquivos do local original no domnio de origem para o novo local no domnio de destino. O histrico do SID permite que a conta de usurio acesse as pastas de origem. 33
y
Se o caminho do redirecionamento de pasta for o mesmo no novo ambiente, os usurios no podero acessar a pasta redirecionada porque o redirecionamento de pasta ir verificar a propriedade da pasta redirecionada e falhar. Ser preciso, ento, converter segurana na pasta redirecionada no servidor.
Se estiver usando a Diretiva de Grupo para gerenciar instalao de software e o pacote Windows Installer exigir acesso origem original para operaes como reparo e remoo, ser preciso converter segurana no ponto de distribuio do software aps migrar usurios para garantir que a instalao do software continue funcionando corretamente no domnio de destino.
Processo de migrao de recursoDomnios do Active Directory incluem trs tipos de recursos: y y y Contas de estao de trabalho Contas de servidor membro Recursos em servidores membros
A migrao de estaes de trabalho e servidores membros um processo simples. Os grupos locais que voc cria para atribuir permisses a usurios esto localizados no banco de dados do Gerenciador de Contas de Segurana (SAM) e so movidos quando voc move o servidor. No preciso reconfigurar ACLs (listas de controle de acesso) para que os usurios possam acessar recursos aps a migrao. Para migrar controladores de domnio entre domnio, remova os Servios de Domnio Active Directory (AD DS) do controlador de domnio, migre-o como servidor membro para o domnio de destino e reinstale o AD DS.
Planejando reestruturar domnios do Active Directory entre florestasAplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2 Conclua as tarefas de planejamento necessrias antes de comear a migrao. Isso ajuda a garantir que os usurios possam continuar a fazer logon na rede e a acessar recursos durante a migrao. O planejamento da reestruturao do domnio envolve o seguinte: y y y y y y Determinar seu processo de migrao de conta Atribuir localizaes e funes de objeto Desenvolver um plano de teste Criar um plano de reverso a ser usado caso ocorra falha na migrao Gerenciar usurios, grupos e perfis de usurio Criar um plano de comunicao de usurio final
34
Para se preparar para o processo de reestruturao, a equipe de implantao do Active Directory precisa obter as informaes de design necessrias com a equipe de design do Active Directory. A ilustrao a seguir mostra as etapas envolvidas no planejamento da reestruturao de domnios do Active Directory entre florestas.
Determinando seu processo de migrao de contasAplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2 Com a Ferramenta de Migrao do Active Directory (ADMT), voc pode usar o histrico do SID (identificador de segurana) para manter permisses de recursos ao migrar contas. Contudo, se a filtragem do SID estiver habilitada entre seus domnios de origem e de destino e voc no confiar nos administradores do domnio de origem, no ser possvel desabilitar a filtragem do SID. Voc tambm no poder usar o histrico do SID para conceder acesso a recursos do domnio de origem. Neste caso, ser preciso usar um processo de migrao diferente. Voc pode escolher um dos trs mtodos a seguir para migrar contas entre florestas enquanto mantm os direitos do usurio de acessar recursos no domnio de origem: y Migrar contas de usurio ao usar o histrico do SID para acessar recursos. Com este mtodo, voc remove a filtragem do SID nas confianas entre os domnios para permitir que
35
os usurios acessem recursos do domnio de origem por meio de suas credenciais do histrico do SID. y Se tiver uma confiana de floresta, remova a filtragem do SID na confiana de floresta. (Voc tambm pode substituir a confiana de floresta criando uma confiana externa para que o domnio que mantm os recursos confie no domnio de destino e, em seguida, removendo a filtragem do SID na confiana externa). Se no tiver uma confiana de floresta, estabelea confianas externas entre os domnios de origem e de destino. Voc precisa remover a filtragem do SID nas confianas externas se o controlador de domnio que foi usado para criar a confiana que est executando Windows Server 2008 R2, Windows Server 2008 ou o Windows Server 2003. Se voc estiver usando o ADMT v3.1, o controlador de domnio que usado para criar a confiana que pode estar executando o Windows 2000 Service Pack 4 (SP4) ou posterior.
y
Para obter mais informaes sobre o processo, consulte Migrando contas ao usar o histrico SID, posteriormente neste guia. y Migre todos os usurios, grupos e recursos para o domnio de destino em uma etapa. Para obter mais informaes sobre o processo, consulte Migrando contas ao usar o histrico SID, posteriormente neste guia. Migre contas de usurio sem usar o histrico do SID para acessar recursos, mas converta a segurana para todos os recursos antes do processo de migrao para garantir o acesso a recursos. Para obter mais informaes sobre a migrao de contas sem usar o histrico do SID, consulte Migrando contas sem usar o histrico SID, posteriormente neste guia.
y
Para determinar o melhor processo de migrao para a sua organizao, preciso antes determinar se possvel desabilitar a filtragem do SID e migrar contas ao usar o histrico do SID para acessar recursos. possvel faz-lo com segurana se os administradores do domnio de origem confiarem completamente nos administradores do domnio de destino. Voc pode desabilitar a filtragem do SID se uma das seguintes condies se aplicar: y y Os administradores do domnio confiante so os administradores do domnio confivel. Os administradores do domnio confiante confiam nos administradores do domnio confivel e esto certos de terem protegido o domnio adequadamente.
Ao desabilitar a filtragem do SID, voc remove o limite de segurana entre florestas, que fornece isolamento de dados e de servio entre as florestas. Por exemplo, um administrador do domnio de destino com direitos de administrador de servio ou um indivduo com acesso fsico a um controlador de domnio pode modificar o histrico do SID de uma conta para incluir o SID de um administrador de domnio do domnio de origem. Quando a conta de usurio para a qual o histrico do SID foi modificado fizer logon no domnio de destino, ela apresenta credenciais de administrador de domnio vlidas para, e pode obter acesso a recursos do domnio de origem. Por esse motivo, se voc no confiar nos administradores do domnio de destino ou no acreditar que os controladores de domnio do domnio de destino so fisicamente seguros, habilite a filtragem do SID entre seus domnios de origem e de destino e migre contas de usurio sem usar o histrico do SID para acessar recursos. 36
A ilustrao a seguir mostra o processo de deciso envolvido na determinao do processo de migrao adequado para a sua organizao.
Usando o histrico SID para preservar o acesso a recursosAplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2 A prtica recomendada para conceder acesso a recursos usando os grupos globais para organizar os usurios e os grupos locais do domnio para proteger os recursos. Insira grupos globais em um grupo local do domnio para conceder aos membros do grupo global acesso ao recurso. Um grupo global pode conter somente membros de seu prprio domnio. Quando um usurio migrado entre domnios, todos os grupos globais aos quais o usurio esteja associado tambm precisam ser migrados. Isso garante que os usurios possam continuar a acessar os recursos que esto protegidos pelas listas de controle de acesso (DACLs) discricionrio relativas aos grupos globais. Depois de migrar uma conta e de manter o histrico de identificador de segurana (SID) da conta do domnio de origem, quando um usurio faz logon no domnio de 37
destino, tanto o novo SID quanto o SID original do atributo de histrico SID so adicionados ao token de acesso do usurio. Esses SIDs determinam os membros do grupo local do usurio. Os SIDs dos grupos aos quais o usurio est associado so adicionados ao token de acesso, junto com o histrico SID dos grupos. Os recursos dentro dos domnios de origem e de destino resolvem suas listas de controle de acesso (ACLs) dos SIDs e verificam correspondncias entre suas ACLs e o token de acesso ao conceder ou negar acesso. Se o SID ou o histrico SID corresponderem, o acesso ao recurso concedido ou negado, de acordo com o acesso especificado na ACL. Se o recurso estiver no domnio de origem e voc no tiver executado a converso de segurana, ele usar o histrico SID da conta do usurio para conceder acesso. Voc tambm pode preservar o SID original dos grupos globais e dos grupos universais no histrico SID desses grupos no domnio de destino. Como os membros de grupo local baseiamse nos SIDs, quando voc migra o SID para o histrico SID do grupo global ou do grupo universal no domnio de destino, os membros de grupo local do grupo global ou do grupo universal so preservados automaticamente. O histrico SID usado para isto: y y y y Acesso ao perfil de usurio mvel Acesso de autoridade de certificao Acesso instalao de softwares Acesso a recursos
Se voc no estiver usando o histrico SID para acessar recursos, voc ainda assim ter que migrar o histrico SID para facilitar o acesso a esses itens.
Usando filtragem de SID durante a migrao de contas de usuriosAplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2 Para uma confiana de domnio a domnio, a filtragem de SID (identificador de segurana) no permite o uso de SIDs de fora do domnio confivel para habilitar o acesso a qualquer recurso dentro do domnio confiante. Para uma confiana de floresta a floresta, a filtragem de SID no permite o uso de SIDs de fora do domnio confivel para habilitar o acesso a qualquer recurso dentro de qualquer domnio na floresta confivel. Para habilitar o SID de um usurio em uma floresta diferente para acessar um recurso dentro de uma floresta com a filtragem de SID habilitada, converta a segurana no recurso para incluir o SID de usurio na lista de permisses. A filtragem de SID aplicada por padro quando a confiana de uma floresta estabelecida entre dois domnios raiz da floresta. Alm disso, a filtragem de SID habilitada por padro quando confianas externas so estabelecidas entre controladores de domnio que estejam
38
executando o Windows 2000 Service Pack 4 (SP4) ou posterior. Isso evita ataques de segurana potenciais por administrador em uma floresta diferente. Como a filtragem de SID no se aplica autenticao dentro de um domnio, tambm ser possvel permitir acesso aos recursos por meio do histrico de SID, se o recurso e a conta estiverem no mesmo domnio. Para permitir que usurios ou grupos acessem um recurso usando um histrico de SID, a floresta em que o recurso est localizado deve confiar na floresta em que a conta est localizada. Para obter mais informaes sobre ataques baseados no histrico de SID e sobre a filtragem de SID, consulte Definindo configuraes da filtragem de SID (http://go.microsoft.com/fwlink/?LinkId=73446) (em ingls).
Atribuindo funes e localizaes de objetosAplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2 Crie uma tabela de atribuio de objetos que liste as funes e os locais de todos os objetos que voc est migrando. Crie uma tabela para objetos de conta, como usurios, grupos e contas de servio, e outra tabela para objetos de recurso, como estaes de trabalho, perfis e controladores de domnio. Em suas tabelas, liste as localizaes da origem e do destino de todos os objetos a serem migrados. Antes de criar sua tabela de atribuio de objetos de contas, determine se as estruturas da UO (unidade organizacional) dos domnios de origem e de destino so as mesmas. Se no forem as mesmas, voc dever identificar a UO de origem e de destino em suas tabelas de atribuio de objetos. Para obter uma planilha que ajudar voc a criar uma tabela de atribuio de objetos consulte "User and Group Object Assignment Table" (Tabela de atribuio de objetos de usurio e de grupo) (DSSREER_1.doc) no download Job_Aids_Designing_and_Deploying_Directory_and_Security_Services do Auxlio de Trabalho para o Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink?LinkId=14384) (em ingls). A ilustrao a seguir mostra um exemplo de uma tabela de atribuio de objetos para usurios e grupos.
39
Para criar uma tabela de atribuio de objetos de recursos, identifique a UO de origem e de destino de cada objeto e anote o local fsico e a funo no domnio de destino. Para obter uma planilha que ajudar voc a criar uma tabela de atribuio de objetos de recursos, consulte "Resource Object Assignment Table" (Tabela de atribuio de objetos de recursos) (DSSREER_2.doc) no download Job_Aids_Designing_and_Deploying_Directory_and_Security_Services do Auxlio de Trabalho para o Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink?LinkId=14384) (em ingls). A ilustrao a seguir mostra um exemplo de uma tabela de atribuio de objetos de recursos.
40
Desenvolvendo um plano de testes para a sua migraoAplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2 A Ferramenta de Migrao do Active Directory no inclui uma opo de migrao de teste. No entanto, voc pode desenvolver um plano que ajude voc a testar sistematicamente os objetos depois de migr-los para o novo ambiente e que permita a voc identificar e corrigir quaisquer problemas que possam ocorrer. Realizar testes para verificar se a migrao foi bem-sucedida ajuda a garantir que os usurios migrados do domnio de origem para o domnio de destino possam fazer logon, acessar recursos baseados em uma associao de grupo e acessar recursos baseados em credenciais de usurio. A realizao de testes tambm ajuda a garantir que os usurios possam acessar os recursos que voc migrou. Depois de concluir os testes, voc poder continuar migrando pequenos grupos piloto e, em seguida, aumentar gradualmente o tamanho de cada lote de objetos de migrao no seu ambiente de produo. 41
Use o seguinte processo para testar a migrao do objeto de conta e de objetos de recurso: 1. Crie um usurio de teste no domnio de origem. Inclua esse usurio de teste em suas migraes. 2. Associe esse usurio aos grupos globais apropriados para permitir acesso aos recursos. 3. Faa logon no domnio de origem como o usurio de teste e verifique se consegue acessar os recursos de modo apropriado. 4. Depois de migrar a conta de usurio, converta o perfil de usurio e migre a estao de trabalho do usurio, faa logon no domnio de destino como o usurio de teste e verifique se o usurio manteve as funcionalidades e os acessos necessrios. Por exemplo, voc pode realizar um teste para verificar se: y y O usurio consegue fazer logon com xito. O usurio tem acesso a todos os recursos apropriados (como compartilhamentos de arquivos e impressoras), acesso a servios (como envio de mensagens) e acesso a aplicativos de linha de negcios (LOB). especialmente importante testar o acesso a aplicativos desenvolvidos internamente que acessam servidores de bancos de dados. O perfil de usurio foi convertido com xito e o usurio mantm as configuraes da rea de trabalho, a aparncia da rea de trabalho, os atalhos e o acesso pasta Meus Documentos. Alm disso, verifique se os aplicativos so exibidos no menu Iniciar e se podem ser iniciados por esse menu. Ao migrar contas de usurio, voc no poder migrar todas as propriedades de usurio. Para obter mais informaes sobre as propriedades de usurio que no podem ser migradas, consulte Migrar contas de usurio, posteriormente neste guia. Depois de migrar recursos, faa logon como usurio de teste no domnio de destino e verifique se consegue acessar os recursos de modo apropriado. Se ocorrer falha em alguma etapa do processo de teste, identifique a origem do problema e determine se voc pode corrigi-lo antes que o objeto precise ficar acessvel no domnio de destino. Se voc no conseguir corrigir o problema antes que o acesso ao objeto seja necessrio, reverta para sua configurao original para garantir o acesso ao usurio ou ao objeto de recurso. Para obter mais informaes sobre como criar um plano de reverso, consulte Criando um Plano de Reverso, posteriormente neste guia. Como parte do plano de teste, crie uma matriz de teste de migrao. Preencha uma matriz de teste para cada etapa concluda no processo de migrao. Por exemplo, se voc migrar 10 lotes de usurios, preencha a matriz de teste 10 vezes, uma para cada lote migrado. Se voc migrar 10 servidores membros, preencha uma matriz de teste para cada um dos 10 servidores. Para obter uma planilha que ajudar voc a criar uma matriz de teste, consulte "Migration Test Matrix" (Matriz de teste de migrao) (DSSREER_3.doc) no download Job_Aids_Designing_and_Deploying_Directory_and_Security_Services do Auxlio de Trabalho para o Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink?LinkId=14384) (em ingls). A ilustrao a seguir mostra um exemplo de matriz de teste de migrao concluda. 42
y
Criando um Plano de ReversoAplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2 Reduza o risco de interromper usurios finais em sua organizao estabelecendo um plano de reverso. Em geral, possvel isolar e resolver quaisquer problemas que ocorram durante cada fase da migrao. Entretanto, importante analisar possveis riscos e identificar os nveis de
43
impacto e inatividade do usurio que podem exigir a reverso da migrao. Poder ser necessrio reverter sua migrao se ocorrer alguma das seguintes situaes: y y y y Os usurios no puderem efetuar logon em suas contas aps a migrao. Os usurios no puderem acessar recursos aps a migrao. A migrao do usurio estiver incompleta; por exemplo, as senhas no foram migradas. A migrao do usurio foi bem-sucedida, mas houve falha na migrao da estao de trabalho do usurio ou na converso do perfil local.
Se o impacto ou inatividade do usurio atingir um nvel que voc tenha definido como inaceitvel em sua organizao, voc poder implementar seu plano de reverso e continuar a operar em seu ambiente de pr-migrao. Como o domnio de origem permanece intacto durante a reestruturao, voc poder restaurar o ambiente original concluindo algumas etapas principais. Para reverter para o ambiente de pr-migrao aps a migrao de objetos de contas: 1. Habilite as contas do usurio no domnio de origem (se voc as desativou durante o processo de migrao). 2. Notifique os usurios para efetuar logoff no domnio de destino. 3. Notifique os usurios para efetuar logon no domnio de origem. 4. Verifique se os usurios podem acessar os recursos. 5. Verifique se os scripts de logon e os perfis de usurios dos usurios funcionam conforme configurado no domnio de origem. O processo de reverso de objetos de recursos semelhante ao dos objetos de contas. Para reverter para o ambiente de pr-migrao aps a migrao de objetos de recursos: 1. Altere a associao de domnio do servidor ou da estao de trabalho para o domnio de origem. 2. Reinicie o servidor ou a estao de trabalho. 3. Efetue logon como um usurio e verifique se voc pode acessar o recurso. Observao Se voc tiver de modificar objetos, como servidores de membros ou controladores de domnio, para migr-los para o domnio de destino, faa backup de todos os dados antes de fazer as modificaes e executar a migrao.
Gerenciando usurios, grupos e perfis de usurioAplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2 necessrio definir como os objetos que esto sendo migrados sero administrados durante o processo de restruturao entre florestas. Quando voc estabelece procedimentos administrativos para objetos de migrao, possvel preservar os objetos tanto no domnio de 44
origem quanto no de destino. Sendo assim, voc pode retornar ao ambiente de pr-migrao se o processo de restruturao no obtiver xito. Planeje a administrao e o gerenciamento dos seguintes tipos de objetos de migrao de conta: y y y Contas de usurio, incluindo identificadores de segurana (SIDs) Membros do grupo global Perfis de usurio
Administrando contas de usurioDurante o processo e migrao, as contas de usurio existiro tanto no domnio de origem quanto no de destino. Administre as alteraes de contas de usurio no domnio em que o objeto de usurio esteja ativo. Continue a administrar as alteraes de membros do grupo no domnio de origem enquanto a migrao est ocorrendo. Use a opo Migrar e mesclar objetos conflitantes na Ferramenta de Migrao do Active Directory (ADMT) para repetir a migrao de contas de usurio com a frequncia necessria durante o processo de migrao. Isso garantir que as alteraes feitas na conta no domnio de origem sejam propagadas para a conta no domnio de destino. Essa operao mescla a conta existente e a nova conta de forma que a administrao do objeto possa continuar no domnio de origem enquanto o processo de migrao est em andamento. A opo Migrar e mesclar objetos conflitantes aplica estas diretrizes quando uma conta migrada: y y y Se voc alterar um atributo no domnio de destino e ele no for usado no domnio de origem, ele no ser substitudo pelo valor NULO do domnio de origem. Se voc alterar um atributo no domnio de destino e ele for usado no domnio de origem, ele ser substitudo pelo valor do domnio de origem. Se o usurio est associado a grupos
