Migrieren von Objekten zwischen Windows Server 2003

Neustrukturieren von Windows Server 2003-Domänen
innerhalb einer Gesamtstruktur
(Engl. Originaltitel: Restructuring Windows Server 2003 Domains Within a Forest)
Neustrukturieren von Windows Server 2003-Domänen innerhalb einer Gesamtstruktur
Durch das Neustrukturieren von Microsoft® Windows® Server 2003-Domänen innerhalb einer Windows Server
2003-Gesamtstruktur können Sie den Verwaltungsoverhead für Ihre Organisation durch Verringern des
Replikationsverkehrs, Verringern des für die Verwaltung von Benutzern und Gruppen erforderlichen Aufwands
und Vereinfachen der Verwaltung von Gruppenrichtlinien reduzieren. Der Vorgang des Neustrukturierens von
Domänen innerhalb einer Windows Server 2003-Gesamtstruktur unterscheidet sich vom Vorgang des
Neustrukturierens von Active Directory-Domänen zwischen Gesamtstrukturen und erfordert sorgfältige Planung
und Tests.
Verwandte Informationen in den Resource Kits



Weitere Informationen zur logischen Struktur des Active Directory®-Dienstes finden Sie unter
"Entwerfen der logischen Struktur" in diesem Handbuch.
Weitere Informationen zur Active Directory-Standorttopologie finden Sie unter "Entwerfen der
Standorttopologie" in diesem Handbuch.
Weitere Informationen zum Neustrukturieren von Microsoft® Windows NT® 4.0-Domänen zwischen
Gesamtstrukturen finden Sie unter “Upgrading Windows NT 4.0 Domains to a Windows Server 2003
Server” in diesem Handbuch (englischsprachig).
Neustrukturieren von Windows Server 2003-Domänen innerhalb
einer Gesamtstruktur im Überblick
Der effizienteste Active Directory-Entwurf enthält die kleinstmögliche Anzahl von Domänen. Indem Sie die
Anzahl der Domänen minimieren, die mit den Betriebssystemen Microsoft Windows Server 2003 Standard
Edition, Windows Server 2003 Enterprise Edition und Windows Server 2003 Datacenter Edition betrieben
werden, können Sie die Verwaltungskosten verringern und die Effizienz Ihrer Organisation steigern.
Sie müssen Domänen möglicherweise innerhalb der Windows Server 2003-Gesamtstruktur neu strukturieren,
wenn die Organisation z. B. eine regionale Niederlassung schließt und die regionale Domäne, die für diesen
Standort vorhanden ist, nicht mehr benötigt wird. Sie können Domänen innerhalb der Windows Server 2003Gesamtstruktur auch dann neu strukturieren, wenn Sie die Netzwerkinfrastruktur aktualisieren und auf diese
Weise die Bandbreiten- und Replikationskapazität erhöhen; in diesem Fall können Sie die Größe der logischen
Active Directory-Struktur verringern.
Der Vorgang der Neustrukturierung von Windows Server 2003-Domänen innerhalb einer Gesamtstruktur ähnelt
dem Migrieren von Konten zwischen Domänen. Wenn Sie Konten und Ressourcen zwischen Domänen
migrieren, migrieren Sie einfach Objekte aus der Quelldomäne in die Zieldomäne, ohne die Quelldomäne außer
Betrieb zu nehmen. Wenn Sie Windows Server 2003-Domänen neu strukturieren, entfernen Sie die Quelldomäne
aus der Gesamtstruktur, nachdem die Migration aller Domänenobjekte abgeschlossen wurde.
Bevor Sie mit dem Neustrukturieren von Windows Server 2003-Domänen innerhalb einer Gesamtstruktur
beginnen, müssen Sie sicherstellen, dass die Quell- und Zieldomänen auf der Funktionsebene Windows 2000-pur
oder auf der Windows Server 2003-Domänenfunktionsebene betrieben werden. Das Neustrukturieren von
Quelldomänen, die auf der Domänenfunktionsebene Windows 2000-gemischt betrieben werden (z. B.
Quelldomänen mit Domänencontrollern, die Windows NT 4.0 ausführen), wird nicht empfohlen.
Nachdem Sie den Vorgang des Neustrukturierens von Windows Server 2003-Domänen innerhalb einer
Gesamtstruktur abgeschlossen haben, können Sie den Overhead verringern und die Verwaltung Ihrer
Organisation vereinfachen.
Anmerkung Eine Liste der Aufgabenhilfen, die verfügbar sind, um Sie beim Neustrukturieren von Windows
Server 2003-Domänen innerhalb einer Gesamtstruktur zu unterstützen, finden Sie weiter unten in diesem Kapitel
unter "Weitere Ressourcen".
Vorgehensweise beim Neustrukturieren von Windows Server 2003Domänen innerhalb einer Gesamtstruktur
Für das Neustrukturieren von Windows Server 2003-Domänen innerhalb einer Gesamtstruktur ist eine
sorgfältige Planung und Vorbereitung erforderlich. Um den Benutzerzugriff auf Ressourcen während des
Vorgangs der Neustrukturierung von Domänen zu ermöglichen, müssen die Migrationsschritte in einer
bestimmten Reihenfolge durchgeführt werden. Abbildung 12.1 zeigt die Vorgehensweise beim Neustrukturieren
von Windows Server 2003-Domänen innerhalb einer Gesamtstruktur.
Abbildung 12.1 Neustrukturieren von Windows Server 2003-Domänen innerhalb einer Gesamtstruktur
Hintergrundinformationen zum Neustrukturieren von Windows Server
2003-Domänen innerhalb einer Gesamtstruktur
Das Neustrukturieren von Windows Server 2003-Domänen innerhalb einer Gesamtstruktur umfasst das
Migrieren von Konten und Ressourcen aus den Quelldomänen in die Zieldomänen. Im Gegensatz zum
Neustrukturieren von Windows Server 2003-Domänen zwischen Gesamtstrukturen sind die migrierten Objekte
in der Quelldomäne nicht mehr vorhanden, wenn Sie Domänen innerhalb einer Gesamtstruktur neu strukturieren.
Aus diesem Grund besteht die Herausforderung beim Neustrukturieren von Windows Server 2003-Domänen
innerhalb einer Gesamtstruktur darin, dass gewährleistet werden muss, dass die Benutzer während des
Migrationsvorgangs ständigen Zugriff auf die Ressourcen besitzen.
ADMT-Tool
Sie können das Active Directory-Migrationsprogramm (ADMT), Version 2, zum Migrieren von Konten
verwenden, um Windows Server 2003-Domänen neu zu strukturieren. ADMT enthält Assistenten, die Sie zum
Migrieren von Objekten wie z. B. Gruppen, Benutzern, Computern und Dienstkonten verwenden können. Diese
Assistenten unterstützen Sie beim Durchführen der geeigneten Migration für jeden Objekttyp.
Sie können auch Tools von Drittanbietern zum Migrieren von Objekten verwenden. Wenn Sie ein Tool eines
Drittanbieters verwenden, müssen Sie möglicherweise die zum Neustrukturieren von Windows Server 2003Domänen erforderlichen Schritte anpassen.
Geschlossene Sätze und offene Sätze
Ein geschlossener Satz von Active Directory-Objekten enthält Benutzerkonten und alle Gruppen, zu denen die
Benutzer gehören. Da globale Gruppen auf Mitglieder der Domäne beschränkt sind, in der die globale Gruppe
erstellt wurde, ist ein Benutzer bei der Migration eines Benutzerkontos auf eine neue Domäne ohne gleichzeitige
Migration der globalen Gruppen, zu denen der Benutzer gehört, kein gültiges Mitglied dieser globalen Gruppen
und kann nicht auf Ressourcen basierend auf der Mitgliedschaft in diesen globalen Gruppen zugreifen. Wenn Sie
Konten zwischen Domänen in einer Gesamtstruktur verschieben, ist es daher erforderlich, geschlossene Sätze zu
verschieben, damit Benutzer weiterhin auf ihre Ressourcen zugreifen können.
In kleinen Domänenumgebungen, die eine geringe Anzahl von globalen Gruppen aufweisen, können Sie
möglicherweise geschlossene Sätze von Benutzern und Gruppen identifizieren. Wenn Sie geschlossene Sätze
identifizieren können, können Sie Benutzer und Gruppen gleichzeitig migrieren. In einer großen
Domänenumgebung kann ein Benutzer zu mehreren globalen Gruppen gehören, daher ist es schwierig,
geschlossene Sätze zu identifizieren und nur geschlossene Sätze von Benutzern und Gruppen zu verschieben.
Aus diesem Grund migrieren Sie am besten zuerst die Gruppen, bevor Sie Benutzerkonten migrieren.
Benutzer_1 gehört z. B. zu den globalen Gruppen Global_A und Global_B und ist Mitglied von Domäne_1.
Wenn ein Administrator Benutzer_1 und Global_A auf Domäne_2 verschiebt, sind diese Konten in Domäne_1
nicht mehr vorhanden, sondern nur noch in Domäne_2. Die Gruppe Global_B verbleibt in Domäne_1. Auf
diese Weise wird ein offener Satz oder ein Satz erstellt, der Benutzer und Gruppen in mehreren Domänen enthält.
Da globale Gruppen nur Mitglieder aus der Domäne enthalten können, in der die globale Gruppe vorhanden ist,
ist die Mitgliedschaft von Benutzer_1 in Global_B nicht mehr gültig, und Benutzer_1 kann nicht mehr
basierend auf der Mitgliedschaft in Global_B auf Ressourcen zugreifen.
Wenn Sie geschlossene Sätze globaler Gruppen und Benutzer migrieren, entfernt ADMT alle Mitglieder aus der
globalen Gruppe, migriert die globale Gruppe, migriert alle Benutzer und fügt dann die Benutzerkonten zur
globalen Gruppe in der neuen Domäne hinzu.
Wenn Sie einen offenen Satz von Objekten in eine Umgebung migrieren, in der die Funktionsebene für die
Quell- und die Zieldomäne Windows 2000-pur ist, wandelt ADMT die globale Gruppe in eine universelle
Gruppe um, damit sie Benutzer aus anderen Domänen enthalten und die Gruppenmitgliedschaft beibehalten
kann. Wenn der Satz zu einem geschlossenen Satz wird, ändert ADMT die Gruppe erneut in eine globale
Gruppe. Der Vorteil dieser Vorgehensweise besteht darin, dass ADMT alle Probleme im Zusammenhang mit
geschlossenen Sätzen behandelt. Die Replikation des globalen Katalogs wird jedoch beeinträchtigt, während die
Gruppen universelle Gruppen sind, da die Mitgliedschaft in den globalen Katalog kopiert wird.
Anmerkung Wenn die Funktionsebene der Quelldomäne Windows 2000-gemischt ist, kann
ADMT die globale Gruppe nicht in eine universelle Gruppe umwandeln, weil universelle
Gruppen nicht auf dieser Funktionsebene vorhanden sein können. Aus diesem Grund erstellt
ADMT eine Kopie der globalen Gruppe in der Zieldomäne und fügt alle migrierten Benutzer
zur Kopie dieser Gruppe hinzu. Dieses Verfahren behält nur dann den Zugriff auf Ressourcen
bei, wenn Sie den Sicherheitskonvertierungs-Assistenten von ADMT im Modus Hinzufügen
zum Aktualisieren der Berechtigungen ausführen; dies verzögert und kompliziert den
Migrationsvorgang. Aus diesem Grund wird nicht empfohlen, Domänen neu zu strukturieren,
die auf der Funktionsebene Windows 2000-gemischt betrieben werden.
sIDHistory
Das Attribut sIDHistory ermöglicht das Beibehalten des Benutzerzugriffs auf Ressourcen während der
Neustrukturierung von Windows Server 2003-Domänen. Wenn Sie ein Objekt in eine andere Domäne migrieren,
wird dem Objekt eine neue SID zugewiesen. Da Berechtigungen für Objekte basierend auf SIDs zugewiesen
werden, verliert der Benutzer den Zugriff auf die betreffende Ressource, wenn sich die SID ändert, bis Sie die
Berechtigungen erneut zuweisen. Wenn Sie das ADMT-Tool zum Migrieren von Objekten zwischen Domänen
verwenden, können Sie wahlweise den SID-Verlauf beibehalten. Auf diese Weise verbleibt die SID aus der
Quelldomäne als Attribut des Objekts, nachdem das Objekt in die Zieldomäne migriert wurde.
Eine Organisation, die ihre Windows Server 2003-Domänen neu strukturiert, verschiebt z. B. universelle und
globale Gruppen aus einer Quelldomäne auf die Zieldomäne, bevor die Benutzerkonten verschoben werden. Da
es sich hierbei um eine Migration zwischen Gesamtstrukturen handelt und die Funktionsebene der Quelldomäne
Windows 2000-pur ist, sind diese Gruppen in der Quelldomäne nicht mehr vorhanden und existieren nur noch in
der Zieldomäne. Das sIDHistory-Attribut ermöglicht dem Benutzer auch weiterhin den Zugriff auf Ressourcen in
der Quelldomäne basierend auf seiner Mitgliedschaft in einer Gruppe, die in der Zieldomäne vorhanden ist.
Begriffe und Definitionen
Migration
Der Vorgang des Verschiebens eines Objekts aus einer Quell- in eine Zieldomäne, bei dem Merkmale des
Objekts beibehalten oder geändert werden, um den Zugriff darauf in der neuen Domäne zu ermöglichen.
Domänenneustrukturierung
Ein Migrationsvorgang, der das Ändern der Domänenstruktur einer Gesamtstruktur umfasst. Eine
Domänenneustrukturierung kann entweder aus dem Zusammenführen oder aus dem Hinzufügen von Domänen
bestehen und zwischen Gesamtstrukturen oder innerhalb einer Gesamtstruktur vorgenommen werden.
Domänenzusammenführung
Ein Neustrukturierungsvorgang, der das Entfernen von Windows NT 4.0- oder Active Directory-Domänen durch
Zusammenführen ihrer Inhalte mit den Inhalten anderer Domänen umfasst.
Vorbereiten der Neustrukturierung von Windows Server 2003Domänen innerhalb einer Gesamtstruktur
Die sorgfältige Planung ist ein wichtiger Bestandteil des Vorgangs der Neustrukturierung von Windows Server
2003-Domänen. Das Durchführen der erforderlichen Vorbereitungen vor dem Neustrukturieren von Windows
Server 2003-Domänen verringert die Auswirkungen, die das Migrieren von Objekten aus den Quell- in die
Zieldomänen für Benutzer besitzt. Als Vorbereitung auf den Neustrukturierungsvorgang muss das Active
Directory-Bereitstellungsteam sicherstellen, dass es die erforderlichen Entwurfsinformationen vom Active
Directory-Entwurfsteam erhält.
Abbildung 12.2 zeigt die Schritte, die für das Vorbereiten der Neustrukturierung von Windows Server 2003Domänen innerhalb einer Gesamtstruktur erforderlich sind.
Abbildung 12.2 Vorbereiten der Neustrukturierung von Windows Server 2003-Domänen innerhalb einer
Gesamtstruktur
Entwerfen der neuen Struktur der Windows Server 2003-Gesamtstruktur
Werten Sie die Domänenstruktur der vorhandenen Windows Server 2003-Gesamtstruktur aus, und identifizieren
Sie die Domänen, die durch Zusammenführen mit anderen Domänen neu strukturiert werden sollen.
Um die neue Struktur der Windows Server 2003-Gesamtstruktur zu entwerfen, müssen Sie die Quelldomäne
identifizieren, aus der Objekte migriert werden sollen, sowie die Zieldomänen, in denen diese Objekte platziert
werden sollen. Außerdem müssen Sie die Struktur der Zieldomäne auswerten.
Identifizieren der Quell- und Zieldomänen
Quelldomänen sind die Domänen, von denen Objekte migriert werden sollen und die außer Betrieb genommen
werden sollen. Beim Neustrukturieren von Windows Server 2003-Domänen migrieren Sie am besten die
kleinstmögliche Anzahl von Objekten. Ermitteln Sie daher beim Auswählen von Quelldomänen die Domänen,
von denen die geringste Anzahl von Objekten migriert werden muss.
Bewerten der Organisationseinheitsstruktur der Zieldomäne
Ermitteln Sie die Organisationseinheiten der Quelldomäne, die in der Zieldomäne benötigt werden, und stellen
Sie außerdem fest, ob neue Organisationseinheiten in der Zieldomäne erstellt werden müssen.
Sie können die ADMT-Assistenten nicht zum Migrieren von Organisationseinheiten verwenden. Wenn Sie die
ADMT-Assistenten zum Migrieren von Objekten aus den Quell- in die Zieldomänen verwenden, müssen Sie die
vorhandenen Organisationseinheiten in der Zieldomäne verwenden oder einen neuen Satz von
Organisationseinheiten in der Zieldomäne erstellen, bevor Sie mit dem Migrationsvorgang beginnen. Die
Skriptingschnittstelle für ADMT ermöglicht jedoch das Migrieren von Organisationseinheiten und
Unterstrukturen von Organisationseinheiten. Weitere Informationen zum Verwenden von Skripts zum Migrieren
von Organisationseinheiten finden Sie weiter unten in diesem Kapitel unter "Migrieren von Objekten zwischen
Windows Server 2003-Domänen".
Weitere Informationen zum Erstellen einer Organisationseinheitsstruktur finden Sie in diesem Handbuch unter
"Entwerfen der logischen Active Directory-Struktur".
Zuweisen von Domänenobjektrollen und -speicherorten
Verwenden Sie eine Domänenobjekt-Zuweisungstabelle, um die Objektrollen und -speicherorte zu
dokumentieren. Führen Sie in der Domänenobjekt-Zuweisungstabelle die Domänenobjekte auf, die in der
Quelldomäne vorhanden sind, sowie ihre geplante Funktion und ihren Speicherort in der Zieldomäne. Ein
Arbeitsblatt, das Sie beim Erstellen einer Domänenobjekt-Zuweisungstabelle unterstützt, finden Sie unter
"Domain Object Assignment Table" (DSSRERA_1.doc) auf der Begleit-CD zum Microsoft®
Windows® Server 2003 Deployment Kit, oder lesen Sie "Domain Object Assignment Table" im Web unter der
Adresse http://www.microsoft.com/windows/reskits/default.asp (englischsprachig).
Contoso plant z. B. die Migration der Domänenobjekte der Domäne Africa auf die Domäne EMEA. Das
Entwurfsteam erstellt eine Domänenobjekt-Zuweisungstabelle, die alle Gruppen, Benutzer und Computer
enthält, die aus der Domäne Africa in die Domäne EMEA migriert werden müssen. Die ausgefüllte Tabelle
ermöglicht der Organisation das Einschätzen des Arbeitsaufwands und der benötigten Zeit für die Migration der
Domäne Africa.
Abbildung 12.3 zeigt die Domänenobjekt-Zuweisungstabelle, die Contoso erstellt hat.
Abbildung 12.3 Beispiel für eine Domänenobjekt-Zuweisungstabelle
Planen der Gruppenmigration
Wenn Sie Windows Server 2003-Domänen innerhalb einer Gesamtstruktur neu strukturieren, müssen Sie
Gruppen und Benutzer separat migrieren, um sicherzustellen, dass Benutzer auch weiterhin Zugriff auf benötigte
Ressourcen haben.
Tabelle 12.1 listet alle Gruppentypen sowie den physischen Speicherort der einzelnen Gruppen auf.
Tabelle 12.1 Speicherort der einzelnen Gruppentypen
Gruppentyp
Universelle Gruppe
Lokale Computergruppe
Domänenlokale Gruppe
Globale Gruppe
Speicherort
Active Directory
Datenbank des lokalen Computers
Active Directory
Active Directory
Jeder Gruppentyp wird basierend auf dem physischen Speicherort der Gruppe und ihrer Regeln für
Gruppenmitgliedschaft auf andere Weise migriert. Lokale Computergruppen sind z. B. in der lokalen Datenbank
eines Clientcomputers gespeichert. Diese Gruppen werden bei der Migration des Computers automatisch
migriert. Domänenlokale Gruppen hingegen werden in Active Directory erstellt, können jedoch auf
Mitgliedsservern verwendet werden. Gruppen, die in Active Directory gespeichert sind, müssen separat migriert
werden.
Jeder Gruppentyp besitzt andere Regeln für die Mitgliedschaft und dient einem anderen Zweck. Dies wirkt sich
auf die Reihenfolge aus, in der Gruppen aus der Quelldomäne in die Zieldomäne migriert werden.
Universelle Gruppen
Universelle Gruppen können Mitglieder aus beliebigen Domänen enthalten und werden in den globalen Katalog
repliziert. Aus diesem Grund können sie als administrative Gruppen verwendet werden. Migrieren Sie beim
Neustrukturieren von Domänen universelle Gruppen zuerst.
Globale Gruppen
Globale Gruppen können nur Mitglieder aus der Domäne enthalten, zu der sie gehören. ADMT ändert
automatisch die globale Gruppe in der Quelldomäne in eine universelle Gruppe, wenn sie auf die Zieldomäne
verschoben wird, sofern die Funktionsebene beider Domänen Windows 2000-pur ist. Da universelle Gruppen
ihre Mitgliedschaft in den globalen Katalog replizieren, ändern Sie universelle Gruppen am besten wieder in
globale Gruppen, nachdem die Migration abgeschlossen ist. ADMT ändert universelle Gruppen automatisch
zurück in globale Gruppen, nachdem alle Mitglieder der Gruppe in die Zieldomäne migriert wurden.
Domänenlokale Gruppen
Domänenlokale Gruppen können Benutzer aus beliebigen Domänen enthalten. Sie werden zum Zuweisen von
Berechtigungen zu Ressourcen verwendet. Beim Neustrukturieren von Domänen müssen Sie domänenlokale
Gruppen migrieren, wenn Sie die Ressourcen migrieren, auf die sie den Zugriff erteilen. Auf diese Weise wird
die Unterbrechung des Benutzerzugriffs auf Ressourcen minimiert.
Planen der Dienstkontomigration
Die meisten Anwendungen werden im Kontext des lokalen Systemkontos ausgeführt. Dieses Konto wird
automatisch migriert, wenn Sie einen Server aus der Quell- auf die Zieldomäne verschieben; aus diesem Grund
müssen Sie keine Änderungen an den Diensten vornehmen, die das lokale Systemkonto verwenden, damit die
Dienste in der Zieldomäne funktionieren. Einige Dienste werden jedoch im Kontext eines Benutzerkontos statt
des lokalen Systemkontos ausgeführt.
Der Vorgang des Identifizierens, Migrierens und Aktualisierens von Diensten, die im Kontext von
Benutzerkonten ausgeführt werden, umfasst drei Schritte. Starten Sie zuerst ADMT auf einem Windows Server
2003-Domänencontroller in der Zieldomäne, und führen Sie den Assistenten zum Migrieren von Dienstkonten
aus. Der Assistent zum Migrieren von Dienstkonten sendet einen Agenten an einen Computer, den Sie im
Assistenten angeben, und identifiziert alle Dienste auf dem Computer, die im Kontext eines Benutzerkontos
ausgeführt werden. Der Assistent identifiziert nur Dienstkonten, die im Kontext eines Benutzerkontos ausgeführt
werden; er migriert diese Konten nicht tatsächlich. Der nächste Schritt, der später im Migrationsvorgang erfolgen
kann, besteht im Migrieren der Konten, wenn Sie andere Benutzerkonten migrieren, indem der Assistent zum
Migrieren von Benutzerkonten verwendet wird. Der letzte Schritt besteht im Ausführen des
Sicherheitskonvertierungs-Assistenten zum Aktualisieren des Dienstes.
Weitere Informationen zum Installieren und Initialisieren von ADMT finden Sie weiter unten in diesem Kapitel
unter "Installieren von ADMT".
Der Assistent zum Migrieren von Dienstkonten überprüft jeden Dienst auf einem Computer, um Dienste zu
identifizieren, die im Kontext eines Benutzerkontos ausgeführt werden. Das Ausführen des Assistenten zum
Migrieren von Dienstkonten auf jedem Computer in der Domäne stellt jedoch keine effiziente Verwendung von
Ressourcen dar. Ein geeigneteres Verfahren zum Identifizieren von Diensten in Ihrer Umgebung, die im Kontext
eines Benutzerkontos ausgeführt werden, besteht im Erstellen einer Liste von Computern in der Organisation, die
Dienste ausführen können; auf diese Weise werden Computer wie z. B. Clientcomputer ausgeschlossen, die
keine Dienste ausführen. Führen Sie anschließend den Assistenten zum Migrieren von Dienstkonten nur auf der
geringeren Anzahl von Computern in der Domäne aus, die als mögliche Hosts für Dienste identifiziert wurden.
Wenn die Konten, die der Assistent zum Migrieren von Dienstkonten in der ADMT-Datenbank als im Kontext
eines Benutzerkontos ausgeführt erkannt hat, in die Zieldomäne migriert werden, konfiguriert ADMT diese
Konten für die Ausführung als Dienst.
So führen Sie den Assistenten zum Migrieren von Dienstkonten aus:
1.
2.
Öffnen Sie in ADMT den Assistenten zum Migrieren von Dienstkonten.
Führen Sie den Assistenten aus, indem Sie die Informationen in Tabelle 12.2 verwenden.
Tabelle 12.2 Verwenden des Assistenten zum Migrieren von Dienstkonten
Seite des Assistenten
Domänenauswahl
Informationen aktualisieren
Computer auswählen
Dienstkontoauswahl
Aktion
Geben Sie den NetBIOS- oder DNS-Namen der Quelldomäne im Feld
Quelldomäne ein, oder wählen Sie diesen aus.
Geben Sie den NetBIOS- oder DNS-Namen der Zieldomäne im Feld
Zieldomäne ein, oder wählen Sie diesen aus.
Wählen Sie Ja, Informationen aktualisieren aus.
Wählen Sie Servernamen (wobei Servernamen die Liste aller Server ist,
die über Dienstkonten verfügen) im Listenfeld Computer auswählen
aus.
Klicken Sie auf Hinzufügen, und klicken Sie dann auf OK.
Wählen Sie die Benutzerkonten aus, die nicht als Dienstkonten in der
ADMT-Datenbank markiert werden müssen, und klicken Sie dann auf
Überspringen/Einbeziehen, um sie für den Status Überspringen zu
markieren.
Der Assistent stellt eine Verbindung zu den ausgewählten Computern her und sendet einen Agenten, um alle
Dienste auf den Remotecomputern zu überprüfen. Die Seite Dienstkontoinformationen listet die Dienste auf,
die im Kontext eines Benutzerkontos ausgeführt werden, sowie den Namen des betreffenden Benutzerkontos.
ADMT markiert diese Benutzerkonten in der ADMT-Datenbank für die Migration als Dienstkonten. Wenn Sie
nicht wünschen, dass ein Benutzerkonto als Dienstkonto migriert wird, wählen Sie das Konto aus, und klicken
Sie dann auf Überspringen/Einbeziehen, um den Status von Einbeziehen auf Überspringen zu ändern.
Wenn Sie den Assistenten zum Migrieren von Dienstkonten erstmals ausführen, ist die Schaltfläche SCM
aktualisieren nicht verfügbar. Die Schaltfläche SCM aktualisieren wird nur benötigt, wenn ein Agent beim
ersten Ausführen des Assistenten keine Verbindung mit einem Computer herstellen kann. Wenn Sie den
Assistenten zum Migrieren von Dienstkonten zuvor bereits ausgeführt haben und die Schaltfläche SCM
aktualisieren trotzdem nicht verfügbar ist, untersuchen Sie die ADMT-Protokolldateien, um die Ursache des
Problems zu ermitteln. Wenn Sie das Problem behoben haben und der Agent erfolgreich eine Verbindung
herstellen kann, ist die Schaltfläche SCM aktualisieren verfügbar. Klicken Sie auf SCM aktualisieren, um den
Dienststeuerungs-Manager mit den neuen Informationen zu aktualisieren.
Bevor Sie auf der Seite Dienstkontoinformationen auf Weiter klicken, stellen Sie sicher, dass keines der
aufgelisteten Konten ein UPN (User Principal Name oder Benutzerprinzipalname) ist – z. B.
[email protected]. Dieser Eintrag zeigt an, dass ein Dienst in einer Domäne im Kontext eines
Benutzerkontos ausgeführt wird, das zu einer anderen Domäne gehört. Der Assistent zum Migrieren von
Benutzerkonten kann keine Benutzerkonten migrieren, die als UPN aufgelistet werden. Notieren Sie sich das
Konto und die Domäne, zu der das Konto gehört. Damit ADMT das Konto migrieren kann, müssen Sie den
Assistenten zum Migrieren von Dienstkonten ausführen und die Domäne des Benutzerkontos als Quelldomäne
angeben.
Planen von Testmigrationen
Da das Migrieren von Konten zwischen Domänen innerhalb einer Gesamtstruktur ein irreversibler Vorgang ist
und kein Pilotprojekt für das Neustrukturieren von Windows Server 2003-Domänen erstellt werden kann, testen
und überprüfen Sie die Verfahren, bevor Sie beginnen. Verwenden Sie ein Testlabor, das die
Produktionsumgebung simuliert, um den Migrationsvorgang zu testen und Probleme zu erkennen, bevor Sie mit
der Neustrukturierung von Windows Server 2003-Domänen beginnen. Fahren Sie mit dem Testen des
Migrationsvorgangs fort, bis Sie so viele Fehler wie möglich behoben haben.
Testen Sie nach jedem Migrationsschritt unbedingt den Benutzerzugriff auf Ressourcen. Wenn Benutzer
während des Migrationsprozesses keinen Zugriff auf Ressourcen haben, ist die Migration nicht erfolgreich.
Weitere Informationen zum Einrichten einer Testmigration finden Sie in diesem Handbuch unter “Upgrading
Windows NT 4.0 Domains to a Windows Server 2003 Server” (englischsprachig).
Erstellen eines Fallbackplans
Nachdem Sie mit dem Migrationsvorgang begonnen haben, können Sie kein Rollback der Änderungen
durchführen, die Sie an den Domänen in der Windows Server 2003-Gesamtstruktur vornehmen. Da die Konten
migriert und nicht aus einer Domäne in eine andere Domäne kopiert werden, wenn Sie Domänen neu
strukturieren, sind die Änderungen irreversibel. Wenn Sie Ihre Pläne ändern, nachdem Sie den
Migrationsvorgang begonnen haben, besteht die einzige Möglichkeit der Wiederherstellung des ursprünglichen
Zustands der Quelldomänen im erneuten Migrieren der Konten. Erstellen Sie einen Fallbackplan für den Fall,
dass Sie Konten erneut migrieren müssen, nachdem Sie bereits mit der Neustrukturierung der Domänen
begonnen haben. Um einen Fallbackplan zu erstellen, wählen Sie die Methode aus, die Sie zum erneuten
Migrieren von Konten verwenden.
Sie können die ADMT-Assistenten zum erneuten Migrieren von Konten aus der Zieldomäne in die Quelldomäne
verwenden. In diesem Fall wird die ursprüngliche Zieldomäne die neue Quelldomäne, und die ursprüngliche
Quelldomäne wird zur neuen Zieldomäne. Führen Sie im Assistenten die gleichen Schritte durch, die Sie zuvor
zum Migrieren der Konten verwendet haben.
Eine weitere Option zum erneuten Migrieren von Konten ist die Verwendung des Assistenten zum
Rückgängigmachen der Migration in ADMT. Der Assistent zum Rückgängigmachen der Migration verwendet
weniger Schritte als die anderen ADMT-Assistenten, um Konten erneut in ihre ursprüngliche Domäne zu
migrieren. Der Assistent zum Rückgängigmachen der Migration migriert jedoch nur Konten erneut, die
ursprünglich von den Assistenten zum Migrieren von Benutzerkonten, Gruppenkonten und Dienstkonten
migriert wurden. Er macht keine Änderungen rückgängig, die vom Sicherheitskonvertierungs-Assistenten
vorgenommen wurden.
Wenn Sie Skripts zum Durchführen der ursprünglichen Migration verwenden, ist das Verwenden von Skripts für
die erneute Migration von Konten die schnellste Methode, um die Änderungen rückgängig zu machen.
Vertauschen Sie die Objekte im Skript einfach, die für die Quell- und Zieldomänen verwendet werden, um die
Objekte erneut zu migrieren.
Anmerkung Wenn die Funktionsebene der ursprünglichen Quelldomäne Windows 2000-gemischt ist, können
Sie keine Rollbackmethode zum Rückgängigmachen der Änderungen und erneuten Migrieren der Konten in die
Quelldomäne verwenden. Für eine erneute Migration ist es erforderlich, dass die ursprüngliche Quelldomäne zur
Zieldomäne wird, und die Funktionsebene der Zieldomäne muss Windows 2000-pur oder Windows Server 2003
sein.
Nachdem Sie den Fallbackplan erstellt haben, müssen Sie diesen testen und Probleme erkennen und beheben,
bevor Sie mit der Neustrukturierung von Windows Server 2003-Domänen beginnen.
Erstellen eines Benutzerkontos
Sie müssen über bestimmte Rechte verfügen, um mithilfe von ADMT Migrationen durchführen zu können. Sie
können ein bereits vorhandenes Administratorkonto zum Durchführen der Migration verwenden; es ist jedoch
sicherer, ein Konto zu erstellen, das eigens für die Migration verwendet wird. Wenn Sie ein separates
Benutzerkonto zum Durchführen der Migration erstellen, weisen Sie dem Konto nur die Rechte zu, die zum
Durchführen der Migration erforderlich sind.
Wenn verschiedene Ressourcen Benutzer und Computer migrieren, erstellen Sie mindestens zwei verschiedene
Benutzerkonten für die Migrationen. Wenn Sie z. B. Benutzer an einem zentralen Standort, Arbeitsstationen und
Mitgliedsserver jedoch in einer Zweigstelle oder an einem Remotestandort migrieren, müssen dem
Verwaltungspersonal der Zweigstelle oder des Remotestandorts nur die lokalen Rechte zugewiesen werden, die
für das Migrieren der Arbeitsstationen und Mitgliedsserver erforderlich sind; dieses Personal benötigt keine
Domänenrechte.
Dem Benutzerkonto, das Sie zum Durchführen der Migration verwenden, müssen die folgenden Rechte
zugewiesen werden:




Administratorrechte in der Quelldomäne.
Das delegierte Recht zum Erstellen von Benutzerkonten in der Zieldomäne.
Lokale Administratorrechte auf allen Computern, die migriert werden sollen.
Lokale Administratorrechte auf allen Computern, deren Sicherheit konvertiert wird.
Installieren von ADMT
Wenn Sie ADMT in Ihrer Umgebung noch nicht installiert und initialisiert haben, müssen Sie ADMT auf einem
Domänencontroller in der Zieldomäne installieren und ausführen.
So installieren Sie ADMT in der Zieldomäne:
1.
2.
3.
Melden Sie sich unter Verwendung des ADMT-Migrationskontos bei einem Domänencontroller in der
Zieldomäne an.
Legen Sie die Windows Server 2003-Betriebssystem-CD in das CD-ROM-Laufwerk ein, und wechseln
Sie dann zum Ordner \i386\admt.
Führen Sie admt.exe aus.
Initialisieren Sie ADMT, indem Sie eine Testmigration der globalen Gruppen durchführen. Wenn Sie ADMT
erstmals ausführen, erstellt ADMT automatisch für die interne Überwachung eine neue lokale Gruppe
Quelldomäne$$$ in der Quelldomäne. Versuchen Sie nicht, dieser Gruppe Mitglieder hinzuzufügen. ADMT
konfiguriert das System außerdem während der Initialisierung für die Überwachung, wenn dies nicht bereits
geschehen ist.
ADMT legt automatisch den folgenden Registrierungswert fest, wenn dieser nicht bereits festgelegt wurde:
HKEY_LOCAL_MACHINE | System | CurrentControlSet | Control | Lsa
TcpipClientSupport:REG_DWORD:0X1
Das Festlegen dieses Wertes ermöglicht RPCs (Remote Procedure Calls) über den TCP-Transport bei
gleichzeitiger Wahrung der Sicherheit des Systems.
So initialisieren Sie ADMT, indem Sie eine Testmigration der globalen Gruppen durchführen:
1.
2.
Wählen Sie in der Konsole Active Directory-Migrationsprogramm im Menü Extras die Option
Assistent zum Migrieren von Gruppenkonten aus.
Führen Sie den Assistenten zum Migrieren von Gruppenkonten aus, indem Sie die Informationen
verwenden, die in Tabelle 12.3 zur Verfügung gestellt werden. Übernehmen Sie die
Standardeinstellungen, wenn keine Informationen angegeben werden.
Tabelle 12.3 Migrieren globaler Gruppen mit dem Assistenten zum Migrieren von
Gruppenkonten
Seite des Assistenten
Testen oder Änderungen
vornehmen
Domänenauswahl
Gruppenauswahl
Auswahl der
Organisationseinheit
Gruppenoptionen
3.
4.
Aktion
Wählen Sie Die Migrationseinstellungen testen und später migrieren aus.
Geben Sie den Namen der Quelldomäne im Feld Quelldomäne ein.
Geben Sie den Namen der Zieldomäne im Feld Zieldomäne ein.
Klicken Sie auf Hinzufügen.
Wählen Sie im Dialogfeld Gruppen auswählen alle Gruppen (mit
Ausnahme integrierter Gruppen) aus.
Klicken Sie auf Durchsuchen.
Navigieren Sie im Dialogfeld Container suchen zur Organisationseinheit
Benutzer.
Aktivieren Sie das Kontrollkästchen Gruppen-SIDs zur Zieldomäne
migrieren.
Benutzerkonto
Klicken Sie auf Konten nicht umbenennen.
Geben Sie den Namen und das Kennwort des Migrationskontos ein, das Sie
zum Migrieren von Konten erstellt haben.
Namenskonflikte
Geben Sie den NetBIOS-Namen der Zieldomäne im Feld Domäne ein.
Klicken Sie auf In Konflikt stehende Konten ignorieren und nicht
migrieren.
Nachdem der Assistent auf allen Computern ausgeführt wurde, klicken Sie auf Protokoll anzeigen, und
überprüfen Sie das Migrationsprotokoll dann auf Fehler.
Vergewissern Sie sich, dass die Testmigration ADMT einwandfrei konfiguriert hat, indem Sie
Folgendes sicherstellen:
 Eine neue lokale Gruppe Kontodomäne$$$ ist in der Quelldomäne vorhanden. Dieses Konto
unterstützt interne ADMT-Überwachung.
 Der folgende Registrierungsschlüssel wurde auf dem PDC der Quelldomäne erstellt:
HKLM\System\CCS\Control\Lsa\TcpipClientSupport:REG_DWORD = 0x01

Die Überwachungsrichtlinie für Kontenverwaltung wurde auf der Zieldomäne aktiviert.
Beispiel: Vorbereiten der Neustrukturierung von Windows Server 2003Domänen
Contoso Corporation hat die Hardware aktualisiert, um die Netzwerkbandbreite zu vergrößern und ein größeres
Volumen an Replikationsverkehr unterstützen zu können. Als Ergebnis führt das Unternehmen die Domäne
Africa mit der Domäne EMEA zusammen.
Die Domäne Africa ist die Quelldomäne, die Domäne EMEA die Zieldomäne für die Migration. Die
Organisation muss insgesamt 1800 Benutzer aus der Domäne Africa in die Domäne EMEA migrieren. Neben
den Benutzerkonten müssen auch Ressourcen wie z. B. Arbeitsstationen, Server und Gruppen migriert werden.
Da Contoso Corporation eine große Organisation mit vielen globalen Gruppen ist, sind geschlossene Sätze
schwer zu identifizieren; das Unternehmen hat sich daher entschieden, globale Gruppen als universelle Gruppen
zu migrieren. Diese Vorgehensweise ist möglich, da die Infrastruktur des Unternehmens die erhöhte Replikation
der universellen Gruppen verarbeiten kann und die Domänen Africa und EMEA auf der Funktionsebene
Windows 2000-pur betrieben werden. Das Unternehmen hat identische Organisationseinheitsstrukturen in den
Domänen Africa und EMEA erstellt; das Erstellen einer neuen Organisationseinheitsstruktur oder das
Verschieben von Organisationseinheiten ist daher nicht erforderlich.
Contoso Corporation hat eine Liste der Computer erstellt, die Dienstkonten ausführen, damit der Assistent zum
Migrieren von Dienstkonten zum Identifizieren der Dienste verwendet werden kann, die im Kontext von
Benutzerkonten ausgeführt werden. Das Unternehmen hat die meisten Bedenken hinsichtlich einer Gruppe von
Konten, die für eine firmeneigene SQL-Datenbank eingerichtet wurden. Der Zugriff auf diese Datenbank ist
geschäftskritisch.
Das Unternehmen hat sich entschieden, ADMT als Migrationstool zu verwenden und die Assistenten
einzusetzen. Der Fallbackplan sieht die Verwendung des Assistenten zum Rückgängigmachen der Migration vor,
da Konten nur von den Assistenten zum Migrieren von Benutzerkonten, Gruppenkonten und Dienstkonten
migriert werden. Das Unternehmen installiert ADMT und erstellt zwei Benutzerkonten, die für den
Migrationsvorgang verwendet werden. Dem ersten Benutzerkonto werden Berechtigungen auf hoher Ebene
zugewiesen; das zentralisierte Bereitstellungsteam verwendet dieses Konto zum Migrieren von Benutzern. Dem
zweiten Konto werden Berechtigungen für Arbeitsstationen und lokale Ressourcen zugewiesen; das
Bereitstellungsteam wird dieses Konto zum Migrieren von Ressourcen an den Remotestandorten verwenden.
Migrieren von Objekten zwischen Windows Server 2003Domänen
Das Neustrukturieren von Windows Server 2003-Domänen innerhalb einer Gesamtstruktur umfasst das
Migrieren von Domänenobjekten in einer bestimmten Reihenfolge, damit sichergestellt ist, dass der Zugriff auf
Ressourcen für Benutzer erhalten bleibt. Abbildung 12.4 zeigt die Vorgehensweise beim Neustrukturieren von
Windows Server 2003-Domänen innerhalb einer Gesamtstruktur.
Abbildung 12.4 Neustrukturieren von Windows Server 2003-Domänen innerhalb einer Gesamtstruktur
Migrieren von Gruppen
Beim Neustrukturieren von Domänen innerhalb einer Windows Server 2003-Gesamtstruktur migrieren Sie
Gruppen, bevor Sie die Benutzerkonten migrieren, die Mitglieder dieser Gruppen sind, um das System vor dem
Problem offener Sätze zu schützen. Migrieren Sie universelle Gruppen zuerst, gefolgt von globalen Gruppen.
Migrieren Sie lokale Gruppen der Domäne, wenn Sie die Ressourcen (Domänencontroller und Mitgliedsserver)
migrieren, für die sie verwendet werden, um Berechtigungen zu erteilen. Lokale Computergruppen werden bei
der Migration des Computers automatisch migriert.
Migrieren universeller Gruppen
Migrieren Sie universelle Gruppen ohne ihre Mitglieder aus der Quelldomäne in die Zieldomäne. Das Migrieren
universeller Gruppen ohne Mitglieder schützt vor dem Problem offener Sätze. Durch das Attribut sIDHistory
besitzen Gruppenmitglieder auch weiterhin Zugriff auf Ressourcen basierend auf der Mitgliedschaft in der
universellen Gruppe. Wenn Sie universelle Gruppen in die Zieldomäne migrieren, sind sie in der Quelldomäne
nicht mehr vorhanden.
So migrieren Sie universelle Gruppen ohne Mitglieder:
1.
Führen Sie den Assistenten zum Migrieren von Gruppenkonten aus, indem Sie die Informationen
verwenden, die in Tabelle 12.4 zur Verfügung gestellt werden.
Tabelle 12.4 Verwenden des Assistenten zum Migrieren von Gruppenkonten für die Migration
universeller Gruppen
Seite des Assistenten
Testen oder Änderungen
vornehmen
Domänenauswahl
Aktion
Wählen Sie Jetzt migrieren aus.
Geben Sie den NetBIOS- oder DNS-Namen der Quelldomäne im Feld Quelldomäne
ein, oder wählen Sie den Namen aus der Liste aus.
Geben Sie den NetBIOS- oder DNS-Namen der Zieldomäne im Feld Zieldomäne ein.
Gruppenauswahl
Wenn ADMT die Namen der Quell- und Zieldomänen enthält, stellen Sie sicher, dass
diese richtig sind.
Klicken Sie auf Hinzufügen.
Auswahl der
Organisationseinheit
Wählen Sie im Dialogfeld Gruppen auswählen alle universellen Gruppen aus, die
migriert werden sollen, und klicken Sie auf Hinzufügen und dann auf OK.
Geben Sie den Namen der Organisationseinheit ein, oder klicken Sie auf
Durchsuchen.
Benutzerkonto
Gruppenoptionen
Suchen Sie im Dialogfeld Container suchen den Container in der Zieldomäne, in
den die universelle Gruppe verschoben werden soll, und klicken Sie dann auf OK.
Geben Sie Informationen für Benutzername, Kennwort und Domäne eines Kontos
ein, das über Administratorrechte in der Quelldomäne verfügt.
Die Kontrollkästchen Gruppen-SIDs zur Zieldomäne migrieren und
Gruppenmitgliedschaften der Benutzer korrigieren sind aktiviert und werden grau
angezeigt.
Wählen Sie Konten nicht umbenennen aus.
Namenskonflikte
Stellen Sie sicher, dass aller anderen Optionen deaktiviert sind.
Wählen Sie In Konflikt stehende Konten ignorieren und nicht migrieren aus.
Anmerkung Wenn Sie eine kleine Anzahl universeller Gruppen migrieren, können Sie
universelle Gruppen gleichzeitig mit globalen Gruppen migrieren.
Migrieren globaler Gruppen
Migrieren Sie globale Gruppen ohne ihre Mitglieder aus der Quelldomäne in die Zieldomäne, um das Problem
offener Sätze zu umgehen. Globale Gruppen in einer Quelldomäne, die die Funktionsebene Windows 2000-pur
besitzt, sind in der Quelldomäne nicht mehr vorhanden, nachdem sie in die Zieldomäne migriert wurden.
Da globale Gruppen nur Mitglieder aus ihrer eigenen Domäne enthalten, können sie nicht von einer Domäne auf
eine andere migriert werden. ADMT ändert globale Gruppen bei der Migration in universelle Gruppen. Die
universelle Gruppe in der Zieldomäne behält das sIDHistory-Attribut der globalen Gruppe in der Quelldomäne
bei, wodurch Benutzer auch weiterhin auf Ressourcen in der Quelldomäne zugreifen können, nachdem die
globalen Gruppen migriert wurden. ADMT ändert universelle Gruppen erneut in globale Gruppen, nachdem alle
Mitglieder der globalen Gruppe aus der Quelldomäne in die Zieldomäne migriert wurden.
Sie können keine integrierten Gruppen in die Migration einschließen. Integrierte Gruppen sind in der Zieldomäne
bereits vorhanden. Wenn eine integrierte globale Gruppe für die Migration ausgewählt wird, migriert ADMT
diese nicht. ADMT fügt stattdessen eine Anmerkung in das Protokoll ein und fährt mit der Migration anderer
globaler Gruppen fort.
Das Verfahren zum Verwenden des Assistenten zum Migrieren von Gruppenkonten für das Migrieren globaler
Gruppen ist das gleiche wie für das Migrieren universeller Gruppen. Weitere Informationen zum Verfahren zum
Migrieren globaler und universeller Gruppen finden Sie weiter oben in diesem Kapitel unter "Migrieren
universeller Gruppen".
Nachdem Sie den Migrationsvorgang für globale Gruppen abgeschlossen haben, verwenden Sie Active
Directory-Benutzer und -Computer, um zu überprüfen, ob die globalen Gruppen erfolgreich migriert wurden.
Vergewissern Sie sich, dass die globalen Gruppen in der Quelldomäne nicht mehr vorhanden sind und dass die
Gruppen in der Zieldomäne in der Organisationseinheit angezeigt werden, die Sie während des
Migrationsvorgangs angegeben haben. Die globalen Gruppen werden als universelle Gruppen in der Zieldomäne
aufgelistet. Um eine Liste der Mitglieder der universellen Gruppe anzuzeigen, klicken Sie mit der rechten
Maustaste auf die Gruppe, und klicken Sie auf Eigenschaften und dann auf die Registerkarte Mitglieder. Die
ursprünglichen Mitglieder der globalen Gruppe werden aufgelistet. Beachten Sie jedoch, dass die
Benutzerkonten noch nicht migriert wurden.
Anmerkung Da universelle Gruppen in den globalen Katalog repliziert werden, kann sich
das Umwandeln globaler Gruppen in universelle Gruppen negativ auf den Replikationsverkehr
auswirken. Wenn die Domäne auf der Funktionsebene Windows Server 2003 betrieben wird,
sind diese Auswirkungen geringer, da nur Änderungen der Mitgliedschaft in der universellen
Gruppe repliziert werden. Wenn die Domäne jedoch nicht auf der Funktionsebene
Windows Server 2003 betrieben wird, wird die gesamte Gruppenmitgliedschaft bei jeder
Änderung der Mitgliedschaft repliziert.
Migrieren von Dienstkonten
Das Migrieren von Dienstkonten umfasst die folgenden beiden Schritte:


Migrieren der Dienstkonten mit dem Assistenten zum Migrieren von Benutzerkonten in die
Zieldomäne.
Aktualisieren der Dienste mit dem Sicherheitskonvertierungs-Assistenten in ADMT.
Migrieren von Dienstkonten in die Zieldomäne
Dienstkonten werden während der Planungsphase einer Migration innerhalb einer Gesamtstruktur durch
Verwenden des Assistenten zum Migrieren von Dienstkonten identifiziert. Dieser Assistent markiert die Konten
in der ADMT-Datenbank als Dienstkonten. Verwenden Sie den Assistenten zum Migrieren von Benutzerkonten
zum Migrieren dieser Dienstkonten.
So migrieren Sie Dienstkonten in die Zieldomäne:
1.
Führen Sie den Assistenten zum Migrieren von Benutzerkonten aus, indem Sie die Informationen
verwenden, die in Tabelle 12.5 zur Verfügung gestellt werden.
Tabelle 12.5 Verwenden des Assistenten zum Migrieren von Benutzerkonten, um Dienstkonten
zu verschieben
Seite des Assistenten
Testen oder Änderungen
vornehmen
Domänenauswahl
Aktion
Klicken Sie auf Jetzt migrieren.
Geben Sie den Namen der Quelldomäne im Feld Quelldomäne ein, oder wählen
Sie den Namen aus.
Geben Sie den Namen der Zieldomäne im Feld Zieldomäne ein, oder wählen
Sie den Namen aus.
Seite des Assistenten
Benutzerauswahl
Aktion
Klicken Sie auf Hinzufügen.
Wählen Sie im Dialogfeld Benutzer auswählen alle Dienstkonten aus, die vom
Assistenten zum Migrieren von Dienstkonten identifiziert wurden, und klicken
Sie dann auf Hinzufügen. Standardmäßig fügt der Assistent die Dienstkonten
zur Organisationseinheit Benutzer hinzu. Wenn Sie die Organisationseinheit
ändern müssen, klicken Sie auf die Schaltfläche für den Speicherort, und suchen
Sie dann die Organisationseinheit, die die Dienstkonten enthält.
Auswahl der
Organisationseinheit
Benutzerkonto
Optionen für die
Kontoaktualisierung
Benutzeroptionen
Klicken Sie auf OK.
Klicken Sie auf Durchsuchen.
Navigieren Sie im Dialogfeld Container suchen zur Quelldomäne, wählen Sie
den Container für die Dienstkonten aus, und klicken Sie dann auf OK.
Geben Sie den Benutzernamen, das Kennwort und die Domäne eines
Benutzerkontos ein, das über Administratorrechte verfügt.
Klicken Sie auf Quellkonten deaktivieren.
Aktivieren Sie das Kontrollkästchen Benutzer-SIDs zur Zieldomäne
migrieren.
Aktivieren Sie das Kontrollkästchen Benutzerrechte aktualisieren.
Stellen Sie sicher, dass Konten nicht umbenennen ausgewählt ist.
Namenskonflikte
Dienstkontoinformationen
Stellen Sie sicher, dass keine weiteren Einstellungen ausgewählt sind,
einschließlich der Option Zugeordnete Benutzergruppen migrieren. Es wird
eine Warnmeldung angezeigt, die Sie informiert, dass Benutzer den Zugriff auf
Ressourcen verlieren, wenn die globalen Gruppen, zu denen die Benutzerkonten
gehören, nicht ebenfalls migriert werden. Klicken Sie auf OK, um mit der
Migration fortzufahren.
Wählen Sie In Konflikt stehende Konten ignorieren und nicht migrieren
aus.
Wählen Sie Alle Dienstkonten migrieren und SCM für einbezogene
Elemente aktualisieren. Wenn Sie auch andere Benutzerkonten migrieren, die
keine Dienstkonten sind, informiert Sie diese Seite des Assistenten, dass Sie
einige Konten ausgewählt haben, die in der ADMT-Datenbank als Dienstkonten
markiert sind. Standardmäßig sind diese Konten für Einbeziehen markiert. Um
den Status des Kontos zu ändern, wählen Sie das Konto aus und klicken dann
auf die Schaltfläche Überspringen/Einbeziehen.
Klicken Sie auf Weiter, um die Konten zu migrieren.
Ein Dialogfeld Migrationsstatus informiert Sie über den aktuellen Status der Migration. Während dieser Zeit
verschiebt ADMT die Konten in die Zieldomäne, generiert ein neues Kennwort für die Konten, weist den Konten
das Recht Als Dienst anmelden zu und stellt diese neuen Informationen den Diensten zur Verfügung, die die
Konten verwenden. Wenn der Status im Dialogfeld Migrationsstatus als abgeschlossen angezeigt wird, können
Sie mit der restlichen Migration innerhalb der Gesamtstruktur fortfahren. Bevor die Migration der Dienstkonten
abgeschlossen ist, müssen Benutzer möglicherweise mit Unterbrechungen rechnen, wenn sie diese Dienste
verwenden.
Aktualisieren von Dienstkonten
Nachdem Sie Dienstkonten in die Zieldomäne migriert haben, führen Sie den SicherheitskonvertierungsAssistenten aus, um das Konto zu aktualisieren und das Kennwort des Kontos zu ändern.
So aktualisieren Sie Dienstkonten:
1.
Führen Sie den Sicherheitskonvertierungs-Assistenten aus, indem Sie die Informationen verwenden, die
in Tabelle 12.6 zur Verfügung gestellt werden.
Tabelle 12.6 Verwenden des Sicherheitskonvertierungs-Assistenten zum Aktualisieren von
Dienstkonten
Seite des Assistenten
Aktion
Testen oder Änderungen vornehmen Wählen Sie Jetzt migrieren aus.
Optionen für die
Wählen Sie Zuvor migrierte Objekte aus.
Sicherheitskonvertierung
Domänenauswahl
Geben Sie den Namen der Quelldomäne im Feld Quelldomäne
ein, oder wählen Sie den Namen aus.
Objekte konvertieren
Optionen für die
Sicherheitskonvertierung
2.
3.
4.
Geben Sie den Namen der Zieldomäne im Feld Zieldomäne ein,
oder wählen Sie den Namen aus.
Wählen Sie Benutzerprofile aus.
Wählen Sie Ersetzen aus.
Wählen Sie den Namen der Quelldomäne im Dialogfeld Zusätzliche vertrauende Domäne aus. Klicken
Sie auf die Schaltfläche Hinzufügen, um die Namen der Computer einzugeben oder zu suchen, die
Dienste im Kontext des lokalen Systemkontos ausführen.
Wenn Sie den Namen der Quelldomäne nicht auswählen, wird auf der Seite Computerauswahl des
Assistenten die Zieldomäne im Dialogfeld Computer auswählen aufgelistet. Sie haben jedoch noch
keine Computer migriert. Sie konvertieren die Sicherheit nur auf den Computern, die Dienste im
Kontext der lokalen Systemkonten ausführen, die Sie bereits migriert haben.
ADMT sendet Agenten an die Server, die auf der Seite Computerauswahl des Assistenten genannt
werden. Das Dialogfeld Active Directory-Migrationsprogramm - Agentenüberwachung wird
angezeigt. Während die Agenten ihre Tasks durchführen, wird der Status jedes Agenten auf der
Registerkarte Zusammenfassung angezeigt. Nachdem die Agenten ihre Aufgaben durchgeführt haben,
ändert sich ihr Status in Abgeschlossen. Sie können die Schaltfläche Protokoll anzeigen auswählen,
um das Protokoll anzuzeigen und nach Fehlern zu suchen.
Migrieren von Benutzerkonten
Domänen können eine große Anzahl von Benutzerkonten enthalten. Um die Migration von Benutzerkonten
überschaubar zu gestalten, verwenden Sie eine Methode, die als "phasenweiser Übergang" bezeichnet wird;
dabei stellen Sie Benutzerkonten zu kleinen Gruppen zusammen und migrieren jede dieser Gruppen einzeln. Sie
können die Benutzer auf jede beliebige Art und Weise gruppieren.
Wenn das Kennwort aus der Quell- in die Zieldomäne kopiert wird, kann der Kennwortfilter das migrierte
Kennwort nicht untersuchen, um zu überprüfen, ob es die Komplexitäts- oder Längenanforderungen erfüllt, da
das Kennwort im Hashformat kopiert wird. Der Kennwortverlauf wird jedoch überprüft, wenn die
Kennwortverlaufsprüfung den Hashwert mit vorherigen Hashwerten vergleicht.
Wenn Sie Gruppenrichtlinienobjekte zum Verwalten der Softwareinstallation verwenden, müssen Sie
berücksichtigen, dass einige Softwareinstallationspakete (MSI-Pakete) Zugriff auf die ursprüngliche Quelle für
Operationen wie z. B. Reparatur und Deinstallation benötigen. Der Administrator muss dem
Softwareverteilungspunkt erneut Berechtigungen zuweisen, um den Zugriff auf die Konten zur Verfügung zu
stellen, die ohne das Attributr sIDHistory migriert wurden.
Führen Sie die folgenden Schritte durch, um den Softwareverteilungszugriff beizubehalten:


Verschieben von Benutzern mit ADMT.
Ausführen des Sicherheitskonvertierungs-Assistenten für den Softwareverteilungspunkt.
So migrieren Sie Organisationseinheiten und Unterstrukturen von Organisationseinheiten:
Verwenden Sie den Assistenten zum Migrieren von Benutzerkonten, um die einzelnen Benutzerkontengruppen
zu migrieren.
So migrieren Sie Benutzerkonten:
1.
Führen Sie den Assistenten zum Migrieren von Benutzerkonten aus, indem Sie die Informationen
verwenden, die in Tabelle 12.7 zur Verfügung gestellt werden.
Tabelle 12.7 Verwenden des Assistenten zum Migrieren von Benutzerkonten für das
Verschieben von Benutzerkonten
Seite des Assistenten
Testen oder Änderungen
vornehmen
Domänenauswahl
Benutzerauswahl
Aktion
Klicken Sie auf Jetzt migrieren.
Geben Sie den Namen der Quelldomäne im Feld Quelldomäne ein, oder wählen
Sie den Namen aus.
Geben Sie den Namen der Zieldomäne im Feld Zieldomäne ein, oder wählen
Sie den Namen aus.
Klicken Sie auf Hinzufügen.
Wählen Sie im Dialogfeld Benutzer auswählen alle Dienstkonten aus, die vom
Assistenten zum Migrieren von Dienstkonten identifiziert wurden, und klicken
Sie dann auf Hinzufügen. Standardmäßig fügt der Assistent die Dienstkonten
der Organisationseinheit Benutzer hinzu. Wenn Sie die Organisationseinheit
ändern müssen, klicken Sie auf die Schaltfläche für den Speicherort, und suchen
Sie dann die Organisationseinheit, die die Dienstkonten enthält.
Auswahl der
Organisationseinheit
Klicken Sie auf OK.
Stellen Sie sicher, dass ADMT die richtige Zielorganisationseinheit auflistet.
Wenn die angegebene Organisationseinheit falsch ist, geben Sie die richtige
Organisationseinheit ein, oder klicken Sie auf Durchsuchen.
Navigieren Sie im Dialogfeld Container suchen zu Quelldomäne \Benutzer
(wobei Quelldomäne der Domänenname der Windows Server 2003Quelldomäne ist), und klicken Sie dann auf OK.
Seite des Assistenten
Optionen für die
Kontoaktualisierung
Aktion
Wählen Sie Zielkonten aktivieren aus.
Stellen Sie sicher, dass Optionen zum Deaktivieren des Quellkontos
deaktiviert ist.
Benutzerkonto
Benutzeroptionen
Aktivieren Sie das Kontrollkästchen Benutzer-SIDs zur Zieldomäne
migrieren.
Geben Sie den Benutzernamen, das Kennwort und die Domäne eines
Benutzerkontos ein, das über Administratorrechte verfügt.
Aktivieren Sie das Kontrollkästchen Servergespeicherte Profile konvertieren.
Aktivieren Sie das Kontrollkästchen Benutzerrechte aktualisieren.
Namenskonflikte
Deaktivieren Sie das Kontrollkästchen Zugeordnete Benutzergruppen
migrieren. Es wird eine Warnmeldung angezeigt, die Sie informiert, dass
Benutzer den Zugriff auf Ressourcen verlieren, wenn die globalen Gruppen, zu
denen die Benutzerkonten gehören, nicht ebenfalls migriert werden. Klicken Sie
auf OK, um mit der Migration fortzufahren.
Klicken Sie auf In Konflikt stehende Konten ersetzen.
Sie können auf den Seiten Computerauswahl, Benutzerauswahl und Domänenauswahl mehrere Konten
auswählen. Wenn Sie mehrere Konten auswählen, trennen Sie die einzelnen Konten durch ein Semikolon.
Wenn Sie im Assistenten zum Migrieren von Dienstkonten auf Fertig stellen klicken, wird das Dialogfeld
Migrationsstatus angezeigt. Wenn sich der Status in Abgeschlossen ändert, zeigen Sie das Migrationsprotokoll
an, und prüfen Sie, ob im Migrationsvorgang Fehler aufgetreten sind. Klicken Sie auf die Schaltfläche
Schließen, um das Dialogfeld Migrationsstatus zu schließen.
Migrieren von lokalen Benutzerprofilen eines Clientcomputers mit
Betriebssystem ohne Active Directory
Migrieren Sie lokale Benutzerprofile, nachdem Sie die Benutzerkonten migriert haben. Sie müssen nur lokale
Benutzerprofile für Clientcomputer migrieren, die frühere Versionen des Windows-Betriebssystems als
Windows 2000 ausführen und damit nicht über Active Directory verfügen. Um die Unterbrechung für Benutzer
so gering wie möglich zu halten, migrieren Sie die Benutzerprofile sofort, nachdem Sie eine Benutzergruppe
migriert haben. Wenn die Quelldomäne nur eine geringe Anzahl dieser Clients ohne Active Directory enthält,
migrieren Sie diese als Gruppe und migrieren dann ihre Benutzerprofile, bevor Sie die nächste Benutzergruppe
migrieren.
Es sind keine Aktionen erforderlich, um das lokale Profil eines Active Directory-Clients zwischen Domänen in
der gleichen Gesamtstruktur zu migrieren, weil die GUID (Globally Unique Identifier) des Benutzers gleich
bleibt. Das lokale Profil kann die SID-zu-GUID-Zuordnung verwenden, die in der Registrierung gespeichert
wird, um dem Benutzer das Profil erneut zuzuweisen und es der neuen SID zuzuordnen.
Bei Profilmigrationen auf einem Windows XP SP1-Client, der in einer Windows Server 2003-Umgebung
ausgeführt wird, überprüft ADMT den Besitz der Profilordner, wenn der Pfad für das lokale Profil gleich ist.
Zwar ändert sich die SID des Benutzers, die Besitzerinformationen ändern sich jedoch nicht, und der Benutzer
besitzt aus diesem Grund nur dann Zugriff auf den Ordner, wenn der Sicherheitskonvertierungs-Assistent für den
Profilordner ausgeführt wird.
Wenn Sie das Benutzerkonto in eine Domäne innerhalb der Gesamtstruktur verschieben und der Pfad für das
lokale Profil unterschiedlich ist, wird das Benutzerprofil geändert, und ein neuer Profilordner wird auf dem
Server mit den richtigen Zugriffssteuerungslisten (Access Control Lists oder ACLs) erstellt. Es sind selbst dann
keine Aktionen erforderlich, wenn das Benutzerkonto ohne sIDHistory migriert wird.
So migrieren Sie lokale Profile:
1.
Führen Sie den Sicherheitskonvertierungs-Assistenten aus, indem Sie die Informationen verwenden, die
in Tabelle 12.8 zur Verfügung gestellt werden.
Tabelle 12.8 Verwenden des Sicherheitskonvertierungs-Assistenten zum Migrieren lokaler
Profile
Seite des Assistenten
Testen oder Änderungen
vornehmen
Optionen für die
Sicherheitskonvertierung
Domänenauswahl
Objekte konvertieren
Optionen für die
Sicherheitskonvertierung
Aktion
Wählen Sie Jetzt migrieren aus.
Wählen Sie Zuvor migrierte Objekte aus.
Geben Sie den Namen der Quelldomäne im Feld Quelldomäne ein, oder wählen
Sie den Namen aus.
Geben Sie den Namen der Zieldomäne im Feld Zieldomäne ein, oder wählen
Sie den Namen aus.
Wählen Sie Benutzerprofile aus.
Wählen Sie Ersetzen aus.
Anmerkung Da servergespeicherte Profile auf einem Server gespeichert werden, müssen Sie
diese nicht migrieren.
Migrieren von Arbeitsstationen und Mitgliedsservern
Migrieren Sie Arbeitsstationen und Mitgliedsserver aus der Quelldomäne in die Zieldomäne. Wenn Sie
Computer migrieren, werden die Änderungen erst nach dem Neustart des Computers wirksam. Starten Sie die
Computer, die Sie migrieren, so schnell wie möglich neu, um den Migrationsvorgang abzuschließen.
So migrieren Sie Arbeitsstationen und Mitgliedsserver:
1.
Führen Sie den Computermigrations-Assistenten aus, indem Sie die Informationen verwenden, die in
Tabelle 12.9 zur Verfügung gestellt werden.
Tabelle 12.9 Verwenden des Computermigrations-Assistenten zum Migrieren von
Arbeitsstationen und Mitgliedsservern
Seite des Assistenten
Testen oder Änderungen
vornehmen
Domänenauswahl
Computerauswahl
Aktion
Wählen Sie Jetzt migrieren aus.
Geben Sie den Namen der Quelldomäne im Feld Quelldomäne ein, oder wählen
Sie den Namen aus.
Geben Sie den Namen der Zieldomäne im Feld Zieldomäne ein, oder wählen
Sie den Namen aus.
Klicken Sie auf Hinzufügen.
Wählen Sie Computernamen im Dialogfeld Computer auswählen aus (wobei
Computernamen die Namen aller Arbeitsstationen und Mitgliedsserver in der
Quelldomäne sind), und klicken Sie auf Hinzufügen und dann auf OK.
Seite des Assistenten
Auswahl der
Organisationseinheit
Dienstkontoauswahl
Übertragbare Objekte
Benutzerkonto
Aktion
Klicken Sie auf Durchsuchen.
Navigieren Sie im Dialogfeld Container suchen zu Quelldomäne \Computer
(wobei Quelldomäne der Domänenname der Windows Server 2003Quelldomäne ist), und klicken Sie dann auf OK.
Aktivieren Sie das Kontrollkästchen Lokale Gruppen.
Aktivieren Sie das Kontrollkästchen Benutzerrechte.
Wählen Sie Hinzufügen aus.
Geben Sie den Namen des ADMT-Ressourcenmigrationskontos im Feld
Benutzername ein.
Geben Sie im Feld Kennwort das dem Konto entsprechende Kenwort ein.
Computeroptionen
Namenskonflikte
Geben Sie Quelldomäne im Feld Domäne ein (wobei Quelldomäne der Name
der Quelldomäne ist).
Geben Sie im Feld Minuten, bevor der Computer nach Beenden des
Assistenten neu gestartet wird den Wert 1 ein.
Wählen Sie In Konflikt stehende Konten ignorieren und nicht migrieren
aus.
Migrieren domänenlokaler Gruppen
Migrieren Sie die lokalen Domänengruppen, die in Active Directory vorhanden sind. Verwenden Sie den
Assistenten zum Migrieren von Gruppenkonten in ADMT zum Migrieren der lokalen Domänengruppen.
So migrieren Sie die domänenlokalen Gruppen:
1.
Führen Sie den Assistenten zum Migrieren von Gruppenkonten aus, indem Sie die Informationen
verwenden, die in Tabelle 12.10 zur Verfügung gestellt werden.
Tabelle 12.10 Verwenden des Assistenten zum Migrieren von Gruppenkonten zum Migrieren
domänenlokaler Gruppen
Seite des Assistenten
Testen oder Änderungen
vornehmen
Domänenauswahl
Aktion
Wählen Sie Jetzt migrieren aus.
Geben Sie den NetBIOS- oder DNS-Namen der Quelldomäne im Feld Quelldomäne
ein, oder wählen Sie diesen aus der Liste aus.
Gruppenauswahl
Geben Sie den NetBIOS- oder DNS-Namen der Zieldomäne im Feld Zieldomäne ein.
Klicken Sie auf Hinzufügen.
Auswahl der
Organisationseinheit
Wählen Sie im Dialogfeld Gruppen auswählen alle domänenlokalen Gruppen (mit
Ausnahme integrierter Gruppen) aus, die migriert werden sollen, und klicken Sie auf
Hinzufügen und dann auf OK.
Geben Sie den Namen der Organisationseinheit ein, oder klicken Sie auf
Durchsuchen.
Suchen Sie im Dialogfeld Container suchen den Container in der Zieldomäne, in
den die lokalen Domänengruppen migriert werden sollen, und klicken Sie dann auf
OK.
Seite des Assistenten
Benutzerkonto
Gruppenoptionen
Aktion
Geben Sie Informationen für Benutzername, Kennwort und Domäne eines Kontos
ein, das über Administratorrechte in der Quelldomäne verfügt.
Die Kontrollkästchen Gruppen-SIDs zur Zieldomäne migrieren und
Gruppenmitgliedschaften der Benutzer korrigieren sind aktiviert und werden grau
angezeigt.
Wählen Sie Konten nicht umbenennen aus.
Namenskonflikte
Stellen Sie sicher, dass aller anderen Optionen deaktiviert sind.
Wählen Sie In Konflikt stehende Konten ignorieren und nicht migrieren aus.
Beispiel: Neustrukturieren von Windows Server 2003-Domänen
Contoso Corporation möchte die Domänenobjekte der Domäne Africa in die Domäne EMEA migrieren und
dabei die Migration der Domänenobjekte in der kürzestmöglichen Zeit abschließen, um die Auswirkungen auf
Benutzer zu minimieren und die Zeitspanne zu verringern, in der der Netzwerkverkehr betroffen ist. Während
der Migration werden alle globalen Gruppen, die migriert werden, zu universellen Gruppen, bis jeder Benutzer,
der zu der Gruppe gehört, in die Zieldomäne migriert wurde. Da die Gesamtstruktur Windows Server 2003Domänen im einheitlichen Modus enthält, werden nur inkrementelle Änderungen der Mitgliedschaft in den
universellen Gruppen in den globalen Katalog repliziert.
Die Contoso-Administratoren richten ein umfangreiches Testlabor ein, um den Migrationsvorgang zu testen,
bevor die Migration eingeleitet wird. Durch Testen der Verfahren ermitteln sie, dass der Migrationsvorgang in
zwei Wochen abgeschlossen werden kann. Globale und universelle Gruppen werden am Montag und Dienstag in
der ersten Woche verschoben. Am Mittwoch werden Dienstkonten verschoben und Dienste aktualisiert.
Donnerstag, Freitag und Samstag sind für das Verschieben von Benutzerkonten reserviert. Server werden am
Sonntag der ersten Woche verschoben. Die zweite Woche ist für das Verschieben von Arbeitsstationen
reserviert. Domänenlokale Gruppen werden am Ende der zweiten Woche verschoben.
Durchführen der Tasks nach der Migration
Nachdem alle Migrationsaufgaben abgeschlossen wurden, die für das Neustrukturieren der Windows Server
2003-Domänen innerhalb einer Gesamtstruktur erforderlich sind, müssen Sie überprüfen, ob die Migration wie
geplant durchgeführt wurde und einige nach der Migration erforderliche Tasks durchführen. Abbildung 12.5
zeigt das Durchführen von Tasks nach der Migration.
Abbildung 12.5 Durchführen von Tasks nach der Migration.
Untersuchen des Migrationsprotokolls auf Fehler
ADMT verwaltet ein ausführliches Protokoll aller Aktionen, die Sie beim Migrieren von Ressourcen zwischen
Windows Server 2003-Domänen durchführen. Fehler, die während des Migrationsvorgangs auftreten, werden
auch dann im Protokoll aufgezeichnet, wenn sie kein Warndialogfeld in ADMT generieren. Das Untersuchen der
Protokolle nach der Migration ist eine gute Methode, um sicherzustellen, dass alle Tasks erfolgreich
durchgeführt wurden. Da es wichtig ist, die Migrationsschritte in einer bestimmten Reihenfolge durchzuführen,
sollten Sie die Migrationsprotokolle am besten nach jedem Schritt überprüfen, damit Sie Fehler rechtzeitig
erkennen und beheben können.
Überprüfen der Gruppentypen
ADMT ändert globale Gruppen bei der Migration aus der Quell- in die Zieldomäne in universelle Gruppen.
Diese Änderung erfolgt automatisch, da globale Gruppen nur Mitglieder ihrer eigenen Domäne enthalten
können; aus diesem Grund können sie nicht weiterhin globale Gruppen sein, wenn sie in eine andere Domäne
migriert werden, bis alle Gruppenmitglieder migriert wurden. ADMT ändert universelle Gruppen erneut in
globale Gruppen, nachdem das letzte Mitglied der Gruppe in die Zieldomäne migriert wurde. Da universelle
Gruppen ihre Mitgliedschaft in den globalen Katalog replizieren, müssen Sie unbedingt überprüfen, dass die
universellen Gruppen einwandfrei wieder in globale Gruppen geändert wurden.
Verwenden Sie Active Directory-Benutzer und -Computer zum Überprüfen, ob universelle Gruppen
erfolgreich migriert wurden. Vergewissern Sie sich, dass die universellen Gruppen in der Quelldomäne nicht
mehr vorhanden sind und dass sie in der Zieldomäne in der Organisationseinheit angezeigt werden, die Sie
während des Migrationsvorgangs angegeben haben.
Konvertieren der Sicherheit auf Mitgliedsservern
Das Konvertieren der Sicherheit auf Mitgliedsservern umfasst das Bereinigen der Zugriffssteuerungslisten
(ACLs) der migrierten Objekte. Nachdem Objekte aus der Quell- in die Zieldomäne migriert wurden, enthalten
diese Objekte ACL-Einträge aus der Quell- und der Zieldomäne. Die SIDs aus der Quelldomäne verbleiben in
den ACLs, damit Benutzern während der Durchführung des Migrationsvorgangs der Zugriff auf Ressourcen
ermöglicht wird. Nachdem die Migration abgeschlossen ist, werden die SIDs aus der Quelldomäne nicht mehr
benötigt. Verwenden Sie den Sicherheitskonvertierungs-Assistenten in ADMT, um die Quelldomänen-SIDs aus
den migrierten Objekten zu entfernen.
So konvertieren Sie die Sicherheit auf Mitgliedsservern:
1.
Führen Sie unter Verwendung der Informationen in Tabelle 12.11 den SicherheitskonvertierungsAssistenten in ADMT aus.
Tabelle 12.11 Verwenden des Sicherheitskonvertierungs-Assistenten in ADMT
Seite des Assistenten
Testen oder Änderungen
vornehmen
Optionen für die
Sicherheitskonvertierung
Domänenauswahl
Objekte konvertieren
Optionen für die
Sicherheitskonvertierung
Aktion
Wählen Sie Jetzt migrieren aus.
Wählen Sie Zuvor migrierte Objekte aus.
Geben Sie den Namen der Quelldomäne im Feld Quelldomäne ein, oder wählen
Sie den Namen aus.
Geben Sie den Namen der Zieldomäne im Feld Zieldomäne ein, oder wählen
Sie den Namen aus.
Wählen Sie Benutzerprofile aus.
Wählen Sie Ersetzen aus.
Außerbetriebnehmen der Quelldomäne
Nachdem Sie alle Objekte einschließlich der Computer und Mitgliedsserver aus der Quell- in die Zieldomäne
migriert haben, verbleiben nur die Domänencontroller in der Quelldomäne. Um die Quelldomäne außer Betrieb
zu nehmen, führen Sie den Assistenten zum Installieren von Active Directory aus, um Active Directory von den
Domänencontrollern in der Quelldomäne zu entfernen. Migrieren Sie die Domänencontroller als Mitgliedsserver
aus der Quelldomäne in die Zieldomäne. Verwenden Sie abhängig von der neuen Rolle, die für die Server in der
Zieldomäne geplant ist, ggf. den Assistenten zum Installieren von Active Directory, um Active Directory auf den
Mitgliedsservern zu installieren, um ihnen erneut den Status eines Domänencontrollers in der Zieldomäne
zuzuweisen.
Beispiel: Durchführen der Tasks nach der Migration
Das Team für die Tasks nach der Migration von Contoso Corporation beginnt während der ersten Woche der
Migration mit der Durchführung dieser Aufgaben. Das Team untersucht die Migrationsprotokolle, nachdem die
erste Gruppe der Migrationen am ersten Tag abgeschlossen wurde. Das Team analysiert die
Migrationsprotokolle und definiert die Aktionen, die zum Migrieren von Konten erforderlich sind, die Fehler
verursachen, damit das Migrationsteam ohne Unterbrechung mit der Migration fortfahren kann.
Während der zweiten Woche des Migrationsvorgangs überprüft das Bereitstellungsteam, ob die globalen
Gruppen, die zu universellen Gruppen wurden, erneut den Status einer globalen Gruppe erhalten haben, nachdem
die Migration der Benutzer abgeschlossen ist. Nachdem die Mitgliedsserver migriert wurden, führt das
Bereitstellungsteam den Sicherheitskonvertierungs-Assistenten aus, um die Quelldomänen-SIDs aus den ACLs
der Mitgliedsserver zu entfernen. Schließlich nimmt das Bereitstellungsteam die Domäne Africa am Ende der
zweiten Woche außer Betrieb, indem Active Directory von den Domänencontrollern in der Domäne Africa
entfernt wird und diese dann in die Domäne EMEA als Mitgliedsserver verschoben werden.
Weitere Ressourcen
Verwandte Informationen in den Resource Kits




Weitere Informationen zur logischen Struktur von Active Directory finden Sie unter "Entwerfen der
logischen Struktur" in diesem Handbuch.
Weitere Informationen zur Active Directory-Standorttopologie finden Sie unter "Entwerfen der
Standorttopologie" in diesem Handbuch.
Weitere Informationen zum Neustrukturieren von Windows Server 2003-Domänen zwischen
Gesamtstrukturen finden Sie unter “Upgrading Windows NT 4.0 Domains to a Windows Server 2003
Server” in diesem Handbuch (englischsprachig).
Weitere Informationen zum Erstellen einer Sicherheitsgruppenstrategie finden Sie unter “Designing an
Authorization Strategy” in diesem Handbuch (englischsprachig).
Verwandte Tools:

ADMT v2
Sie können das Active Directory-Migrationsprogramm (ADMT), Version 2, zum Migrieren von Konten
verwenden, um Windows Server 2003-Domänen neu zu strukturieren. ADMT enthält Assistenten, die
Sie zum Migrieren von Objekten wie z. B. Gruppen, Benutzern, Computern und Dienstkonten
verwenden können. Diese Assistenten unterstützen Sie beim Durchführen der geeigneten Migration für
jeden Objekttyp.
Verwandte Aufgabenhilfen

"Domain Object Assignment Table" (DSSRERA_1.doc) (englischsprachig)
Beta-Disclaimer
Diese Dokumentation ist eine Vorversion der Dokumentation, die bis zur endgültigen Handelsausgabe
wesentlichen Änderungen unterzogen werden kann, und stellt vertrauliche Informationen im Besitz der
Microsoft Corporation dar. Sie wird in Übereinstimmung mit den Bestimmungen einer
Geheimhaltungsvereinbarung zwischen dem Empfänger und Microsoft zur Verfügung gestellt. Dieses Dokument
dient nur zu Informationszwecken. Microsoft schließt für dieses Dokument jede Gewährleistung aus, sei sie
ausdrücklich oder konkludent. Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs
und anderen Verweisen auf Internetwebsites, können ohne vorherige Ankündigung geändert werden. Das Risiko
der Nutzung dieser Informationen oder der daraus folgenden Ergebnisse liegen allein beim Benutzer. Die in den
Beispielen verwendeten Firmen, Organisationen, Produkte, Personen und Ereignisse sind frei erfunden, sofern
nichts anderes angegeben ist. Jede Ähnlichkeit mit tatsächlichen Firmen, Organisationen, Produkten, Personen
oder Ereignissen ist rein zufällig. Die Benutzer/innen sind verpflichtet, sich an alle anwendbaren
Urheberrechtsgesetze zu halten. Unabhängig von der Anwendbarkeit der entsprechenden Urheberrechtsgesetze
darf ohne ausdrückliche schriftliche Erlaubnis der Microsoft Corporation kein Teil dieses Dokuments für
irgendwelche Zwecke vervielfältigt, in einem Datenempfangssystem gespeichert oder darin eingelesen werden
oder übertragen werden, unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln (elektronisch,
mechanisch, durch Fotokopieren, Aufzeichnen usw.) dies geschieht.
Es ist möglich, dass Microsoft Rechte an Patenten bzw. angemeldeten Patenten, an Marken, Urheberrechten oder
sonstigem geistigen Eigentum besitzt, die sich auf den fachlichen Inhalt dieses Dokuments beziehen. Das
Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen Anspruch auf diese Patente, Marken, Urheberrechte
oder auf sonstiges geistiges Eigentum, es sei denn, dies wird ausdrücklich in den schriftlichen Lizenzverträgen
von Microsoft eingeräumt.
© 2002 Microsoft Corporation. Alle Rechte vorbehalten.
Active Accessibility, Active Channel, Active Client, Active Desktop, Active Directory, ActiveMovie, ActiveX,
Authenticode, BackOffice, Direct3D, DirectAnimation, DirectDraw, DirectInput, DirectMusic, DirectPlay,
DirectShow, DirectSound, DirectX, DoubleSpace, DriveSpace, FrontPage, IntelliMirror, IntelliMouse,
IntelliSense, JScript, Links, Microsoft, Microsoft Press, Microsoft QuickBasic, MSDN, MS-DOS, MSN,
Natural, NetMeeting, NetShow, OpenType, Outlook, PowerPoint, SideWinder, Slate, TrueImage, Verdana,
Visual Basic, Visual C++, Visual FoxPro, Visual InterDev, Visual J++, Visual Studio, WebBot, Win32,
Windows, Windows Media und Windows NT sind entweder eingetragene Marken oder Marken der Microsoft
Corporation in den USA und/oder anderen Ländern.
Die in diesem Dokument aufgeführten Produkt- und Firmennamen können geschützte Marken ihrer jeweiligen
Inhaber sein.
Danke für Ihr Interesse an Dokumentation, die vom Windows Resource Kits-Team entwickelt wurde. Wenn Sie
Feedback hinsichtlich der Relevanz, der Brauchbarkeit oder der Vollständigkeit des Inhalts zur Verfügung
stellen möchten, senden Sie dies an [email protected]. Bitte geben Sie den Kapiteltitel in der Betreffzeile
Ihrer Nachricht an. Bitte versehen Sie Ihre Kommentare außerdem mit den entsprechenden Seitenzahlen. Sie
können Ihre Kommentare auch als Anlage senden.
© 1985-2002 Microsoft Corporation. Alle Rechte vorbehalten.