ADMT-Handbuch: Migrieren und Neustrukturieren von Active DirectoryDomänen Microsoft Corporation Veröffentlicht: Juni 2010 Autor: Justin Hall Editoren: Jim Becker, Margery Spears Kurzfassung In diesem Handbuch wird die Verwendung des Active Directory®-Migrationsprogramms, Version 3.1 (ADMT v3.1) oder ADMT 3.2, zum Migrieren von Benutzern, Gruppen, verwalteten Dienstkonten und Computern zwischen Active Directory-Domänen in verschiedenen Gesamtstrukturen (Migration zwischen Gesamtstrukturen) oder zwischen Active DirectoryDomänen in der gleichen Gesamtstruktur (Migration innerhalb einer Gesamtstruktur) erläutert. Außerdem wird die Verwendung von ADMT zum Ausführen der Sicherheitskonvertierung zwischen verschiedenen Active Directory-Gesamtstrukturen gezeigt. Die Informationen in diesem Dokument, einschließlich URL- und anderen InternetwebsiteVerweisen, können ohne vorherige Ankündigung geändert werden. Die in den Beispielen verwendeten Firmen, Organisationen, Produkte, Domänennamen, E-Mail-Adressen, Logos, Personen, Orte und Ereignisse sind frei erfunden, soweit nichts anderes angegeben ist. Jede Ähnlichkeit mit bestehenden Firmen, Organisationen, Produkten, Domänennamen, E-MailAdressen, Logos, Personen, Orten oder Ereignissen ist rein zufällig. Die Benutzer/innen sind verpflichtet, sich an alle anwendbaren Urheberrechtsgesetze zu halten. Unabhängig von der Anwendbarkeit der entsprechenden Urheberrechtsgesetze darf ohne ausdrückliche schriftliche Erlaubnis der Microsoft Corporation kein Teil dieses Dokuments für irgendwelche Zwecke vervielfältigt oder in einem Datenempfangssystem gespeichert oder darin eingelesen werden, unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln (elektronisch, mechanisch, durch Fotokopieren, Aufzeichnen usw.) dies geschieht. Es ist möglich, dass Microsoft Rechte an Patenten bzw. angemeldeten Patenten, an Marken, Urheberrechten oder sonstigem geistigem Eigentum besitzt, die sich auf den fachlichen Inhalt dieses Dokuments beziehen. Das Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen Anspruch auf diese Patente, Marken, Urheberrechte oder auf sonstiges geistiges Eigentum, es sei denn, dies wird ausdrücklich in den schriftlichen Lizenzverträgen von Microsoft eingeräumt. © 2010 Microsoft Corporation. Alle Rechte vorbehalten. Active Directory, Microsoft, Windows und Windows Server sind eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern. Die in diesem Dokument aufgeführten Namen von bestehenden Firmen und Produkten sind möglicherweise Marken der jeweiligen Eigentümer. Inhalt ADMT-Handbuch: Migrieren und Neustrukturieren von Active Directory-Domänen ..................... 10 Active Directory-Domänenneustrukturierung zwischen Gesamtstrukturen ............................... 11 Active Directory-Domänenneustrukturierung innerhalb einer Gesamtstruktur .......................... 11 Begriffe und Definitionen ............................................................................................................ 13 Aktive Directory-Migrationsprogramm ........................................................................................ 13 Verwenden einer Includedatei ................................................................................................ 15 Feld "SourceName" ............................................................................................................. 16 Feld "TargetName" .............................................................................................................. 16 Felder "TargetRDN", "TargetSAM" und "TargetUPN" ......................................................... 17 Umbenennen von Objekten ................................................................................................. 17 Verwenden einer Ausschlussdatei ...................................................................................... 18 Verwenden von Skripts ........................................................................................................... 18 Versionen vom Active Directory-Migrationsprogramm und unterstützte Umgebungen ................ 21 Unterstützung für Windows Server-Funktionen ......................................................................... 23 Bewährte Methoden für die Active Directory-Migration ................................................................. 24 Bewährte Methoden für die Verwendung des Active Directory-Migrationsprogramms................. 24 Bewährte Methoden für das Ausführen der Migration von Benutzer- und Gruppenkonten .......... 25 Bewährte Methoden für das Ausführen von Computermigrationen .............................................. 27 Bewährte Methoden für das Ausführen des Rollbacks einer Migration ........................................ 27 Active Directory-Domänenneustrukturierung zwischen Gesamtstrukturen ................................... 28 Prüfliste: Ausführen einer Migration zwischen Gesamtstrukturen ................................................. 29 Neustrukturierung von Active Directory-Domänen zwischen Gesamtstrukturen im Überblick ..... 32 Verfahren zum Neustrukturieren von Active Directory-Domänen zwischen Gesamtstrukturen ... 33 Hintergrundinformationen zum Neustrukturieren von Active Directory-Domänen zwischen Gesamtstrukturen ....................................................................................................................... 33 Migrationsvorgang von Benutzerkonten .................................................................................... 34 Migrationsvorgang für Ressourcen ............................................................................................ 35 Planen der Neustrukturierung von Active Directory-Domänen zwischen Gesamtstrukturen ........ 36 Festlegen des Kontomigrationsvorgangs ...................................................................................... 37 Verwenden des SID-Verlaufs zum Beibehalten des Ressourcenzugriffs ..................................... 39 Verwenden von SID-Filterung beim Migrieren von Benutzerkonten ............................................. 40 Zuweisen von Objektspeicherorten und Rollen ............................................................................. 41 Entwickeln eines Testplans für die Migration ................................................................................ 43 Erstellen eines Rollbackplans ........................................................................................................ 45 Verwalten von Benutzern, Gruppen und Benutzerprofilen ............................................................ 47 Verwalten von Benutzerkonten .................................................................................................. 47 Attribute, die immer vom System ausgeschlossen werden .................................................... 48 Systemattribut-Ausschlussliste ............................................................................................... 48 Attributausschlussliste ............................................................................................................ 48 Verwalten globaler Gruppen ...................................................................................................... 49 Planen einer Benutzerprofilmigration ......................................................................................... 49 Vorbereiten von servergespeicherten Profilen für die Migration von Computern unter Windows Vista und Windows 7 ........................................................................................... 51 Erstellen eines Endbenutzerkommunikationsplans ....................................................................... 53 Allgemeine Informationen .......................................................................................................... 53 Auswirkungen ............................................................................................................................. 53 Anmeldestatus während der Migration ...................................................................................... 54 Schritte vor der Migration ........................................................................................................... 54 Erwartete Änderungen ............................................................................................................... 54 Informationen zu Planung und Support ..................................................................................... 54 Vorbereiten der Quell- und Zieldomänen ...................................................................................... 54 Installieren von Software für starke Verschlüsselung (128-Bit) ..................................................... 55 Einrichten von erforderlichen Vertrauensstellungen für die Migration ........................................... 56 Einrichten von Migrationskonten für die Migration ........................................................................ 56 Konfigurieren der Quell- und Zieldomänen für die Migration des SID-Verlaufs ............................ 61 Konfigurieren der Organisationseinheitsstruktur der Zieldomäne für die Verwaltung ................... 63 Installieren von ADMT in der Zieldomäne ..................................................................................... 64 Installieren von ADMT v3.1 ........................................................................................................ 64 Voraussetzungen für die Installation von ADMT v3.1............................................................. 64 Installieren von ADMT v3.1 mithilfe des Standarddatenbankspeichers ................................. 65 Installieren von ADMT v3.2 ........................................................................................................ 67 Voraussetzungen für die Installation von ADMT v3.2............................................................. 68 Installieren von ADMT v3.2 ..................................................................................................... 69 Trennen einer vorhandenen Datenbankdatei von einer vorherigen Version von ADMT und SQL Server ..................................................................................................................................... 70 Neukonfiguration einer Datenbankinstallation mit "Admtdb.exe" ............................................... 70 Erneutes Verwenden einer ADMT-Datenbank aus einer vorherigen Installation ...................... 72 Aktivieren der Kennwortmigration .................................................................................................. 73 Initialisieren von ADMT durch Ausführen einer Testmigration ...................................................... 77 Identifizieren von Dienstkonten für die Migration .......................................................................... 79 Bestimmen von Dienstkonten .................................................................................................... 79 Migrieren von Konten .................................................................................................................... 84 Konvertieren von Dienstkonten in der Migration ........................................................................... 85 Migrieren globaler Gruppen ........................................................................................................... 91 Migrieren von Konten bei Verwendung des SID-Verlaufs ............................................................. 95 Migrieren von verwalteten Dienstkonten ....................................................................................... 99 Migrieren aller Benutzerkonten.................................................................................................... 104 Erneute losweise Migration von Benutzerkonten und Migration von Arbeitsstationen ............... 111 Konvertieren lokaler Benutzerprofile ........................................................................................ 111 Losweise Migrierung von Arbeitsstationen .............................................................................. 115 Erneute losweise Migration von Benutzerkonten ..................................................................... 121 Erneute Migration aller globalen Gruppen nach der Kontenmigration ..................................... 127 Erneute Migration aller globalen Gruppen nach der Migration aller Lose ................................... 127 Migrieren von Konten ohne Verwendung des SID-Verlaufs ........................................................ 131 Migrieren von verwalteten Dienstkonten ..................................................................................... 133 Migrieren aller Benutzerkonten.................................................................................................... 139 Konvertieren der Sicherheit im Hinzufügen-Modus ..................................................................... 145 Erneute losweise Migration von Benutzerkonten und Migration von Arbeitsstationen ............... 149 Konvertieren lokaler Benutzerprofile ........................................................................................ 149 Losweise Migrierung von Arbeitsstationen .............................................................................. 153 Erneute losweise Migration von Benutzerkonten ..................................................................... 159 Erneute Migration aller globalen Gruppen nach der Kontenmigration ..................................... 165 Erneute Migration aller globalen Gruppen nach der Migration aller Lose ................................... 165 Konvertieren der Sicherheit im Entfernungsmodus ..................................................................... 169 Migrieren von Ressourcen ........................................................................................................... 173 Migrieren von Arbeitsstationen und Mitgliedsservern.................................................................. 174 Migrieren von Domänen- und freigegebenen lokalen Gruppen .................................................. 181 Migrieren von Domänencontrollern ............................................................................................. 184 Anschließen der Migration ........................................................................................................... 185 Konvertieren der Sicherheit auf Mitgliedsservern ........................................................................ 186 Außerbetriebnahme der Quelldomänen ...................................................................................... 190 Active Directory-Domänenneustrukturierung innerhalb einer Gesamtstruktur ............................ 190 Prüfliste: Ausführen einer Migration innerhalb einer Gesamtstruktur .......................................... 191 Übersicht zum Umstrukturieren von Active Directory-Domänen innerhalb einer Gesamtstruktur .................................................................................................................................................. 194 Umstrukturieren von Active Directory-Domänen innerhalb einer Gesamtstruktur mithilfe von ADMT v3.1 ............................................................................................................................... 194 Hintergrundinformationen zum Neustrukturieren von Active Directory-Domänen innerhalb einer Gesamtstruktur ......................................................................................................................... 195 Geschlossene Sätze und offene Sätze .................................................................................... 196 Benutzer und Gruppen ......................................................................................................... 196 Ressourcen und lokale Gruppen .......................................................................................... 198 SID-Verlauf ............................................................................................................................... 198 Zuweisen des Ressourcenzugriffs zu Gruppen ....................................................................... 199 Vorbereiten der Neustrukturierung von Active Directory-Domänen innerhalb einer Gesamtstruktur .................................................................................................................................................. 199 Beurteilen der neuen Struktur der Active Directory-Gesamtstruktur ........................................... 200 Identifizieren der Quelldomänen .............................................................................................. 201 Identifizieren und Beurteilen der Organisationseinheitsstruktur der Zieldomäne .................... 201 Zuweisen von Domänenobjektrollen und -Speicherorten ........................................................... 201 Planen der Migration von Gruppen ............................................................................................. 203 Planen von Testmigrationen ........................................................................................................ 205 Erstellen eines Rollbackplans ...................................................................................................... 207 Erstellen eines Endbenutzermigrationsplans .............................................................................. 208 Allgemeine Informationen ........................................................................................................ 209 Auswirkungen ........................................................................................................................... 209 Anmeldestatus während der Migration .................................................................................... 209 Schritte vor der Migration ......................................................................................................... 209 Erwartete Änderungen ............................................................................................................. 210 Informationen zu Planung und Support ................................................................................... 210 Erstellen von Migrationskontengruppen ...................................................................................... 210 Installieren von ADMT in der Zieldomäne ................................................................................... 213 Installieren von ADMT v3.1 ...................................................................................................... 213 Voraussetzungen für die Installation von ADMT v3.1........................................................... 213 Installieren von ADMT v3.1 mithilfe des Standarddatenbankspeichers ............................... 214 Installieren von ADMT v3.2 ...................................................................................................... 216 Voraussetzungen für die Installation von ADMT v3.2........................................................... 217 Installieren von ADMT v3.2 ................................................................................................... 218 Trennen einer vorhandenen Datenbankdatei von einer vorherigen Version von ADMT und SQL Server ................................................................................................................................... 219 Neukonfiguration einer Datenbankinstallation mit "Admtdb.exe" ............................................. 219 Erneutes Verwenden einer ADMT-Datenbank aus einer vorherigen Installation .................... 221 Planen der Aktualisierung von Dienstkonten ............................................................................... 222 Beispiel: Vorbereiten der Neustrukturierung von Active Directory-Domänen ............................. 227 Migrieren von Domänenobjekten zwischen Active Directory-Domänen ..................................... 228 Migrieren von Gruppen ................................................................................................................ 229 Migrieren universeller Gruppen ................................................................................................... 229 Migrieren globaler Gruppen ......................................................................................................... 233 Migrieren von Dienstkonten ......................................................................................................... 237 Migrieren von verwalteten Dienstkonten ..................................................................................... 242 Migrieren von Benutzerkonten ..................................................................................................... 248 Migrieren von Organisationseinheiten und Unterstrukturen von Organisationseinheiten ........... 248 Migrieren von Konten .................................................................................................................. 249 Konvertieren lokaler Benutzerprofile ........................................................................................... 254 Migrieren von Arbeitsstationen und Mitgliedsservern.................................................................. 258 Migrieren lokaler Domänengruppen ............................................................................................ 265 Beispiel: Neustrukturierung von Active Directory-Domänen ....................................................... 268 Ausführen von Aufgaben nach der Migration .............................................................................. 268 Untersuchen von Migrationsprotokollen auf Fehler ..................................................................... 269 Zugriff auf ADMT-Protokolldateien ........................................................................................... 270 Überprüfen der Gruppentypen ..................................................................................................... 270 Konvertieren der Sicherheit auf Mitgliedsservern ........................................................................ 270 Konvertieren der Sicherheit mithilfe einer SID-Zuordnungsdatei ................................................ 275 Außerbetriebnahme der Quelldomänen ...................................................................................... 275 Beispiel: Ausführen von Aufgaben nach der Migration ............................................................... 276 Anhang: Erweiterte Verfahren ..................................................................................................... 276 Konfigurieren eines veborzugten Domänencontrollers ............................................................... 276 Umbenennen von Objekten während der Migration .................................................................... 279 Verwenden einer Includedatei ..................................................................................................... 280 So geben Sie eine Includedatei an .......................................................................................... 280 Verwenden einer Optionsdatei .................................................................................................... 282 Problembehandlung von ADMT .................................................................................................. 284 Behandlung von Problemen bei der Installation von ADMT ........................................................ 285 Behandlung von Problemen bei der Benutzermigration .............................................................. 286 Behandlung von Problemen bei der Gruppenmigration .............................................................. 287 Behandlung von Problemen bei der Migration von Dienstkonten ............................................... 288 Behandlung von Problemen bei der Migration von verwalteten Dienstkonten ............................ 289 Behandlung von Problemen bei der Computermigration ............................................................ 292 Behandlung von Problemen bei der Kennwortmigration ............................................................. 294 Behandlung von Problemen bei der Sicherheitskonvertierung ................................................... 295 Behandlung von Problemen bei der Migration innerhalb einer Gesamtstruktur ......................... 298 Behandlung von Problemen der ADMT-Protokolldatei................................................................ 299 Behandlung von Problemen der ADMT-Befehlszeile .................................................................. 300 Behandlung von Problemen bei Agent-Vorgängen ..................................................................... 301 Weitere Ressourcen .................................................................................................................... 303 Verwandte Informationen ......................................................................................................... 303 Verwandte Tools ...................................................................................................................... 303 Verwandte Arbeitshilfen ........................................................................................................... 303 ADMT-Handbuch: Migrieren und Neustrukturieren von Active DirectoryDomänen Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Eine Downloadversion dieses Handbuchs im DOC-Format finden Sie unter ADMT-Handbuch: Migrieren und Neustrukturieren von Active Directory-Domänen (http://go.microsoft.com/fwlink/?LinkId=191734) (möglicherweise in Englisch). Im Rahmen der Bereitstellung des Active Directory®-Verzeichnisdiensts oder der Active Directory-Domänendienste (AD DS) möchten Sie Ihre Umgebung ggf. aus den folgenden Gründen neu strukturieren: Optimieren der Anordnung der Elemente innerhalb der logischen Active Directory-Struktur Unterstützen der Durchführung einer Geschäftsfusion, -übernahme oder -veräußerung Die Neustrukturierung umfasst die Migration der Ressourcen zwischen den Active DirectoryDomänen in der gleichen Gesamtstruktur oder in verschiedenen Gesamtstrukturen. Nachdem Sie Active Directory oder AD DS bereitgestellt haben, können Sie die Komplexität Ihrer Umgebung weiter verringern, indem Sie Domänen zwischen Gesamtstrukturen oder innerhalb einer einzelnen Gesamtstruktur neu strukturieren. Sie können gegebenenfalls das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) verwenden, um Objektmigrationen und Sicherheitskonvertierungen auszuführen, damit der Zugriff auf Netzwerkressourcen für Benutzer während des Migrationsvorgangs erhalten bleibt. Weitere Informationen darüber, welche verschiedenen Versionen von ADMT verfügbar sind, wann welche Version verwendet wird und wo sie zu erhalten ist, finden Sie unter Versionen vom Active Directory-Migrationsprogramm und unterstützte Umgebungen. In diesem Handbuch Bewährte Methoden für die Active Directory-Migration Active Directory-Domänenneustrukturierung zwischen Gesamtstrukturen Active Directory-Domänenneustrukturierung innerhalb einer Gesamtstruktur Anhang: Erweiterte Verfahren Problembehandlung von ADMT Weitere Ressourcen In den folgenden Abschnitten werden die wichtigsten Migrationsszenarien unter Verwendung von ADMT erklärt. Nachdem Sie das entsprechende Szenario für eine Umgebung ermittelt haben, führen Sie die Schritte durch, die zu diesem Szenario weiter unten in dieser Anleitung aufgeführt sind. 10 Active Directory-Domänenneustrukturierung zwischen Gesamtstrukturen Sie können aufgrund von Geschäftsänderungen eine Neustrukturierung zwischen Gesamtstrukturen vornehmen, z. B. bei einer Geschäftsfusion, -übernahme oder -veräußerung, bei der Ihre Organisationen Ressourcen kombinieren oder aufteilen muss. Nach dem Neustrukturierungsvorgang sind die Quell- und Zieldomänenumgebungen gleichzeitig vorhanden, wenn Sie Objekte zwischen Gesamtstrukturen migrieren. Durch diesen Umstand können Sie während der Migration einen Rollbackvorgang in die Quellumgebung durchführen, wenn dies erforderlich werden sollte. Das Aufteilen oder Klonen von Gesamtstrukturen – z. B. bei der Veräußerung einer Organisation – wird nicht unterstützt. Weitere Informationen finden Sie unter Einschränkungen bei der Neustrukturierung (http://go.microsoft.com/fwlink/?LinkId=121736). Wichtig Bei Verwendung von ADMT v3.1 müssen sich alle Zieldomänen mindestens auf der Funktionsebene von Microsoft Windows® 2000 (einheitlicher Modus) befinden. Bei Verwendung von ADMT v3.2 müssen sich alle Quell- und Zieldomänen mindestens auf der Funktionsebene von Windows Server® 2003 befinden. Active Directory-Domänenneustrukturierung innerhalb einer Gesamtstruktur Wenn Sie Domänen in einer Gesamtstruktur neu strukturieren, können Sie die Domänenstruktur zusammenführen und die Verwaltungskomplexität und -mehrkosten verringern. Anders als bei einer Neustrukturierung von Domänen zwischen Gesamtstrukturen sind bei einer Neustrukturierung von Domänen innerhalb einer Gesamtstruktur die migrierten Konten in der Quelldomäne nicht mehr vorhanden. Daher kann ein Rollbackvorgang der Migration nur stattfinden, wenn Sie den Migrationsvorgang nochmals in umgekehrter Reihenfolge von der vorherigen Zieldomäne in die vorherige Quelldomäne ausführen. Wichtig Bei Verwendung von ADMT v3.1 müssen sich alle Zieldomänen mindestens auf der Funktionsebene von Windows 2000 (einheitlicher Modus) befinden. Bei Verwendung von ADMT v3.2 müssen sich alle Quell- und Zieldomänen mindestens auf der Funktionsebene von Windows Server 2003 befinden. Die folgende Tabelle listet die Unterschiede zwischen einer Domänenneustrukturierung zwischen Gesamtstrukturen und einer Domänenneustrukturierung innerhalb einer Gesamtstruktur auf. 11 Migrationserwägung Neustrukturierung zwischen Gesamtstrukturen Neustrukturierung innerhalb einer Gesamtstruktur Objekterhalt Objekte werden geklont statt migriert. Das ursprüngliche Objekt verbleibt am Quellspeicherort, um den Zugriff auf Ressourcen für Benutzer aufrecht zu erhalten. Benutzer- und Gruppenobjekte werden migriert und sind am Quellspeicherort nicht mehr vorhanden. Computer- und verwaltete Dienstkontenobjekte werden kopiert, und die ursprünglichen Konten bleiben in der Quelldomäne aktiviert. Verwaltung des SIDVerlaufs Die Verwaltung des SID-Verlaufs ist optional. Für Benutzer-, Gruppen- und Computerkonten ist der SID-Verlauf erforderlich, für verwaltete Dienstkonten jedoch nicht. Kennwortbeibehaltung Die Kennwortbeibehaltung ist optional. Kennwörter werden immer beibehalten. Migration lokaler Profile Sie müssen Tools wie z. B. ADMT zum Migrieren lokaler Profile verwenden. Geschlossene Sätze Lokale Profile werden automatisch migriert, da die GUID (Globally Unique Identifier) des Benutzers erhalten bleibt. Sie müssen Konten in geschlossenen Mengen Sie müssen Konten nicht migrieren. Weitere Informationen finden in geschlossenen Sie unter Hintergrundinformationen zum Mengen migrieren. Neustrukturieren von Active Directory-Domänen innerhalb einer Gesamtstruktur (http://go.microsoft.com/fwlink/?LinkId=122123). 12 Begriffe und Definitionen Die folgenden Begriffe werden für den Vorgang der Active Directory-Domänenneustrukturierung verwendet. Migration Der Vorgang des Verschiebens oder Kopierens eines Objekts aus einer Quelldomäne in eine Zieldomäne unter Beibehaltung oder Änderung der Merkmale des Objekts, um den Zugriff darauf in der neuen Domäne zu ermöglichen. Domänenneustrukturierung Ein Migrationsvorgang, der die Änderung der Domänenstruktur einer Gesamtstruktur beinhaltet. Eine Domänenneustrukturierung kann das Zusammenfassen oder Hinzufügen von Domänen beinhalten und zwischen Gesamtstrukturen oder innerhalb einer Gesamtstruktur stattfinden. Migrationsobjekte Domänenobjekte, die während des Migrationsvorgangs aus der Quell- in die Zieldomäne verschoben werden. Bei Migrationsobjekten kann es sich um Benutzerkonten, Dienstkonten, Gruppen oder Computer handeln. Quelldomäne Die Domäne, aus der während einer Migration Objekte verschoben werden. Wenn Sie Active Directory-Domänen zwischen Gesamtstrukturen neu strukturieren, ist die Quelldomäne eine Active Directory-Domäne in einer anderen Gesamtstruktur als die Zieldomäne. Zieldomäne Die Domäne, in die während einer Migration Objekte verschoben werden. Vordefinierte Konten Standardsicherheitsgruppen, die über gemeinsame Sammlungen von Rechten und Berechtigungen verfügen. Sie können integrierte Konten verwenden, um beliebigen Konten oder Gruppen Berechtigungen zu erteilen, die Sie als Mitglieder dieser Gruppen definieren. Integrierte Kontosicherheitskennungen (Security Identifiers, SIDs) sind in jeder Domäne identisch. Aus diesem Grund können integrierte Konten keine Migrationsobjekte sein. Aktive Directory-Migrationsprogramm Sie können ADMT zum Migrieren von Objekten in Active Directory-Gesamtstrukturen verwenden. Dieses Tool enthält Assistenten, die Migrationstasks automatisieren, z. B. die Migration von Benutzern, Gruppen, Dienstkonten, Computern und Vertrauensstellungen sowie die Sicherheitskonvertierung. Sie können ADMT-Tasks mithilfe der ADMT-Konsole, einer Befehlszeile oder einem Skript ausführen. Wenn Sie ADMT in der Befehlszeile ausführen, ist es häufiger effizienter, eine Optionsdatei zum Angeben von Befehlszeilenoptionen zu verwenden. Sie können die ADMTOptionsdateireferenz aus dem folgenden Beispiel als Hilfe beim Erstellen von Optionsdateien verwenden. Beispiele für die Befehlszeilensyntax werden für jeden Task bereitgestellt, den Sie zum Neustrukturieren der Domänen innerhalb der Gesamtstruktur ausführen müssen. Die folgende Liste zeigt allgemeine Optionen, die für mehrere Migrationstasks gelten. Für jeden Typ von Migrationstask ist ein Abschnitt vorhanden, der Optionen auflistet, die für den jeweiligen Task spezifisch sind. Der Abschnittsname entspricht dem Tasknamen, wenn Sie ADMT in der Befehlszeile ausführen. Sie können Elemente mit einem Semikolon auskommentieren. In der folgenden Liste sind die Standardwerte auskommentiert. [Migration] 13 ;IntraForest=No ;SourceDomain="Quelldomänenname" ;SourceOu="Pfad_zur_Quellorganisationseinheit" ;TargetDomain="Zieldomänenname" ;TargetOu="Pfad_zur_Zielorganisationseinheit" ;PasswordOption=Complex ;PasswordServer="" ;PasswordFile="" ;ConflictOptions=Ignore ;UserPropertiesToExclude="" ;InetOrgPersonPropertiesToExclude="" ;GroupPropertiesToExclude="" ;ComputerPropertiesToExclude="" [User] ;DisableOption=EnableTarget ;SourceExpiration=None ;MigrateSIDs=Yes ;TranslateRoamingProfile=No ;UpdateUserRights=No ;MigrateGroups=No ;UpdatePreviouslyMigratedObjects=No ;FixGroupMembership=Yes ;MigrateServiceAccounts=No ;UpdateGroupRights=No [Group] ;MigrateSIDs=Yes ;UpdatePreviouslyMigratedObjects=No ;FixGroupMembership=Yes ;UpdateGroupRights=No ;MigrateMembers=No ;DisableOption=EnableTarget 14 ;SourceExpiration=None ;TranslateRoamingProfile=No ;MigrateServiceAccounts=No [Security] ;TranslationOption=Add ;TranslateFilesAndFolders=No ;TranslateLocalGroups=No ;TranslatePrinters=No ;TranslateRegistry=No ;TranslateShares=No ;TranslateUserProfiles=No ;TranslateUserRights=No ;SidMappingFile="SidMappingFile.txt" Wenn Sie ADMT in der Befehlszeile ausführen, müssen Sie keine Option in den Befehl einschließen, wenn Sie den Standardwert akzeptieren möchten. Dieses Handbuch stellt jedoch Tabellen mit den möglichen Parametern und Werten zu Referenzzwecken zur Verfügung. Die Tabellen nennen die Befehlszeilenentsprechung jeder Option, die im entsprechenden ADMTKonsolenverfahren gezeigt wird. Dies schließt auch jene Optionen ein, für die Sie den Standardwert akzeptieren. Sie können die Optionsdateireferenz in Editor kopieren und dann mit der Dateinamenerweiterung TXT speichern. Wenn Sie beispielsweise eine kleine Anzahl von Computern migrieren möchten, können Sie jeden Computernamen mithilfe der Option /N in die Befehlszeile eingeben und dann wie folgt andere Migrationsoptionen in einer Optionsdatei auflisten: ADMT COMPUTER /N "<Computername1>" "<Computername2>" /O:"<Optionsdatei>.txt" Dabei sind <computer_name1> und <computer_name2> die Namen von Computern in der Quelldomäne, die Sie in diesem Batch migrieren. Verwenden einer Includedatei Wenn Sie eine große Anzahl von Benutzern, Gruppen oder Computern migrieren, ist es effizienter, eine Includedatei zu verwenden. Eine Includedatei ist eine Textdatei, in der Sie die zu migrierenden Benutzer-, Gruppen- und Computerobjekte auflisten. Dabei wird für jedes Objekt eine separate Zeile verwendet. Sie müssen eine Includedatei verwenden, wenn Sie Objekte während der Migration umbenennen. Sie können Benutzer, Gruppen und Computer zusammen in einer Datei auflisten, oder Sie können eine separate Datei für jeden Objekttyp erstellen. Geben Sie dann den Namen der Includedatei mit der Option /F wie folgt an: 15 ADMT COMPUTER /F "<Name_der_Includedatei>" /IF:YES /SD:"<Quelldomäne>” /TD:"<Zieldomäne>" /TO:"<Zielorganisationseinheit>" Verwenden Sie eine der folgenden Konventionen, um die Namen von Benutzern, Gruppen oder Computern anzugeben: Den SAM-Kontonamen (Security Accounts Manager). Sie müssen das Dollarzeichen ($) and en Computernamen anhängen, um einen Computernamen in diesem Format anzugeben. Wenn Sie z. B. einen Computer mit dem Namen "Workstation01" angeben möchten, verwenden Sie "Workstation01$". Den relativ definierten Namen (Relative Distinguished Name, RDN), z. B. "cn= Workstation01". Wenn Sie das Konto als relativ definierten Namen angeben, müssen Sie die Quellorganisationseinheit angeben. Den kanonischen Namen. Sie können den kanonischen Namen als DNS_Domänenname/OU_Pfad/Objektname oder OU_Pfad/Objektname angeben. Beispiel: Asia.trccorp.treyresearch.net/Computers/Workstation01 oder Computers/Workstation01. In den folgenden Abschnitten werden die Felder einer Includedatei beschrieben und Beispiel für jedes Feld zur Verfügung gestellt: Feld "SourceName" Das Feld SourceName gibt den Namen des Quellobjekts an. Sie können einen Kontonamen oder einen relativ definierten Namen angeben. Wenn Sie nur Quellnamen angeben, ist es optional, eine Kopfzeile in der ersten Zeile der Datei zu definieren. Das folgende Beispiel zeigt eine Kopfzeile, die das Feld SourceName angibt. Das Beispiel zeigt außerdem einen Quellobjektnamen, der in mehreren Formaten angegeben wird. Die zweite Zeile gibt einen Kontonamen an. Die dritte Zeile gibt einen relativ definierten Namen an. SourceName Name CN=Name Feld "TargetName" Sie können das Feld TargetName verwenden, um einen Basisnamen anzugeben, der zum Generieren eines relativ definierten Zielnamens, eines SAM-Zielkontonamens und eines UPNZielnamens (User Principal Name, Benutzerprinzipalname) verwendet wird. Das Feld TargetName darf nicht mit anderen Zielnamenfeldern kombiniert werden, die weiter unten in diesem Abschnitt beschrieben werden. Hinweis Der Ziel-UPN wird nur für Benutzerobjekte generiert, und es wird nur ein UPN-Präfix generiert. Ein UPN-Suffix wird mithilfe eines Algorithmus angehängt, der davon abhängt, ob ein UPN-Suffix für die Zielorganisationseinheit oder die Zielgesamtstruktur definiert ist. 16 Wenn es sich bei dem Objekt um einen Computer handelt, enthält der SAMZielkontoname das Suffix "$". Das folgende Eingabebeispiel generiert den relativ definierten Zielnamen, SAM-Zielkontonamen und Ziel-UPN als "CN=Neuer_Name", "Neuer_Name" bzw. "Neuer_Name". SourceName,TargetName Alter_Name, Neuer_Name Felder "TargetRDN", "TargetSAM" und "TargetUPN" Sie können die Felder TargetRDN, TargetSAM, und TargetUPN verwenden, um die verschiedenen Zielnamen unabhängig voneinander anzugeben. Sie können beliebige Kombinationen dieser Felder in beliebiger Reihenfolge angeben. TargetRDN gibt den relativ definierten Zielnamen für das Objekt an. TargetSAM gibt den SAM-Zielkontonamen für das Objekt an. Für Computer muss der Name das Suffix "$" enthalten, damit es sich um einen gültigen SAM-Kontonamen für einen Computer handelt. TargetUPN gibt den Ziel-UPN für das Objekt an. Sie können nur das UPN-Präfix oder einen vollständigen UPN-Namen (Präfix@Suffix) angeben. Wenn der angegebene Name ein Leerzeichen oder ein Komma enthält, müssen Sie den Namen in doppelte Anführungszeichen (" ") einschließen. SourceName,TargetRDN Alter_Name, CN=Neuer_Name SourceName,TargetRDN,TargetSAM Alter_Name, "CN=Neuer_RDN", Neuer_SAM_Name SourceName,TargetRDN,TargetSAM,TargetUPN Alter_Name, "CN=letzter\, erster", Neuer_SAM_Name, Neuer_UPN_Name Hinweis Einem Komma im CN-Wert muss ein Escapezeichen ("\") vorangestellt werden, da der Vorgang ansonsten zu einem Fehler führt und ADMT einen Fehler aufgrund ungültiger Syntax in der Protokolldatei aufzeichnet. SourceName,TargetSAM,TargetUPN,TargetRDN Alter_Name, Neuer_SAM_Name, Neuer_UPN_Name@Zieldomäne, "CN=Neuer_Name" Umbenennen von Objekten Verwenden Sie das folgende Format in einer Includedatei, um Computer-, Benutzer- oder Gruppenobjekte während der Migration umzubenennen: Verwenden Sie SourceName, TargetRDN, TargetSAM, und TargetUPN als Spaltenüberschriften oben in der Includedatei. SourceName ist der Name des Quellkontos und muss als erste Spaltenüberschrift aufgelistet werden. Die Spaltenüberschriften 17 TargetRDN, TargetSAM und TargetUPN sind optional und können in beliebiger Reihenfolge aufgelistet werden. Sie müssen den Kontonamen als Benutzernamen, relativ definierten Namen oder kanonischen Namen angeben. Wenn Sie den Kontonamen als relativ definierten Namen angeben, müssen Sie auch die Quellorganisationseinheit angeben. Die folgenden Beispiele zeigen gültige Includedateien, in denen die Umbenennungsoption verwendet wird: SourceName,TargetSAM abc,def Dieser Includedateieintrag ändert den Kontonamen TargetSAM für den Benutzer "abc" in "def". Die Angaben TargetRDN und TargetUPN, die in dieser Includedatei nicht angegeben werden, ändern sich als Ergebnis der Migration nicht. SourceName,TargetRDN,TargetUPN abc,CN=def,[email protected] Dieser Includedateieintrag ändert den TargetRDN für den Benutzer "abc" in "CN=def" und den TargetUPN in [email protected]. Der TargetSAM für den Benutzer "abc" ändert sich als Ergebnis der Migration nicht. Wichtig Sie müssen "CN=" angeben, bevor Sie einen RDN-Wert verwenden. Verwenden einer Ausschlussdatei Mithilfe einer Ausschlussdatei können Sie Objekte von der Migration ausschließen. Bei einer Ausschlussdatei handelt es sich um eine Textdatei, in der das SAMAccountName-Attribut der Objekte aufgelistet wird, die Sie ausschließen möchten. Wenn Sie beispielsweise die folgenden verwalteten Dienstkonten ausschließen möchten, erstellen Sie folgende Textdatei: MSA_USER5$ MSA_USER6$ Geben Sie dann bei der Ausführung des ADMT-Befehls den Namen der Ausschlussdatei an. Beispiel: admt managedserviceaccount /ef:"exclude file name" Optional können Sie mithilfe des Parameters „/en“ einzelne Konten ausschließen: admt managedserviceaccount /en:"managed service account 1" "managed service account 2" Verwenden von Skripts Die in diesem Handbuch zur Verfügung gestellten Beispielskripts verwenden die symbolischen Konstanten, die in einer Datei namens AdmtConstants.vbs definiert werden. Die folgende Liste zeigt die ADMT-Konstanten der VBScript-Datei (Microsoft Visual Basic® Scripting Edition). Die 18 Konstanten werden auch im ADMT-Installationsordner bereitgestellt. Sie finden sie in der Datei TemplateScript.vbs im Verzeichnis %systemroot%\WINDOWS\ADMT. Wenn Sie die Beispielskripts in diesem Handbuch verwenden möchten, kopieren Sie die VBScript-Datei mit den ADMT-Konstanten in Editor, und speichern Sie sie dann unter dem Namen AdmtConstants.vbs. Stellen Sie sicher, dass Sie die Datei im gleichen Ordner speichern, in dem Sie die in diesem Handbuch bereitgestellten Beispielskripts speichern werden. Option Explicit '---------------------------------------------------------------------------' ADMT Scripting Constants '---------------------------------------------------------------------------- ' PasswordOption constants Const admtComplexPassword = &H0001 Const admtCopyPassword = &H0002 ' Beachen Sie, dass die folgende Konstante nicht für sich alleine angegeben werden kann. ' Sie muss zusammen mit admtComplexPassword oder admtCopyPassword angegeben werden. Const admtDoNotUpdatePasswordsForExisting = &H0010 ' ConflictOptions constants Const admtIgnoreConflicting = &H0000 Const admtMergeConflicting = &H0001 Const admtRemoveExistingUserRights = &H0010 Const admtRemoveExistingMembers = &H0020 Const admtMoveMergedAccounts = &H0040 ' DisableOption-Konstanten Const admtLeaveSource = &H0000 Const admtDisableSource = &H0001 Const admtTargetSameAsSource = &H0000 Const admtDisableTarget = &H0010 19 Const admtEnableTarget = &H0020 ' SourceExpiration-Konstante Const admtNoExpiration = -1 ' Übersetzungsoption Const admtTranslateReplace = 0 Const admtTranslateAdd = 1 Const admtTranslateRemove = 2 ' Berichtstyp Const admtReportMigratedAccounts = 0 Const admtReportMigratedComputers = 1 Const admtReportExpiredComputers = 2 Const admtReportAccountReferences = 3 Const admtReportNameConflicts = 4 ' Optionskonstanten Const admtNone = 0 Const admtData = 1 Const admtFile = 2 Const admtDomain = 3 Const admtRecurse = &H0100 Const admtFlattenHierarchy = &H0000 Const admtMaintainHierarchy = &H0200 20 Versionen vom Active DirectoryMigrationsprogramm und unterstützte Umgebungen In diesem Thema werden die verschiedenen verfügbaren Versionen des Active DirectoryMigrationsprogramms (Active Directory Migration Tool, ADMT) erklärt. Es enthält Links zum Herunterladen der einzelnen Versionen, Erklärungen zu den jeweiligen Installationsanforderungen und den unterstützten Umgebungen, in denen sie verwendet werden können, sowie Informationen, wie sie mit bestimmten Active Directory-Funktionen in Windows Server funktionieren. ADMT-Version Installatio Anforderungen Anforderungen bezüglich der Unterstützt nsplattfor bezüglich der Zieldomäne e Objekte m Quelldomäne bei der Computerm igration ADMT v3.0 (http://go.microsoft.com /fwlink/?LinkID=68791) Windows Server 2003 Quelldomänen können Domänencontr oller mit Windows NT, Windows 2000 Server oder Windows Server 2003 enthalten. Eine Mindestanford erung an die Domänenfunkti onsebene ist für Quelldomänen nicht vorhanden. Als Zieldomänenfunktionsebene ist mindestens Windows 2000 (einheitlicher Modus) erforderlich. Migriert Computer mit Windows 2000 Profe ssional, Windows X P, Windows N T 4, Windows 2 000 Server und Windows Server 200 3. ADMT v3.1 Windows (http://go.microsoft.com Server 20 /fwlink/?LinkId=121732) 08 Quelldomänen können Domänencontr oller mit Windows 2000 Server, Als Zieldomänenfunktionsebene ist mindestens Windows 2000 (einheitlicher Modus) erforderlich. Migriert Computer mit Windows 2000 Profe ssional, Wenn die Zieldomäne über 21 ADMT-Version Installatio Anforderungen Anforderungen bezüglich der Unterstützt nsplattfor bezüglich der Zieldomäne e Objekte m Quelldomäne bei der Computerm igration ADMT v3.2 Windows (http://go.microsoft.com Server 20 /fwlink/?LinkId=186197) 08 R2 Windows Server 2003 oder Windows Server 2008 enthalten. Eine Mindestanford erung an die Domänenfunkti onsebene ist für Quelldomänen nicht vorhanden, jedoch kann ADMT v3.1 nicht zum Migrieren von Objekten aus Windows NT 4Domänen verwendet werden. Domänencontroller verfügt, die unter Windows Server 2008 R2 ausgeführt werden, müssen Sie ADMT v3.2 verwenden. Als Quelldomänen funktionseben e ist mindestens Windows Serv er 2003 erforderlich. Als Zieldomänenfunktionsebene ist mindestens Windows Server 2003 erforderlich. Hinweis Bei der Verwendung von ADMT v3.1 zum Migrieren von Objekten zu einer Domäne mit Windows Server 2008 R2Domänencontrollern gibt es einige bekannte Probleme. Weitere Informationen finden Sie im Artikel 976659 in der Microsoft Knowledge Base (http://go.microsoft. com/fwlink/?LinkId= 182290). Windows X P, Windows V ista, Windows 2 000 Server , Windows Server 200 3 und Windows Server 200 8. Migriert Computer mit Windows X P, Windows V ista, Windows 7 , Windows Server 200 22 ADMT-Version Installatio Anforderungen Anforderungen bezüglich der Unterstützt nsplattfor bezüglich der Zieldomäne e Objekte m Quelldomäne bei der Computerm igration 3, Windows Server 200 8 und Windows Server 200 8 R2. Unterstützung für Windows Server-Funktionen Auf schreibgeschützten Domänencontrollern (Read-Only Domain Controller, RODC) oder Server Core-Installationen kann keine der Versionen von ADMT installiert werden. Ein RODC kann weder als Quell- noch als Zieldomänencontroller bei einer Migration verwendet werden. Außerdem verfügt ADMT v3.2 über die folgende Unterstützung für neue Active DirectoryFunktionen in Windows Server 2008 R2. Funktion Auswirkung von Verwendung von ADMT v3.2 Verwaltete Dienstkonten Können mithilfe des Assistenten zum Migrieren von verwalteten Dienstkonten oder mit dem Befehl admt managedserviceaccount migriert werden. Authentication Mechanism Assurance Benutzerkonten, die AMA-fähig sind (Authentication Mechanism Assurance, Sicheres Authentifizierungsverfahren), müssen mithilfe einer Includedatei migriert werden Wichtig Der Benutzerprinzipalname (User Principal Name, UPN) wird beim Migrieren eines Benutzers geändert, wodurch verhindert wird, dass AMA (Authentication Mechanism Assurance) funktioniert. Zum Umgehen dieses 23 Funktion Auswirkung von Verwendung von ADMT v3.2 Problems müssen Sie einen Datensatz der UPNs von AMA-fähigen Benutzerkonten aufbewahren und diese dann mithilfe einer Includedatei migrieren. In einer Includedatei können Sie die Ziel-UPNs für die zu migrierenden Benutzer angeben. Auf diese Weise können Sie die UPNs in der Zieldomäne mit den Original-UPNs aus der Quelldomäne überschreiben. Weitere Informationen dazu finden Sie unter Verwenden einer Includedatei. Offline-Domänenbeitritt Keine Auswirkungen Active Directory-Papierkorb Keine Auswirkungen Windows PowerShell In ADMT v3.2 nicht enthalten Bewährte Methoden für die Active DirectoryMigration Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Damit der Migrationsvorgang so komplikationslos wie möglich erfolgt, befolgen Sie diese Empfehlungen für optimale Verfahrensweisen: Bewährte Methoden für die Verwendung des Active Directory-Migrationsprogramms Bewährte Methoden für das Ausführen der Migration von Benutzer- und Gruppenkonten Bewährte Methoden für das Ausführen von Computermigrationen Bewährte Methoden für das Ausführen des Rollbacks einer Migration Bewährte Methoden für die Verwendung des Active Directory-Migrationsprogramms Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Führen Sie regelmäßige Sicherungen von Domänencontrollern sowohl in der Quell- als auch in der Zieldomäne während der gesamten Dauer der Migrationen durch. Beim Migrieren von 24 Computern, die Dateifreigaben für die Sicherheitskonvertierung enthalten, sollten auch Sicherungen dieser Computer während der Dauer der Migrationen erstellt werden. Bevor Sie mit einer Migration beginnen, führen Sie einen Testmigration aus, indem Sie einen Testbenutzer erstellen, den Testbenutzer den entsprechenden globalen Gruppen hinzufügen und dann den Ressourcenzugriff vor und nach der Migration bestätigen. Testen Sie Ihre Migrationsszenarien in einer Testumgebung, bevor Sie Objekte in die Produktionsumgebung migrieren. Halten Sie einen Wiederherstellungsplan bereit, und stellen Sie sicher, dass der Wiederherstellungsplan während der Testphase Ihrer Migration funktioniert. Entschlüsseln Sie Dateien, die mithilfe von EFS (Encrypting File System) verschlüsselt wurden. Das Versäumnis, die verschlüsselten Dateien zu entschlüsseln, bewirkt den Verlust des Zugriffs auf die verschlüsselten Dateien nach der Migration. Teilen Sie den Endbenutzern unbedingt mit, dass sie alle verschlüsselten Dateien entschlüsseln müssen, da andernfalls der Zugriff auf diese Dateien verloren geht. Stellen Sie sicher, dass die Systemzeit in jeder Domäne synchronisiert ist, aus der Objekte migriert werden. Es tritt ein Fehler der Kerberos-Authentifizierung auf, wenn die Systemzeiten voneinander abweichen. Bewährte Methoden für das Ausführen der Migration von Benutzer- und Gruppenkonten Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Führen Sie regelmäßige Sicherungen von Domänencontrollern sowohl in der Quell- als auch in der Zieldomäne während der gesamten Dauer der Migrationen durch. Beim Migrieren von Computern, die Dateifreigaben für die Sicherheitskonvertierung enthalten, sollten auch Sicherungen dieser Computer während der Dauer der Migrationen erstellt werden. Es ist empfehlenswert, Benutzer losweise zu migrieren. Eine Losgröße von 100 Benutzern hilft bei der Verwaltung des Migrationsprozesses. Verwalten Sie Änderungen an Benutzerkonten und Gruppenkonten in der Quelldomäne immer während des Migrationsprozesses. Verwenden Sie die Option In Konflikt stehende Objekte migrieren und zusammenführen auf der Seite Konfliktverwaltung des Assistenten zum Migrieren von Benutzerkonten und des Assistenten zum Migrieren von Gruppenkonten, um Benutzer und Gruppen so oft wie nötig während der gesamten Migration erneut zu migrieren. Das Verwalten von Änderungen in der Quelldomäne und die anschließende Verwendung der Option In Konflikt stehende Objekte migrieren und zusammenführen während der Migration stellt sicher, dass alle an einem Objekt in der Quelldomäne vorgenommenen Änderungen nach dessen Migration in die Zieldomäne nachvollzogen werden. 25 Stellen Sie zum Erhalten des Zugriffs auf Ressourcen sicher, dass bei der Gruppenmitgliedschaft die folgenden Richtlinien berücksichtigt werden: Verwenden Sie globale Gruppen zum Gruppieren von Benutzern. Verwenden Sie lokale Gruppen für den Schutz von Ressourcen. Platzieren Sie globale Gruppen in lokalen Gruppen, um den Mitgliedern der globalen Gruppen Zugriff auf eine Ressource zu erteilen. Halten Sie beim Konvertieren von Benutzerprofilen die in der folgenden Tabelle aufgeführten Richtlinien ein. Profiltyp Konvertierungsrichtlinien Servergespeicherte Profile Aktivieren Sie die Option Servergespeicherte Profile konvertieren auf der Seite Benutzeroptionen im Assistenten zum Migrieren von Benutzerkonten. Konvertieren Sie dann lokale Benutzerprofile für ein Los von Benutzern unmittelbar nach der Migration dieser Benutzer. Lokale Profile Konvertieren Sie lokale Profile in einem anderen Schritt als dem Migrationsvorgang von Benutzerkonten. Aktivieren Sie die Option Benutzerprofile auf der Seite Objekte konvertieren des SicherheitskonvertierungsAssistenten. Konvertieren Sie lokale Benutzerprofile für ein Los von Benutzern unmittelbar nach der Migration dieser Benutzer. Nicht verwaltete Profile Benutzer verlieren ihre vorhandenen Profile, wenn ihre Konten migriert werden. Wichtig Es ist wichtig, den Erfolg der Konvertierung lokaler Profile zu überprüfen, bevor Benutzer versuchen, sich bei der Zieldomäne anzumelden. Wenn Benutzer sich mithilfe ihrer neuen Zielkonten bei der Zieldomäne anmelden und ihre Profile nicht erfolgreich konvertiert wurden, muss die Migration dieser Benutzer aus der Quelldomäne in die Zieldomäne erneut ausgeführt werden. Weitere Informationen über die bei einem Fehler in der Konvertierung lokaler Profile auszuführenden Schritte finden Sie unter Behandlung von Problemen bei der Sicherheitskonvertierung. 26 Bewährte Methoden für das Ausführen von Computermigrationen Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Führen Sie regelmäßige Sicherungen von Domänencontrollern sowohl in der Quell- als auch in der Zieldomäne während der gesamten Dauer der Migrationen durch. Beim Migrieren von Computern, die Dateifreigaben für die Sicherheitskonvertierung enthalten, sollten auch Sicherungen dieser Computer während der Dauer der Migration erstellt werden. Überprüfen Sie, ob Arbeitsstationen und Mitgliedsserver unmittelbar nach ihrem Beitritt zur Zieldomäne neu gestartet wurden. Das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) automatisiert den Neustart von Arbeitsstationen und Mitgliedsservern, jedoch wird die Option Minuten, bis der Computer nach Beenden des Assistenten neu gestartet wird des Computermigrations-Assistenten zum Festlegen des Zeitraums bis zum Neustart des Computers verwendet. Computer, die nach der Migration keinen Neustart durchführen, befinden sich in einem unbestimmten Zustand. Informieren Sie die Endbenutzer, dass ihre Computer zum Zeitpunkt der geplanten Migration mit dem Netzwerk verbunden sein müssen. Bewährte Methoden für das Ausführen des Rollbacks einer Migration Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Führen Sie einen Rollback von Benutzer- und Gruppenkonten, die zwischen Gesamtstrukturen migriert wurden, durch, indem Sie die Konten in der Quelldomäne aktivieren (falls sie während der Migration deaktiviert wurden) und dabei sicherstellen, dass die Konten Zugriff auf Ressourcen in der Quelldomäne besitzen, und anschließend überprüfen, ob die Anmeldeskripts und Benutzerprofile in der konfigurierten Weise in der Quelldomäne funktionieren. Führen Sie ein Rollback für Ressourcen, die zwischen Gesamtstrukturen migriert wurden, aus, indem Sie die Domänenmitgliedschaft von Servern und Arbeitsstationen ändern und sie anschließend erneut starten. Melden Sie sich bei den Ressourcen in der Quelldomäne an, um sicherzustellen, dass auf die Ressourcen zugegriffen werden kann. Führen Sie ein Rollback von Konten und Ressourcen, die innerhalb einer Gesamtstruktur migriert wurden, durch, indem Sie die Objekte von der Zieldomäne wieder zurück zur Quelldomäne migrieren. Konten und Ressourcen, die innerhalb einer Gesamtstruktur migriert werden, werden nicht kopiert sondern verschoben. Daher sind sie in der Quelldomäne nicht mehr vorhanden. Hinweis 27 Zum Sicherstellen eines erfolgreichen Rollbacks einer gesamtstrukturinternen Migration dürfen Sie nicht versuchen, die Objekte in der Zieldomäne zu löschen und sie dann in der Quelldomäne wiederherzustellen. Sie können sonst die Objekte nicht mehr in der Quelldomäne wiederherstellen, weil sie vom Proxy für das domänenübergreifende Verschieben automatisch gelöscht werden, wenn eine Wiederherstellung versucht wird. Hinweis Wenn Sie mit ADMT v3.1 eine Migration innerhalb einer Gesamtstruktur ausführen und die Funktionsebene der Quelldomäne Windows 2000 (gemischter Modus) ist, können Sie die Objekte nicht mehr aus der Zieldomäne in die Quelldomäne zurück migrieren, um Migrationsänderungen rückgängig zu machen. Eine Rückmigration erfordert, dass die Quelldomäne zur Zieldomäne wird, und mit ADMT v3.1 muss die Funktionsebene der Zieldomäne mindestens Windows 2000 (einheitlicher Modus) sein. Active Directory-Domänenneustrukturierung zwischen Gesamtstrukturen Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Für die Neustrukturierung von Active Directory-Domänen zwischen Gesamtstrukturen ist es erforderlich, Objekte aus Quelldomänen in einer Gesamtstruktur in Zieldomänen in einer anderen Gesamtstruktur zu verschieben. Active Directory-Domänen müssen ggf. aus den folgenden Gründen zwischen Gesamtstrukturen neu strukturiert werden: Migrieren einer Pilotdomäne in die neue Produktionsumgebung Zusammenführen von Benutzern und Ressourcen mit einer anderen Organisation aufgrund einer Unternehmensfusion und der Anforderung, die beiden IT-Infrastrukturen zusammenzuführen Verschieben von Benutzern und Ressourcen auf regelmäßiger Basis aufgrund einer geplanten Bereitstellung mit mehreren Gesamtstrukturen Entfernen von Objekten aus der Gesamtstruktur aufgrund einer Veräußerung an eine andere Organisation oder zum Zweck einer späteren Zusammenführung in einer neuen oder vorhanden Gesamtstruktur für diese Organisation In diesem Abschnitt Prüfliste: Ausführen einer Migration zwischen Gesamtstrukturen Neustrukturierung von Active Directory-Domänen zwischen Gesamtstrukturen im Überblick Einschränkungen bei der Neustrukturierung Planen der Neustrukturierung von Active Directory-Domänen zwischen Gesamtstrukturen Vorbereiten der Quell- und Zieldomänen 28 Migrieren von Konten Migrieren von Ressourcen Anschließen der Migration Prüfliste: Ausführen einer Migration zwischen Gesamtstrukturen Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Für die Migration von Active Directory-Domänen zwischen Gesamtstrukturen ist es erforderlich, Objekte aus Quelldomänen in einer Gesamtstruktur in Zieldomänen in einer anderen Gesamtstruktur zu verschieben. Aus den folgenden Gründen müssen Sie ggf. Active DirectoryDomänen zwischen Gesamtstrukturen neu strukturieren: Um eine Pilotdomäne in die neue Produktionsumgebung zu migrieren Um die Active Directory-Gesamtstruktur mit der Gesamtstruktur einer anderen Organisation zusammenzuführen und die beiden IT-Infrastrukturen zu konsolidieren Task Referenz Lesen Sie die Vorinstallationsanweisungen für das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT). Installieren von ADMT in der Zieldomäne Legen Sie zuerst den folgenden Registrierungsschlüssel auf den Zieldomänencontrollern fest, um Computer mit Windows Server 2008, Windows Server 2003, Windows Vista (ohne Service Pack 1), Windows XP und Microsoft Windows 2000 (mit ADMT 3.1) zu einer Zieldomäne mit Domänencontrollern mit Windows Server 2008 R2 oder Windows Server 2008 zu migrieren: Weitere Informationen zum Vornehmen dieser Änderung mithilfe von Gruppenrichtlinien finden Sie unter „Bekannte Probleme bei der Installation und Deinstallation von AD DS“ (http://go.microsoft.com/fwlink/?LinkId= 119321). Hinweis Zum Migrieren von Computern, die unter Windows Server 2008 R2, Windows 7 oder Windows Vista SP1 ausgeführt werden, muss dieser Registrierungsschlüssel nicht festgelegt werden. Registrierungspfad: HKLM\System\CurrentControlSet\Services\Netlogon \Parameters 29 Task Referenz Registrierungswert: AllowNT4Crypto Typ: REG_DWORD Daten: 1 Hinweis Diese Registrierungseinstellung entspricht der Einstellung Mit Windows NT 4.0 kompatible Kryptografiealgorithmen zulassen in der Gruppenrichtlinie. Aktivieren Sie für alle Migrationstasks, die AgentBereitstellung verwenden und bei denen WindowsFirewall in Gebrauch ist, die Ausnahme für Datei- und Druckerfreigabe. Dies kann die Migration für folgende Situationen beinhalten: Migrieren von Arbeitsstationscomputern und Mitgliedsservern, die unter Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 7, Windows Vista oder Windows XP ausgeführt werden. Migrieren von Sicherheitseinstellungen oder Ausführen der Sicherheitskonvertierung Vorbereiten der Neustrukturierung von Active DirectoryDomänen innerhalb einer Gesamtstruktur Dieser Task umfasst die folgenden Untertasks: Ermitteln des Kontomigrationsvorgangs Zuweisen von Objektrollen und -Speicherorten Entwickeln eines Testplans für die Migration Erstellen eines Rollbackplans Verwalten von Benutzern, Gruppen und Benutzerprofilen Erstellen eines Benutzerkommunikationsplans Weitere Informationen zum Vornehmen dieser Änderung an der WindowsFirewall finden Sie unter „Aktivieren oder Deaktivieren der Ausnahme für Datei- und Druckerfreigabe“ (http://go.microsoft.com/fwlink/?LinkID= 119315). Installieren von ADMT in der Zieldomäne Planen der Neustrukturierung von Active Directory-Domänen zwischen Gesamtstrukturen Vorbereiten der Quell- und Zieldomänen Dieser Task umfasst die folgenden Untertasks: Installieren von ADMT in der Zieldomäne Installieren der 128-Bit-Verschlüsselungssoftware Einrichten von Vertrauensstellungen, die für die Migration erforderlich sind Planen der Neustrukturierung von Active Directory-Domänen zwischen Gesamtstrukturen Einrichten von Migrationskonten für die Migration 30 Task Konfigurieren der Quell- und Zieldomänen für die Migration des SID-Verlaufs Konfigurieren der Struktur der ZieldomänenOrganisationseinheit Installieren von ADMT in der Zieldomäne Angeben von Dienstkonten für die Migration Referenz Geben Sie Dienstkonten mithilfe des Assistenten zum Migrieren von Dienstkonten oder der ADMTBefehlszeilentools an, und aktualisieren Sie diese. Sie können das Befehlszeilentool ADMT SERVICE verwenden, um Dienstkonten in der Quelldomäne anzugeben. Sie können das Befehlszeilentool ADMT USER verwenden, um angegebene Dienstkonten zu aktualisieren. Konvertieren von Dienstkonten in der Migration Migrieren globaler Gruppen mithilfe des Assistenten zum Migrieren von Gruppenkonten oder des Befehlszeilentools ADMT GROUP. Migrieren globaler Gruppen Migrieren verwalteter Dienstkonten, Benutzerkonten und Arbeitsstationkonten mit ihren SID-Verläufen in Gruppen. Sie können Benutzerkonten mithilfe des Assistenten zum Migrieren von Benutzerkonten oder mit dem Befehlszeilentool ADMT USER migrieren. Sie können verwaltete Dienstkonten mithilfe des Assistenten zum Migrieren von verwalteten Dienstkonten oder mit dem Befehlszeilentool ADMT MANAGEDSERVICEACCOUNT migrieren. Migrieren von Konten bei Verwendung des SID-Verlaufs Migrieren von Ressourcen, z. B. von Mitgliedsservern und Domänencontrollern. Sie können Computerkonten mithilfe des Computermigrations-Assistenten oder mit dem Befehlszeilentool ADMT COMPUTER migrieren. Sie können Gruppen mithilfe des Assistenten zum Migrieren von Gruppenkonten oder mit dem Befehlszeilentool ADMT GROUP migrieren. Erneute losweise Migration von Benutzerkonten und Migration von Arbeitsstationen Ausführen der Sicherheitskonvertierung auf Servern, um die Sicherheitskennungen (SIDs) der Benutzer- und Gruppenkonten in der Zieldomäne den Zugriffssteuerungslisten (Access Control Lists, ACLs) der Ressourcen hinzuzufügen. Sie können den Sicherheitskonvertierungs-Assistenten oder das Konvertieren der Sicherheit im Hinzufügen-Modus Migrieren von verwalteten Dienstkonten Migrieren aller Benutzerkonten 31 Task Referenz Befehlszeilentool ADMT SECURITY verwenden. Wiederholen einer Migration von Benutzerkonten, Arbeitsstationscomputern und Mitgliedsservern einschließlich der Konvertierung bereits zuvor migrierter lokaler Benutzerprofile in Benutzer- und Computerobjekte. Erneute losweise Migration von Benutzerkonten und Migration von Arbeitsstationen Migrieren lokaler Domänengruppen mithilfe des Assistenten zum Migrieren von Gruppenkonten oder des Befehlszeilentools ADMT GROUP. Migrieren von Domänen- und freigegebenen lokalen Gruppen Migrieren von Domänencontrollern. Migrieren von Domänencontrollern Abschließen der Tasks nach der Migration Dieser Task umfasst die folgenden Untertasks: Konvertieren der Sicherheit auf Mitgliedsservern Konvertieren der Sicherheit auf Mitgliedsservern Außerbetriebnahme der Quelldomänen Außerbetriebnahme der Quelldomänen Neustrukturierung von Active DirectoryDomänen zwischen Gesamtstrukturen im Überblick Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Wenn Sie Domänen zwischen Gesamtstrukturen neu strukturieren, können Sie die Anzahl der Domänen in Ihrer Organisation und damit gleichzeitig die Verwaltungskomplexität und die zugehörigen Mehrkosten der Active Directory-Umgebung verringern. Zum Umstrukturieren von Domänen gehört das Kopieren von Konten und Ressourcen aus einer Quelldomäne in eine Zieldomäne in einer anderen Active Directory-Gesamtstruktur. Bei Verwendung des Active Directory-Migrationprogramms Version 3.1 (ADMT) muss sich die Zieldomäne mindestens auf der Funktionsebene von Windows 2000 (einheitlicher Modus) befinden. Bei Verwendung von ADMT Version 3.2 müssen sich die Quell- und Zieldomäne mindestens auf der Funktionsebene von Windows Server 2003 befinden. Wenn Ihre Organisation vor kurzem mit einer anderen Organisation oder IT-Infrastruktur fusioniert wurde, können Sie Domänen so neu strukturieren, dass Konten und Ressourcen in den beiden Infrastrukturen zusammengeführt werden. In diesem Abschnitt Verfahren zum Neustrukturieren von Active Directory-Domänen zwischen Gesamtstrukturen 32 Hintergrundinformationen zum Neustrukturieren von Active Directory-Domänen zwischen Gesamtstrukturen Verfahren zum Neustrukturieren von Active Directory-Domänen zwischen Gesamtstrukturen Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Die Neustrukturierung von Active Directory-Domänen zwischen Gesamtstrukturen umfasst die Planung und Vorbereitung der Domänenneustrukturierung für Ihre Organisation. Außerdem ist die erfolgreiche Migration von Konten und Ressourcen in eine Active Directory-Domäne in einer anderen Gesamtstruktur erforderlich. Die folgende Abbildung zeigt den Vorgang für die Neustrukturierung von Active Directory-Domänen zwischen Gesamtstrukturen. Hintergrundinformationen zum Neustrukturieren von Active DirectoryDomänen zwischen Gesamtstrukturen Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 33 Der Migrationsvorgang zwischen Gesamtstrukturen wird nicht als destruktiv betrachtet, weil die Migrationsobjekte in der Quelldomäne auch weiterhin vorhanden sind, bis die Quelldomäne außer Betrieb genommen wird. Da die Quell- und Zieldomänenumgebungen während der Migration gleichzeitig vorhanden sind, besteht die Option, ein Rollback auf die Quellumgebung durchzuführen, wenn bei der Migration ein Fehler auftritt, beispielsweise, wenn ein bestimmtes Objekt nicht migriert oder der Zugriff in der Zieldomäne nach der Ausführung der Migration nicht verwaltet oder beibehalten wird. Sie können das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) zum Migrieren von Konten und Ressourcen zwischen Domänen unter Beibehaltung von Benutzer- und Objektberechtigungen verwenden. Während des Neustrukturierungsvorgangs zwischen Gesamtstrukturen besitzen Benutzer ununterbrochen Zugriff auf erforderliche Ressourcen. Außerdem können Sie Benutzer, Gruppen und Ressourcen unanhängig voneinander verschieben. Die übrigen Abschnitte in diesem Thema erklären den Migrationsprozess für Konten und Ressourcen. Migrationsvorgang von Benutzerkonten Für die Neustrukturierung von Konten zwischen Active Directory-Gesamtstrukturen ist es erforderlich, Benutzer, Gruppen und lokale Profile von der Quelldomäne auf die Zieldomäne zu kopieren und dabei die Zugriffsrechte und Attribute dieser Objekte zu bewahren. Wenn Benutzerkonten zwischen Active Directory-Domänen in verschiedenen Gesamtstrukturen migriert werden, verbleibt das ursprüngliche Konto in der Quelldomäne, und ein neues Konto wird in der Zieldomäne erstellt. Da die Sicherheitskennung (Security Identifier, SID) eines Sicherheitsprinzipals (Benutzer oder Gruppe) immer eine Kennung für die Domäne enthält, in der sich der Sicherheitsprinzipal befindet, wird eine neue Sicherheitskennung für den Benutzer in der Zieldomäne erstellt. Da ADMT die Sicherheitskennung des ursprünglichen Sicherheitsprinzipals in den Sicherheitsprinzipal in der Zieldomäne migrieren kann, müssen Sie keine zusätzlichen Schritte ausführen, um den Ressourcenzugriff sicherzustellen. Dies gilt allerdings nicht, wenn Sie SID-Filterung zwischen den Gesamtstrukturen verwenden. Wenn Sie mit ADMT v3.1 und Microsoft Exchange Server v5.5 arbeiten, verwenden Sie den ADMT-Assistenten zum Migrieren von Exchange-Servern, um die Sicherheit für die Postfächer für migrierte Benutzer zu konvertieren. Wenn Sie Servercomputer mit Exchange 2000 verwenden, stellt ADMT keine Tools für die Migration von Postfächern zur Verfügung. Planen Sie in diesem Fall die Migration von Postfächern zuerst mithilfe des Exchange 2000-Tools zum Migrieren von Postfächern, und migrieren Sie dann die Benutzerkonten. Wenn Sie Gruppenrichtlinien zum Verwalten der Ordnerumleitung oder Softwareverteilung verwenden, stellen Sie sicher, dass diese Richtlinien auch nach der Migration von Benutzerkonten in eine neue Gesamtstruktur weiterhin gelten. Wenn Sie ein Gruppenrichtlinienobjekt zum Erteilen oder Verweigern des Remotezugriffs in der Quelldomäne – nicht jedoch in der Zieldomäne – verwenden, kann ADMT nicht feststellen, welcher Remotezugriff dem Benutzer zugewiesen werden soll. 34 Wenn Sie Gruppenrichtlinien zum Verwalten von Ordnerumleitung verwenden, funktionieren Offlinedateien nicht, nachdem das Benutzerkonto in eine neue Gesamtstruktur migriert wurde. Offlinedateien speichern die Sicherheitskennung des Benutzers als Besitzer. Die Sicherheitskennung ändert sich, wenn das Benutzerkonto migriert wird. Um den Besitz von Offlinedateien wiederherzustellen, verwenden Sie den Sicherheitskonvertierungs-Assistenten von ADMT, um die Berechtigungen für die Dateien und Ordner auf dem Clientcomputer zu ersetzen, der den Offlinedateiencache enthält. Sie können folgendermaßen vorgehen, um sicherzustellen, dass Benutzer auch weiterhin Zugriff auf Offlinedateien besitzen, nachdem Sie Benutzerkonten in die Zieldomäne migriert haben: 1. Konvertieren Sie die Sicherheit auf Clientcomputern, um die Offlinedateien zu aktualisieren. 2. Wenn der SID-Verlauf des Benutzerkontos nicht in die Zieldomäne migriert wurde, konvertieren Sie die Sicherheit auf dem Server, der umgeleitete Ordner hostet. Wenn Sie Ordnerumleitung verwenden, tritt einer der folgenden Fälle ein: Wenn der Ordnerumleitungspfad in der neuen Umgebung ein anderer ist, können Benutzer auf den Ordner zugreifen, wenn der SID-Verlauf des Benutzerkontos in die Zieldomäne migriert wurde. Die Ordnerumleitungserweiterung kopiert die Dateien vom ursprünglichen Speicherort in der Quelldomäne an den neuen Speicherort in der Zieldomäne. Der SIDVerlauf ermöglicht dem Benutzerkonto den Zugriff auf die Quellordner. Wenn der Ordnerumleitungspfad in der neuen Umgebung gleich ist, können Benutzer nicht auf den umgeleiteten Ordner zugreifen, weil die Ordnerumleitung den Besitz des umgeleiteten Ordners überprüft und ein Fehler auftritt. In diesem Fall müssen Sie die Sicherheit für den umgeleiteten Ordner auf dem Server konvertieren. Wenn Sie Gruppenrichtlinien zum Verwalten der Softwareinstallation verwenden, und das Windows Installer-Paket benötigt Zugriff auf die ursprüngliche Quelle für z. B. Reparatur- oder Entfernungsvorgänge, müssen Sie die Sicherheit des Softwareverteilungspunkts konvertieren, nachdem Sie Benutzer migriert haben, damit sichergestellt ist, dass die Softwareinstallation in der Zieldomäne auch weiterhin ordnungsgemäß funktioniert. Migrationsvorgang für Ressourcen Active Directory-Domänen enthalten drei Typen von Ressourcen: Arbeitsstationkonten Mitgliedsserverkonten Ressourcen auf Mitgliedsservern Die Migration von Arbeitsstationen und Mitgliedsservern ist ein einfacher Vorgang. Die lokalen Gruppen, die Sie erstellen, um Benutzern Berechtigungen zuzuweisen, befinden sich in der lokalen SAM-Datenbank (Security Accounts Manager), und sie werden verschoben, wenn Sie den Server verschieben. Sie müssen Zugriffssteuerungslisten nicht neu konfigurieren, damit Benutzer nach der Migration auf Ressourcen zugreifen können. 35 Entfernen Sie zum Migrieren von Domänencontrollern zwischen Domänen die Active DirectoryDomänendienste (AD DS) auf dem Domänencontroller, migrieren Sie ihn als Mitgliedsserver in die Zieldomäne, und installieren Sie dann AD DS erneut. Planen der Neustrukturierung von Active Directory-Domänen zwischen Gesamtstrukturen Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Durch die Ausführung der erforderlichen Planungsaufgaben vor Beginn der Migration stellen Sie sicher, dass Benutzer sich auch weiterhin am Netzwerk anmelden und während der Migration auf Ressourcen zugreifen können. Die Planung der Domänenumstrukturierung umfasst Folgendes: Festlegen des Kontomigrationsvorgangs Zuweisen von Objektspeicherorten und -rollen Entwickeln eines Testplans Erstellen eines Rollbackplans für den Fall, dass ein Fehler bei der Migration auftritt Verwalten von Benutzern, Gruppen und Benutzerprofilen Erstellen eines Endbenutzerkommunikationsplans Zur Vorbereitung auf den Neustrukturierungsvorgang muss das Active DirectoryBereitstellungsteam die erforderlichen Entwurfsinformationen vom Active Directory-Entwurfsteam erhalten. Die folgende Abbildung zeigt die für die Planung der Neustrukturierung von Active DirectoryDomänen zwischen Gesamtstrukturen erforderlichen Schritte. 36 Festlegen des Kontomigrationsvorgangs Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Mit dem Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) kann der SID-Verlauf (Security Identifier, SID) zum Erhalten von Ressourcenberechtigungen beim Migrieren von Konten verwendet werden. Wenn jedoch zwischen den Quell- und Zieldomänen SID-Filterung eingerichtet ist und die Administratoren in der Quelldomäne keine Vertrauensstellung besitzen, kann die SID-Filterung nicht deaktiviert werden. Ebenso wenig kann der SID-Verlauf zum Erteilen des Zugriffs auf Ressourcen in der Quelldomäne verwendet werden. In diesem Fall müssen Sie einen anderen Migrationsprozess verwenden. Sie können eine der folgenden drei Methoden verwenden, um Konten zwischen Gesamtstrukturen zu migrieren und dabei die Benutzerrechte für den Zugriff auf Ressourcen in der Quelldomäne zu erhalten: Migrieren Sie Benutzerkonten, während Sie den SID-Verlauf für den Ressourcenzugriff verwenden. Bei dieser Methode entfernen Sie die SID-Filterung für die Vertrauensstellungen zwischen den Domänen, um Benutzern den Zugriff auf Ressourcen in der Quelldomäne mithilfe der Anmeldeinformationen aus ihrem SID-Verlauf zu ermöglichen. Wenn eine Gesamtstrukturvertrauensstellung besteht, entfernen Sie die SID-Filterung für die Gesamtstrukturvertrauensstellung. (Alternativ können Sie die Gesamtstrukturvertrauensstellung außer Kraft setzen, indem Sie eine externe 37 Vertrauensstellung erstellen, so dass die Domäne, in der die Ressourcen enthalten sind, der Zieldomäne vertraut, und anschließend die SID-Filterung für die externe Vertrauensstellung entfernen.) Wenn keine Gesamtstrukturvertrauensstellung besteht, richten Sie externe Vertrauensstellungen zwischen den Quell- und Zieldomänen ein. Anschließend müssen Sie die SID-Filterung für die externen Vertrauensstellungen entfernen, wenn auf dem Domänencontroller, mit dem die Vertrauensstellung erstellt wird, Windows Server 2008 R2, Windows Server 2008 oder Windows Server 2003 ausgeführt wird. Bei Verwendung von ADMT v3.1 kann auf dem Domänencontroller, mit dem die Vertrauensstellung erstellt wird, Windows 2000 Service Pack 4 (oder höher) ausgeführt werden. Weitere Informationen über diesen Prozess finden Sie unter Migrieren von Konten bei Verwendung des SID-Verlaufs weiter hinten in diesem Handbuch. Migrieren Sie alle Benutzer,Gruppen und Ressourcen in einem Schritt in die Zieldomäne. Weitere Informationen über diesen Prozess finden Sie unter Migrieren von Konten bei Verwendung des SID-Verlaufs weiter hinten in diesem Handbuch. Migrieren Sie Benutzerkonten, ohne den SID-Verlauf für den Ressourcenzugriff zu verwenden, konvertieren Sie jedoch die Sicherheit für alle Ressourcen vor dem Migrationsprozess, um den Ressourcenzugriff sicherzustellen. Weitere Informationen über das Migrieren von Konten ohne Verwendung des SID-Verlaufs finden Sie unter Migrieren von Konten ohne Verwendung des SID-Verlaufs weiter hinten in diesem Handbuch. Damit Sie bestimmen können, welcher Kontenmigrationsprozess für Ihre Organisation optimal geeignet ist, müssen Sie zuerst bestimmen, ob Sie die SID-Filterung deaktivieren und Konten unter Verwendung des SID-Verlaufs für den Ressourcenzugriff migrieren können. Sie können dies ohne Gefahr ausführen, wenn zwischen den Administratoren der Quelldomäne und den Administratoren der Zieldomäne eine vollständige Vertrauensstellung besteht. Möglicherweise sollten Sie die SID-Filterung deaktivieren, wenn eine der folgenden Bedingungen zutrifft: Die Administratoren der vertrauenden Domäne sind zugleich die Administratoren der vertrauenswürdigen Domäne. Die Administratoren der vertrauenden Domäne haben eine Vertrauensstellung zu den Administratoren der vertrauenswürdigen Domäne und sind zuversichtlich, dass diese die Domäne in geeigneter Weise gesichert haben. Wenn Sie die SID-Filterung deaktivieren, entfernen Sie die Sicherheitsgrenze zwischen Gesamtstrukturen, die normalerweise die Isolation von Daten und Diensten zwischen den Gesamtstrukturen herstellt. Beispielsweise kann ein Administrator in der Zieldomäne mit Rechten als Dienstadministrator oder eine Einzelperson, die physischen Zugriff auf einen Domänencontroller besitzt, den SID-Verlauf eines Kontos so ändern, dass er die SID eines Domänenadministrators in der Quelldomäne einschließt. Wenn das Benutzerkonto, für das der SID-Verlauf geändert wurde, sich bei der Zieldomäne anmeldet, weist es gültige Anmeldeinformationen als Domänenadministrator für Ressourcen in der Quelldomäne auf und erhält Zugriff auf diese. 38 Daher sollten Sie, wenn Sie den Administratoren in der Zieldomäne nicht vertrauen oder nicht glauben, dass die Domänencontroller in der Zieldomäne physisch sicher sind, SID-Filterung zwischen den Quell- und Zieldomänen aktivieren und Benutzerkonten ohne SID-Verlauf für den Ressourcenzugriff migrieren. Die folgende Abbildung veranschaulicht den Entscheidungsprozess, der zum Bestimmen des für Ihre Organisation geeigneten Migrationsprozesses verwendet werden kann. Verwenden des SID-Verlaufs zum Beibehalten des Ressourcenzugriffs Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Die bewährte Methode zum Erteilen des Zugriffs auf Ressourcen besteht in der Verwendung von globalen Gruppen zum Zusammenfassen von Benutzern und von domänenlokalen Gruppen zum Schutz von Ressourcen. Platzieren Sie globale Gruppen in einer domänenlokalen Gruppe, um den Mitgliedern der globalen Gruppe Zugriff auf die Ressource zu erteilen. Eine globale Gruppe kann nur Mitglieder aus ihrer eigenen Domäne enthalten. Wenn ein Benutzer zwischen Domänen 39 migriert wird, müssen auch alle globalen Gruppen migriert werden, zu denen der Benutzer gehört. Dadurch wird sichergestellt, dass Benutzer weiterhin auf Ressourcen zugreifen können, die durch besitzerverwaltete Zugriffssteuerungslisten (Discretionary Access Control Lists, DACLs) geschützt sind, die auf globale Gruppen verweisen. Wenn sich ein Benutzer nach dem Migrieren eines Kontos bei beibehaltenem SID-Verlauf (Security Identifier) des Quelldomänenkontos bei der Zieldomäne anmeldet, werden sowohl die neue SID als auch die ursprüngliche SID aus dem SID-Verlaufsattribut dem Zugriffstoken des Benutzers hinzugefügt. Diese SIDs bestimmen die Mitgliedschaft des Benutzers in lokalen Gruppen. Anschließend werden dem Zugriffstoken die SIDs der Gruppen, bei denen der Benutzer Mitglied ist, hinzugefügt, zusammen mit dem SIDVerlauf dieser Gruppen. Die Ressourcen innerhalb der Quell- und der Zieldomäne lösen ihre Zugriffssteuerungslisten (Access Control Lists, ACLs) zu SIDs auf und prüfen dann beim Erteilen oder Verweigern des Zugriffs auf Übereinstimmungen zwischen ihren ACLs und dem Zugriffstoken. Wenn die SID oder der SID-Verlauf übereinstimmen, wird der Zugriff auf die Ressource erteilt oder verweigert, je nach dem in der ACL festgelegten Zugriff. Wenn sich die Ressource in der Quelldomäne befindet und Sie keine Sicherheitskonvertierung durchgeführt haben, verwendet sie den SID-Verlauf des Benutzerkontos für das Erteilen des Zugriffs. Ferner können Sie die ursprüngliche SID für globale Gruppen und universale Gruppen im SIDVerlauf der globalen Gruppe oder universellen Gruppe in der Zieldomäne beibehalten. Da die Mitgliedschaft in globalen Gruppen auf SIDs basiert, wird die lokale Gruppenmitgliedschaft der globalen Gruppe oder universellen Gruppe beim Migrieren der SID zum SID-Verlauf der globalen Gruppe oder universellen Gruppe in der Zieldomäne automatisch beibehalten. Der SID-Verlauf wird für folgende Punkte verwendet: Zugriff auf servergespeicherte Benutzerprofile Zugriff auf Zertifizierungsstellen Zugriff bei der Softwareinstallation Ressourcenzugriff Wenn Sie nicht den SID-Verlauf für den Ressourcenzugriff verwenden, müssen Sie den SIDVerlauf trotzdem migrieren, um den Zugriff auf diese Elemente zu erleichtern. Verwenden von SID-Filterung beim Migrieren von Benutzerkonten Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Bei einer Domänen-zu-Domänen-Vertrauensstellung wird die Verwendung von SIDs, die von außerhalb der vertrauenswürdigen Domäne stammen, um den Zugriff auf eine Ressource innerhalb der vertrauenden Domäne zu ermöglichen, von der SID-Filterung nicht berücksichtigt. Bei einer Gesamtstruktur-zu-Gesamtstruktur-Vertrauensstellung wird die Verwendung von SIDs, die von einer Domäne außerhalb der vertrauenswürdigen Gesamtstruktur stammen, um den 40 Zugriff auf eine Ressource in einer Domäne innerhalb der vertrauenden Gesamtstruktur zu ermöglichen, von der SID-Filterung nicht berücksichtigt. Sie können die SID eines Benutzers für den Zugriff auf Ressourcen innerhalb einer Gesamtstruktur mit aktivierter SID-Filterung aktivieren, indem Sie die Sicherheit für die Ressource in der Weise konvertieren, dass die Benutzer-SID in die Berechtigungsliste aufgenommen wird. SID-Filterung wird standardmäßig angewendet, wenn eine Vertrauensstellung zwischen zwei Gesamtstruktur-Stammdomänen eingerichtet wird. Außerdem ist die SID-Filterung standardmäßig aktiviert, wenn externe Vertrauensstellungen zwischen Domänencontrollern mit Windows 2000 Service Pack 4 (oder höher) hergestellt werden. Dies unterbindet mögliche Sicherheitsangriffe durch Administratoren aus anderen Gesamtstrukturen. Da die SID-Filterung sich nicht auf die Authentifizierung innerhalb von Domänen auswirkt, ist es auch möglich, den Zugriff auf Ressourcen anhand des SID-Verlaufs zu erteilen, wenn die Ressource und das Konto sich innerhalb der gleichen Gesamtstruktur befinden. Damit Benutzern oder Gruppen der Zugriff auf eine Ressource mithilfe des SID-Verlaufs erteilt werden kann, muss zwischen der Gesamtstruktur, in der sich die Ressource befindet, und der Gesamtstruktur, in der das Konto geführt wird, eine Vertrauensstellung bestehen. Weitere Informationen zu Angriffen auf der Grundlage des SID-Verlaufs und SID-Filterung finden Sie unter "Konfigurieren der Einstellungen für die SID-Filterung" (http://go.microsoft.com/fwlink/?LinkId=73446) (englischsprachig). Zuweisen von Objektspeicherorten und Rollen Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Erstellen Sie eine Objektzuweisungstabelle, die Rollen und Speicherorte für alle zu migrierenden Objekte auflistet. Erstellen Sie eine Tabelle für Kontoobjekte, wie etwa Benutzer-, Gruppen- und Dienstkonten, und eine Tabelle für Ressourcenobjekte, wie etwa Arbeitsstationen, Profile und Domänencontroller. Listen Sie in Ihren Tabellen die Quell- und Zielspeicherorte für alle zu migrierenden Objekte auf. Bestimmen Sie vor dem Erstellen der Kontoobjektzuweisungstabelle, ob die Organisationseinheitsstrukturen auf Domänenebene für die Quell- und die Zieldomäne gleich sind. Wenn sie nicht gleich sind, müssen Sie die Quell- und die Zielorganisationseinheit in den Objektzuweisungstabellen identifizieren. Ein Arbeitsblatt, das Sie beim Erstellen einer Kontoobjektzuweisungstabelle unterstützt, finden Sie unter "User and Group Object Assignment Table" (DSSREER_1.doc) im Download Job_Aids_Designing_and_Deploying_Directory_and_Security_Services der Job Aids für das Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink?LinkId=14384, englischsprachig). 41 Die folgende Abbildung zeigt ein Beispiel einer Objektzuweisungstabelle für Benutzer und Gruppen. Identifizieren sie zum Erstellen eines Ressourcenobjektzuweisungstabelle die Quell- und Zielorganisationseinheit für jedes Objekt, und notieren Sie den physikalischen Speicherort und die Rolle in der Zieldomäne. Ein Arbeitsblatt, das Sie beim Erstellen einer Ressourcenobjektzuweisungstabelle unterstützt, finden Sie unter "Resource Object Assignment Table" (DSSREER_2.doc) im Download Job_Aids_Designing_and_Deploying_Directory_and_Security_Services der Job Aids für das Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink?LinkId=14384, englischsprachig). Die folgende Abbildung zeigt ein Beispiel einer Ressourcenobjektzuweisungstabelle. 42 Entwickeln eines Testplans für die Migration Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) enthält keine Testmigrationsoption. Sie können jedoch einen Testplan entwickeln, um jedes Objekt systematisch zu testen, nachdem es in die neue Umgebung migriert wurde, und ggf. auftretende Probleme identifizieren und beheben. Das Testen des Erfolgs der Migration stellt sicher, dass Benutzer, die aus der Quell- in die Zieldomäne migriert wurden, sich anmelden, auf Ressourcen basierend auf der Gruppenmitgliedschaft und basierend auf Benutzeranmeldeinformationen zugreifen können. Das Testen stellt außerdem sicher, dass Benutzer auf die Ressourcen zugreifen können, die Sie migrieren. Nachdem Sie die Tests abgeschlossen haben, können Sie mit der Migration kleiner Pilotgruppen fortfahren und dann schrittweise die Größe der Lose von Migrationsobjekten in Ihrer Produktionsumgebung erhöhen. 43 Verwenden Sie das folgende Verfahren, um die Migration von Konto- und Ressourcenobjekten zu testen: 1. Erstellen Sie einen Testbenutzer in der Quelldomäne. Schließen Sie diesen Testbenutzer in die Migrationen ein. 2. Fügen Sie diesen Benutzer den entsprechenden globalen Gruppen hinzu, um den Ressourcenzugriff zu aktivieren. 3. Melden Sie sich an der Quelldomäne als Testbenutzer an, und vergewissern Sie sich, dass Sie ordnungsgemäß auf Ressourcen zugreifen können. 4. Nachdem Sie das Benutzerkonto migriert haben, konvertieren Sie das Benutzerprofil und migrieren die Arbeitsstation des Benutzers, melden sich an der Zieldomäne als Testbenutzer an und überprüfen, ob der erforderliche Zugriff und die entsprechenden Funktionen für den Benutzer erhalten geblieben sind. Der Test kann z. B. die folgenden Überprüfungen beinhalten: Der Benutzer kann sich erfolgreich anmelden. Der Benutzer besitzt Zugriff auf alle entsprechenden Ressourcen, z. B. auf Datei- und Druckfreigaben, Dienste wie etwa Messaging sowie Zugriff auf Branchenanwendungen. Es ist besonders wichtig, den Zugriff auf intern entwickelte Anwendungen zu testen, die auf Datenbankserver zugreifen. Das Benutzerprofil wurde erfolgreich konvertiert, und die Desktopeinstellungen, die Desktopdarstellung, Verknüpfungen und der Zugriff auf den Ordner Eigene Dateien sind erhalten geblieben. Vergewissern Sie sich außerdem, dass Anwendungen im Menü Start angezeigt und über dieses Menü gestartet werden können. Beim Migrieren von Benutzerkonten kann nicht jede Benutzereigenschaft migriert werden. Weitere Informationen zu Benutzereigenschaften, die nicht migriert werden können, finden Sie weiter unten in diesem Handbuch unter Migrieren von Benutzerkonten. Nachdem Sie Ressourcen migriert haben, melden Sie sich als Testbenutzer in der Zieldomäne an und vergewissern sich dann, dass Sie ordnungsgemäß auf Ressourcen zugreifen können. Wenn in einem der Schritte des Testverfahrens Fehler auftreten, ermitteln Sie die Ursache des Problems, und stellen Sie dann fest, ob Sie das Problem beheben können, bevor der Zugriff auf das Objekt in der Zieldomäne möglich sein muss. Wenn Sie das Problem nicht beheben können, bevor der Zugriff auf das Objekt erforderlich ist, führen Sie einen Rollbackvorgang in die ursprüngliche Konfiguration aus, damit der Zugriff auf das Benutzer- oder Ressourcenobjekt sichergestellt ist. Weitere Informationen zum Erstellen eines Rollbackplans finden Sie unter Erstellen eines Rollbackplans weiter unten in diesem Handbuch. Erstellen Sie eine Migrationstestmatrix als Teil Ihres Testplans. Füllen Sie eine Testmatrix für jeden Schritt im Migrationsvorgang aus. Wenn Sie z. B. 10 Lose von Benutzern migrieren, füllen Sie die Testmatrix 10 Mal aus – einmal für jedes migrierte Los. Wenn Sie 10 Mitgliedsserver migrieren, füllen Sie die Testmatrix für jeden der 10 Server aus. Ein Arbeitsblatt, das Sie beim Erstellen einer Testmatrix unterstützt, finden Sie unter "Migration Test Matrix" (DSSREER_3.doc) im Download 44 Job_Aids_Designing_and_Deploying_Directory_and_Security_Services der Job Aids für das Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink?LinkId=14384, englischsprachig). Die folgende Abbildung zeigt ein Beispiel für eine ausgefüllte Migrationstestmatrix. Erstellen eines Rollbackplans Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 45 Verringern Sie die Gefahr, Endbenutzer in Ihrer Organisation auszuschließen, indem Sie einen Rollbackplan erstellen. Im Allgemeinen ist es möglich, jedes Problem, das während jeder einzelnen Phase der Migration auftritt, zu isolieren und zu beheben. Es ist jedoch wichtig, mögliche Risiken zu analysieren und das Ausmaß des Einflusses auf Benutzer sowie die Ausfallzeit zu identifizieren, die ein Rollback der Migrierung erforderlich machen können. Möglicherweise müssen Sie ein Rollback der Migration ausführen, wenn einer der folgenden Fälle eintritt: Benutzer können sich nach der Migration nicht bei ihren Konten anmelden. Benutzer können nach der Migration nicht auf Ressourcen zugreifen. Die Benutzermigration ist unvollständig; beispielsweise wurden keine Kennwörter migriert. Die Benutzermigration war erfolgreich, aber bei der Migration von Benutzerarbeitsstationen oder der Konvertierung lokaler Profile traten Fehler auf. Wenn die Auswirkung auf Benutzer oder die Ausfallzeit ein Niveau erreichen, die Sie für Ihre Organisation als nicht akzeptabel definiert haben, können Sie den Rollbackplan implementieren und den Betrieb in der Umgebung vor der Migration fortsetzen. Da die Quelldomäne während der Umstrukturierung intakt bleibt, können Sie die ursprüngliche Umgebung wiederherstellen, indem Sie einige wichtige Schritte ausführen. So führen Sie nach dem Migrieren von Kontoobjekten ein Rollback zur Umgebung vor der Migration aus: 1. Aktivieren Sie die Benutzerkonten in der Quelldomäne (wenn Sie die Konten während des Migrationsprozesses deaktiviert haben). 2. Benachrichtigen Sie die Benutzer, dass sie sich von der Zieldomäne abmelden sollen. 3. Benachrichtigen Sie die Benutzer, dass sie sich bei der Quelldomäne anmelden sollen. 4. Überprüfen Sie, ob die Benutzer auf die Ressourcen zugreifen können. 5. Überprüfen Sie, ob die Anmeldeskripts und Benutzerprofile für Benutzer in der Quelldomäne wie konfiguriert funktionieren. Der Rollbackprozess für Ressourcenobjekte ist dem für Kontoobjekte ähnlich. So führen Sie nach dem Migrieren von Ressourcenobjekten ein Rollback zur Umgebung vor der Migration aus: 1. Ändern Sie die Domänenmitgliedschaft für den Server oder die Arbeitsstation auf die Quelldomäne. 2. Führen Sie einen Neustart des Servers oder der Arbeitsstation aus. 3. Melden Sie sich als Benutzer an, und überprüfen Sie, ob Sie auf die Ressource zugreifen können. Hinweis Wenn Sie Objekte ändern müssen, wie etwa Mitgliedsserver oder Domänencontroller, um sie in die Zieldomäne zu migrieren, sichern Sie alle Daten, bevor Sie die Änderungen vornehmen und die Migration durchführen. 46 Verwalten von Benutzern, Gruppen und Benutzerprofilen Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Sie müssen definieren, wie die Objekte, die Sie migrieren, während des Neustrukturierungsvorgangs zwischen Gesamtstrukturen verwaltet werden sollen. Indem Sie administrative Verfahren für Migrationsobjekte einrichten, können Sie die Objekte sowohl in der Quelldomäne als auch in der Zieldomäne erhalten. Daher können Sie auf die Vormigrationsumgebung zurückgreifen, wenn der Neustrukturierungsvorgang nicht erfolgreich ist. Planen Sie die Verwaltung der folgenden Typen von Kontomigrationsobjekten: Benutzerkonten einschließlich Sicherheitskennungen (Security Identifiers, SIDs) Globale Gruppenmitgliedschaft Benutzerprofile Verwalten von Benutzerkonten Während des Migrationsvorgangs sind Benutzerkonten sowohl in den Quell- als auch in den Zieldomänen vorhanden. Verwalten Sie Änderungen an Benutzerkonten in der Domäne, in der das Benutzerobjekt aktiv ist. Verwalten Sie auch weiterhin Änderungen an Gruppenmitgliedschaften in der Quelldomäne, während die Migration stattfindet. Verwenden Sie die Option In Konflikt stehende Objekte migrieren und zusammenführen im Active DirectoryMigrationsprogramm (ADMT), um Benutzerkonten so häufig wie erforderlich während des Migrationsvorgangs erneut zu migrieren. Auf diese Weise wird sichergestellt, dass Änderungen, die am Konto in der Quelldomäne vorgenommen werden, an das Konto in der Zieldomäne weitergegeben werden. Bei diesem Vorgang wird das vorhandene Konto mit dem neuen Konto zusammengeführt, damit die Verwaltung des Objekts in der Quelldomäne für die Dauer des Migrationsvorgangs fortgesetzt werden kann. Die Option In Konflikt stehende Objekte migrieren und zusammenführen wendet bei der Migration eines Kontos die folgenden Richtlinien an: Wenn Sie ein Attribut in der Zieldomäne ändern, das nicht in der Quelldomäne verwendet wird, wird es nicht mit dem NULL-Wert aus der Quelldomäne überschrieben. Wenn Sie ein Attribut in der Zieldomäne ändern, das in der Quelldomäne verwendet wird, wird es mit dem Wert aus der Quelldomäne überschrieben. Wenn der Benutzer Gruppenmitgliedschaften besitzt, werden die Mitgliedschaften aus den Quellmitgliedschaften und den Zielmitgliedschaften zusammengeführt. Wenn dies nicht das gewünschte Verhalten ist, können Sie ADMT so konfigurieren, dass Attribute aus der Migration ausgeschlossen werden, damit die Attribute in der Zieldomäne erhalten bleiben. Angenommen, Sie legen z. B. nach dem Migrieren eines Benutzers Attribute für das neue Benutzerobjekt in der Zieldomäne fest, z. B. eine Rufnummer oder eine Raumnummer. Sie 47 migrieren den Benutzer mithilfe der Option In Konflikt stehende Objekte migrieren und zusammenführen in ADMT erneut, und die neuen Informationen bleiben in der Zieldomäne erhalten. Wenn Sie die Gruppenmitgliedschaften für den Benutzer in der Quelldomäne geändert haben, werden die Änderungen an die Zieldomäne weitergegeben, wenn Sie die erneute Migration ausführen. Einige Attribute werden von der Migration ausgeschlossen. Dabei handelt es sich z. B. um die folgenden Attribute: Attribute, die immer vom System ausgeschlossen werden Attribute, die in der Systemattribut-Ausschlussliste enthalten sind. Attribute, die vom Administrator als auszuschließend konfiguriert wurden. Attribute, die immer vom System ausgeschlossen werden Einige Attribute werden von ADMT immer von der Migration ausgeschlossen und können nicht für die Migration konfiguriert werden. Auf diese Weise werden Attribute geschützt, die sich im Besitz des Systems befinden. Dabei handelt es sich z. B. um die folgenden Attribute: Objekt GUID (Globally Unique Identifier) SIDs (obwohl SIDs dem SID-Verlauf des Objekts in der Zieldomäne hinzugefügt werden können) LegacyExchangeDN Systemattribut-Ausschlussliste Bei der erstmaligen Ausführung einer ADMT-Benutzermigration generiert ADMT eine Systemattribut-Ausschlussliste, die in der Datenbank des Programms gespeichert wird. Die Systemattribut-Ausschlussliste enthält standardmäßig zwei Attribute: mail und proxyAddresses. ADMT liest außerdem das Schema in der Zieldomäne und fügt der Liste die Attribute hinzu, die nicht Teil des Basisschemas sind. Attribute in dieser Liste werden von Migrationsvorgängen selbst dann ausgeschlossen, wenn das Attribut nicht in der Attributausschlussliste angegeben wird. Ein Administrator kann die Systemattribut-Ausschlussliste nur mithilfe eines Skripts ändern. Auf diese Weise werden Attribute geschützt, die wichtig sind, damit serverbasierte Anwendungen wie etwa Microsoft Exchange funktionieren. Wenn das Schema der Zieldomäne nochmals erweitert wird, nachdem ADMT die Liste generiert hat, müssen Administratoren die neuen Attribute der Liste manuell hinzufügen. Dies gilt nur dann nicht, wenn sie sicher sind, dass das Kopieren der Werte dieser Attribute von der Quelldomäne nicht zu Konflikten mit serverbasierten Anwendungen führt. Attributausschlussliste Administratoren können eine Liste mit Attributen definieren, die aus jeder Migration ausgeschlossen werden. Diese Liste wird als eine Attributausschlussliste bezeichnet. Bei Verwendung der ADMT-Konsole werden Statusinformationen für Attribute, deren Ausschluss konfiguriert wurde, in der Benutzeroberfläche gespeichert und in die Ausschlussliste für die 48 nächste Migration aufgenommen. Skripting- und Befehlszeilenattribute besitzen keine Statusinformationen. Auf diesem Grund werden sie nicht in der Benutzeroberfläche gespeichert. Diese Attribute müssen der Attributausschlussliste für jeden Migrationsvorgang hinzugefügt werden. Dies geschieht mithilfe des Attributnamens oder durch eine Optionsdatei. Verwalten globaler Gruppen Verwalten Sie die Gruppen in der Quelldomäne während des Migrationsvorgangs auch weiterhin. Migrieren Sie die Gruppen mithilfe der Option In Konflikt stehende Objekte migrieren und zusammenführen in ADMT so häufig wie erforderlich erneut. Diese Vorgehensweise stellt sicher, dass Änderungen, die an Gruppenmitgliedschaften in der Quelldomäne vorgenommen wurden, an die Gruppen in der Zieldomäne weitergegeben werden. Planen einer Benutzerprofilmigration Benutzerprofile speichern Benutzerdaten und Informationen zu den Desktopeinstellungen des Benutzers. Benutzerprofile können servergespeichert oder lokal sein. Der Migrationsvorgang unterscheidet sich für lokale und servergespeicherte Profile. Profilkonvertierung ist ein Typ von Sicherheitskonvertierung, und Profile werden während des Migrationsvorgangs konvertiert. Wenn Sie die Sicherheitskonvertierung im Hinzufügemodus ausführen, besitzen die Sicherheitskennungen in den Ziel- und in den Quelldomänen Zugriff auf das Profil. Wenn Sie ein Rollback in die Quellumgebung ausführen müssen, kann die Sicherheitskennung in der Quelldomäne das Profil daher verwenden. Wenn Sie die Sicherheitskonvertierung im Ersetzungsmodus ausführen, müssen Sie das Profil mithilfe einer SID-Zuordnungsdatei erneut konvertieren (Rückgängigmachen der Sicherheitskonvertierung), um die Umgebung auf die Quellumgebung zurückzusetzen. Wichtig Wenn ein Rollbackvorgang auf die ursprüngliche Konfiguration stattfinden muss, benachrichtigen Sie die Benutzer, dass in der Zieldomäne vorgenommene Änderungen auf der Quelldomäne nicht übernommen werden. Einige Organisationen möchten Benutzerprofile ggf. nicht migrieren. Andere Organisationen möchten ggf. die Arbeitsstationen von Benutzern während des Migrationsvorgangs der Benutzerkonten ersetzen und ein Tool wie z. B. das Migrationsprogramm für den Benutzerstatus (User State Migration Tool, USMT) zum Migrieren von Benutzerdaten und Einstellungen auf die neuen Computer der Benutzer verwenden. In der folgenden Tabelle werden die Voraussetzungen für die Migration von Benutzerprofilen zusammengefasst. Typ Beschreibung Voraussetzungen für die Migration Servergespeicherte Profile Benutzerprofile werden zentral auf Servern gespeichert. Profile Wenn Sie servergespeicherte Profile migrieren, die unter 49 Typ Beschreibung Voraussetzungen für die Migration sind unabhängig von der verwendeten Arbeitsstation für den Benutzer verfügbar. Windows Vista oder höher verwendet werden, müssen Sie die servergespeicherten Profile für die Migration vorbereiten. Weitere Informationen finden Sie unter Vorbereiten von servergespeicherten Profilen für die Migration von Computern unter Windows Vista und Windows 7. Wählen Sie bei der Kontenmigration Servergespeicherte Profile konvertieren auf der Seite Benutzeroptionen im Assistenten zum Migrieren von Benutzerkonten aus. Konvertieren Sie dann lokale Benutzerprofile für ein Los von Benutzern unmittelbar nach der Migration dieser Benutzer. Lokale Profile Benutzerprofile werden lokal auf der Arbeitsstation gespeichert. Wenn sich ein Benutzer an einer anderen Arbeitsstation anmeldet, wird ein eindeutiges lokales Benutzerprofil erstellt. Konvertieren Sie lokale Profile in einem anderen Schritt als dem Migrationsvorgang von Benutzerkonten. Wählen Sie die Option Benutzerprofile auf der Seite Objekte konvertieren des SicherheitskonvertierungsAssistenten aus. Konvertieren Sie lokale Benutzerprofile für ein Los von Benutzern unmittelbar nach der Migration dieser Benutzer. Nicht verwaltete Profile Gleiche Vorgehensweise wie bei lokalen Profilen. Benutzer verlieren ihre vorhandenen Profile, wenn ihre Konten migriert werden. Hardwareaktualisierung Benutzerstatusinformationen Führen Sie die Migration in 50 Typ Beschreibung Voraussetzungen für die Migration werden lokal auf der Arbeitsstation gespeichert. einem anderen Schritt als dem Migrationsvorgang von Benutzerkonten aus. Migrieren Sie die Profile mithilfe eines Tools, z. B. mit dem Migrationsprogramm für den Benutzerstatus (User State Migration Tool, USMT), auf den neuen Computer des Benutzers. Vorbereiten von servergespeicherten Profilen für die Migration von Computern unter Windows Vista und Windows 7 Der Speicherort für ein servergespeichertes Profil wird für ein Domänenbenutzerkonto konfiguriert und wie folgt angegeben: \\host.name.fqdn\ProfileShare\<Profilname> Normalerweise wird der <Profilname> durch den %Benutzernamen% ersetzt. Der tatsächliche Speicherort für ein servergespeichertes Profil für den Benutzer „RoamUserX“ lautet: \\host.name.fqdn\ProfileShare\RoamUserX Der Ordner für das servergespeicherte Profil (in diesem Beispiel „RoamUserX“) wird bei der erstmaligen Anmeldung von RoamUserX erstellt, und die Profildaten werden in diesem Ordner gespeichert. Unter Windows Vista erfolgte eine Änderung an den Profilen, durch die Profile nicht mit früheren Windows-Versionen kompatibel sind. Zur Unterscheidung der neuen Profile wurde allen servergespeicherten Profilen für Benutzer mit Computern, die unter Windows Vista und höher ausgeführt werden, die Erweiterung „*.V2“ hinzugefügt. Der Speicherort für ein servergespeichertes Profil für denselben Benutzer „RoamUserX“ für einen Computer, der unter Windows Vista oder Windows 7 ausgeführt wird, lautet: \\host.name.fqdn\ProfileShare\RoamUserX.V2 Diese Version kann neben einem servergespeicherten Profil für eine frühere Windows-Version verwendet werden. Die zwei unterschiedlichen Profilordnernamen werden nur von ADMT v3.2 unterschieden. Bei früheren Versionen von ADMT wird nur nach dem Ordner mit dem Namen „<Profilname>“ gesucht. Es wird nicht gesucht, ob ein V2-Profil verfügbar ist. Daher ist bei älteren Versionen von ADMT keine Migration von servergespeicherten Profilen für Computer möglich, auf denen Windows Vista oder Windows 7 ausgeführt wird. 51 Für die Migration eines Ordners für ein servergespeichertes Profil mit ADMT v3.2 muss die Standard-Zugriffssteuerungsliste (Access Control List, ACL) des Ordners geändert werden. Wenn sich ein Benutzer anmeldet und der Ordner und die Inhalte für ein servergespeichertes Profil erstellt werden, werden dem Ordner „<Profilname>“ oder „<Profilname>.V2“ die folgenden ACLs zugeordnet: SYSTEM – Full Control Benutzername - Full Control Owner = Benutzername Daher ist der Zugriff auf den Ordner „<Profilname>“ oder „<Profilname>.V2“ nur für den Besitzer des Profils und für das lokale System, auf dem sich die Freigabe befindet, möglich. Wenn der Ordner diesen Standardberechtigungen zugeordnet ist, kann von ADMT aufgrund der Sicherheitskonvertierung nicht auf den Ordner zugegriffen werden. Sie können jedoch eine Gruppenrichtlinieneinstellung für die Domäne aktivieren, um die Ordnerberechtigungen zu konfigurieren und die Migration des servergespeicherten Profils durch ADMT v3.2 zu ermöglichen. Unter Windows Server 2008 R2 lautet die Einstellung wie folgt: Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Benutzerprofile\Sicherheitsgruppe „Administratoren“ zu servergespeicherten Profilen hinzufügen Wenn diese Einstellung aktiviert und vor der ersten Anmeldung des Benutzers (vor der Erstellung des servergespeicherten Profils) weitergegeben wurde, wird dem servergespeicherten Profilverzeichnis eine Berechtigung hinzugefügt, mit der Mitgliedern der Administratorgruppe des Freigabehosts (in diesem Beispiel „host.name.fqdn“) die vollständige Steuerung (Full Control) ermöglicht wird. Nach Aktivierung dieser Einstellung können Migrationen ausgeführt werden, sofern der Benutzer, von dem ADMT v3.2 ausgeführt wird, zur Administratorengruppe für diese Freigabe gehört. Der Benutzer, von dem ADMT ausgeführt wird, benötigt für servergespeicherte Profilordner die vollständige Zugriffsberechtigung (Full Control). Führen Sie eine der folgenden Optionen aus, um diese Berechtigung zu erhalten: 1. 2. Erstellen Sie ein Skript (z. B. mithilfe von Windows PowerShell), mit dem Folgendes ausgeführt wird: a. Ausführung als SYSTEM auf dem Freigabecomputer (in diesem Beispiel „host.name.fqdn“) b. Hinzufügen der Administratoren-Sicherheitsgruppe zum ACL-Satz der Profilordner – Weitergabe an alle Unterordner und Dateien c. Hinzufügen der Administratoren-Sicherheitsgruppe mit vollständiger Steuerung (Full Control) zum ACL-Satz der Profilordner und Vererbung der Berechtigung an alle Unterordner und Dateien 3. Erstellen Sie ein Skript (z. B. mithilfe von Windows PowerShell), mit dem Folgendes ausgeführt wird: 52 a. Ausführung im Kontext der einzelnen servergespeicherten Benutzer (z. B. als Anmeldeaufgabe). b. Hinzufügen der Administratoren-Sicherheitsgruppe mit vollständiger Steuerung (Full Control) zum ACL-Satz der Profilordner und Vererbung der Berechtigung an alle Unterordner und Dateien Erstellen eines Endbenutzerkommunikationsplans Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Entwickeln Sie einen Plan, um alle betroffenen Benutzer über die bevorstehende Kontomigration zu informieren und so sicherzustellen, dass sie ihre Zuständigkeiten kennen, die Auswirkungen der Migration verstehen und wissen, an wen sie sich wegen Hilfe und Support wenden können. Bevor Sie mit der Benutzermigration beginnen, senden Sie einen Hinweis an alle Benutzer, die für die Migration vorgesehen sind. Da Benutzer normalerweise in Losen von ungefähr 100 Benutzern zugleich migriert werden, ist es außerdem sinnvoll, den Benutzern in jedem Los zwei oder drei Tage vor der geplanten Umstellung ihres Loses eine letzte Benachrichtigung zu senden. Wenn Ihre Organisation ein Intranet betreibt, veröffentlichen Sie den Zeitplan zur Kontomigration und die in der Benutzer-E-Mail enthaltenen Informationen auf einer leicht zugänglichen Webseite. Nehmen Sie die folgenden Informationen in Ihre Endbenutzerkommunikation auf. Allgemeine Informationen Machen Sie Benutzer auf die Tatsache aufmerksam, dass für ihre Benutzerkonten die Migration zu einer neuen Domäne geplant ist. Verweisen Sie die Benutzer auf eine Webseite oder auf eine interne Ressource, wo sie weitere Informationen finden und den Zeitplan für die Migration einsehen können. Teilen Sie den Benutzern den neuen Domänennamen mit. Achten Sie darauf, die Benutzer zu informieren, dass sich ihre Kontokennwörter nicht ändern werden. Lassen Sie die Benutzer wissen, dass das ursprüngliche Domänenkonto unmittelbar im Anschluss an die Migration deaktiviert wird und dass das deaktivierte Konto nach einem festgelegten Zeitraum gelöscht wird. Dies ist nicht erforderlich, wenn sich die Benutzer mit UPNs (User Principal Names) anmelden. Auswirkungen Vergewissern Sie sich, dass den Benutzern bewusst ist, dass sie nach der Migration ihres Kontos möglicherweise auf einige Ressourcen, wie etwa Websites, freigegebene Ordner oder Ressourcen, die von Personen in der Gruppe oder Abteilung nicht häufig verwendet werden, nicht mehr zugreifen können. 53 Stellen Sie Informationen für Benutzer hinsichtlich der Personen bereit, die sie um Hilfe bitten können, um den Zugriff auf erforderliche Ressourcen wieder zu erlangen. Anmeldestatus während der Migration Achten Sie darauf, dass den Benutzern bewusst ist, dass sie sich während des Migrationsvorgangs nicht bei der Domäne anmelden oder auf E-Mail oder sonstige Ressourcen zugreifen können. Achten Sie unbedingt darauf, den Zeitraum anzugeben, in dem keine Benutzeranmeldung möglich ist. Schritte vor der Migration Machen Sie die Benutzer auf alle Schritte aufmerksam, die sie vor dem Beginn des Migrationsvorgangs ausführen müssen. Beispielsweise müssen sie alle mithilfe von EFS (Encrypting File System) verschlüsselten Dateien entschlüsseln. Das Versäumnis, die verschlüsselten Dateien zu entschlüsseln, bewirkt den Verlust des Zugriffs auf die verschlüsselten Dateien nach der Migration. Die Benutzer müssen darüber hinaus sicherstellen, dass ihre Computer zum Zeitpunkt der geplanten Kontenmigration mit dem Netzwerk verbunden sind. Erwartete Änderungen Beschreiben Sie weitere Änderungen, die den Benutzern im Anschluss an die Migration auffallen werden, wie etwa Änderungen in der Verwendung von SmartCards, sicherer E-Mail oder Instant Messaging, falls zutreffend. Informationen zu Planung und Support Stellen Sie Informationen zu weiteren Informationsquellen bereit. Beispielsweise können sie eine interne Website besuchen, auf der Sie Informationen zur Migration bekanntmachen. Geben Sie darüber hinaus Informationen zu Kontaktpersonen an, an die sich Benutzer bei Terminkonflikten für das Datum der Migration wenden können. Vorbereiten der Quell- und Zieldomänen Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Bevor Sie mit der Migration von Konten aus der Quelldomäne in die Zieldomäne beginnen, müssen Sie die Quell- und die Zieldomänen für die Migration vorbereiten. Die folgende Abbildung verdeutlicht die Aufgaben, die zum Vorbereiten der Domänen für den Umstrukturierungsprozess zwischen Domänen erforderlich sind. 54 Installieren von Software für starke Verschlüsselung (128-Bit) Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Der Computer, auf dem das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) installiert ist, erfordert starke 128-Bit-Verschlüsselung. Diese Verschlüsselung ist auf Computern mit Windows 2000 Server Service Pack 3 (SP3) oder Service Pack 4 (SP4), Windows Server 2003, Windows Server 2008 oder Windows Server 2008 R2 der Standard. Wenn Sie ADMT auf einem Computer installieren möchten, der starke 128-Bit-Verschlüsselung standardmäßig nicht unterstützt, müssen Sie das Paket für starke 128-Bit-Verschlüsselung installieren. Sie können das Verschlüsselungspaket unter "Windows 2000 High Encryption Pack (128-Bit)" (http://go.microsoft.com/fwlink/?LinkId=76037) herunterladen. 55 Einrichten von erforderlichen Vertrauensstellungen für die Migration Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Vor der Migration von Konten und Ressourcen aus einer Quelldomäne in eine Zieldomäne in einer anderen Active Directory-Gesamtstruktur müssen Sie sicherstellen, dass zwischen den Gesamtstrukturen die entsprechenden Vertrauensstellungen bestehen. Vertrauensstellungen zwischen den umzustrukturierenden Gesamtstrukturen ermöglichen dem Active DirectoryMigrationsprogramm (Active Directory Migration Tool, ADMT) die Migration von Benutzern und Dienstkonten sowie die Konvertierung von lokalen Benutzerprofilen von den Quelldomänen zu den Zieldomänen. Darüber hinaus können je nach der Weise, in der Vertrauensstellungen konfiguriert wurden, Benutzer in der Quelldomäne auf Ressourcen in der Zieldomäne zugreifen. Ferner können Benutzer in den Zieldomänen auf Ressourcen in der Quelldomäne, für die noch keine Migration ausgeführt wurde, zugreifen. Richten Sie zur Migration von Benutzern und globalen Gruppen eine unidirektionale Vertrauensstellung zwischen der Quelldomäne und der Zieldomäne ein, damit die Quelldomäne der Zieldomäne vertraut. Zur Migration von Ressourcen oder Konvertierung von lokalen Profilen müssen Sie eine der folgenden Aktivitäten ausführen: Erstellen einer unidirektionalen Vertrauensstellung zwischen der Quelldomäne und der Zieldomäne. Erstellen einer bidirektionalen Vertrauensstellung zwischen Quell- und Zieldomänen. Weitere Informationen zum Erstellen von Vertrauensstellungen finden Sie unter "Erstellen von Vertrauensstellungen für Domänen und Gesamtstrukturen" (http://go.microsoft.com/fwlink/?LinkId=77381) (englischsprachig). Einrichten von Migrationskonten für die Migration Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Zum Migrieren von Konten und Ressourcen zwischen Gesamtstrukturen müssen Sie Migrationskonten einrichten und diesen Konten die entsprechenden Anmeldeinformationen zuweisen. Das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) verwendet die Migrationskonten, um die von Ihnen identifizierten Objekte zu migrieren. Da für ADMT nur ein eingeschränkter Satz Anmeldeinformationen erforderlich, ist das Erstellen separater Migrationskonten zum Vereinfachen der Verwaltung sinnvoll. Wenn die Migrationsaufgaben für Ihre Organisation über mehrere Gruppen verteilt sind, ist es sinnvoll, für jede an der Durchführung der Migration beteiligte Gruppe ein Migrationskonto zu erstellen. 56 Erstellen Sie zum Vereinfachen der Verwaltung ein einzelnes Konto in der Quelldomäne und ein einzelnes Konto in der Zieldomäne für alle Objekte mit den erforderlichen Anmeldeinformationen zum Ändern der Objekte, wie etwa Benutzer, verwaltete Dienstkonten, globale Gruppen und lokale Profile, die von diesem Konto migriert werden sollen. Beispielsweise verfügt ein Migrationskonto, das Sie zum Migrieren von Benutzerkonten zusammen mit dem SID-Verlauf (Security Identifier), von globalen Gruppen zusammen mit dem SID-Verlauf, von Computern und von Benutzerprofilen verwenden, in der Quelldomäne über Anmeldeinformationen für einen lokalen Administrator oder einen Domänenadministrator. Das Migrationskonto weist außerdem delegierte Berechtigungen für die Benutzer-, verwalteten Dienstkonten-, Gruppen- und Computerorganisationseinheiten (OUs) in der Zieldomäne auf, mit dem erweiterten Recht zum Migrieren des SID-Verlaufs für die Benutzerorganisationseinheit. Bei dem Benutzer muss es sich um einen lokalen Administrator auf dem Computer in der Zieldomäne, auf dem ADMT installiert ist, handeln. Ein Migrationskonto, das zum Migrieren von Arbeitsstationen und Domänencontrollern verwendet wird, muss auf den Arbeitsstationen über Anmeldeinformationen für einen lokalen Administrator oder einen Administrator der Quelldomäne verfügen, oder das Konto muss über die Anmeldeinformationen als Administrator der Quelldomäne auf dem Domänencontroller verfügen, oder beides. In der Zieldomäne muss ein Konto mit delegierten Berechtigungen für die Computerorganisationseinheit und die Benutzerorganisationseinheit verwendet werden. Sie können ggf. ein separates Konto für die Migration von Arbeitsstationen verwenden, wenn dieser Migrationsvorgang an Administratoren delegiert wird, die sich am gleichen Standort wie die Arbeitsstationen befinden. In der folgenden Tabelle sind die Anmeldeinformationen aufgelistet, die in der Quell- und Zieldomäne für verschiedene Migrationsobjekte erforderlich sind. Migrationsobjekt In der Quelldomäne erforderliche In der Zieldomäne erforderliche Anmeldeinformationen Anmeldeinformationen Benutzer/Verwaltetes Delegierte Berechtigung Liest Dienstkonto/Gruppe ohne alle Benutzerinformationen SID-Verlauf für die Benutzerorganisationseinheit oder Gruppenorganisationseinheit und Anmeldeinformationen als Domänenadministrator Delegierte Berechtigungen Erstellt, entfernt und verwaltet Benutzerkonten, Erstellt, entfernt und verwaltet Gruppen und Ändert die Mitgliedschaft einer Gruppe für die Benutzerorganisationseinheit oder die Gruppenorganisationseinheit sowie lokaler Administrator auf dem Computer, auf dem ADMT installiert ist. Benutzer/Verwaltetes Dienstkonto/Gruppe mit SID-Verlauf Delegierte Berechtigung für die Benutzerorganisationseinheit oder die Gruppenorganisationseinheit, erweiterte Berechtigung zum Delegierte Berechtigung Liest alle Benutzerinformationen für die Benutzerorganisationseinheit 57 Migrationsobjekt Computer In der Quelldomäne erforderliche In der Zieldomäne erforderliche Anmeldeinformationen Anmeldeinformationen oder Gruppenorganisationseinheit und Anmeldeinformationen als Domänenadministrator Migrieren des SID-Verlaufs und lokaler Administrator auf dem Computer, auf dem ADMT installiert ist Domänenadministrator oder Administrator in der Quelldomäne und auf jedem Computer Delegierte Berechtigung für die Computerorganisationseinheit und lokaler Administrator auf dem Computer, auf dem ADMT installiert ist. Hinweis Wenn auf dem Computer ein verwaltetes Dienstkonto installiert ist, müssen Sie Anmeldeinformationen angeben, die die Berechtigung zum Aktualisieren der Sicherheitsbeschreibung des verwalteten Dienstkontos in der Zieldomäne besitzen. Profil Lokaler Administrator oder Domänenadministrator Delegierte Berechtigung für die Benutzerorganisationseinheit und lokaler Administrator auf dem Computer, auf dem ADMT installiert ist. Hinweis Möglicherweise müssen zusätzliche Vorbereitungsschritte ausgeführt werden, wenn Sie servergespeicherte Profile für Computer mit Windows Vista oder Windows 7 migrieren möchten. Weitere Informationen finden Sie 58 Migrationsobjekt In der Quelldomäne erforderliche In der Zieldomäne erforderliche Anmeldeinformationen Anmeldeinformationen unter Vorbereiten von servergespeicherten Profilen für die Migration von Computern unter Windows Vista und Windows 7. Die folgenden Vorgehensweisen stellen Beispiele für das Erstellen von Gruppen oder Konten zum Migrieren von Konten und Ressourcen dar. Die Vorgehensweisen unterscheiden sich, je nachdem, ob eine unidirektionale Vertrauensstellung oder eine bidirektionale Vertrauensstellung besteht. Das Verfahren zum Erstellen von Migrationsgruppen für eine unidirektionale Vertrauensstellung ist komplexer als das Verfahren für eine bestehende bidirektionale Vertrauensstellung. Dies hat den Grund, dass bei einer unidirektionalen Vertrauensstellung die Migrationsgruppe der lokalen Administratorgruppe auf lokalen Arbeitsstationen hinzugefügt werden muss. Das Beispielverfarhen zum Erstellen von Migrationsgruppen bei bestehender unidirektionaler Vertrauensstellung umfasst das Erstellen separater Gruppen für das Migrieren von Konten und Ressourcen. Jedoch können acct_migrators und res_migrators in einer Gruppe zusammengefasst werden, wenn Sie sie nicht zur Delegierung verschiedener Berechtigungssätze getrennt halten müssen. So erstellen Sie eine Kontenmigrationsgruppe bei einer bestehenden unidirektionalen Vertrauensstellung, in der die Quelldomäne der Zieldomäne vertraut 1. Erstellen Sie in der Zieldomäne eine globale Gruppe mit dem Namen acct_migrators. 2. Fügen Sie in der Zieldomäne die Gruppe acct_migrators der Gruppe Domänenadministratoren hinzu, oder delegieren Sie die Verwaltung der Organisationseinheiten, die Ziele der Kontenmigration darstellen, an diese Gruppe. 3. Wenn Sie den SID-Verlauf migrieren und die Gruppe acct_migrators nicht in die Gruppe Domänenadministratoren eingefügt haben, erteilten Sie der Gruppe acct_migrators die erweiterte Berechtigung SID-Verlauf migrieren für das Zieldomänenobjekt. Führen Sie dazu die folgenden Schritte aus: a. Starten Sie Active Directory-Benutzer und -Computer, klicken Sie mit der rechten Maustaste auf das Domänenobjekt, und klicken Sie dann auf Eigenschaften. b. Klicken Sie auf die Registerkarte Sicherheit, klicken Sie auf Hinzufügen, und wählen Sie dann acct_migrators aus. Wenn die Registerkarte Sicherheit nicht angezeigt wird, klicken Sie in Active Directory-Benutzer und -Computer auf Ansicht und dann auf Erweiterte Funktionen. c. Klicken Sie unter Berechtigungen für acct_migrators für die Berechtigung SID59 Verlauf migrieren auf Zulassen. 4. Fügen Sie in der Quelldomäne die Gruppe acct_migrators der Gruppe "VORDEFINIERT\Administratoren" hinzu. 5. Fügen Sie auf jedem Computer, auf dem Sie lokale Profile konvertieren möchten, die Gruppe acct_migrators der lokalen Administratorgruppe hinzu. So erstellen Sie eine Ressourcenmigrationsgruppe bei einer bestehenden unidirektionalen Vertrauensstellung, in der die Quelldomäne der Zieldomäne vertraut 1. Erstellen Sie in der Zieldomäne eine globale Gruppe mit dem Namen res_migrators. 2. Fügen Sie in der Zieldomäne die Gruppe res_migrators der Gruppe Domänenadministratoren hinzu, oder delegieren Sie die Verwaltung der Organisationseinheiten, die Ziele der Ressourcenmigration darstellen, an diese Gruppe. 3. Fügen Sie in der Quelldomäne die Gruppe res_migrators der Administratorgruppe hinzu. 4. Fügen Sie auf jedem Computer, den Sie migrieren oder auf dem Sie eine Sicherheitskonvertierung durchführen möchten, die Gruppe res_migrators der lokalen Administratorgruppe hinzu. So erstellen Sie ein Ressourcenmigrationskonto bei bestehender bidirektionaler Vertrauensstellung zwischen der Quell- und der Zieldomäne 1. Erstellen Sie in der Quelldomäne ein Konto mit dem Namen res_migrator. 2. Fügen Sie in der Quelldomäne das Konto res_migrators der Gruppe Domänenadministratoren hinzu. (Die Gruppe Domänenadministratoren ist standardmäßig auf jedem Computer in der Domäne Mitglied der lokalen Administratorgruppe. Daher brauchen Sie es der lokalen Administratorgruppe auf jedem Computer nicht hinzuzufügen.) 3. Delegieren Sie in der Zieldomäne Berechtigungen für Organisationseinheiten, die Ziele für die Ressourcenmigration darstellen, an das Konto res_migrator. ADMT enthält außerdem Datenbankverwaltungsrollen, mit denen Sie Benutzern, die bestimmte Migrationstasks ausführen, eine Untermenge von Datenbankberechtigungen zuweisen können. Die Datenbankverwaltungsrollen und die Migrationstasks, die sie ausführen können, werden in der folgenden Tabelle aufgelistet. Rolle Migrationstask Kontenmigratoren Kontenmigrationstasks, z. B. Benutzer- und Gruppenmigration. Ressourcenmigratoren Ressourcenmigrationstasks, wie etwa Computermigration und Sicherheitskonvertierung. Kontenmigratoren üben auch die Rolle von Ressourcenmigratoren 60 Rolle Migrationstask aus. Datenleser Fragt die betreffende Datenbank ab. Kontenmigratoren und Ressourcenmigratoren üben auch die Rolle von Datenlesern aus. Benutzer, denen die Rolle SQL Server-Systemadministrator zugewiesen wurde, üben alle ADMT-Datenbankverwaltungsrollen aus. Sie verfügen über die Anmeldeinformationen für die folgenden Aktivitäten: Anzeigen von Datenbankrollen und Benutzern, die diese Rollen ausüben Hinzufügen von Gruppen oder Benutzern zu Rollen Entfernen von Gruppen oder Benutzern aus Rollen Standardmäßig ist der lokalen Administratorgruppe die Rolle des Systemadministrators zugewiesen, und sie kann daher alle ADMT-Datenbankfunktionen ausführen. Konfigurieren der Quell- und Zieldomänen für die Migration des SID-Verlaufs Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Sie können die Quell- und die Zieldomäne manuell konfigurieren, um den SID-Verlauf (Security Identifier) zu migrieren, bevor Sie eine Migration zwischen Gesamtstrukturen einleiten, oder sie können dem Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) die automatische Konfiguration bei der ersten Ausführung erlauben. Führen Sie die folgenden Aktivitäten aus, um die Quell- und Zieldomäne manuell zu konfigurieren: Erstellen Sie eine lokale Gruppe in der Quelldomäne zur Unterstützung der Überwachung. Aktivieren Sie die TCP/IP-Clientunterstützung auf dem primären Domänencontrolleremulator (PDC) der Quelldomäne. Hinweis Wenn Sie eine Migration aus einer Domäne mit Domänencontrollern, auf denen Windows Server 2003 oder höher ausgeführt wird, zu einer anderen Domäne ausführen, auf deren Domänencontrollern Windows Server 2003 oder höher ausgeführt wird, muss der TcpipClientSupport-Registrierungsschlüssel nicht geändert werden. Aktivieren Sie die Überwachung der Kontenverwaltung in den Quell- und Zieldomänen. Bei Windows Server 2008 R2 und Windows Server 2008 müssen Sie außerdem auch die 61 Überwachung für den Verzeichnisdienstzugriff aktivieren, um Benutzer mit SID-Verlauf zwischen Gesamtstrukturen zu migrieren. So erstellen Sie eine lokale Gruppe in der Quelldomäne zur Unterstützung der Überwachung Erstellen Sie in der Quelldomäne eine lokale Gruppe mit dem Namen Quelldomäne$$$, wobei Quelldomäne der NetBIOS-Name Ihrer Quelldomäne ist, z. B. Boston$$$. Fügen Sie dieser Gruppe keine Mitglieder hinzu. Andernfalls tritt ein Fehler bei der Migration des SID-Verlaufs auf. So aktivieren Sie die TCP/IP-Clientunterstützung auf dem PDC-Emulator der Quelldomäne 1. Klicken Sie auf dem Domänencontroller in der Quelldomäne, die die PDC-EmulatorBetriebsmasterrolle (auch als FSMO-Rolle (Flexible Single Master Operations) bezeichnet) enthält, auf Start und dann auf Ausführen. 2. Geben Sie regedit in das Feld Öffnen ein, und klicken Sie dann auf OK. Vorsicht Durch eine fehlerhafte Bearbeitung der Registrierung können ernsthafte Computerschäden verursacht werden. Bevor Sie Änderungen an der Registrierung vornehmen, sollten Sie alle wichtigen Computerdaten sichern. Sie können auch die Startoption Letzte als funktionierend bekannte Konfiguration verwenden, wenn nach Änderungen Probleme auftreten. 3. Navigieren Sie im Registrierungs-Editor zu folgendem Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 4. Ändern Sie den Registrierungseintrag TcpipClientSupport vom Datentyp REG_DWORD, indem Sie den Wert auf 1 festlegen. 5. Schließen Sie den Registrierungs-Editor, und starten Sie dann den Computer neu. So aktivieren Sie die Überwachung in Windows Server 2008 R2- und Windows Server 2008-Domänen 1. Melden Sie sich als Administrator bei einem beliebigen Domänencontroller in der Zieldomäne an. 2. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Gruppenrichtlinienverwaltung. 3. Navigieren Sie zu dem folgenden Knoten: Gesamtstruktur | Domänen | Domäne | Domänencontroller | StandardDomänencontrollerrichtlinie 4. Klicken Sie mit der rechten Maustaste auf Standard-Domänencontrollerrichtlinie, und klicken Sie dann auf Bearbeiten. 62 5. Navigieren Sie im Gruppenrichtlinienverwaltungs-Editor in der Konsolenstruktur zu dem folgenden Knoten: Computerkonfiguration | Richtlinien | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Überwachungsrichtlinie 6. Klicken Sie im Detailbereich mit der rechten Maustaste auf Kontenverwaltung überwachen, und klicken Sie dann auf Eigenschaften. 7. Klicken Sie auf Diese Richtlinieneinstellungen definieren, und klicken Sie dann auf Erfolg und Fehler. 8. Klicken Sie auf Übernehmen, und klicken Sie dann auf OK. 9. Klicken Sie im Detailbereich mit der rechten Maustaste auf Verzeichnisdienstzugriff überwachen, und klicken Sie dann auf Eigenschaften. 10. Klicken Sie auf Diese Richtlinieneinstellungen definieren, und klicken Sie dann auf Erfolg. 11. Klicken Sie auf Übernehmen, und klicken Sie dann auf OK. 12. Wenn die Änderungen sofort auf dem Domänencontroller wirksam werden sollen, öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und geben Sie gpupdate /force ein. 13. Wiederholen Sie die Schritte 1 bis 12 in der Quelldomäne. Konfigurieren der Organisationseinheitsstruktur der Zieldomäne für die Verwaltung Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Das Active Directory-Entwurfsteam erstellt die Organisationseinheitsstruktur (Organizational Unit, Organisationseinheit) für die Zieldomäne. Dieses Team definiert darüber hinaus die Gruppen, die für die Verwaltung der einzelnen Organisationseinheiten und der Mitgliedschaft in den Gruppen zuständig sind. Sie können diese Informationen und die folgende Vorgehensweise verwenden, um die Zieldomäne für die Verwaltung zu konfigurieren. So konfigurieren Sie die Organisationseinheitsstruktur der Zieldomäne für die Verwaltung 1. Melden Sie sich als Administrator bei einem beliebigen Domänencontroller in der Zieldomäne an. 2. Starten Sie Active Directory-Benutzer und -Computer, und erstellen Sie dann die von Ihrem Entwurfsteam festgelegte Organisationseinheitsstruktur. 63 3. Erstellen Sie administrative Gruppen, und weisen Sie diesen Gruppen Benutzer zu. 4. Delegieren Sie die Verwaltung der Organisationseinheitsstruktur wie von Ihrem Entwurfsteam festgelegt an die Gruppen. Installieren von ADMT in der Zieldomäne Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Verwenden Sie je nach der Version, die Sie installieren möchten, eine der folgenden Anleitungen für die Installation des Active Directory-Migrationsprogramms (Active Directory Migration Tool, ADMT): ADMT Version 3.1 bietet eine Option zum Installieren einer vorkonfigurierten Datenbankinstanz von Microsoft SQL Server® Express an. Bei ADMT Version 3.2 muss eine bereits installierte SQL Server-Datenbankinstanz vorhanden sein. Die übrigen Anleitungen zum Trennen, Neukonfigurieren und Entfernen einer Datenbankdatei gelten für beide ADMTVersionen. Installieren von ADMT v3.1 Installieren von ADMT v3.2 Trennen einer vorhandenen Datenbankdatei von einer vorherigen Version von ADMT und SQL Server Neukonfiguration einer Datenbankinstallation mit "Admtdb.exe" Erneutes Verwenden einer ADMT-Datenbank aus einer vorherigen Installation Installieren von ADMT v3.1 Dieser Abschnitt behandelt die folgenden Probleme beim Installieren von ADMT v3.1 Voraussetzungen für die Installation von ADMT v3.1 Installieren von ADMT v3.1 mithilfe des Standarddatenbankspeichers Voraussetzungen für die Installation von ADMT v3.1 Wenn Sie das Active Directory-Migrationsprogramm Version 3.1 (Active Directory Migration Tool, ADMT v3.1) installieren, wird außerdem SQL Server 2005 Express Edition standardmäßig als Datenspeicher installiert. Als Option können Sie ADMT v3.1 für die Verwendung einer Datenbank aus SQL Server 2000 mit Service Pack 4 (SP4) Standard oder Enterprise Edition bzw. einer SQL Server 2005 Standard- oder Enterprise Edition-Installation konfigurieren, die Sie zuvor erstellt haben. Bevor Sie ADMT v3.1 installieren, führen Sie die folgenden erforderlichen Tasks aus: Installieren Sie Windows Server 2008. 64 Entfernen Sie alle früheren Versionen von ADMT mithilfe der Option Software in der Systemsteuerung. Wenn Sie versuchen, ADMT v3.1 auf einem Server zu installieren, auf dem eine frühere Version von ADMT installiert ist, wird eine Fehlermeldung angezeigt, und die Installation wird nicht fortgesetzt. Wenn erforderlich, können Sie die Datenbank während der Installation aus der vorherigen Version von ADMT (z. B. aus ADMT v2.0 oder ADMT v3.0) in ADMT v3.1 importieren. Wenn Sie nicht planen, die lokale Standarddatenbankinstallation zu verwenden, stellen Sie sicher, dass eine andere SQL Server 2000- oder SQL Server 2005-Datenbankinstallation mit einer ADMT-Instanz konfiguriert ist. Weitere Informationen zum Erstellen einer ADMT-Instanz für eine a SQL Server-Datenbank finden Sie unter Installieren von ADMT mithilfe einer vorkonfigurierten SQL-Datenbank. Installieren von ADMT v3.1 mithilfe des Standarddatenbankspeichers Sie können den Standarddatenbankspeicher basierend auf SQL Server 2005 Express Edition oder eine vorkonfigurierte SQL-Datenbank zum Installieren von ADMT verwenden. Die gängigste und empfohlene Installationsmethode besteht in der Verwendung des Standarddatenbankspeichers, den der Installations-Assistent des Active DirectoryMigrationsprogramms automatisch konfiguriert. So installieren Sie ADMT mithilfe des Standarddatenbankspeichers Laden Sie je nach vorhandener Umgebung ADMT v3.1 (http://go.microsoft.com/fwlink/?LinkId=121732) oder ADMT v3.2 (http://go.microsoft.com/fwlink/?LinkId=186197) herunter. Weitere Informationen dazu, welche Version von ADMT Sie verwenden können, finden Sie unter Versionen vom Active Directory-Migrationsprogramm und unterstützte Umgebungen. Doppelklicken Sie auf der Downloadwebsite auf admtsetup.exe. Der Installations-Assistent wird geöffnet. Seite des Assistenten Vorgang Willkommen Klicken Sie auf Weiter. Komponenten werden konfiguriert Die ADMT-Datenbankinstanz (MS_ADMT) wird auf dem lokalen Computer erstellt. Zwar wird SQL Server 2005 Express Edition unabhängig davon, ob ADMT diese Anwendung verwendet, standardmäßig lokal installiert, ADMT deaktiviert SQL Server 2005 Express Edition jedoch, wenn Sie eine andere Datenbankinstanz auf der nächsten Seite 65 des Assistenten angeben. Datenbankauswahl Geben Sie die Datenbankinstanz an, mit der Sie eine Verbindung herstellen möchten. Die empfohlene Auswahl ist Lokale SQL Server 2005 Express Edition verwenden. Dann wird ADMT v3.1 so konfiguriert, dass die lokal installierte Datenbankinstanz verwendet wird. Wenn Sie mehrere ADMT v3.1-Konsolen verwenden oder einen dedizierten Datenbankserver einsetzen, auf dem Sie die ADMT-Datenbank zentralisieren möchten, wählen Sie die Option Vorhandenen Microsoft SQL Server verwenden aus. Geben Sie den Server im Format Server\Instanz an. Sie sollten die SQL ServerDatenbankinstanz konfigurieren, bevor Sie diese Option auswählen. Die ADMT v3.1-Installation wird zwar fortgesetzt, wenn keine Verbindung mit der Datenbank hergestellt werden kann, Sie können ADMT jedoch erst zum Migrieren von Konten oder Ressourcen verwenden, nachdem die Datenbankinstanz erstellt wurde und verfügbar ist. Datenbankimport des Active DirectoryMigrationsprogramms v3 Sie können eine ADMT v3.0-Installation nicht auf ADMT v3.1 aktualisieren, Sie können jedoch Daten aus einer ADMT v3.0-Datenbank in eine ADMT v3.1-Datenbank importieren. Wenn Sie keine Daten aus einer ADMT v3.0-Datenbank importieren möchten, wählen Sie Nein, keine Daten aus einer vorhandenen Datenbank importieren (Standard) aus. Wenn Sie Daten aus ADMT v3.0 in die neue ADMT v3.1-Datenbank importieren möchten, wählen Sie Ja, Daten aus 66 einer ADMT v3.0-Datenbank importieren aus. Wenn Sie Daten importieren möchten, geben Sie den Pfad zur ADMT v3.0Datenbankdatei an. Datenbankimport des Active DirectoryMigrationsprogramms v2 Sie können eine ADMT v2.0-Installation nicht auf ADMT v3.1 aktualisieren, Sie können jedoch Daten aus einer ADMT v2.0-Datenbank in eine ADMT v3.0-Datenbank importieren. Wenn Sie keine Daten aus einer ADMT v2.0-Datenbank importieren möchten, wählen Sie Nein, keine Daten aus einer ADMT v2-Datenbank importieren aus. Wenn Sie Daten aus ADMT v2.0 in die neue ADMT v3.1-Datenbank importieren möchten, wählen Sie Ja, Daten aus einer ADMT v2.0-Datenbank importieren aus. Wenn Sie Daten importieren möchten, geben Sie den Pfad zur ADMT v2.0Datenbankdatei an. Die ADMT v2.0-Datenbank besitzt den Dateinamen protar.mdb und sollte in dem Verzeichnis gespeichert sein, das zuvor für die ADMT v2.0-Installation verwendet wurde. Zusammenfassung Diese Seite fasst die von Ihnen ausgewählten Optionen zusammen. Klicken Sie auf Fertig stellen, um die ADMT v3.1-Installation abzuschließen. Installieren von ADMT v3.2 Für ADMT v3.2 ist eine vorkonfigurierte Instanz von SQL Server als zugrunde liegender Standarddatenspeicher erforderlich. Verwenden Sie hierzu SQL Server Express. Wenn Sie eine der folgenden Versionen von SQL Server Express verwenden, ergeben sich aus der Installation von ADMT zwingend die folgenden Service Pack-Anforderungen: SQL Server 2005 Express muss mit Service Pack 3 (SP3) oder später installiert werden. 67 SQL Server 2008 Express muss mit Service Pack 1 (SP1) oder später installiert werden. Hinweis Wenn Sie SQL Server Express verwenden, muss die ADMT-Konsole lokal auf dem Server, auf dem die SQL Server Express-Datenbankinstanz gehostet wird, installiert und ausgeführt werden. Als Option können Sie Vollversionen von SQL Server 2005 bzw. SQL Server 2008 verwenden. In diesem Fall können Sie die ADMT-Konsole auf einem Remotecomputer installieren und ausführen sowie mehrere ADMT-Konsolen auf verschiedenen Remotecomputern ausführen. Wenn Sie eine Vollversion von SQL Server verwenden, ergeben sich aus der Installation von ADMT keine zwingenden Service Pack-Anforderungen. Im Rest dieses Abschnitts werden die folgenden Installationsprobleme behandelt: Voraussetzungen für die Installation von ADMT v3.2 Installieren von ADMT v3.2 Voraussetzungen für die Installation von ADMT v3.2 Bevor Sie ADMT v3.2 installieren, führen Sie die folgenden erforderlichen Aufgaben aus: Verwenden Sie Software in der Systemsteuerung, um alle Versionen von ADMT zu entfernen, die älter als ADMT v3.2 sind. Obgleich ADMT v3.2 ein Upgrade von einer früheren Version von ADMT nicht unterstützt, können Sie eine vorhandene Datenbank aus einer vorherigen ADMT-Installation wiederverwenden, vorausgesetzt, es handelt sich nicht um eine Datenbank aus ADMT Version 2 (v2) oder ADMT Version 1 (v1). Weitere Informationen finden Sie unter Erneutes Verwenden einer ADMT-Datenbank aus einer vorherigen Installation. Installieren oder aktualisieren Sie nach Bedarf einen Servercomputer (vorzugsweise einen Mitgliedsserver) in der Quell- oder Zieldomänenumgebung, um Windows Server 2008 R2 auszuführen. Sie können ADMT v3.2 zwar zum Migrieren von Konten und Ressourcen aus Active Directory-Umgebungen mit einer Domänenfunktionsebene von Windows Server 2003 oder später verwenden, ADMT v3.2 kann aber nur auf einem Server mit Windows Server 2008 R2 installiert werden. Der Servercomputer, den Sie zum Installieren von ADMT v3.2 verwenden, muss nicht nur Windows Server 2008 R2 ausführen, sondern darf auch nicht unter der Server CoreInstallationsoption installiert sein oder als schreibgeschützter Domänencontroller (Read-Only Domain Controller, RODC) ausgeführt werden. Konfigurieren Sie eine SQL Server-Datenbankinstallation mit einer ADMT-Instanz. Sie können SQL Server Express entweder herunterladen und lokal installieren oder eine Datenbankinstanz für ADMT aus einer vorhandenen SQL Server-Datenbank erstellen. Weitere Informationen zum Installieren von SQL Server Express finden Sie unter Installieren von ADMT v3.2. Weitere Informationen zum erstellen einer ADMT-Instanz aus einer 68 SQL Server-Datenbank finden Sie unter Installieren von ADMT durch Neukonfiguration einer Datenbankinstallation mit "Admtdb.exe". Installieren von ADMT v3.2 Laden Sie SQL Server 2005 Express (http://go.microsoft.com/fwlink/?LinkId=181159) herunter, oder erstellen Sie eine neue Datenbankinstanz auf einer vorhandenen SQL Server-Installation, die mit ADMT v3.2 verwendet werden soll. Wählen Sie während der SQL Server-Installation Windows-Authentifizierungsmodus. Verwenden Sie im Anschluss an die Installation von SQL Server das folgende Verfahren, um ADMT v3.2 zu installieren. Die Mitgliedschaft in der Gruppe Administratoren (oder eine äquivalente Berechtigung) ist mindestens erforderlich, um dieses Verfahren auszuführen. Weitere Informationen zum Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477). So installieren Sie ADMT v3.2 1. Doppelklicken Sie im ADMT-Downloadpaket auf admtsetup32.exe. 2. Stellen Sie auf der Seite Willkommen sicher, dass die Empfehlungen erfüllt sind, und klicken Sie dann auf Weiter. 3. Klicken Sie auf der Seite Lizenzvertrag auf Ich stimme zu und dann auf Weiter. 4. Geben Sie auf der Seite Datenbankauswahl die Server\Instanz ein. Der Servername muss auch für lokale Datenbankinstanzen eingegeben werden. Sie können einen Punkt (".") eingeben, um den lokalen Server zu kennzeichnen. Die SQL Server Express-Instanz wird standardmäßig SQLEXPRESS genannt. Wenn Sie also eine standardmäßige SQL Server Express-Instanz auf dem lokalen Server verwenden möchten, geben Sie .\SQLEXPRESS ein. 5. Wenn Sie eine SQL Express-Installation gewählt haben, aber keine Datenbankdatei ADMT.mdf am Standard-Datenspeicherort %windir%\ADMT\Data vorhanden ist, wird die Seite Datenbankimport angezeigt. Andernfalls wird diese Datenbankdatei von ADMT-Setup automatisch angefügt und die Seite Zusammenfassung angezeigt. Wenn Sie keine Daten importieren müssen, klicken Sie auf der Seite Datenbankimport auf Nein, keine Daten aus einer vorhandenen Datenbank importieren (Standard). Wenn Sie Daten aus einer vorherigen ADMT-Installation importieren müssen, klicken Sie auf Ja, Daten aus einer vorhandenen ADMT v3.0- oder ADMT v3.1-Datenbank importieren und dann auf Durchsuchen, um zum Speicherort der vorhandenen Datenbankdatei zu navigieren. Bevor die Daten aus einer vorhandenen Datenbank importiert werden können, müssen Sie die Datenbankdatei mithilfe von SQL Server-Befehlen von SQL Server trennen. Weitere Informationen finden Sie unter Trennen einer vorhandenen Datenbankdatei von einer vorherigen Version von ADMT und SQL Server. Klicken Sie nach Fertigstellung des Vorgangs auf Weiter. 69 6. Prüfen Sie auf der Seite Zusammenfassung die Ergebnisse der Installation, und klicken Sie auf Fertig stellen. Trennen einer vorhandenen Datenbankdatei von einer vorherigen Version von ADMT und SQL Server Wenn Sie SQL Server Express verwenden, wird die Datenbank automatisch beim Entfernen von ADMT getrennt. Die getrennte SQL Server Express-Datenbank kann als Teil einer anderen ADMT-Installation zu einem späteren Zeitpunkt wiederverwendet werden. In diesem Fall wird ADMT automatisch an die vorhandene, bei der Installation angegebene Datenbank angefügt. Sie können die ADMT-Datenbankdatei von einer vollständigen SQL Server-Instanz trennen, wenn Sie dieser Datenbank eine andere Anwendung anfügen möchten. Wenn Sie beispielsweise eine vollständige SQL Server-Installation nach SQL Server Express verschieben möchten oder wenn Sie eine ADMT-Datenbank aus einer früheren Installation verwenden möchten, die Sie den SQL Server-Verwaltungstools anfügen möchten, muss diese von der Datenbank getrennt sein, bevor Sie von ADMT verwendet werden kann. Zum Trennen einer Datenbank können Sie folgende gespeicherte SQL-Prozedur verwenden: sp_detach_db [ @dbname = ] 'dbname' Weitere Informationen zu dieser gespeicherten Prozedur finden Sie in der Dokumentation von SQL Server. Weitere Informationen zum Verwenden von SQL Server Management Studio zum Trennen der Datenbank finden Sie unter Vorgehensweise: Trennen einer Datenbank (SQL Server Management Studio) (http://go.microsoft.com/fwlink/?LinkId=183994). Neukonfiguration einer Datenbankinstallation mit "Admtdb.exe" Wenn Sie während der Installation Probleme mit der Datenbankkonfiguration haben, oder wenn während der ADMT v3.2-Installation SQL Server Express angegeben wurde, Sie aber nach der Installation zu SQL Server (oder umgekehrt) wechseln möchten, können Sie Admtdb.exe verwenden. Die Befehlszeilensyntax für Admtdb.exe finden Sie in der folgenden Tabelle. Sie können Admtdb.exe von einer Eingabeaufforderung mit erhöhten Rechten auf jedem Server ausführen, der eine Verbindung mit dem Servercomputer mit SQL Server herstellen kann, um die ADMT-Instanz auf diesem Servercomputer zu erstellen. Syntax Beschreibung admtdb create /{s|server}: "Server\Instanz" Installiert eine neue ADMT-Datenbank oder bereitet eine leere Datenbank vor. Der Parameter /server gibt den Namen des Computers mit SQL Server und der Instanz an, 70 Syntax Beschreibung mit dem bzw. der eine Verbindung hergestellt werden soll, um die Datenbank zu erstellen. Dieser Parameter ist erforderlich. admtdb upgrade /s|server: Server\Instanz Aktualisiert eine vorherige Version einer ADMT v3.0- oder ADMT v3.1-Datenbank. Der erforderliche Parameter /server gibt den Namen des Computers mit SQL Server und der Instanz an, mit dem bzw. der eine Verbindung hergestellt werden soll, um die ADMT v3.0oder ADMT v3.1-Datenbank zu aktualisieren. Hinweis Bevor Sie die ADMT-Datenbank aktualisieren, überprüfen Sie die Kompatibilität zwischen der Datenbank und der ADMT-Konsole, indem Sie zuerst die ADMT-Konsole öffnen. admtdb attach [/{a|attach}: "v3xDatenbankpfad" Fügt eine vorhandene ADMT-Datenbank an die lokale SQL Express 2005- oder SQL Server Express 2008-Instanz an. Der erforderliche Parameter /attach gibt den Pfad zu einer getrennten Datenbankdatei Admt.mdf an. Geben Sie an der Eingabeaufforderung admtdb /? ein, um die Hilfe zu allen Befehlszeilenoptionen von Admtdb.exe anzuzeigen. Wenn Sie die Migration unter Verwendung einer lokalen SQL Server Express-Datenbank begonnen und dann eine Remoteinstanz einer SQL Server-Datenbank konfiguriert haben, nun aber zur Verwendung einer lokalen SQL Server Express-Datenbank zurückwechseln müssen, führen Sie folgendes Verfahren aus. In diesem Fall ist die ADMT-Datenbank bereits der SQL Express-Instanz angefügt. Deshalb muss sie nicht explizit erneut angefügt werden. Wenn Sie die Migration unter Verwendung von SQL Server begonnen haben, aber zu SQL Server Express zurückwechseln möchten, finden Sie Informationen unter Erneutes Verwenden einer ADMT-Datenbank aus einer vorherigen Installation. Die Mitgliedschaft in der Gruppe Administratoren (oder eine äquivalente Berechtigung) ist mindestens erforderlich, um dieses Verfahren auszuführen. Weitere Informationen zum Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477). 71 So verwenden Sie eine lokale Datenbank erneut, nachdem Sie eine Remoteinstanz einer SQL Server-Datenbank konfiguriert haben 1. Klicken Sie auf dem lokalen Computer auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Dienste. 2. Vergewissern Sie sich im Bereich Details, dass der Dienst, von dem die SQL Server Express-Instanz gehostet wird, ausgeführt wird und dass der Starttyp auf Automatisch festgelegt ist. Wenn Sie ADMT v3.1 verwenden und SQL Server Express vom ADMTInstallationsprogramm installiert haben lassen, lautet der Dienstname MSSQL$MS_ADMT. Wenn der Dienst nicht gestartet wurde oder der Starttyp nicht auf automatischen Start beim Systemstart festgelegt wurde, klicken Sie auf Gestartet, klicken mit der rechten Maustaste auf den Namen des Diensts und klicken dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Allgemein in der Liste Starttyp auf Automatisch. 4. Klicken Sie unter Dienststatus auf Starten, und klicken Sie dann auf OK. 5. Schließen Sie Dienste. 6. Geben Sie an der Eingabeaufforderung die folgenden Befehle ein: Hinweis Der Befehl admtdb attach ist nur erforderlich, wenn Sie zuvor SQL-Befehle zum Trennen der lokalen SQL Server Express-Instanz ausgeführt haben. admtdb attach /{s | Server}:"Lokale SQL Server Express-Instanz" admt config setdatabase /s:Server\Instanz. Sie können die lokale Datenbank nun verwenden. Erneutes Verwenden einer ADMT-Datenbank aus einer vorherigen Installation Wenn Sie eine vorhandene (getrennte) Datenbank aus einer früheren ADMT v3.0-, ADMT v3.1oder ADMT v3.2-Installation mit einer lokalen SQL Server-Instanz verwenden möchten, können Sie das folgende Verfahren ausführen. Hinweis Die Mitgliedschaft in der Gruppe Administratoren (oder eine äquivalente Berechtigung) ist mindestens erforderlich, um dieses Verfahren auszuführen. Einzelheiten zum Verwenden der richtigen Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477). So verwenden Sie eine vorhandene (getrennte) ADMT-Datenbank mit einer lokalen SQL Server-Instanz 1. Klicken Sie auf dem lokalen Computer auf Start, zeigen Sie auf Verwaltung, und klicken 72 Sie dann auf Dienste. 2. Vergewissern Sie sich im Bereich Details, dass der Dienst, von dem die SQL Server Express-Instanz gehostet wird, ausgeführt wird und dass der Starttyp auf Automatisch festgelegt ist. Wenn Sie ADMT v3.1 verwenden und SQL Server Express vom ADMTInstallationsprogramm installiert haben lassen, lautet der Dienstname MSSQL$MS_ADMT. Wenn der Dienst nicht gestartet wurde oder der Starttyp nicht auf automatischen Start beim Systemstart festgelegt wurde, klicken Sie auf Gestartet, klicken mit der rechten Maustaste auf den Namen des Diensts und klicken dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Allgemein in der Liste Starttyp auf Automatisch. 4. Klicken Sie unter Dienststatus auf Starten, und klicken Sie dann auf OK. 5. Schließen Sie Dienste. 6. Geben Sie an der Eingabeaufforderung die folgenden Befehle ein: admtdb attach /{s | Server}:”Lokale SQL Server Express-Instanz” /{a | Attach}:”Pfad zur anzufügenden ADMT v3.x-Datenbankdatei" admt config setdatabase /s: Server\Instanz Sie können jetzt die vorhandene ADMT-Datenbank mit der lokalen SQL Server-Instanz verwenden. Es ist nicht erforderlich, den ADMT-Installations-Assistenten erneut auszuführen. Die ADMT-Installation kann nur einmal ausgeführt werden. Alle nachfolgenden Änderungen an der Datenbankkonfiguration können mithilfe der Befehle admtdb.exe und admt config setdatabase ausgeführt werden. Aktivieren der Kennwortmigration Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) verwendet den Kennwortexportserver-Dienst (Password Export Server, PES), Version 3.1, um Ihnen bei einer Migrationen zwischen Gesamtstrukturen zu helfen, Kennwörter zu migrieren. Sowohl bei ADMT v3.1 als auch bei ADMT v3.2 wird Password Export Server (PES) Version 3.1 verwendet. Laden Sie PES v3.1 im Microsoft Download Center herunter. Die Version für x86-basierte Computer finden Sie unter "Password Export Server Version 3.1 (x86)" (http://go.microsoft.com/fwlink/?LinkId=147652). Die Version für 64-Bit-Computer finden Sie unter "Password Export Server Version 3.1 (x64)" (http://go.microsoft.com/fwlink/?LinkId=147653). Der PES-Dienst kann auf einem beliebigen beschreibbaren Domänencontroller in der Quelldomäne installiert werden, der 128-Bit-Verschlüsselung unterstützt. Hinweis 73 Der Kennwortexportserver-Dienst kann nicht auf schreibgeschützten Domänencontrollern (Read-Only Domain Controllers, RODCs) installiert werden. Da von ADMT nicht alle Einstellungen der Kennwortrichtlinie aus der Zieldomäne überprüft werden, müssen Benutzer nach der Migration Ihre Kennwörter explizit festlegen, sofern nicht die Flags Kennwort läuft nie ab bzw. Smartcard für interaktive Anmeldung erforderlich festgelegt sind. Für die Installation des PES-Diensts in der Quelldomäne ist ein Verschlüsselungsschlüssel erforderlich. Der Verschlüsselungsschlüssel muss jedoch auf dem Computer erstellt werden, der ADMT in der Zieldomäne ausführt. Speichern Sie den erstellten Schlüssel in einem freigegebenen Ordner im Netzwerk oder auf einem Wechselmedium, damit Sie ihn auf das lokale Laufwerk des Quelldomänencontrollers kopieren können, auf dem der PES-Dienst installiert ist. Speichern Sie ihn an einem sicheren Speicherort, den Sie nach Abschluss der Migration neu formatieren können. Sie können den PES-Dienst nach der Installation von ADMT installieren. In den nachfolgenden Anleitungen wird erklärt, wie der PES-Dienst auf Computern mit Windows Server 2008 R2 oder Windows Server 2008 installiert und verwendet wird. Die Mitgliedschaft in der Gruppe Administratoren (oder eine äquivalente Berechtigung) ist mindestens erforderlich, um dieses Verfahren auszuführen. Weitere Informationen zum Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477). So erstellen Sie einen Verschlüsselungsschlüssel Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: admt key /option:create /sourcedomain:<Quelldomäne> /keyfile:<Schlüsseldateipfad> /keypassword:{<Kennwort>|*} Wert Beschreibung <Quelldomäne> Gibt den Namen der Quelldomäne an, in der der PES-Dienst installiert werden soll. Dieser Parameter kann entweder DNS(Domain Name System) oder als NetBIOSName angegeben werden. <Schlüsseldateipfad> Gibt den Pfad zu dem Speicherort an, an dem der verschlüsselte Schlüssel gespeichert wird. {<Kennwort>|*} Ein Kennwort, das Schlüsselverschlüsselung bietet, ist optional. Geben Sie an der Eingabeaufforderung das Kennwort oder 74 ein Sternchen (*) ein, um den freigegebenen Schlüssel zu schützen. Das Sternchen bewirkt, dass Sie aufgefordert werden, ein Kennwort einzugeben, das nicht auf dem Bildschirm angezeigt wird. Konfigurieren Sie nach dem Erstellen des Verschlüsselungsschlüssels den PES-Dienst auf einem Domänencontroller in der Quelldomäne. ADMT bietet die Option zum Ausführen des PES-Diensts unter dem lokalen Systemkonto oder mithilfe der Anmeldeinformationen eines in der Zieldomäne authentifizierten Benutzers. Es wird empfohlen, den PES-Dienst als in der Zieldomäne authentifizierter Benutzer auszuführen. Auf diese Weise brauchen Sie die Gruppen Jeder und Anonyme Anmeldung nicht der Gruppe Prä– Windows 2000 kompatibler Zugriff hinzuzufügen. Hinweis Wenn Sie den PES-Dienst unter dem lokalen Systemkonto ausführen, stellen Sie sicher, dass die Gruppe Prä–Windows 2000 kompatibler Zugriff in der Zieldomäne die Gruppe Jeder und die Gruppe Anonymer Zugriff enthält. So konfigurieren Sie den PES-Dienst in der Quelldomäne 1. Fügen Sie auf dem Domänencontroller, der den PES-Dienst in der Quelldomäne ausführt, den Verschlüsselungsschlüssel-Datenträger ein. 2. Führen Sie die Datei "Pwdmig.msi" aus. Wenn Sie während der Schlüsselgenerierung ein Kennwort auf dem Domänencontroller in der Zieldomäne festlegen, geben Sie das Kennwort an, das beim Erstellen des Schlüssels vergeben wurde, und klicken Sie dann auf Weiter. Seite des Assistenten Vorgang Willkommen Klicken Sie auf Weiter. Verschlüsselungsdatei Zum Installieren der ADMTKennwortmigrations-DLL (Dynamic-Link Library, dynamische Linkbibliothek) müssen Sie eine Datei angeben, die einen gültigen Kennwortverschlüsselungsschlüssel für die betreffende Quelldomäne enthält. Die Schlüsseldatei muss sich auf einem lokalen Laufwerk befinden. Zum Erstellen der Schlüsseldateien wird der Befehl admt key verwendet. Weitere Informationen finden Sie im vorhergehenden Verfahren, "So erstellen Sie einen 75 Verschlüsselungsschlüssel". Dienst ausführen als Geben Sie das Konto an, unter dem der PES-Dienst ausgeführt werden soll. Sie können eins der folgenden Konten angeben: Das lokale Systemkonto Ein angegebenes Benutzerkonto Hinweis Wenn Sie beabsichtigen, den PES-Dienst unter einem authentifizierten Benutzerkonto auszuführen, geben Sie das Konto im Format Domaene\Benutzername an. Zusammenfassung Klicken Sie auf Fertig stellen, um die Installation des PES-Diensts abzuschließen. Hinweis Damit Sie die Kennwortmigration von ADMT verwenden können, müssen Sie nach dem Installieren des PESDiensts einen Neustart des Servers ausführen. 3. Starten Sie den Domänencontroller nach dem Abschluss der Installation erneut. 4. Zeigen Sie nach dem Neustart des Domänencontrollers zum Starten des PES-Diensts auf Start, dann auf Alle Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Dienste. 5. Klicken Sie im Detailbereich mit der rechten Maustaste auf KennwortexportserverDienst, und klicken Sie dann auf Start. Hinweis Führen Sie den PES-Dienst nur beim Migrieren von Kennwörtern aus. Beenden Sie den PES-Dienst, nachdem die Migration von Kennwörtern abgeschlossen ist. 76 Initialisieren von ADMT durch Ausführen einer Testmigration Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Starten Sie das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT), indem Sie eine Testmigration einer globalen Gruppe ausführen, und wählen Sie die Option Gruppen-SIDs zur Zieldomäne migrieren aus. Zum Migrieren des SID-Verlaufs (Security identifier, Sicherheitskennung) müssen Sie die Vorbereitungstasks wie in Konfigurieren der Quellund Zieldomänen für die Migration des SID-Verlaufs beschrieben durchführen. Wenn Sie die Quell- und Zieldomänen zum Migrieren des SID-Verlaufs vorher nicht konfiguriert haben, werden Sie von ADMT dazu aufgefordert und erhalten die Option, die folgenden Aufgaben automatisch ausführen zu lassen. Erstellen einer lokalen Gruppe namens Quelldomäne$$$ in der Quelldomäne, die zum Überwachen der Vorgänge des SID-Verlaufs verwendet wird. Fügen Sie dieser Gruppe keine Mitglieder hinzu. Andernfalls tritt ein Fehler bei der Migration des SID-Verlaufs auf. Wenn für die Quelldomäne Windows 2000 verwendet wird und Sie ADMT 3.1 verwenden, wird die TCP/IP-Clientunterstützung auf dem primären Domänencontroller (PDC) der Quelldomäne aktiviert, indem der Wert des Registrierungseintrags TcpipClientSupport auf 1 festgelegt wird. Dieser Eintrag ist im folgenden Unterschlüssel gespeichert: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa Durch das Festlegen von TcpipClientSupport auf 1 werden Remoteprozeduraufrufe (Remote Procedure Calls, RPCs) über den TCP-Transport aktiviert, während die Sicherheit des Systems erhalten bleibt. Dies ist nicht erforderlich für Domänen mit Domänencontrollern, auf denen Windows Server 2003 oder höher ausgeführt wird. Aktivieren von Überwachungsrichtlinien in den Quell- und Zieldomänen. Warnung ADMT aktiviert nicht automatisch die Überwachung für den Verzeichnisdienstzugriff, der erforderlich ist, um den SID-Verlauf in oder aus einer Domäne zu migrieren, in der sich Domänencontroller mit Windows Server 2008 oder Windows Server 2008 R2 befinden. Verwenden Sie das folgende Verfahren, um ADMT zu initialisieren. So initialisieren Sie ADMT durch Ausführen einer Testmigration einer globalen Gruppe 1. Verwenden Sie in der ADMT-Konsole den Assistenten zum Migrieren von Gruppenkonten, indem Sie die in der folgenden Tabelle aufgeführten Schritte ausführen. Akzeptieren Sie Standardeinstellungen, wenn keine Informationen angegeben sind. Seite des Assistenten Vorgang 77 Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Quelldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus. Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOS- oder DNS-Namen der Zieldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, und klicken Sie auf Weiter. Gruppenauswahl Klicken Sie auf Gruppen aus Domäne auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Gruppenauswahl auf Hinzufügen, um die zu migrierenden Gruppen in der Quelldomäne auszuwählen, klicken Sie auf OK, und klicken Sie dann auf Weiter. Oder Klicken Sie auf Objekte aus Includedatei lesen, und klicken Sie dann auf Weiter. Geben Sie den Pfad der Includedatei ein, und klicken Sie dann auf Weiter. Auswahl der Organisationseinheit Geben Sie den Namen der Organisationseinheit ein, oder klicken Sie auf Durchsuchen. Suchen Sie im Dialogfeld Container suchen den Container in der Zieldomäne, in den die globalen Gruppen verschoben werden sollen, und klicken Sie dann auf OK. Gruppenoptionen Aktivieren Sie das Kontrollkästchen Gruppen-SIDs zur Zieldomäne migrieren. Stellen Sie sicher, dass alle anderen Optionen nicht ausgewählt sind. 78 Benutzerkonto Geben Sie den Benutzernamen, das Kennwort und die Domäne eines Kontos ein, das über administrative Rechte in der Quelldomäne verfügt. Konfliktverwaltung Klicken Sie auf Quellobjekt nicht migrieren, wenn in der Zieldomäne ein Konflikt ermittelt wird. 2. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler. Identifizieren von Dienstkonten für die Migration Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 In diesem Thema wird erklärt, wie Dienstkonten identifiziert werden, die mit dem Active DirectoryMigrationsprogramm (Active Directory Migration Tool, ADMT) in die Zieldomäne migriert werden. Ein Dienstkonto ist ein Benutzerkonto, das einen Sicherheitskontext für Anwendungen bereitstellt und dem die Berechtigung zur Anmeldung als Dienst erteilt wurde. Dienste, die im Kontext des lokalen Systemkontos ausgeführt werden, werden vom ADMT nicht migriert, da diese bei der Migration des Computers migriert werden. Dienste, die im Kontext eines Benutzerkontos ausgeführt werden, müssen jedoch nach dem Abschluss des Kontenmigrationsvorgangs auf dem Computer aktualisiert werden. ADMT kann außerdem auch nicht die lokalen Dienst- und Netzwerkdienstkonten migrieren, da es sich hier um vordefinierte Konten handelt, die in Domänen immer vorhanden sind. Bestimmen von Dienstkonten Der Vorgang des Identifizierens, Migrierens und Aktualisierens von Diensten, die im Kontext von Benutzerkonten ausgeführt werden, umfasst drei Schritte. Zuerst startet der Administrator ADMT in der Active Directory-Zieldomäne und führt den Assistenten zum Migrieren von Dienstkonten aus. Im zweiten Schritt sendet der Assistent zum Migrieren von Dienstkonten einen Agent an einen angegebenen Computer und identifiziert alle Dienste auf dem Computer, die im Kontext eines Benutzerkontos ausgeführt werden (er migriert die Dienste jedoch nicht). Als dritter Schritt, der später im Migrationsprozess erfolgen kann, wird dann die Migration der Konten ausgeführt, wenn die anderen Benutzerkonten mit dem Assistenten zum Migrieren von Benutzerkonten migriert werden. 79 Der Assistent zum Migrieren von Dienstkonten überprüft eine vom Administrator definierte Liste der Server auf Dienste, die für die Verwendung eines Domänenkontos zur Authentifizierung konfiguriert sind. Die Konten werden dann in der ADMT-Datenbank als Dienstkonten gekennzeichnet. Das Kennwort wird beim Migrieren eines Dienstkontos nie migriert. Stattdessen verwendet ADMT eine Klartextdarstellung des Kennworts, um die Dienste nach der Migrierung der Dienstkonten zu konfigurieren. Anschließend wird eine verschlüsselte Version des Kennworts in der Datei password.txt im ADMT-Installationsordner gespeichert. Ein Administrator einer Arbeitsstation oder eines Servers kann jeden beliebigen Dienst installieren und den Dienst für die Verwendung jedes beliebigen Domänenkontos konfigurieren. Wenn ein böswilliger Benutzer mit Administratorberechtigungen einen Dienst zum Authentifizieren ohne ein korrektes Kennwort konfiguriert (z. B. ein Kennwort, das die Komplexitätsanforderungen nicht erfüllt), wird der Dienst nicht starten. Nach der Migration des Dienstkontos konfiguriert ADMT den Dienst auf der Arbeitsstation oder dem Server zum Verwenden des neuen Kennworts, und der Dienst startet jetzt unter dem neuen Benutzerkonto in der Zieldomäne. Daher sollten Sie den Assistenten zum Migrieren von Dienstkonten nur auf den Servern unterbringen, die von vertrauenswürdigen Administratoren verwaltet werden. Verwenden Sie den Assistenten nicht zum Erkennen von Dienstkonten auf Computern, die nicht von vertrauenswürdigen Administratoren verwaltet werden, wie etwa Arbeitsstationen. Verteilen Sie Agents auf allen Servern in der Domäne, die von vertrauenswürdigen Administratoren verwaltet werden, um sicherzustellen, dass keine Dienstkonten übersehen werden. Wenn Sie ein Dienstkonto auslassen, das ein Konto für einen Dienst freigibt, der bereits migriert wurde, kann ADMT die Dienstkonten nicht synchronisieren. Sie müssen die Kennwörter für das Dienstkonto manuell ändern und dann das Kennwort des Dienstkontos auf jedem Server zurücksetzen, der den betreffenden Dienst ausführt. Wenn die Konten, die vom Assistenten für die Migration von Dienstkonten in der ADMTDatenbank als im Kontext eines Benutzerkontos ausgeführt identifiziert wurden, in die Zieldomäne migriert werden, erteilt ADMT jedem Konto das Recht zur Anmeldung als Dienst. Wenn dem Dienstkonto Rechte mithilfe einer Gruppenmitgliedschaft zugewiesen wurden, aktualisiert der Sicherheitskonvertierungs-Assistent das Konto so, dass ihm diese Rechte zugewiesen werden. Weitere Informationen zur Ausführung des SicherheitskonvertierungsAssistenten finden Sie unter Konvertieren von Dienstkonten in der Migration weiter unten in diesem Handbuch. Sie können Dienstkonten mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption oder eines Skripts identifizieren. So identifizieren Sie Dienstkonten mithilfe des ADMT-Snap-Ins 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Klicken Sie im ADMT-Snap-In auf Vorgang, und klicken Sie dann auf Assistent zum Migrieren von Dienstkonten. 80 3. Führen Sie den Assistenten zum Migrieren von Dienstkonten mithilfe der Informationen in der folgenden Tabelle aus. Seite des Assistenten Vorgang Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Quelldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus. Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOS- oder DNS-Namen der Zieldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, und klicken Sie auf Weiter. Informationen aktualisieren Klicken Sie auf Ja, Informationen aktualisieren. Computerauswahloption Klicken Sie auf Computer aus Domäne auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Dienstkontoauswahl auf Hinzufügen, um die Konten in der Quelldomäne auszuwählen, die Sie migrieren möchten, klicken Sie auf OK und dann auf Weiter. Oder Klicken Sie auf Objekte aus Includedatei lesen und anschließend auf Weiter. Geben Sie den Speicherort der Includedatei ein, und klicken Sie auf Weiter. Dialogfeld "Agent" Wählen Sie unter Agent-Aktionen den Eintrag Vorüberprüfung und Agent ausführen aus, und klicken Sie dann auf Start. Eine Nachricht wird in der AgentZusammenfassung angezeigt, wenn die Agentvorgänge abgeschlossen sind. 81 Klicken Sie nach dem Abschluss der Agentvorgänge auf Schließen. Dienstkontoinformationen Wählen Sie alle Benutzerkonten aus, die in der ADMT-Datenbank nicht als Dienstkonten markiert werden müssen, und klicken Sie dann auf Überspringen/Einbeziehen, um für die Konten Überspringen zu markieren. Fertigstellen des Assistenten Überprüfen Sie Ihre Auswahl, und klicken Sie dann auf Fertig stellen. Der Assistent stellt eine Verbindung mit den ausgewählten Computern her und sendet dann einen Agent, um jeden Dienst auf den Remotecomputern zu überprüfen. Auf der Seite Dienstkontoinformationen sind die Dienste, die im Kontext eines Benutzerkontos ausgeführt werden, zusammen mit dem Namen des betreffenden Benutzerkontos aufgelistet. ADMT vermerkt in seiner Datenbank, dass diese Benutzerkonten als Dienstkonten migriert werden müssen. Wenn ein Benutzerkonto nicht als Dienstkonto migriert werden soll, wählen Sie das Konto aus und klicken dann auf Überspringen/Einbeziehen, um den Status von Einbeziehen in Überspringen zu ändern. Zum Aktualisieren des Dienststeuerungs-Managers mit den neuen Informationen verwenden Sie SCM aktualisieren. Sofern kein Fehler beim Erreichen eines Computers zum Zweck der Aktualisierung vorliegt, ist die Schaltfläche SCM aktualisieren nicht verfügbar. Wenn nach der Identifikation und Migration des Kontos ein Problem beim Aktualisieren eines Dienstkontos auftritt, stellen Sie sicher, dass der Computer, den Sie zu erreichen versuchen, verfügbar ist, und starten Sie dann den Assistenten zum Migrieren von Dienstkonten erneut. Klicken Sie im Assistenten auf SCM aktualisieren, um die Aktualisierung des Diensts zu versuchen. Wenn Sie den Assistenten zum Migrieren von Dienstkonten bereits zuvor ausgeführt haben und die Schaltfläche SCM aktualisieren nicht zur Verfügung steht, untersuchen Sie die ADMT-Protokolldateien, um die Ursache des Problems zu ermitteln. Nachdem Sie das Problem behoben haben und der Agent erfolgreich eine Verbindung hergestellt hat, steht die Schaltfläche SCM aktualisieren zur Verfügung. So identifizieren Sie Dienstkonten mithilfe der ADMT-Befehlszeilenoption 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: ADMT SERVICE /N "<Computername1>" "<Computername2>" /SD:" <Quelldomäne>" /TD:" <Zieldomäne>" Dabei sind <Computername1> und <Computername2> die Namen von Computern in der Quelldomäne, auf denen die Dienstkonten ausgeführt werden. 82 Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt über die Befehlszeile angegeben wird: ADMT SERVICE /N "<Computername1>" "<Computername2>" /O:" <Optionsdatei>.txt" In der folgenden Tabelle sind die allgemeinen Parameter zum Identifizieren von Dienstkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem entsprechenden Äquivalent in der Optionsdatei. Werte Befehlszeilensyntax Optionsdateisyntax <Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne" <Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne" 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. So identifizieren Sie Dienstkonten mithilfe eines Skripts Erstellen Sie mithilfe des folgenden Beispielskripts ein Skript, das ADMT-Befehle und Optionen zum Identifizieren von Dienstkonten enthält. Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“. <Job id="IdentifyingServiceAccounts" > <Script language="VBScript" src="AdmtConstants.vbs" /> <Script language="VBScript" > Option Explicit Dim objMigration Dim objServiceAccountEnumeration ' 'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte. ' Set objMigration = CreateObject("ADMT.Migration" ) Set objServiceAccountEnumeration = _ objMigration.CreateServiceAccountEnumeration ' 'Geben Sie die allgemeinen Migrationsoptionen an. 83 ' objMigration.SourceDomain = "Quelldomäne" ' 'Listen Sie die Dienstkonten der angegebenen Computer auf. ' objServiceAccountEnumeration.Enumerate admtData, _ Array("Computername1" ,"Computername2" ) Set objServiceAccountEnumeration = Nothing Set objMigration = Nothing </Script> </Job> Migrieren von Konten Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Der Vorgang des Migrierens von Kontoobjekten von einer Quelldomäne in eine Zieldomäne in einer anderen Active Directory-Gesamtstruktur umfasst zuerst das Migrieren von Dienstkonten und anschließend das Migrieren von globalen Gruppen. Nachdem die Gruppen in der Zieldomäne platziert wurden, können Sie die Benutzer gemäß dem von Ihnen ausgewählten Prozess migrieren, entweder unter Verwendung des SID-Verlaufs (Security Identifier) für den Ressourcenzugriff oder ohne Verwendung des SID-Verlaufs für den Ressourcenzugriff. Wenn der Migrationsprozess für Kontoobjekte abgeschlossen ist, können Sie die Benutzer aus der Quelldomäne anweisen, sich bei der Zieldomäne anzumelden. Die folgenden Abbildungen zeigen den Vorgang des Migrierens von Konten zwischen Domänen in verschiedenen Gesamtstrukturen. 84 Konvertieren von Dienstkonten in der Migration Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Beginnen Sie mit dem Migrieren von Objekten, indem Sie Dienstkonten migrieren, die als Domänenbenutzerkonten ausgeführt werden. Informationen zum Identifizieren der zu migrierenden Dienstkonten finden Sie unter Konvertieren von Dienstkonten in der Migration. Für verwaltete Dienstkonten gilt dieses Thema nicht. Verwaltete Dienstkonten können mit dem Assistenten zum Migrieren von verwalteten Dienstkonten und mit dem ComputermigrationsAssistenten migriert werden. Verwenden Sie für die Überführung von Dienstkonten das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT), um die folgenden Aufgaben auszuführen: Migrieren der Dienstkonten aus der Quelldomäne in die Zieldomäne. Ändern der Dienste auf jedem Server in der Quelldomäne in der Weise, dass die Dienste das Dienstkonto in der Zieldomäne statt in der Quelldomäne verwenden. Sie können Dienstkonten mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption oder eines Skripts überführen. 85 So überführen Sie Dienstkonten mithilfe des ADMT-Snap-Ins 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Klicken Sie im ADMT-Snap-In auf Vorgang, und klicken Sie dann auf Assistent zum Migrieren von Benutzerkonten. 3. Führen Sie den Assistenten zum Migrieren von Benutzerkonten mithilfe der Informationen in der folgenden Tabelle aus. Seite des Assistenten Vorgang Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOS- oder DNS-Namen der Quelldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus. Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOS- oder DNS-Namen der Zieldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, und klicken Sie auf Weiter. Benutzerauswahl Klicken Sie auf Benutzer aus Domäne auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Benutzerauswahl auf Hinzufügen, um die Konten in der Quelldomäne auszuwählen, die Sie migrieren möchten, klicken Sie auf OK und dann auf Weiter. Oder Klicken Sie auf Objekte aus Includedatei lesen und anschließend auf Weiter. Geben Sie den Speicherort der Includedatei ein, und klicken Sie auf Weiter. Auswahl der Organisationseinheit Klicken Sie auf Durchsuchen. Suchen Sie in Container suchen die Quelldomäne, wählen Sie den Container für 86 die Dienstkonten aus, und klicken Sie dann auf OK. Kennwortoptionen Klicken Sie auf Komplexe Kennwörter generieren. Hinweis Beim Überführen von Dienstkonten mithilfe des Assistenten zum Migrieren von Benutzerkonten wird automatisch ein komplexes Kennwort generiert, unabhängig von der auf dieser Seite des Assistenten ausgewählten Option. Selbst wenn Kennwörter für vorhandene Benutzer nicht aktualisieren aktiviert ist, wird ein komplexes Kennwort generiert. Optionen für die Kontoaktualisierung Klicken Sie auf Zielkonten aktivieren. Aktivieren Sie das Kontrollkästchen Benutzer-SIDs zur Zieldomäne migrieren. Benutzerkonto Geben Sie den Benutzernamen, das Kennwort und die Domäne eines Kontos mit Administratoranmeldeinformationen ein. Benutzeroptionen Aktivieren Sie das Kontrollkästchen Benutzerrechte aktualisieren. Vergewissern Sie sich, dass keine weiteren Einstellungen ausgewählt sind, einschließlich Zugeordnete Benutzergruppen migrieren. Konfliktverwaltung Klicken Sie auf Quellobjekt nicht migrieren, wenn in der Zieldomäne ein Konflikt ermittelt wird. Dienstkontoinformationen Klicken Sie auf Alle Dienstkonten migrieren und SCM für einbezogene Elemente aktualisieren. Wenn Sie außerdem weitere Benutzerkonten 87 migrieren, bei denen es sich nicht um Dienstkonten handelt, informiert Sie diese Seite des Assistenten, dass Sie einige Konten ausgewählt haben, die in der ADMT-Datenbank nicht als Dienstkonten markiert sind. Standardmäßig sind diese Konten als Einbeziehen gekennzeichnet. Wenn Sie den Status des Kontos ändern möchten, wählen Sie das Konto aus, und klicken Sie dann auf Überspringen/Einbeziehen. Klicken Sie auf Weiter, um die Konten zu migrieren. 4. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler. 5. Starten Sie Active Directory-Benutzer und -Computer, navigieren Sie zu der Organisationseinheit (Organizational Unit, OU), die Sie für Dienstkonten erstellt haben, und überprüfen Sie dann, ob die Dienstkonten in der Organisationseinheit der Zieldomäne vorhanden sind. 6. Vergewissern Sie sich, dass jede Anwendung, für die das Dienstkonto überführt wurde, weiterhin ordnungsgemäß funktioniert. So überführen Sie Dienstkonten mithilfe der ADMT-Befehlszeilenoption 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: ADMT USER /N "<Servername1>" "<Servername2>" /SD:" <Quelldomäne>" /TD:" <Zieldomäne>" /TO:" <Zielorganisationseinheit>" /MSS:YES Dabei sind Server_name1 und Server_name2 die Namen von Servern in der Quelldomäne, auf denen die Dienstkonten ausgeführt werden. Alternativ können Sie Parameter in eine Optionsdatei aufnehmen, die Sie in der folgenden Weise auf der Befehlszeile angeben: ADMT USER /N "<Servername1>" "<Servername2>" /O: "<Optionsdatei>.txt" In der folgenden Tabelle sind die allgemeinen Parameter zum Überführen von Dienstkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem entsprechenden Äquivalent in der Optionsdatei. Parameter Befehlszeilensyntax Optionsdateisyntax 88 <Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne" <Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne" <Zielorganisationseinhe /TO:"Zielorganisationseinh it> Speicherort eit" TargetOU="Zielorganisationseinh Konten deaktivieren /DOT:ENABLETARGET DisableOption=ENABLETARGET (Standard) (Standard) (Standard) eit" Kennwort migrieren /PO:COMPLEX Benutzer-SIDs migrieren = JA /MSS:YES MigrateSIDs=YES Benutzerrechte aktualisieren = JA /UUR:YES UpdateUserRights=YES Konfliktverwaltung /CO:IGNORE (Standard) PasswordOption=COMPLEX ConflictOptions=IGNORE (Standard) 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. 4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die Organisationseinheit des Zieldienstkontos. Überprüfen Sie, ob die Dienstkonten in der Organisationseinheit der Zieldomäne vorhanden sind. So überführen Sie Dienstkonten mithilfe eines Skripts Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle und -Optionen zum Überführen von Dienstkonten enthält. Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“. <Job id=" TransitioningServiceAccountsBetweenForests" > <Script language=" VBScript" src="AdmtConstants.vbs" /> <Script language="VBScript" > Option Explicit Dim objMigration Dim objUserMigration ' 'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte. ' 89 Set objMigration = CreateObject("ADMT.Migration" ) Set objUserMigration = objMigration.CreateUserMigration ' 'Geben Sie die allgemeinen Migrationsoptionen an. ' objMigration.SourceDomain = "Quelldomäne" objMigration.SourceOu = "Quellcontainer" objMigration.TargetDomain = "Zieldomäne" objMigration.TargetOu = "Zielcontainer" objMigration.ConflictOptions = admtIgnoreConflicting ' 'Geben Sie die spezifischen Optionen der Benutzermigration an. ' objUserMigration.MigrateSIDs = True objUserMigration.UpdateUserRights = True objUserMigration.MigrateServiceAccounts = True ' 'Migrieren Sie die angegebenen Dienstkonten. ' objUserMigration.Migrate admtData, _ Array("Name des Dienstkontos1", "Name des Dienstkontos2") Set objUserMigration = Nothing Set objMigration = Nothing </Script> </Job> 90 Migrieren globaler Gruppen Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Damit die Mitgliedschaft globaler Gruppen erhalten bleibt, müssen Sie globale Gruppen migrieren, bevor Sie Benutzer migrieren. Hinweis Migrieren Sie globale Gruppen nicht während der Spitzenarbeitszeiten. Der Vorgang der Migration globaler Gruppen kann in großem Umfang Netzwerkressourcen sowie Ressourcen auf dem Domänencontroller in der Zieldomäne belegen. Für die Migration globaler Gruppen müssen die folgenden Schritte ausgeführt werden: 1. Der Administrator wählt die globalen Gruppenobjekte in der Quelldomäne aus. 2. In der Zieldomäne wird ein neues globales Gruppenobjekt erstellt, und es wird eine neue primäre Sicherheitskennung (Security Identifier, SID) für das Objekt in der Zieldomäne erstellt. 3. Damit der Zugriff auf Ressourcen erhalten bleibt, fügt das Active DirectoryMigrationsprogramm (Active Directory Migration Tool, ADMT) die Sicherheitskennung der globalen Gruppe in der Quelldomäne dem Attribut SID-Verlauf der neuen globalen Gruppe in der Zieldomäne hinzu. Nach der Migration werden Ereignisse sowohl in der Quell- als auch in der Zieldomäne protokolliert. Hinweis Wenn der Vorgang der Migration von Benutzerkonten einen längeren Zeitraum in Anspruch nimmt, müssen Sie globale Gruppen ggf. erneut aus der Quell- in die Zieldomäne migrieren. Das Ziel besteht darin, Änderungen der Mitgliedschaft weiterzugeben, die in der Quelldomäne vorgenommen werden, bevor der Migrationsvorgang abgeschlossen ist. Weitere Informationen zur erneuten Migration globaler Gruppen finden Sie unter Erneute Migration aller globalen Gruppen nach der Migration aller Lose weiter unten in diesem Handbuch. Sie können globale Gruppen mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption oder eines Skripts migrieren. So migrieren Sie globale Gruppen mithilfe des ADMT-Snap-Ins 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Verwenden Sie den Assistenten zum Migrieren von Gruppenkonten, und führen Sie die in der folgenden Tabelle beschriebenen Schritte aus. Seite des Assistenten Vorgang 91 Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Quelldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus. Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOS- oder DNS-Namen der Zieldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, und klicken Sie auf Weiter. Gruppenauswahl Klicken Sie auf Gruppen aus Domäne auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Gruppenauswahl auf Hinzufügen, um die zu migrierenden Gruppen in der Quelldomäne auszuwählen, klicken Sie auf OK, und klicken Sie dann auf Weiter. Oder Klicken Sie auf Objekte aus Includedatei lesen und anschließend auf Weiter. Geben Sie den Speicherort der Includedatei ein, und klicken Sie auf Weiter. Auswahl der Organisationseinheit Geben Sie den Namen der Organisationseinheit (Organizational Unit, OU) ein, oder klicken Sie auf Durchsuchen. Suchen Sie im Dialogfeld Container suchen den Container in der Zieldomäne, in den die globalen Gruppen verschoben werden sollen, und klicken Sie dann auf OK. Gruppenoptionen Klicken Sie auf Gruppen-SIDs zur Zieldomäne migrieren. Stellen Sie sicher, dass alle anderen 92 Optionen nicht ausgewählt sind. Benutzerkonto Geben Sie den Benutzernamen, das Kennwort und die Domäne eines Kontos ein, das über administrative Rechte in der Quelldomäne verfügt. Konfliktverwaltung Klicken Sie auf Quellobjekt nicht migrieren, wenn in der Zieldomäne ein Konflikt ermittelt wird. 3. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler. 4. Öffnen Sie das Snap-In Active Directory-Benutzer und -Computer, und suchen Sie dann die Zielorganisationseinheit. Überprüfen Sie, ob die globalen Gruppen in der Organisationseinheit der Zieldomäne vorhanden sind. So migrieren Sie globale Gruppen mithilfe der ADMT-Befehlszeilenoption 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Geben Sie den Befehl ADMT Group mit den entsprechenden Parametern in der Befehlszeile ein, und drücken Sie dann die EINGABETASTE. ADMT GROUP /N "<Gruppenname1>" "<Gruppenname2>" /SD:" <Quelldomäne>" /TD:" <Zieldomäne>" /TO:" <Zielorganisationseinheit>" /MSS:YES Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt über die Befehlszeile angegeben wird: ADMT GROUP /N "<Gruppenname1>" "<Gruppenname2>" /O: "<Optionsdatei>.txt" In der folgenden Tabelle sind die allgemeinen Parameter zur Migration globaler Gruppen aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem entsprechenden Äquivalent in der Optionsdatei. Parameter Befehlszeilensyntax Optionsdateisyntax <Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne" <Quellorganisationsein heit> Speicherort /SO:"Quellorganisationsein SourceOU="Quellorganisationsei heit" nheit" <Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne" <Zielorganisationseinhe it> Speicherort /TO:"Zielorganisationseinh TargetOU="Zielorganisationsein eit" heit" Migrieren von GG SIDs /MSS:YES MigrateSIDs=YES 93 Konfliktverwaltung /CO:IGNORE (Standard) ConflictOptions=IGNORE 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. 4. Öffnen Sie das Snap-In Active Directory-Benutzer und -Computer, und suchen Sie dann die Zielorganisationseinheit. Überprüfen Sie, ob die globalen Gruppen in der Organisationseinheit der Zieldomäne vorhanden sind. So migrieren Sie globale Gruppen mithilfe eines Skripts Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle und -Optionen zur Migration globaler Gruppen enthält. Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“. <Job id=" MigratingGlobalGroupsBetweenForests" > <Script language="VBScript" src="AdmtConstants.vbs" /> <Script language="VBScript" > Option Explicit Dim objMigration Dim objGroupMigration ' 'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte. ' Set objMigration = CreateObject("ADMT.Migration" ) Set objGroupMigration = objMigration.CreateGroupMigration ' 'Geben Sie die allgemeinen Migrationsoptionen an. ' objMigration.SourceDomain = "Quelldomäne" objMigration.SourceOu = "Quellcontainer" objMigration.TargetDomain = "Zieldomäne" objMigration.TargetOu = "Zielcontainer" 94 ' 'Geben Sie die spezifischen Optionen der Gruppenmigration an. ' objGroupMigration.MigrateSIDs = True ' 'Migrieren Sie die angegebenen Gruppenobjekte. ' objGroupMigration.Migrate admtData, Array("Gruppenname1" ,"Gruppenname2" ) Set objGroupMigration = Nothing Set objMigration = Nothing </Script> </Job> Migrieren von Konten bei Verwendung des SID-Verlaufs Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Migrieren Sie bei der Migration von Konten mithilfe des SID-Verlaufs (Security Identifier) zuerst alle Benutzerkonten – ohne sie jedoch in der Zieldomäne zu aktivieren –, um die Zieldomäne voraufzufüllen und die Migration von Benutzerprofilen zu ermöglichen. Beginnen Sie nach der erfolgreichen Migration aller Benutzerkonten mit der losweisen Migration von Benutzern, indem Sie zuerst das Benutzerprofil, dann die Arbeitsstation und schließlich das Benutzerkonto migrieren. Stellen Sie vor dem Migrieren aller Benutzerkonten sicher, dass Sie Testkonten erstellt haben, die Sie in jedes Los aufnehmen können, um den Erfolg der Migration für das betreffende Los zu überprüfen. Beim Migrieren von Benutzerkonten kann nicht jede Benutzereigenschaft migriert werden. Beispielsweise werden Pstore-Inhalte (Protected Storage) für Windows NT 4.0-Arbeitsstationen, einschließlich privater EFS-Schlüssel (Encrypting File System), vom Active DirectoryMigrationsprogramm (Active Directory Migration Tool, ADMT) beim Migrieren von Benutzerkonten 95 nicht migriert. Zum Migrieren von Pstore-Inhalten müssen während des Migrationsvorgangs Schlüssel exportiert und importiert werden. Für Clients, die Windows 2000 Server oder höher ausführen, werden auch mithilfe von DPAPI (Data Protection API) geschützte Daten nicht migriert. DPAPI unterstützt den Schutz der folgenden Elemente: Anmeldeinformationen für Webseiten (z. B. Kennwörter) Anmeldeinformationen für Dateifreigaben Private Schlüssel, die EFS, S/MIME (Secure/Multipurpose Internet Mail Extensions) und anderen Zertifikaten zugeordnet sind Programmdaten, die mithilfe der Funktion CryptProtectData() geschützt sind Aus diesem Grund ist das Testen von Benutzermigrationen wichtig. Verwenden Sie Ihr Migrationstestkonto, um alle Eigenschaften zu identifizieren, die nicht migriert wurden, und die Benutzerkonfigurationen in der Zieldomäne entsprechend zu aktualisieren. Führen Sie die folgenden Schritte aus, um Benutzerkonten in die Zieldomäne zu migrieren: 1. Migrieren Sie die verwalteten Dienstkonten. Die verwalteten Dienstkonten müssen vor den Computern migriert werden. 2. Migrieren Sie alle Benutzerkonten mit aktiviertem Konto in der Quelldomäne, deaktiviertem Konto in der Zieldomäne, mit aktiviertem komplexem Kennwort und ohne migrierte Attribute. 3. Konvertieren Sie lokale Benutzerprofile für ein Los von Benutzern. 4. Migrieren Sie Arbeitsstationen in Losen, die den Losen der Benutzerkonten entsprechen. 5. Überprüfen Sie vor dem Migrieren des Loses von Benutzerkonten, ob die Migration der lokalen Profile und der Arbeitsstationen für alle Benutzer im Los erfolgreich war. Führen Sie die Migration nicht für Benutzerkonten durch, bei denen die Migration des Profils oder der Arbeitsstation fehlgeschlagen ist. Dies kann dazu führen, dass Benutzer bei der Anmeldung in der Zieldomäne ihre vorhandenen Benutzerprofile überschreiben. 6. Migrieren Sie die Benutzerkonten erneut in Losen, und legen Sie für das Konto den Ablauf in der Quelldomäne in sieben Tagen fest, bei aktiviertem Zielkonto, aktivierter Migration von Kennwörtern und Migration aller Attribute. 7. Führen Sie nach jedem Los eine erneute Migration aller globalen Gruppen durch, um alle Änderungen an der Gruppenmitgliedschaft zu aktualisieren. 8. Fordern Sie die Benutzer im Los auf, sich bei der Zieldomäne anzumelden. 9. Führen Sie nach der Migration aller Benutzer eine abschließende Migration der globalen Gruppen aus, um alle Änderungen an der Gruppenmitgliedschaft zu aktualisieren. Die losweise Migration von Benutzerkonten erleichtert die Nachverfolgung der migrierten Konten und das Prüfen der erfolgreichen Durchführung jedes Migrationsschritts. Wenn die Struktur der Organisationseinheiten (OUs) für die Zieldomäne gleich der Organisationseinheitsstruktur der Quelldomäne ist, führen Sie die Migration von Benutzern auf Organisationseinheitbasis durch. Wenn die Organisationseinheitsstrukturen nicht gleich sind, wählen Sie ein alternatives Verfahren zur Gruppierung von Benutzern auf der Grundlage der Struktur Ihrer Organisation. Beispielsweise 96 können Sie Benutzer nach Geschäftseinheiten oder Etagen migrieren, um eine Konsolidierung der Helpdeskressourcen zu erreichen. Wenn Sie die Organisationseinheitsstruktur der Quelldomäne beibehalten möchten, migrieren Sie die Organisationseinheiten zusammen mit den in ihnen enthaltenen Benutzern. Wenn es sich bei Ihrer Quelldomäne z. B. um eine Windows Server 2003 Active Directory-Umgebung mit intakter Organisationseinheitsstruktur handelt und die Zieldomäne keine Organisationseinheitsstruktur aufweist, migrieren Sie die Organisationseinheiten aus der Quelldomäne. Wenn Sie eine neue Organisationseinheitsstruktur in der Zieldomäne erstellt haben, migrieren Sie Lose von Benutzern ohne die Organisationseinheiten. Wenn es sich bei Ihrer Quellumgebung beispielsweise um eine Windows NT 4.0-Domäne handelt, für die Sie ein Upgrade auf eine Windows Server 2003-Domäne durchgeführt haben, wies die Quelldomäne möglicherweise keine Organisationseinheitsstruktur auf; daher können Sie Benutzer ohne Migration der Organisationseinheiten migrieren. Weitere Informationen zum Erstellen einer Organisationseinheitsstruktur finden Sie unter "Entwerfen von Organisationseinheiten für die Delegierung der Verwaltung" (http://go.microsoft.com/fwlink/?LinkId=76628) (englischsprachig). Führen Sie die Verwaltung der Mitgliedschaft in globalen Gruppen bis zum Abschluss der Migration aller Benutzer- und Gruppenkonten weiterhin in der Quelldomäne aus. Wenn Sie eine Rollbackstrategie unterstützen möchten, synchronisieren Sie alle Änderungen, die Sie an Benutzern in der Zieldomäne vornehmen, manuell mit den vorhandenen Benutzerkonten in der Quelldomäne. Weitere Informationen zur Verwaltung von Benutzern und Gruppen während des Umstrukturierungsprozesses zwischen Gesamtstrukturen finden Sie unter Verwalten von Benutzern, Gruppen und Benutzerprofilen, weiter oben in diesem Handbuch. Wenn Sie Organisationseinheiten zusammen mit der Migration von Benutzerkonten migrieren, migrieren Sie zu den betreffenden Organisationseinheiten gehörenden Gruppen während des Migrationsprozesses der Benutzerkonten in die Organisationseinheit der Zieldomäne. Wenn Sie globale Gruppen mithilfe des Migrationprozesses für globale Gruppen migrieren, werden diese in der Zieldomäne in der Zielorganisationseinheit platziert. Wenn Sie Organisationseinheiten aus der Quelldomäne in die Zieldomäne migrieren, aktivieren Sie die Option zum gleichzeitigen Verschieben der globalen Gruppe in die Zieldomäne. Auf diese Weise werden die Gruppen aus der Zielorganisationseinheit, in der sie während der ursprünglichen Migration globaler Gruppen platziert wurden, in die Organisationseinheit verschoben, in die sie gehören. Bei der Verwendung von ADMT zum Migrieren von Benutzerkonten bleibt die Gruppenmitgliedschaft erhalten. Da globale Gruppen nur Mitglieder aus der Domäne enthalten können, in der sich die Gruppe befindet, können die Benutzerkonten in der Zieldomäne beim Migrieren zu einer neuen Domäne nicht Mitglieder der globalen Gruppen in der Quelldomäne sein. Im Rahmen des Migrationsprozesses identifiziert ADMT die globalen Gruppen in der Quelldomäne, zu denen die Benutzerkonten gehören, und stellt dann fest, ob die globalen Gruppen migriert wurden. Wenn ADMT globale Gruppen in der Zieldomäne identifiziert, denen die migrierten Benutzer in der Quelldomäne angehört haben, fügt das Programm die Benutzer den entsprechenden globalen Gruppen in der Zieldomäne hinzu. 97 Bei der Verwendung von ADMT zum Migrieren von Benutzerkonten bleiben außerdem Benutzerkennwörter erhalten. Nachdem die Benutzerkonten in die Zieldomäne migriert und aktiviert wurden, können sich die Benutzer mithilfe ihrer ursprünglichen Kennwörter in der Zieldomäne anmelden. Nach der Anmeldung werden die Benutzer aufgefordert, das Kennwort zu ändern. Wenn der Migrationsprozess für das Benutzerkonto erfolgreich ist, die Kennwortmigration jedoch fehlschlägt, erstellt ADMT ein neues komplexes Kennwort für das Benutzerkonto in der Zieldomäne. Standardmäßig speichert ADMT neue komplexe Kennwörter in der Datei C:\Programme\Active Directory Migration Tool\Logs\Password.txt. Wenn in der Zieldomäne eine Gruppenrichtlinieneinstellung aktiv ist, die keine leeren Kennwörter zulässt (die Einstellung Standarddomänenrichtlinie/Computerkonfiguration/Sicherheitseinstellungen/Kontorichtlin ien/Kennwortrichtlinie/Minimale Kennwortlänge ist auf einen anderen Wert als "Null" festgelegt), schlägt die Migration von Kennwörtern für alle Benutzer mit leerem Kennwort fehl. ADMT erstellt ein komplexes Kennwort für den betreffenden Benutzer und schreibt einen Fehler in der Fehlerprotokoll. Richten Sie ein Verfahren zum Benachrichtigen von Benutzern ein, denen neue Kennwörter zugewiesen wurden. Beispielsweise können Sie ein Skript erstellen, durch dessen Ausführung Benutzer eine E-Mail-Nachricht mit ihren neuen Kennwörtern erhalten. In der folgenden Abbildung sind die an der Migration von Konten beteiligten Schritte dargestellt, wenn Sie für den Ressourcenzugriff den SID-Verlauf verwenden. 98 Migrieren von verwalteten Dienstkonten Ein verwaltetes Dienstkonto ist ein Domänenkontoobjekt, das im Active Directory-Schema von Windows Server 2008 R2 verfügbar ist. Ein verwaltetes Dienstkonto kann auf Computern installiert werden, auf denen Windows 7 oder Windows Server 2008 R2 ausgeführt wird. Nur ADMT v3.2 kann verwaltete Dienstkonten migrieren. Das Ermitteln und Migrieren verwalteter Dienstkonten mithilfe von ADMT v3.2 erfolgt in zwei Schritten: 1. Verwenden Sie den Assistenten zum Migrieren von verwalteten Dienstkonten oder das Befehlszeilenprogramm admt managedserviceaccount, um verwaltete Dienstkonten wie in diesem Thema beschrieben in die Zieldomäne zu migrieren. 2. Verwenden Sie den Computermigrations-Assistenten oder das Befehlszeilenprogramm admt computer, um die Computer zu migrieren, auf denen die verwalteten Dienstkonten gehostet sind. Weitere Informationen über das Migrieren von Computern bei einer Migration zwischen Gesamtstrukturen finden Sie unter Erneute losweise Migration von Benutzerkonten und Migration von Arbeitsstationen. Weitere Informationen über das Migrieren von Computern bei 99 einer Migration innerhalb einer Gesamtstruktur finden Sie unter Migrieren von Arbeitsstationen und Mitgliedsservern. Die verwalteten Dienstkonten, die im vorherigen Schritt migriert und ursprünglich auf den migrierten Computern installiert wurden, werden bei der Computermigration identifiziert. Nach Abschluss der Computermigration werden die verwalteten Dienstkonten erneut auf dem Computer in der Zieldomäne installiert (sofern nicht eine Anforderung vorliegt, diese zu überspringen). Wenn Sie eine Sicherheitskonvertierung auf den Mitgliedsservern ausgeführt haben, die über Ressourcen verfügen, den verwalteten Dienstkonten Berechtigungen zu erteilen, verfügen die Konten in der Zieldomäne über dieselben Berechtigungen für den Ressourcenzugriff wie in der Quelldomäne. Wichtig Bei der Migration verwalteter Dienstkonten zwischen Domänen in derselben Gesamtstruktur müssen Sie auf den Mitgliedsservern in der Quelldomäne, die über Ressourcen verfügen, den verwalteten Dienstkonten Berechtigungen zu erteilen, die Sicherheitskonvertierung ausführen. Bei einer Migration innerhalb einer Gesamtstruktur ist eine Sicherheitskonvertierung normalerweise nicht erforderlich, da die SID mit dem Konto verschoben wird. Verwaltete Dienstkonten, die zwischen Domänen innerhalb einer Gesamtstruktur migriert werden, werden kopiert. In der Zieldomäne wird ein neues Konto erstellt, und die Kontoeigenschaften (mit Ausnahme der SID) werden aus der Quelldomäne kopiert. Aus diesem Grund muss die Sicherheitskonvertierung ausgeführt werden. Wenn die Ressourcen in der Quelldomäne, die dem verwalteten Dienstkonto Berechtigungen erteilen, auf demselben Computer gehostet werden wie das verwaltete Dienstkonto, empfiehlt es sich, die Sicherheitskonvertierung für die entsprechenden Ressourcen (Dateien und Ordner, lokale Gruppen usw.) auf der Seite Objekte konvertieren im Computermigrations-Assistenten auszuwählen. Wenn sich die Ressourcen auf anderen Computern befinden, die nicht migriert werden, müssen Sie auf diesen Computern den SicherheitskonvertierungsAssistenten ausführen und auf der Seite Optionen für die Sicherheitskonvertierung die Option Zuvor migrierte Objekte auswählen oder die MSA-Konten explizit in einer SID-Zuordnungsdatei bereitstellen. Weitere Informationen zur Sicherheitskonvertierung finden Sie unter Konvertieren der Sicherheit auf Mitgliedsservern. So werden verwaltete Dienstkonten mit ADMT-Snap-In migriert 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Klicken Sie im ADMT-Snap-In auf Vorgang, und klicken Sie dann auf Assistent zum Migrieren von verwalteten Dienstkonten. 3. Führen Sie den Assistenten zum Migrieren von verwalteten Dienstkonten mit den Informationen aus der folgenden Tabelle aus. 100 Seite des Assistenten Vorgang Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Quelldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus. Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOS- oder DNS-Namen der Zieldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, und klicken Sie auf Weiter. Option für die Auswahl verwalteter Dienstkonten Klicken Sie auf Verwaltete Dienstkonten aus Domäne auswählen, um verwaltete Dienstkonten entweder mithilfe des Dialogfelds für die Objektauswahl oder mittels einer Includedatei aus der Domäne zu migrieren. Diese Option eignet sich optimal, wenn alle verwalteten Dienstkonten aus der Quelldomäne migriert werden sollen. Oder Klicken Sie auf Computer für die Abfrage nach installierten verwalteten Dienstkonten angeben, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Auswahl verwalteter Dienstkonten auf Hinzufügen, um die Computerkonten in der Quelldomäne auszuwählen, die Sie nach verwalteten Dienstkonten abfragen möchten, klicken Sie auf OK und dann auf Weiter. Diese Option bietet sich bevorzugt an, wenn nur verwaltete Dienstkonten migriert werden sollen, die auf bestimmten Computern installiert sind. Auf jedem von Ihnen angegebene Computer können mehrere verwaltete Dienstkonten installiert 101 sein. Sie können diese beiden Optionen auch miteinander kombinieren, indem Sie sich im Assistenten zurück und wieder vorwärts bewegen. So können Sie z. B. Computer angeben, die abgefragt werden sollen, und die auf diesen Computern installierten verwalteten Dienstkonten dann der Liste der Konten hinzufügen, die migriert werden sollen. Anschließend können Sie im Assistenten auf Zurück klicken, um wieder auf diese Seite zurückzukehren und weitere verwaltete Dienstkonten aus der Domäne oder aus einer Includedatei auswählen. Option für die Auswahl verwalteter Dienstkonten Diese Seite wird nur dann angezeigt, wenn Sie verwaltete Dienstkonten aus der Domäne auswählen. Klicken Sie auf Verwaltete Dienstkonten aus Domäne auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Auswahl verwalteter Dienstkonten auf Hinzufügen, um die Konten in der Quelldomäne auszuwählen, die Sie migrieren möchten, klicken Sie auf OK, und klicken Sie dann auf Weiter. Oder Klicken Sie auf Objekte aus Includedatei lesen und anschließend auf Weiter. Geben Sie den Speicherort der Includedatei ein, und klicken Sie auf Weiter. Auswahl der Organisationseinheit Klicken Sie auf Durchsuchen, um einen Speicherort für die migrierten Konten anzugeben, und klicken Sie anschließend auf Weiter. Optionen für verwaltete Dienstkonten Aktivieren Sie das Kontrollkästchen Kontenrechte aktualisieren. Aktivieren Sie das Kontrollkästchen Gruppenmitgliedschaften der Konten korrigieren. Wenn das Konto in eine andere Gesamtstruktur migriert wird, aktivieren Sie das Kontrollkästchen Konto-SIDs in 102 Zieldomäne migrieren. Diese Option ist bei einer Migration innerhalb einer Gesamtstruktur nicht verfügbar. Klicken Sie auf Weiter. Geben Sie den Benutzernamen, das Kennwort und die Domäne eines Kontos ein, das administrative Anmeldeinformationen in der Quelldomäne besitzt, und klicken Sie dann auf Weiter. Fertigstellen des Assistenten Überprüfen Sie Ihre Auswahl, und klicken Sie dann auf Fertig stellen. 4. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler. 5. Starten Sie Active Directory-Benutzer und -Computer, und überprüfen Sie dann, ob die verwalteten Dienstkonten in der entsprechenden Organisationseinheit in der Zieldomäne vorhanden sind. So migrieren Sie verwaltete Dienstkonten mithilfe der ADMT-Befehlszeilenoption 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: ADMT MANAGEDSERVICEACCOUNT /N "<Verwaltetes_Dienstkonto1_Name>" "<Verwaltetes_Dienstkonto2_Name>" /IF:NO /SD:"<Quelldomäne>" /TD:"<Zieldomäne>" /UUR:YES /FGM:YES /MSS:YES Dabei stehen <Verwaltetes_Dienstkonto1_Name> und <Verwaltetes_Dienstkonto2_Name> für die Namen der verwalteten Dienstkonten in der Quelldomäne. Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt über die Befehlszeile angegeben wird: ADMT MANAGEDSERVICEACCOUNT /N "<Verwaltetes_Dienstkonto1_Name>" "<Verwaltetes_Dienstkonto2_Name>" /O:"<Optionsdatei>.txt" Die folgende Tabelle enthält die allgemeinen Parameter für das Migrieren von verwalteten Dienstkonten zusammen mit dem jeweiligen Befehlszeilenparameter und dem entsprechenden Äquivalent in der Optionsdatei. Werte Befehlszeilensyntax Optionsdateisyntax Migration zwischen Gesamtstrukturen /IF:No Intraforest=No 103 <Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne" <Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne" Kontenrechte aktualisieren /UUR:Yes UpdateUserRights=Yes Gruppenmitgliedschaften der Konten aktualisieren /FGM:Yes FixGroupMembership=Yes Migrieren von Konten-SIDs /MSS:Yes MigrateSIDs=Yes Hinweis SIDs für verwaltete Dienstkonten können Sie nur zwischen Gesamtstrukturen migrieren. Wenn Sie diesen Parameter bei einer Migration innerhalb einer Gesamtstruktur verwenden, wird ein Fehler angezeigt. 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Bei verwalteten Dienstkonten, die auf Mitgliedscomputern in der Quelldomäne gehostet sind, können Sie den Mitgliedscomputer beim Ausführen einer Computermigration mit einbeziehen. Die verwalteten Dienstkonten werden dann auf dem Mitgliedscomputer in der Zieldomäne installiert, nachdem der Computer migriert wurde. Migrieren aller Benutzerkonten Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Beginnen Sie den Vorgang zur Migration von Benutzerkonten, indem Sie alle Benutzer migrieren. Auf diese Weise werden Sie bei der Konvertierung lokaler Profile unterstützt. Außerdem wird sichergestellt, dass Benutzer nach der Migration auch weiterhin über ordnungsgemäßen Ressourcenzugriff verfügen. Hinweis 104 Integrierte Konten (z. B. Administratoren, Benutzer und Hauptbenutzer) können keine Migrationsobjekte des Active Directory-Migrationsprogramms (Active Directory Migration Tool, ADMT) sein. Da integrierte Kontosicherheitskennungen (Security Identifiers, SIDs) in jeder Domäne identisch sind, führt die Migration dieser Konten in eine Zieldomäne zu doppelt vorhandenen Sicherheitskennungen in einer Domäne. Jede Sicherheitskennung in einer Domäne muss eindeutig sein. Bekannte Konten (z. B. Domänen-Admins und Domänenbenutzer) können ebenfalls keine ADMT-Migrationsobjekte sein. Der ADMT-Vorgang zur Benutzerkontenmigration umfasst die folgenden Schritte: 1. ADMT liest die Attribute der Quellbenutzerobjekte. 2. ADMT erstellt ein neues Benutzerobjekt in der Zieldomäne und eine neue primäre Sicherheitskennung für das neue Benutzerkonto. 3. ADMT fügt die ursprüngliche Sicherheitskennung des Benutzerkontos dem Attribut SIDVerlauf des neuen Benutzerkontos hinzu. 4. ADMT migriert das Kennwort für das Benutzerkonto. 5. Wenn ADMT globale Gruppen in der Zieldomäne identifiziert, denen die migrierten Benutzer in der Quelldomäne angehört haben, fügt das Programm die Benutzer den entsprechenden globalen Gruppen in der Zieldomäne hinzu. Während der Migration werden Überwachungsereignisse in den Quell- und Zieldomänen protokolliert. Sie können Benutzerkonten mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption oder eines Skripts migrieren. Wenn Sie Benutzerkonten migrieren, bei denen AMA (Authentication Mechanism Assurance, Sicheres Authentifizierungsverfahren) aktiviert ist, verwenden Sie eine Includedatei. Geben Sie in der Includedatei die ursprünglichen UPNs (User Principal Names) aus der Quelldomäne als Ziel-UPNs an, damit AMA funktioniert. Weitere Informationen dazu finden Sie unter Verwenden einer Includedatei. Wichtig Wenn Sie eine Benutzermigration mit SID-Verlauf per Befehlszeile oder Skript starten, müssen Sie die Migration auf einem Domänencontroller in der Zieldomäne ausführen. So migrieren Sie das aktuelle Los von Benutzerkonten mithilfe des ADMT-Snap-Ins 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Verwenden Sie den Assistenten zum Migrieren von Benutzerkonten, und führen Sie die in der folgenden Tabelle beschriebenen Schritte aus. Seite des Assistenten Vorgang Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Quelldomäne an. 105 Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus. Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Zieldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, und klicken Sie auf Weiter. Benutzerauswahl Klicken Sie auf Benutzer aus Domäne auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Benutzerauswahl auf Hinzufügen, um die Benutzer in der Quelldomäne auszuwählen, die Sie im aktuellen Los migrieren möchten, klicken Sie auf OK und dann auf Weiter. Oder Klicken Sie auf Objekte aus Includedatei lesen und anschließend auf Weiter. Geben Sie den Speicherort der Includedatei ein, und klicken Sie auf Weiter. Auswahl der Organisationseinheit Stellen Sie sicher, dass in ADMT die richtige Zielorganisationseinheit aufgelistet wird. Falls es sich nicht um die richtige Organisationseinheit handelt, geben Sie diese ein, oder klicken Sie auf Durchsuchen. Suchen Sie im Dialogfeld Container suchen nach der Zieldomäne und organisationseinheit, und klicken Sie dann auf OK. Kennwortoptionen Klicken Sie auf Kennwörter für vorhandene Benutzer nicht aktualisieren. Klicken Sie auf Komplexe Kennwörter 106 generieren. Optionen für die Kontoaktualisierung Klicken Sie unter Zielkontenstatus: auf Zielkonten deaktivieren. Klicken Sie unter Optionen zum Deaktivieren des Quellkontos: auf Tage bis zum Ablaufen der Quellkonten:, und geben Sie dann die Anzahl der Tage ein, für die Sie die Quellkonten beibehalten möchten. Normalerweise wird der Wert 7 verwendet. Aktivieren Sie das Kontrollkästchen Benutzer-SIDs zur Zieldomäne migrieren. Benutzerkonto Geben Sie den Benutzernamen, das Kennwort und die Domäne eines Benutzerkontos ein, das über administrative Anmeldeinformationen in der Quelldomäne verfügt. Benutzeroptionen Aktivieren Sie das Kontrollkästchen Servergespeicherte Profile konvertieren. Deaktivieren Sie das Kontrollkästchen Benutzerrechte aktualisieren. Deaktivieren Sie das Kontrollkästchen Zugeordnete Benutzergruppen migrieren. Aktivieren Sie das Kontrollkästchen Gruppenmitgliedschaften der Benutzer korrigieren. Objekteigenschaftsausnahme Deaktivieren Sie das Kontrollkästchen Bestimmte Objekteigenschaften von der Migration ausschließen. Konfliktverwaltung Klicken Sie auf Quellobjekt nicht migrieren, wenn in der Zieldomäne ein Konflikt ermittelt wird. Stellen Sie sicher, dass die Kontrollkästchen Vor dem Zusammenführen Benutzerrechte für 107 vorhandene Zielkonten entfernen und Zusammengeführte Objekte in die angegebene Zielorganisationseinheit verschieben nicht aktiviert sind. 3. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler. 4. Starten Sie Active Directory-Benutzer und -Computer, und überprüfen Sie, ob die Benutzerkonten in der entsprechenden Organisationseinheit in der Zieldomäne vorhanden sind. So migrieren Sie Benutzerkonten mithilfe der ADMT-Befehlszeilenoption 1. Melden Sie sich auf einen Domänencontroller in der Zieldomäne, auf dem ADMT installiert ist, mithilfe des ADMT-Migrationskontos an. Wichtig Wenn Sie eine Benutzermigration mit SID-Verlauf per Befehlszeile starten, müssen Sie die Migration auf einem Domänencontroller in der Zieldomäne ausführen. 2. Geben Sie den Befehl ADMT User mit den entsprechenden Parametern in der Befehlszeile ein, und drücken Sie dann die EINGABETASTE. ADMT USER /N "<Benutzername1>" "<Benutzername2>" /SD:" <Quelldomäne>" /TD:" <Zieldomäne>" /TO:"<Zielorganisationseinheit>" /MSS:YES /TRP:YES /UUR:NO Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt über die Befehlszeile angegeben wird: ADMT USER /N "<Benutzername1>" "<Benutzername2>" /O "<Optionsdatei>.txt" In der folgenden Tabelle sind die allgemeinen Parameter zum Migrieren von Benutzerkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem entsprechenden Äquivalent in der Optionsdatei. Parameter Befehlszeilensyntax Optionsdateisyntax <Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne" <Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne" <Zielorganisationseinhe /TO:"Zielorganisationseinh it> Speicherort eit" TargetOU="Zielorganisationseinh Migrieren von SIDs /MSS:YES MigrateSIDs=YES Deaktivierungsoption /DOT:DISABLETARGET DISABLEOPTION=DISABLETARGET Ablaufdatum der Quelle /SEP:7 SOURCEEXPIRATION=7 eit" 108 Konfliktverwaltung /CO:IGNORE (Standard) Servergespeichertes Profil konvertieren /TRP:YES Benutzerrechte aktualisieren /UUR:NO UpdateUserRights=NO Kennwortoptionen /PO:COMPLEX PasswordOption=COMPLEX (Standard) ConflictOptions=IGNORE TranslateRoamingProfile=YES 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. 4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die Zielorganisationseinheit. Vergewissern Sie sich, dass die Benutzer in der Zielorganisationseinheit vorhanden sind. So migrieren Sie Benutzerkonten mithilfe eines Skripts Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle und -Optionen zur Migration von Benutzern enthält. Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“. Geben Sie in Ihrem Skript die Namen der Quell- und Zielcontainer im relativen kanonischen Format an. Wenn der Container z. B. eine untergeordnete Organisationseinheit namens Vertrieb ist und die übergeordnete Organisationseinheit West heißt, geben Sie West/Vertrieb als Containernamen an. Weitere Informationen finden Sie unter TemplateScripts.vbs im ADMT-Installationsordner. <Job id=" MigratingAllUserAccountsBetweenForests" > <Script language="VBScript" src="AdmtConstants.vbs" /> <Script language="VBScript" > Option Explicit Dim objMigration Dim objUserMigration ' 'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte. ' Set objMigration = CreateObject("ADMT.Migration" ) Set objUserMigration = objMigration.CreateUserMigration 109 ' 'Geben Sie die allgemeinen Migrationsoptionen an. ' objMigration.SourceDomain = "Quelldomäne" objMigration.SourceOu = "Quellcontainer" objMigration.TargetDomain = "Zieldomäne" objMigration.TargetOu = "Zielcontainer" objMigration.PasswordOption = admtComplexPassword objMigration.ConflictOptions = admtIgnoreConflicting ' 'Geben Sie die spezifischen Optionen der Benutzermigration an. ' objUserMigration.MigrateSIDs = True objUserMigration.TranslateRoamingProfile = True objUserMigration.UpdateUserRights = False objUserMigration.FixGroupMembership = True objUserMigration.MigrateServiceAccounts = False ' 'Migrate specified user objects. ' objUserMigration.Migrate admtData, Array("Benutzername1" , "Benutzername2" ) Set objUserMigration = Nothing Set objMigration = Nothing </Script> </Job> 110 Erneute losweise Migration von Benutzerkonten und Migration von Arbeitsstationen Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Die erneute Migration von Benutzerkonten und Arbeitsstationen in Losen unterstützt Sie beim Nachverfolgen des Migrationsprozesses. Konvertieren Sie für jedes Los von Benutzern zuerst die lokalen Benutzerprofile, und migrieren Sie dann die Arbeitsstationen. Überprüfen Sie, ob die Migration von Profilen und Arbeitsstationen erfolgreich war, und migrieren Sie dann die Benutzerkonten. Führen Sie nach jedem Los eine erneute Migration von globalen Gruppen durch. Weitere Informationen finden Sie unter Erneute Migration aller globalen Gruppen nach der Migration aller Lose weiter unten in diesem Handbuch. Konvertieren lokaler Benutzerprofile Mit dem Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) werden Profile für unterstützte Computermigrationsobjekte konvertiert. Eine Liste mit Informationen, welche Betriebssysteme für Computermigrationsobjekte für die verschiedenen Versionen von ADMT unterstützt werden, finden Sie unter Versionen vom Active Directory-Migrationsprogramm und unterstützte Umgebungen. Benutzerprofile werden lokal auf der Arbeitsstation gespeichert. Wenn sich ein Benutzer bei einer anderen Arbeitsstation anmeldet, muss er oder sie ein neues, eindeutiges lokales Benutzerprofil erstellen. Konvertieren Sie die lokalen Benutzerprofile für das erste Los von Benutzern unmittelbar nach dem Migrieren aller Benutzerkonten. Lokale Profile werden im Ersetzen-Modus konvertiert, denn bei einer Konvertierung im Hinzufügen-Modus besteht die Gefahr, dass bestimmte Aspekte von Softwareinstallationen, die Softwarebereitstellung mithilfe von Gruppenrichtlinien verwenden, nicht funktionieren. Alle Anwendungen, die mit der Windows Installer-Version 2.0 (die auf Arbeitsstationen, die Windows 2000 Server Service Pack 3 (SP3) oder Service Pack 4 (SP4) und Windows XP Service Pack 1 (SP1) oder Service Pack 2 (SP2) ausführen, sowie in vielen weit verbreiteten Softwarepaketen vorhanden ist) verpackt wurden, funktionieren möglicherweise nach dem Konvertieren des Profils nicht. Beispielsweise werden möglicherweise die Anwendungsprogrammdateien nicht entfernt, nachdem der letzte Benutzer die Anwendung entfernt hat. Wenn der ADMT-Sicherheitskonvertierungs-Assistent lokale Profile im ErsetzenModus konvertiert, kehrt er in den Hinzufügen-Modus zurück, wenn ein Profil gesperrt ist. Dies kann zu einer erfolgreichen Profilkonvertierung führen. Möglicherweise funktioniert die Installation von Anwendungen nach dem Konvertieren des Profils jedoch nicht. Hinweis Konvertieren Sie die lokalen Benutzerprofile in der Nacht, bevor Sie die Benutzer auffordern, sich mithilfe ihrer neuen Konten in der Zieldomäne anzumelden. Das 111 Konvertieren von Profilen in vorhergehenden Nacht stellt sicher, dass das neue Benutzerprofil die aktuellsten Benutzereinstellungen enthält. Sie können lokale Benutzerprofile mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption oder eines Skripts konvertieren. So konvertieren Sie lokale Benutzerprofile mithilfe des ADMT-Snap-Ins 1. Fügen Sie für jede Arbeitsstation in der Quelldomäne, die Sie migrieren, das ADMTRessourcenmigrationskonto zur lokalen Administratorgruppe hinzu. 2. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 3. Verwenden Sie den Sicherheitskonvertierungs-Assistenten, indem Sie die in der folgenden Tabelle beschriebenen Schritte ausführen. Seite des Assistenten Vorgang Optionen für die Sicherheitskonvertierung Klicken Sie auf Zuvor migrierte Objekte. Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Quelldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus. Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Zieldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, und klicken Sie auf Weiter. Computerauswahloption Klicken Sie auf Computer aus Domäne auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Computerauswahl auf Hinzufügen, um die Computer in der Quelldomäne auszuwählen, für die Sie die Sicherheit konvertieren möchten, klicken Sie auf OK, und klicken Sie dann auf Weiter. Oder 112 Klicken Sie auf Objekte aus Includedatei lesen und anschließend auf Weiter. Geben Sie den Speicherort der Includedatei ein, und klicken Sie auf Weiter. Objekte konvertieren Klicken Sie auf Benutzerprofile. Optionen für die Sicherheitskonvertierung Klicken Sie auf Ersetzen. ADMT Agent Wählen Sie Vorüberprüfung und Agent ausführen aus, und klicken Sie dann auf Start. 4. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem der Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um die Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde, müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen "MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert. So konvertieren Sie lokale Benutzerprofile mithilfe der ADMT-Befehlszeilenoption 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Geben Sie in der Befehlszeile den Befehl ADMT Security mit den entsprechenden Parametern ein, und drücken Sie dann die EINGABETASTE. ADMT SECURITY /N "<Computername1>" "<Computername2>" /SD:" <Quelldomäne>" /TD:" <Zieldomäne>" /TO:" <Zielorganisationseinheit>" /TOT:Replace /TUP:YES Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt über die Befehlszeile angegeben wird: ADMT SECURITY /N "<Computername1>" "<Computername2>" /O "<Optionsdatei>.txt" In der folgenden Tabelle sind die allgemeinen Parameter zum Migrieren von Benutzerkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem entsprechenden Äquivalent in der Optionsdatei. Parameter Befehlszeilensyntax Optionsdateisyntax <Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne" <Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne" Optionen für die /TOT:REPLACE TranslateOption=REPLACE 113 Sicherheitskonvertierung Ändern der Sicherheit des lokalen Benutzerprofils /TUP:YES TranslateUserProfiles=YES 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem der Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um die Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde, müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen "MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert. So konvertieren Sie lokale Benutzerprofile mithilfe eines Skripts Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle und -Optionen zur Konvertierung lokaler Benutzerprofile enthält. Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“. <Job id=" TranslatingLocalProfilesBetweenForests" > <Script language="VBScript" src="AdmtConstants.vbs" /> <Script language="VBScript" > Option Explicit Dim objMigration Dim objSecurityTranslation ' 'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte. ' Set objMigration = CreateObject("ADMT.Migration" ) Set objSecurityTranslation = objMigration.CreateSecurityTranslation ' 'Geben Sie die allgemeinen Migrationsoptionen an. ' 114 objMigration.SourceDomain = "Quelldomäne" objMigration.TargetDomain = "Zieldomäne" objMigration.TargetOu = "Computer" ' 'Geben Sie die spezifischen Optionen der Sicherheitskonvertierung an. ' objSecurityTranslation.TranslationOption = admtTranslateReplace objSecurityTranslation.TranslateUserProfiles = True ' 'Führen Sie die Sicherheitskonvertierung für die angegebenen Computerobjekte durch. ' objSecurityTranslation.Translate admtData, _ Array("Computername1" ,"Computername2" ) Set objSecurityTranslation = Nothing Set objMigration = Nothing </Script> </Job> Losweise Migrierung von Arbeitsstationen Migrieren Sie nach der Migration eines Loses von lokalen Benutzerprofilen das entsprechende Los der Benutzerarbeitsstationen. Wenn Sie eine Arbeitsstation zwischen Domänen migrieren, wird die SAM-Datenbank (Security Accounts Manager, Sicherheitskonto-Manager) zusammen mit dem Computer migriert. Konten in der lokalen SAM-Datenbank (z. B. lokale Gruppen), die verwendet werden, um den Zugriff auf Ressourcen zu ermöglichen, werden immer zusammen mit dem Computer verschoben. Daher müssen diese Konten nicht migriert werden. Wenn auf einer Arbeitsstation verwaltete Dienstkonten installiert sind und diese Konten zuvor migriert wurden, wird von ADMT eine Option zur erneuten Installation des migrierten verwalteten Dienstkontos auf dem migrierten Computer und zur Aktualisierung des DienststeuerungsManagers (Service Control Manager, SCM) bereitgestellt. Damit dieser Vorgang von ADMT ausgeführt werden kann, muss das Konto, von dem die Computermigration ausgeführt wird, die 115 Berechtigung zum Ändern der Sicherheitsbeschreibungen für das migrierte verwaltete Dienstkonto aufweisen. Hinweis Verwenden Sie einen kleinen Wert für den Parameter RestartDelay, um Arbeitsstationen unmittelbar oder sobald wie möglich nach deren Beitritt zur Zieldomäne erneut zu starten. Ressourcen, die nach der Migration nicht neu gestartet werden, befinden sich in einem unbestimmten Zustand. Sie können Arbeitsstationen und Mitgliedsserver mithilfe des ADMT-Snap-Ins, der ADMTBefehlszeilenoption oder eines Skripts konvertieren. So migrieren Sie Arbeitsstationen mithilfe des ADMT-Snap-Ins 1. Melden Sie sich auf dem Computer in der Zieldomäne, auf dem Sie ADMT installiert haben, mithilfe des ADMT-Ressourcenmigrationskontos an. 2. Verwenden Sie den Computermigrations-Assistenten, und führen Sie die in der folgenden Tabelle beschriebenen Schritte aus. Seite des Assistenten Vorgang Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Quelldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus. Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Zieldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, und klicken Sie auf Weiter. Computerauswahl Klicken Sie auf Computer aus Domäne auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Computerauswahl auf Hinzufügen, um die Computer in der Quelldomäne auszuwählen, die Sie migrieren möchten, klicken Sie auf OK und dann auf Weiter. Oder 116 Klicken Sie auf Objekte aus Includedatei lesen und anschließend auf Weiter. Geben Sie den Speicherort der Includedatei ein, und klicken Sie auf Weiter. Informationen zu verwalteten Dienstkonten (wird angezeigt, wenn auf dem Computer ein verwaltetes Dienstkonto installiert ist) Wählen Sie alle verwalteten Dienstkonten aus, die nicht auf dem migrierten Computer in der Zieldomäne installiert werden sollen, und klicken Sie dann auf Überspringen/Einbeziehen, um die Konten mit Überspringen zu kennzeichnen. Auswahl der Organisationseinheit Klicken Sie auf Durchsuchen. Suchen Sie im Dialogfeld Container suchen nach dem Container Computer der Zieldomäne oder der entsprechenden Organisationseinheit, und klicken Sie dann auf OK. Objekte konvertieren Aktivieren Sie das Kontrollkästchen Lokale Gruppen. Aktivieren Sie das Kontrollkästchen Benutzerrechte. Optionen für die Sicherheitskonvertierung Klicken Sie auf Hinzufügen. Computeroptionen Akzeptieren Sie im Feld Minuten, bis der Computer nach Beenden des Assistenten neu gestartet wird den Standardwert von 5 Minuten, oder geben Sie einen anderen Wert ein. Objekteigenschaftsausnahme Wenn Sie bestimmte Objekteigenschaften von der Migration ausschließen möchten, aktivieren Sie das Kontrollkästchen Bestimmte Objekteigenschaften von der Migration ausschließen, wählen Sie die Objekteigenschaften aus, die ausgeschlossen werden sollen, verschieben Sie diese in Ausgeschlossene Eigenschaften, und klicken Sie dann auf Weiter. 117 Konfliktverwaltung Klicken Sie auf Quellobjekt nicht migrieren, wenn in der Zieldomäne ein Konflikt ermittelt wird. ADMT Agent Wählen Sie Vorüberprüfung und Agent ausführen aus, und klicken Sie dann auf Start. 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem der Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um die Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde, müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen "MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert. 4. Öffnen Sie Active Directory-Benutzer und -Computer, und vergewissern Sie sich, dass die Arbeitsstationen in der entsprechenden Organisationseinheit in der Zieldomäne vorhanden sind. So migrieren Sie Arbeitsstationen mithilfe der ADMT-Befehlszeilenoption 1. Melden Sie sich auf dem Computer in der Zieldomäne, auf dem ADMT installiert ist, mithilfe des ADMT-Ressourcenmigrationskontos an. 2. Geben Sie den Befehl ADMT Computer mit den entsprechenden Parametern in der Befehlszeile ein, und drücken Sie dann die EINGABETASTE. ADMT COMPUTER /N "<Computername1>" "<Computername2>" /SD:"<Quelldomäne>" /TD:"<Zieldomäne>" /TO:"<Zielorganisationseinheit>" [/M: “<Name des einzelnen verwalteten Dienstkontos1>" "<Name des einzelnen verwalteten Dienstkontos 2>"] [/UALLMSA:Yes] /RDL:5 Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt über die Befehlszeile angegeben wird: ADMT COMPUTER /N "<Computername1>" "<Computername2>" /O:" <Optionsdatei>.txt" In der folgenden Tabelle sind die allgemeinen Parameter zur Migration von Arbeitsstationen aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem entsprechenden Äquivalent in der Optionsdatei. Parameter Befehlszeilensyntax Optionsdateisyntax <Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne" <Quellorganisationsein heit> Speicherort /SO:"Quellorganisationsei SourceOU="Quellorganisationsein nheit" heit" 118 <Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne" Aktualisieren aller verwalteten Dienstkonten /UALLMSA: YES UpdateAllManagedServiceAccoun Aktualisieren der angegebenen verwalteten Dienstkonten /M ts=Yes "Name 1" "Name 2"… UPDATEMSANAME="Name 1" "Name 2"… Hinweis Der Parameter „/M“ hat Vorrang vor dem Parameter „/UALLMS A“. <Zielorganisationseinhe /TO:"Zielorganisationseinh it> Speicherort eit" TargetOU="Zielorganisationseinh Neustartverzögerung (Minuten) /RDL:5 RestartDelay=5 Option für die Sicherheitskonvertierun g /TOT:ADD TranslationOption=ADD Konvertieren von Benutzerrechten /TUR:YES TranslateUserRights=YES Konvertieren lokaler Gruppen /TLG:YES TranslateLocalGroups=YES eit" 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Das Migrationsprotokoll listet Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden Computer auf. Wenn ein Fehler für einen Computer aufgezeichnet wurde, müssen Sie die Protokolldatei für den betreffenden Computer auf Probleme mit lokalen Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen "MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert. 4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die Zielorganisationseinheit. Vergewissern Sie sich, dass die Arbeitsstationen und Mitgliedsserver in der Zielorganisationseinheit vorhanden sind. 119 So migrieren Sie Arbeitsstationen mithilfe eines Skripts Bereiten Sie mithilfe des folgenden Beispielskripts Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“. ein Skript vor, das ADMT-Befehle und -Optionen zur Migration von Arbeitsstationen enthält. <Job id="MigratingWorkstationsBwtweenForest" > <Script language="VBScript" src="AdmtConstants.vbs" /> <Script language="VBScript" > Option Explicit Dim objMigration Dim objComputerMigration ' 'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte. ' Set objMigration = CreateObject("ADMT.Migration" ) Set objComputerMigration = objMigration.CreateComputerMigration ' 'Geben Sie die allgemeinen Migrationsoptionen an. ' objMigration.SourceDomain = "Quelldomäne" objMigration.SourceOu = "Computer" objMigration.TargetDomain = "Zieldomäne" objMigration.TargetOu = "Computer" ' 'Geben Sie die spezifischen Optionen für die Computermigration an. ' 120 objComputerMigration.RestartDelay = 1 objComputerMigration.TranslationOption = admtTranslateAdd objComputerMigration.TranslateLocalGroups = True objComputerMigration.TranslateUserRights = True objComputerMigration.UpdateAllManagedServiceAccounts = True ' 'Migrieren Sie die Computerobjekte für die angegebenen Computerobjekte. ' objComputerMigration.Migrate admtData, _ Array("Computername1" ,"Computername2" ) Set objComputerMigration = Nothing Set objMigration = Nothing </Script> </Job> Erneute losweise Migration von Benutzerkonten Nachdem Sie den Erfolg der Migration der lokalen Benutzerprofile und Benutzerarbeitsstationen für das Benutzerlos überprüft haben, migrieren Sie die Benutzerkonten für das entsprechende Los. Sie können Benutzerkonten losweise mithilfe des ADMT-Snap-Ins, der ADMTBefehlszeilenoption oder eines Skripts migrieren. Sie können Benutzerkonten mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption oder eines Skripts migrieren. Wenn Sie Benutzerkonten migrieren, bei denen AMA (Authentication Mechanism Assurance, Sicheres Authentifizierungsverfahren) aktiviert ist, verwenden Sie eine Includedatei. Geben Sie in der Includedatei die ursprünglichen UPNs (User Principal Names) aus der Quelldomäne als Ziel-UPNs an, damit AMA funktioniert. Weitere Informationen dazu finden Sie unter Verwenden einer Includedatei. Wichtig Wenn Sie eine Benutzermigration mit SID-Verlauf per Befehlszeile oder Skript starten, müssen Sie die Migration auf einem Domänencontroller in der Zieldomäne ausführen. So migrieren Sie das aktuelle Los von Benutzerkonten mithilfe des ADMT-Snap-Ins 121 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Führen Sie den Assistenten zum Migrieren von Benutzerkonten aus, indem Sie die in der folgenden Tabelle beschriebenen Schritte ausführen. Seite des Assistenten Vorgang Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Quelldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus. Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOS- oder DNS-Namen der Zieldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, und klicken Sie auf Weiter. Benutzerauswahl Klicken Sie auf Benutzer aus Domäne auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Benutzerauswahl auf Hinzufügen, um die Benutzer in der Quelldomäne auszuwählen, die Sie im aktuellen Los migrieren möchten, klicken Sie auf OK und dann auf Weiter. Oder Klicken Sie auf Objekte aus Includedatei lesen und anschließend auf Weiter. Geben Sie den Speicherort der Includedatei ein, und klicken Sie auf Weiter. Auswahl der Organisationseinheit Stellen Sie sicher, dass in ADMT die richtige Zielorganisationseinheit aufgelistet wird. Falls es sich nicht um die richtige Organisationseinheit handelt, geben Sie diese ein, oder klicken Sie auf 122 Durchsuchen. Suchen Sie im Dialogfeld Container suchen nach der Zieldomäne und organisationseinheit, und klicken Sie dann auf OK. Kennwortoptionen Klicken Sie auf Kennwörter migrieren. Geben Sie unter Quelldomänencontroller für die Kennwortmigration: den Namen des die Kennwörter exportierenden Servers ein, oder übernehmen Sie den Standardwert. Optionen für die Kontoaktualisierung Klicken Sie unter Zielkontenstatus: auf Zielkonten aktivieren. Klicken Sie unter Optionen zum Deaktivieren des Quellkontos: auf Tage bis zum Ablaufen der Quellkonten:, und geben Sie dann die Anzahl der Tage ein, für die Sie die Quellkonten beibehalten möchten. Normalerweise wird der Wert 7 verwendet. Aktivieren Sie das Kontrollkästchen Benutzer-SIDs zur Zieldomäne migrieren. Benutzerkonto Geben Sie den Benutzernamen, das Kennwort und die Domäne eines Kontos mit Administratoranmeldeinformationen ein. Benutzeroptionen Aktivieren Sie das Kontrollkästchen Servergespeicherte Profile konvertieren. Aktivieren Sie das Kontrollkästchen Benutzerrechte aktualisieren. Deaktivieren Sie das Kontrollkästchen Zugeordnete Benutzergruppen migrieren. Aktivieren Sie das Kontrollkästchen Gruppenmitgliedschaften der Benutzer korrigieren. Objekteigenschaftsausnahme Deaktivieren Sie das Kontrollkästchen 123 Bestimmte Objekteigenschaften von der Migration ausschließen. Konfliktverwaltung Aktivieren Sie das Kontrollkästchen In Konflikt stehende Objekte migrieren und zusammenführen. Deaktivieren Sie das Kontrollkästchen Vor dem Zusammenführen Benutzerrechte für vorhandene Zielkonten entfernen. Deaktivieren Sie das Kontrollkästchen Zusammengeführte Objekte in die angegebene Zielorganisationseinheit verschieben. 3. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler. 4. Öffnen Sie Active Directory-Benutzer und -Computer, und überprüfen Sie, ob die Benutzerkonten in der entsprechenden Organisationseinheit in der Zieldomäne vorhanden sind. So migrieren Sie das aktuelle Los von Benutzern mithilfe der ADMT-Befehlszeilenoption 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Geben Sie den Befehl ADMT User mit den entsprechenden Parametern in der Befehlszeile ein, und drücken Sie dann die EINGABETASTE. ADMT USER /N "<Benutzername1>" "<Benutzername2>" /SD:" <Quelldomäne>" /TD:" <Zieldomäne>" /TO:" <Zielorganisationseinheit>" /MSS:YES /TRP:YES /UUR:YES Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt über die Befehlszeile angegeben wird: ADMT USER /N "<Benutzername1>" "<Benutzername2>" /O "<Optionsdatei>.txt" In der folgenden Tabelle sind die allgemeinen Parameter zum Migrieren von Benutzerkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem entsprechenden Äquivalent in der Optionsdatei. Parameter Befehlszeilensyntax Optionsdateisyntax <Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne" <Quellorganisationsein heit> Speicherort /SO:"Quellorganisationsein SourceOU="Quellorganisationsei heit" nheit" <Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne" 124 <Zielorganisationseinhe it> Speicherort /TO:"Zielorganisationseinh TargetOU="Zielorganisationsein eit" heit" Migrieren von SIDs /MSS:YES MigrateSIDs=YES Konfliktverwaltung /CO:REPLACE ConflictOptions=REPLACE Servergespeichertes Profil konvertieren /TRP:YES Benutzerrechte aktualisieren /UUR:YES Kennwortoptionen /PO:COPY /PS:<Name (Standard) PES-Servers> TranslateRoamingProfile=YES UpdateUserRights=YES des PasswordOption=COPY PasswordServer=:<Name des PES-Servers> Ablaufdatum der Quelle /SEP:7 SourceExpiration=7 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. 4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die Ziel-OU. Vergewissern Sie sich, dass die Benutzer in der Zielorganisationseinheit vorhanden sind. So migrieren Sie das aktuelle Los von Benutzern mithilfe eines Skripts Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle und -Optionen zur Migration von Benutzern enthält. Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“. <Job id="MigratingUserAccountsInBatchesBetweenForests" > <Script language="VBScript" src="AdmtConstants.vbs" /> <Script language="VBScript" > Option Explicit Dim objMigration Dim objUserMigration ' 'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte. ' Set objMigration = CreateObject("ADMT.Migration" ) 125 Set objUserMigration = objMigration.CreateUserMigration ' 'Geben Sie die allgemeinen Migrationsoptionen an. ' objMigration.SourceDomain = "Quelldomäne" objMigration.SourceOu = "Quellcontainer" objMigration.TargetDomain = "Zieldomäne" objMigration.TargetOu = "Zielcontainer" objMigration.PasswordOption = admtCopyPassword objMigration.PasswordServer = "Name des Kennwortexportservers" objMigration.ConflictOptions = admtReplaceConflicting ' 'Geben Sie die spezifischen Optionen der Benutzermigration an. ' objUserMigration.SourceExpiration = 7 objUserMigration.MigrateSIDs = True objUserMigration.TranslateRoamingProfile = True objUserMigration.UpdateUserRights = True objUserMigration.FixGroupMembership = True objUserMigration.MigrateServiceAccounts = False ' 'Migrate specified user objects. ' objUserMigration.Migrate admtData, Array("Benutzername1" , "Benutzername2" ) Set objUserMigration = Nothing Set objMigration = Nothing </Script> </Job> 126 Erneute Migration aller globalen Gruppen nach der Kontenmigration Eine umfangreiche Benutzerkontenmigration kann sich über einen längeren Zeitraum erstrecken. Daher kann nach dem Migrieren der einzelnen Benutzerlose die erneute Migration von globalen Gruppen von der Quell- zur Zieldomäne erforderlich sein, um die an der Gruppenmitgliedschaft in der Quelldomäne nach dem Stattfinden der ursprünglichen Migration der globalen Gruppen vorgenommenen Änderungen zu berücksichtigen. Weitere Informationen zur erneuten Migration globaler Gruppen sowie entsprechende Vorgehensweisen finden Sie unter Erneute Migration aller globalen Gruppen nach der Migration aller Lose weiter unten in diesem Handbuch. Erneute Migration aller globalen Gruppen nach der Migration aller Lose Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Führen Sie nach der Migration aller Lose eine abschließende erneute globale Migration durch, um sicherzustellen, dass alle Änderungen letzter Hand, die an der globalen Gruppenmitgliedschaft in der Quelldomäne vorgenommen wurden, in die Zieldomäne übernommen werden. Sie können die erneute Migration globaler Gruppen mithilfe des ADMTSnap-Ins, der ADMT-Befehlszeilenoption oder eines Skripts ausführen. Wichtig Wenn Sie eine globale Gruppenmigration mit SID-Verlauf per Befehlszeile oder Skript starten, müssen Sie die Migration auf einem Domänencontroller in der Zieldomäne ausführen. So migrieren Sie globale Gruppen erneut mithilfe des ADMT-Snap-Ins 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Verwenden Sie den Assistenten zum Migrieren von Gruppenkonten, und führen Sie die in der folgenden Tabelle beschriebenen Schritte aus. Seite des Assistenten Vorgang Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Quelldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus. 127 Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Zieldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, und klicken Sie auf Weiter. Gruppenauswahl Klicken Sie auf Gruppen aus Domäne auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Gruppenauswahl auf Hinzufügen, um die zu migrierenden Gruppen in der Quelldomäne auszuwählen, klicken Sie auf OK, und klicken Sie dann auf Weiter. Oder Klicken Sie auf Objekte aus Includedatei lesen und anschließend auf Weiter. Geben Sie den Speicherort der Includedatei ein, und klicken Sie auf Weiter. Auswahl der Organisationseinheit Geben Sie den Namen der Organisationseinheit (Organizational Unit, OU) ein, oder klicken Sie auf Durchsuchen. Suchen Sie im Dialogfeld Container suchen den Container in der Zieldomäne, in den die globalen Gruppen verschoben werden sollen, und klicken Sie dann auf OK. Gruppenoptionen Klicken Sie auf Benutzerrechte aktualisieren. Stellen Sie sicher, dass Gruppenmitglieder kopieren nicht ausgewählt ist. Stellen Sie sicher, dass Migrierte Objekte aktualisieren nicht ausgewählt ist. Klicken Sie auf Gruppenmitgliedschaft korrigieren. 128 Klicken Sie auf Gruppen-SIDs zur Zieldomäne migrieren. Benutzerkonto Geben Sie den Benutzernamen, das Kennwort und die Domäne eines Kontos ein, das über administrative Rechte in der Quelldomäne verfügt. Objekteigenschaftsausnahme Deaktivieren Sie das Kontrollkästchen Bestimmte Objekteigenschaften von der Migration ausschließen. Konfliktverwaltung Aktivieren Sie das Kontrollkästchen In Konflikt stehende Objekte migrieren und zusammenführen (alle anderen Optionen sind deaktiviert). 3. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler. 4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die Zielorganisationseinheit. Überprüfen Sie, ob die globalen Gruppen in der Organisationseinheit der Zieldomäne vorhanden sind. So migrieren Sie globale Gruppen erneut mithilfe der ADMT-Befehlszeilenoption 1. Melden Sie sich auf einen Domänencontroller in der Zieldomäne, auf dem ADMT installiert ist, mithilfe des ADMT-Migrationskontos an. Wichtig Wenn Sie eine globale Gruppenmigration mit SID-Verlauf per Befehlszeile starten, müssen Sie die Migration auf einem Domänencontroller in der Zieldomäne ausführen. 2. Geben Sie in der Befehlszeile den Befehl ADMT Group mit den entsprechenden Parametern ein, und drücken Sie dann die EINGABETASTE. ADMT GROUP /N "<Gruppenname1>" "<Gruppenname2>" /SD:" <Quelldomäne>" /TD:" <Zieldomäne>" /TO:" <Zielorganisationseinheit>" /MSS:YES /CO:REPLACE Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt über die Befehlszeile angegeben wird: ADMT GROUP /N "<Gruppenname1>" "<Gruppenname2>" /O: "<Optionsdatei>.txt" In der folgenden Tabelle sind die allgemeinen Parameter zur Migration globaler Gruppen aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem entsprechenden Äquivalent in der Optionsdatei. Parameter Befehlszeilensyntax Optionsdateisyntax 129 <Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne" <Quellorganisationsein heit> Speicherort /SO:"Quellorganisationsein SourceOU="Quellorganisationsei heit" nheit" <Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne" <Zielorganisationseinhe it> Speicherort /TO:"Zielorganisationseinh TargetOU="Zielorganisationsein eit" heit" Migrieren von GG SIDs /MSS:YES MigrateSIDs=YES Konfliktverwaltung /CO:REPLACE ConflictOptions=REPLACE 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. 4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die Ziel-OU. Überprüfen Sie, ob die globalen Gruppen in der Organisationseinheit der Zieldomäne vorhanden sind. So migrieren Sie globale Gruppen erneut mithilfe eines Skripts Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle und -Optionen zur Migration globaler Gruppen enthält. Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“. <Job id=" RemigratingGlobalGroupsBetweenForests" > <Script language="VBScript" src="AdmtConstants.vbs" /> <Script language="VBScript" > Option Explicit Dim objMigration Dim objGroupMigration ' 'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte. ' Set objMigration = CreateObject("ADMT.Migration" ) Set objGroupMigration = objMigration.CreateGroupMigration ' 130 'Geben Sie die allgemeinen Migrationsoptionen an. ' objMigration.SourceDomain = "Quelldomäne" objMigration.SourceOu = "Quellcontainer" objMigration.TargetDomain = "Zieldomäne" objMigration.TargetOu = "Zielcontainer" objMigration.ConflictOptions = admtReplaceConflicting ' 'Geben Sie die spezifischen Optionen der Gruppenmigration an. ' objGroupMigration.MigrateSIDs = True ' 'Migrieren Sie die angegebenen Gruppenobjekte. ' objGroupMigration.Migrate admtData, Array("Gruppenname1" ,"Gruppenname2" ) Set objGroupMigration = Nothing Set objMigration = Nothing </Script> </Job> Migrieren von Konten ohne Verwendung des SID-Verlaufs Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Wenn Sie nicht den SID-Verlauf (Security Identifier) für den Ressourcenzugriff verwenden, weil zwischen Ihren Gesamtstrukturen SID-Filterung aktiv ist, umfasst der Migrationsprozess die 131 Ausführung der folgenden Schritte. Zuerst migrieren Sie alle Benutzerkonten – aktivieren sie jedoch nicht in der Zieldomäne –, um die Zieldomäne voraufzufüllen und die Migration von Benutzerprofilen zu ermöglichen. Anschließend führen Sie Sicherheitskonvertierung für alle Ressourcen aus, auf die von Benutzern gesamtstrukturübergreifend zugegriffen wird. Der nächste Schritt besteht in der losweisen Migration von Benutzern, indem zuerst das Benutzerprofil, dann die Arbeitsstation und schließlich das Benutzerkonto migriert wird. Schließlich müssen die globalen Gruppen erneut migriert werden, um alle Änderungen zu übernehmen, die an den globalen Gruppen der Quelldomäne vorgenommen wurden, und die Sicherheit im Entfernen-Modus zu konvertieren. Es bleibt jedoch wichtig, den SID-Verlauf zu migrieren, obwohl der SID-Verlauf nicht von Benutzerkonten für den Ressorucenzugriff verwendet wird. Dadurch wird sichergestellt, dass Vorgänge wie der Offlinedateizugriff weiterhin in der Gesamtstruktur funktionieren. Das Migrieren des SID-Verlaufs stellt keine Bedrohung der Sicherheit dar, weil zwischen der Quell- und der Zielgesamtstruktur SID-Filterung zum Einsatz kommt. Stellen Sie vor dem Migrieren aller Benutzerkonten sicher, dass Sie Testkonten erstellt haben, die Sie zum Überprüfen der erfolgreichen Migration jedes Loses verwenden können. Führen Sie die folgenden Schritte aus, um Benutzerkonten in die Zieldomäne zu migrieren: 1. Migrieren Sie die verwalteten Dienstkonten. Die verwalteten Dienstkonten müssen vor den Computern migriert werden. 2. Migrieren Sie alle Benutzer. Verwenden Sie die Option Gruppenmitgliedschaften der Benutzer korrigieren, um das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) die globalen Gruppen in der Zieldomäne identifizieren zu lassen, denen der Benutzer in der Quelldomäne angehörte, und den Benutzer den entsprechenden globalen Gruppen in der Zieldomäne hinzuzufügen. Lassen Sie das Benutzerkonto in der Quelldomäne für diese ursprüngliche Benutzermigration aktiviert, in der Zieldomäne jedoch deaktiviert. 3. Konvertieren Sie die Sicherheit für Dateien, Freigaben, Drucker, lokale Gruppen und domänenlokale Gruppen im Hinzufügen-Modus. 4. Konvertieren Sie lokale Benutzerprofile für ein Los von Benutzern. 5. Migrieren Sie Arbeitsstationen in Losen, die den Losen der Benutzerkonten entsprechen. 6. Überprüfen Sie vor dem Migrieren des Loses von Benutzerkonten, ob die Migration der lokalen Profile und der Arbeitsstationen für alle Benutzer im Los erfolgreich war. Migrieren Sie keine Benutzerkonten, bei deren Profil- oder Arbeitsstationsmigration Fehler aufgetreten sind, da dies zum Überschreiben der vorhandenen Benutzerprofile führt, wenn sich die Benutzer bei der Zieldomäne anmelden. 7. Migrieren Sie die Benutzerkonten erneut in kleinen Losen mit den Konten, deren Ablauf in der Quelldomäne in sieben Tagen festgelegt wird, bei aktiviertem Zielkonto, aktivierter Migration von Kennwörtern und aktivierter Migration aller Attribute. 8. Führen Sie nach jedem Los eine erneute Migration aller globalen Gruppen durch, um alle Änderungen an der Gruppenmitgliedschaft zu aktualisieren. 132 9. Führen Sie nach der Migration aller Benutzer eine abschließende Migration der globalen Gruppen aus, um alle Änderungen an der Gruppenmitgliedschaft zu aktualisieren. 10. Konvertieren Sie die Sicherheit für Dateien, freigegebene Ordner, Drucker, lokale Gruppen und domänenlokale Gruppen im Entfernen-Modus. 11. Fordern Sie die Benutzer im Los auf, sich bei der Zieldomäne anzumelden. Führen Sie die Verwaltung der Mitgliedschaft in globalen Gruppen bis zum Abschluss der Migration aller Benutzer- und Gruppenkonten weiterhin in der Quelldomäne aus. In der folgenden Abbildung sind die für die Migration von Konten, die für den Ressourcenzugriff nicht den SID-Verlauf verwenden, erforderlichen Schritte dargestellt. Migrieren von verwalteten Dienstkonten Ein verwaltetes Dienstkonto ist ein Domänenkontoobjekt, das im Active Directory-Schema von Windows Server 2008 R2 verfügbar ist. Ein verwaltetes Dienstkonto kann auf Computern installiert werden, auf denen Windows 7 oder Windows Server 2008 R2 ausgeführt wird. Nur ADMT v3.2 kann verwaltete Dienstkonten migrieren. Das Ermitteln und Migrieren verwalteter Dienstkonten mithilfe von ADMT v3.2 erfolgt in zwei Schritten: 133 1. Verwenden Sie den Assistenten zum Migrieren von verwalteten Dienstkonten oder das Befehlszeilenprogramm admt managedserviceaccount, um verwaltete Dienstkonten wie in diesem Thema beschrieben in die Zieldomäne zu migrieren. 2. Verwenden Sie den Computermigrations-Assistenten oder das Befehlszeilenprogramm admt computer, um die Computer zu migrieren, auf denen die verwalteten Dienstkonten gehostet sind. Weitere Informationen über das Migrieren von Computern bei einer Migration zwischen Gesamtstrukturen finden Sie unter Erneute losweise Migration von Benutzerkonten und Migration von Arbeitsstationen. Weitere Informationen über das Migrieren von Computern bei einer Migration innerhalb einer Gesamtstruktur finden Sie unter Migrieren von Arbeitsstationen und Mitgliedsservern. Die verwalteten Dienstkonten, die im vorherigen Schritt migriert und ursprünglich auf den migrierten Computern installiert wurden, werden bei der Computermigration identifiziert. Nach Abschluss der Computermigration werden die verwalteten Dienstkonten erneut auf dem Computer in der Zieldomäne installiert (sofern nicht eine Anforderung vorliegt, diese zu überspringen). Wenn Sie eine Sicherheitskonvertierung auf den Mitgliedsservern ausgeführt haben, die über Ressourcen verfügen, den verwalteten Dienstkonten Berechtigungen zu erteilen, verfügen die Konten in der Zieldomäne über dieselben Berechtigungen für den Ressourcenzugriff wie in der Quelldomäne. Wichtig Bei der Migration verwalteter Dienstkonten zwischen Domänen in derselben Gesamtstruktur müssen Sie auf den Mitgliedsservern in der Quelldomäne, die über Ressourcen verfügen, den verwalteten Dienstkonten Berechtigungen zu erteilen, die Sicherheitskonvertierung ausführen. Bei einer Migration innerhalb einer Gesamtstruktur ist eine Sicherheitskonvertierung normalerweise nicht erforderlich, da die SID mit dem Konto verschoben wird. Verwaltete Dienstkonten, die zwischen Domänen innerhalb einer Gesamtstruktur migriert werden, werden kopiert. In der Zieldomäne wird ein neues Konto erstellt, und die Kontoeigenschaften (mit Ausnahme der SID) werden aus der Quelldomäne kopiert. Aus diesem Grund muss die Sicherheitskonvertierung ausgeführt werden. Wenn die Ressourcen in der Quelldomäne, die dem verwalteten Dienstkonto Berechtigungen erteilen, auf demselben Computer gehostet werden wie das verwaltete Dienstkonto, empfiehlt es sich, die Sicherheitskonvertierung für die entsprechenden Ressourcen (Dateien und Ordner, lokale Gruppen usw.) auf der Seite Objekte konvertieren im Computermigrations-Assistenten auszuwählen. Wenn sich die Ressourcen auf anderen Computern befinden, die nicht migriert werden, müssen Sie auf diesen Computern den SicherheitskonvertierungsAssistenten ausführen und auf der Seite Optionen für die Sicherheitskonvertierung die Option Zuvor migrierte Objekte auswählen oder die MSA-Konten explizit in einer SID-Zuordnungsdatei bereitstellen. Weitere Informationen zur Sicherheitskonvertierung finden Sie unter Konvertieren der Sicherheit auf Mitgliedsservern. 134 So werden verwaltete Dienstkonten mit ADMT-Snap-In migriert 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Klicken Sie im ADMT-Snap-In auf Vorgang, und klicken Sie dann auf Assistent zum Migrieren von verwalteten Dienstkonten. 3. Führen Sie den Assistenten zum Migrieren von verwalteten Dienstkonten mit den Informationen aus der folgenden Tabelle aus. Seite des Assistenten Vorgang Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Quelldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus. Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOS- oder DNS-Namen der Zieldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, und klicken Sie auf Weiter. Option für die Auswahl verwalteter Dienstkonten Klicken Sie auf Verwaltete Dienstkonten aus Domäne auswählen, um verwaltete Dienstkonten entweder mithilfe des Dialogfelds für die Objektauswahl oder mittels einer Includedatei aus der Domäne zu migrieren. Diese Option eignet sich optimal, wenn alle verwalteten Dienstkonten aus der Quelldomäne migriert werden sollen. Oder Klicken Sie auf Computer für die Abfrage nach installierten verwalteten Dienstkonten angeben, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Auswahl verwalteter Dienstkonten auf Hinzufügen, um die Computerkonten in 135 der Quelldomäne auszuwählen, die Sie nach verwalteten Dienstkonten abfragen möchten, klicken Sie auf OK und dann auf Weiter. Diese Option bietet sich bevorzugt an, wenn nur verwaltete Dienstkonten migriert werden sollen, die auf bestimmten Computern installiert sind. Auf jedem von Ihnen angegebene Computer können mehrere verwaltete Dienstkonten installiert sein. Sie können diese beiden Optionen auch miteinander kombinieren, indem Sie sich im Assistenten zurück und wieder vorwärts bewegen. So können Sie z. B. Computer angeben, die abgefragt werden sollen, und die auf diesen Computern installierten verwalteten Dienstkonten dann der Liste der Konten hinzufügen, die migriert werden sollen. Anschließend können Sie im Assistenten auf Zurück klicken, um wieder auf diese Seite zurückzukehren und weitere verwaltete Dienstkonten aus der Domäne oder aus einer Includedatei auswählen. Option für die Auswahl verwalteter Dienstkonten Diese Seite wird nur dann angezeigt, wenn Sie verwaltete Dienstkonten aus der Domäne auswählen. Klicken Sie auf Verwaltete Dienstkonten aus Domäne auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Auswahl verwalteter Dienstkonten auf Hinzufügen, um die Konten in der Quelldomäne auszuwählen, die Sie migrieren möchten, klicken Sie auf OK, und klicken Sie dann auf Weiter. Oder Klicken Sie auf Objekte aus Includedatei lesen und anschließend auf Weiter. Geben Sie den Speicherort der Includedatei ein, und klicken Sie auf Weiter. Auswahl der Organisationseinheit Klicken Sie auf Durchsuchen, um einen Speicherort für die migrierten Konten anzugeben, und klicken Sie anschließend 136 auf Weiter. Optionen für verwaltete Dienstkonten Aktivieren Sie das Kontrollkästchen Kontenrechte aktualisieren. Aktivieren Sie das Kontrollkästchen Gruppenmitgliedschaften der Konten korrigieren. Wenn das Konto in eine andere Gesamtstruktur migriert wird, aktivieren Sie das Kontrollkästchen Konto-SIDs in Zieldomäne migrieren. Diese Option ist bei einer Migration innerhalb einer Gesamtstruktur nicht verfügbar. Klicken Sie auf Weiter. Geben Sie den Benutzernamen, das Kennwort und die Domäne eines Kontos ein, das administrative Anmeldeinformationen in der Quelldomäne besitzt, und klicken Sie dann auf Weiter. Fertigstellen des Assistenten Überprüfen Sie Ihre Auswahl, und klicken Sie dann auf Fertig stellen. 4. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler. 5. Starten Sie Active Directory-Benutzer und -Computer, und überprüfen Sie dann, ob die verwalteten Dienstkonten in der entsprechenden Organisationseinheit in der Zieldomäne vorhanden sind. So migrieren Sie verwaltete Dienstkonten mithilfe der ADMT-Befehlszeilenoption 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: ADMT MANAGEDSERVICEACCOUNT /N "<Verwaltetes_Dienstkonto1_Name>" "<Verwaltetes_Dienstkonto2_Name>" /IF:NO /SD:"<Quelldomäne>" /TD:"<Zieldomäne>" /UUR:YES /FGM:YES /MSS:YES Dabei stehen <Verwaltetes_Dienstkonto1_Name> und <Verwaltetes_Dienstkonto2_Name> für die Namen der verwalteten Dienstkonten in der Quelldomäne. Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt über die Befehlszeile angegeben wird: ADMT MANAGEDSERVICEACCOUNT /N "<Verwaltetes_Dienstkonto1_Name>" 137 "<Verwaltetes_Dienstkonto2_Name>" /O:"<Optionsdatei>.txt" Die folgende Tabelle enthält die allgemeinen Parameter für das Migrieren von verwalteten Dienstkonten zusammen mit dem jeweiligen Befehlszeilenparameter und dem entsprechenden Äquivalent in der Optionsdatei. Werte Befehlszeilensyntax Optionsdateisyntax Migration zwischen Gesamtstrukturen /IF:No Intraforest=No <Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne" <Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne" Kontenrechte aktualisieren /UUR:Yes UpdateUserRights=Yes Gruppenmitgliedschaften der Konten aktualisieren /FGM:Yes FixGroupMembership=Yes Migrieren von Konten-SIDs /MSS:Yes MigrateSIDs=Yes Hinweis SIDs für verwaltete Dienstkonten können Sie nur zwischen Gesamtstrukturen migrieren. Wenn Sie diesen Parameter bei einer Migration innerhalb einer Gesamtstruktur verwenden, wird ein Fehler angezeigt. 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Bei verwalteten Dienstkonten, die auf Mitgliedscomputern in der Quelldomäne gehostet sind, können Sie den Mitgliedscomputer beim Ausführen einer Computermigration mit einbeziehen. Die verwalteten Dienstkonten werden dann auf dem Mitgliedscomputer in der Zieldomäne installiert, nachdem der Computer migriert wurde. 138 Migrieren aller Benutzerkonten Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Beginnen Sie den Vorgang zur Migration von Benutzerkonten, indem Sie alle Benutzer migrieren. Anschließend können Sie die Sicherheit für alle Dateien, Drucker, freigegebenen Ordner, lokalen Gruppen und domänenlokalen Gruppen konvertieren. Dadurch ist sichergestellt, dass Benutzer nach der Migration weiterhin den passenden Zugriff auf Ressourcen besitzen. Hinweis Integrierte Konten (z. B. Administratoren, Benutzer und Hauptbenutzer) können keine Migrationsobjekte des Active Directory-Migrationsprogramms (Active Directory Migration Tool, ADMT) sein. Da integrierte Kontosicherheitskennungen (Security Identifiers, SIDs) in jeder Domäne identisch sind, führt die Migration dieser Konten in eine Zieldomäne zu doppelt vorhandenen Sicherheitskennungen in einer Domäne. Jede Sicherheitskennung in einer Domäne muss eindeutig sein. Bekannte Konten (z. B. Domänen-Admins und Domänenbenutzer) können ebenfalls keine ADMT-Migrationsobjekte sein. Der ADMT-Vorgang zur Benutzerkontenmigration umfasst die folgenden Schritte: 1. ADMT liest die Attribute der Quellbenutzerobjekte. 2. ADMT erstellt ein neues Benutzerobjekt in der Zieldomäne und eine neue primäre Sicherheitskennung für das neue Benutzerkonto. 3. ADMT fügt die ursprüngliche Sicherheitskennung des Benutzerkontos dem Attribut SIDVerlauf des neuen Benutzerkontos hinzu. 4. ADMT migriert das Kennwort für das Benutzerkonto. 5. Wenn ADMT globale Gruppen in der Zieldomäne identifiziert, denen die migrierten Benutzer in der Quelldomäne angehört haben, fügt das Programm die Benutzer den entsprechenden globalen Gruppen in der Zieldomäne hinzu. Während der Migration werden Überwachungsereignisse in den Quell- und Zieldomänen protokolliert. Sie können Benutzerkonten mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption oder eines Skripts migrieren. Wenn Sie Benutzerkonten migrieren, bei denen AMA (Authentication Mechanism Assurance, Sicheres Authentifizierungsverfahren) aktiviert ist, verwenden Sie eine Includedatei. Geben Sie in der Includedatei die ursprünglichen UPNs (User Principal Names) aus der Quelldomäne als Ziel-UPNs an, damit AMA funktioniert. Weitere Informationen dazu finden Sie unter Verwenden einer Includedatei. So migrieren Sie Benutzerkonten mithilfe des ADMT-Snap-Ins 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Verwenden Sie den Assistenten zum Migrieren von Benutzerkonten, und führen Sie die in der folgenden Tabelle beschriebenen Schritte aus. 139 Seite des Assistenten Vorgang Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Quelldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus. Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Zieldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, und klicken Sie auf Weiter. Benutzerauswahl Klicken Sie auf Benutzer aus Domäne auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Benutzerauswahl auf Hinzufügen, um die Benutzer in der Quelldomäne auszuwählen, die Sie im aktuellen Los migrieren möchten, klicken Sie auf OK und dann auf Weiter. Oder Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMTKontos an. Auswahl der Organisationseinheit Stellen Sie sicher, dass in ADMT die richtige Zielorganisationseinheit (Organizational Unit, OU) aufgelistet wird. Falls es sich nicht um die richtige Organisationseinheit handelt, geben Sie diese ein, oder klicken Sie auf Durchsuchen. Suchen Sie im Dialogfeld Container suchen nach der Zieldomäne und organisationseinheit, und klicken Sie dann auf OK. 140 Kennwortoptionen Klicken Sie auf Kennwörter für vorhandene Benutzer nicht aktualisieren. Klicken Sie auf Komplexe Kennwörter generieren. Optionen für die Kontoaktualisierung Klicken Sie unter Zielkontenstatus: auf Zielkonten deaktivieren. Klicken Sie unter Optionen zum Deaktivieren des Quellkontos: auf Tage bis zum Ablaufen der Quellkonten:, und geben Sie dann die Anzahl der Tage ein, für die Sie die Quellkonten beibehalten möchten. Normalerweise wird der Wert 7 verwendet. Aktivieren Sie das Kontrollkästchen Benutzer-SIDs zur Zieldomäne migrieren. Benutzerkonto Geben Sie den Benutzernamen, das Kennwort und die Domäne eines Benutzerkontos ein, das über administrative Anmeldeinformationen in der Quelldomäne verfügt. Benutzeroptionen Aktivieren Sie das Kontrollkästchen Servergespeicherte Profile konvertieren. Aktivieren Sie das Kontrollkästchen Benutzerrechte aktualisieren. Deaktivieren Sie das Kontrollkästchen Zugeordnete Benutzergruppen migrieren. Aktivieren Sie Gruppenmitgliedschaften der Benutzer korrigieren. Objekteigenschaftsausnahme Deaktivieren Sie das Kontrollkästchen Bestimmte Objekteigenschaften von der Migration ausschließen. Konfliktverwaltung Aktivieren Sie das Kontrollkästchen Quellobjekt nicht migrieren, wenn in der Zieldomäne ein Konflikt ermittelt 141 wird. Stellen Sie sicher, dass die Kontrollkästchen Vor dem Zusammenführen Benutzerrechte für vorhandene Zielkonten entfernen und Zusammengeführte Objekte in die angegebene Zielorganisationseinheit verschieben nicht aktiviert sind. 3. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler. 4. Öffnen Sie Active Directory-Benutzer und -Computer, und überprüfen Sie, ob die Benutzerkonten in der entsprechenden Organisationseinheit in der Zieldomäne vorhanden sind. So migrieren Sie Benutzerkonten mithilfe der ADMT-Befehlszeilenoption 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Geben Sie in der Befehlszeile den Befehl ADMT User mit den entsprechenden Parametern ein, und drücken Sie dann die EINGABETASTE: ADMT USER /N "<Benutzername1>" "<Benutzername2>" /SD:" <Quelldomäne>" /TD:" <Zieldomäne>" /TO:" <Zielorganisationseinheit>" /MSS:YES /TRP:YES /UUR:YES Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt über die Befehlszeile angegeben wird: ADMT USER /N "<Benutzername1>" "<Benutzername2>" /O "<Optionsdatei>.txt" In der folgenden Tabelle sind die allgemeinen Parameter zum Migrieren von Benutzerkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem entsprechenden Äquivalent in der Optionsdatei. Parameter Befehlszeilensyntax Optionsdateisyntax <Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne" <Quellorganisationsein heit> Speicherort /SO:"Quellorganisationsein SourceOU="Quellorganisationsei heit" nheit" <Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne" <Zielorganisationseinhe it> Speicherort /TO:"Zielorganisationseinh TargetOU="Zielorganisationsein eit" heit" Migrieren von SIDs /MSS:YES MigrateSIDs=YES Konfliktverwaltung /CO:IGNORE (Standard) ConflictOptions=IGNORE 142 Servergespeichertes Profil konvertieren /TRP:YES (Standard) Benutzerrechte aktualisieren /UUR:YES Kennwortoptionen /PO:COMPLEX TranslateRoamingProfile=YES UpdateUserRights=YES (Standard) PasswordOption=COMPLEX 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. 4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die Zielorganisationseinheit. Vergewissern Sie sich, dass die Benutzer in der Zielorganisationseinheit vorhanden sind. So migrieren Sie Benutzerkonten mithilfe eines Skripts Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle und -Optionen zur Migration von Benutzern enthält. Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“. <Job id=" MigratingAllUserAccountsBetweenForests" > <Script language="VBScript" src="AdmtConstants.vbs" /> <Script language="VBScript" > Option Explicit Dim objMigration Dim objUserMigration ' 'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte. ' Set objMigration = CreateObject("ADMT.Migration" ) Set objUserMigration = objMigration.CreateUserMigration ' 'Geben Sie die allgemeinen Migrationsoptionen an. ' 143 objMigration.SourceDomain = "Quelldomäne" objMigration.SourceOu = "Quellcontainer" objMigration.TargetDomain = "Zieldomäne" objMigration.TargetOu = "Zielcontainer" objMigration.PasswordOption = admtComplexPassword objMigration.ConflictOptions = admtIgnoreConflicting ' 'Geben Sie die spezifischen Optionen der Benutzermigration an. ' objUserMigration.MigrateSIDs = True objUserMigration.TranslateRoamingProfile = True objUserMigration.UpdateUserRights = True objUserMigration.FixGroupMembership = True objUserMigration.MigrateServiceAccounts = False ' 'Migrate specified user objects. ' objUserMigration.Migrate admtData, Array("Benutzername1" , "Benutzername2" ) Set objUserMigration = Nothing Set objMigration = Nothing </Script> </Job> 144 Konvertieren der Sicherheit im HinzufügenModus Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Ausführen der Sicherheitskonvertierung auf Servern, um die Sicherheitskennungen (SIDs) der Benutzer- und Gruppenkonten in der Zieldomäne den Zugriffssteuerungslisten (Access Control Lists, ACLs) der Ressourcen hinzuzufügen. Nach der Migration von Objekten in die Zieldomäne enthalten die Objekte sowohl die ACL-Einträge der Quelldomäne als auch die der Zieldomäne. Verwenden Sie den Sicherheitskonvertierungs-Assistenten im Active DirectoryMigrationsprogramm (Active Directory Migration Tool, ADMT), um der Zieldomäne die SIDs aus den migrierten Objekten hinzuzufügen. Führen Sie den Sicherheitskonvertierungs-Assistenten für alle Dateien, Drucker und lokalen Gruppen sowie mindestens einen Domänencontroller aus (um die Sicherheit für freigegebene lokale Gruppen zu konvertieren). Sie können Sicherheit für Objekte mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption oder eines Skripts im Hinzufüge-Modus konvertieren. So konvertieren Sie die Sicherheit für Objekte im Hinzufügen-Modus mithilfe des ADMTSnap-Ins 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Verwenden Sie den Sicherheitskonvertierungs-Assistenten, indem Sie die in der folgenden Tabelle beschriebenen Schritte ausführen. Seite des Assistenten Vorgang Optionen für die Sicherheitskonvertierung Klicken Sie auf Zuvor migrierte Objekte. Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Quelldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus. Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Zieldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, 145 und klicken Sie auf Weiter. Computerauswahl Klicken Sie auf Computer aus Domäne auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Computerauswahl auf Hinzufügen, um die Computer auszuwählen, für die Sie die Sicherheit konvertieren möchten, klicken Sie auf OK, und klicken Sie dann auf Weiter. Oder Klicken Sie auf Objekte aus Includedatei lesen und anschließend auf Weiter. Geben Sie den Speicherort der Includedatei ein, und klicken Sie auf Weiter. Objekte konvertieren Deaktivieren Sie das Kontrollkästchen Benutzerprofile. Aktivieren Sie alle anderen Kontrollkästchen. Optionen für die Sicherheitskonvertierung Klicken Sie auf Hinzufügen. Dialogfeld "ADMT-Agent" Wählen Sie Vorüberprüfung und Agent ausführen aus, und klicken Sie dann auf Start. 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem der Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um die Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde, müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen "MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert. So konvertieren Sie die Sicherheit für Objekte im Hinzufügen-Modus mithilfe der ADMTBefehlszeilenoption 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Geben Sie den Befehl ADMT Security mit den entsprechenden Parametern in der Befehlszeile ein, und drücken Sie dann die EINGABETASTE. ADMT SECURITY /N "<Computername1>" "<Computername2>" /SD:" <Quelldomäne>" /TD:" 146 <Zieldomäne>" /TO:" <Zielorganisationseinheit>" /TOT:Add Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt über die Befehlszeile angegeben wird: ADMT SECURITY /N "<Computername1>" "<Computername2>" /O "<Optionsdatei>.txt" In der folgenden Tabelle sind die allgemeinen Parameter zum Migrieren von Benutzerkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem entsprechenden Äquivalent in der Optionsdatei. Parameter Befehlszeilensyntax Optionsdateisyntax <Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne" <Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne" Optionen für die Sicherheitskonvertierung /TOT:Add TranslateOption=ADD 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem der Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um die Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde, müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen "MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert. So konvertieren Sie die Sicherheit für Objekte im Hinzufügen-Modus mithilfe eines Skripts Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle und -Optionen zum Konvertieren der Sicherheit für Objekte im Hinzufügen-Modus enthält. Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“. <Job id=" TranslatingSecurityInAddModeOnObjectsBetweenForests" > <Script language="VBScript" src="AdmtConstants.vbs" /> <Script language="VBScript" > Option Explicit Dim objMigration Dim objSecurityTranslation ' 147 'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte. ' Set objMigration = CreateObject("ADMT.Migration" ) Set objSecurityTranslation = objMigration.CreateSecurityTranslation ' 'Geben Sie die allgemeinen Migrationsoptionen an. ' objMigration.SourceDomain = "Quelldomäne" objMigration.TargetDomain = "Zieldomäne" objMigration.TargetOu = "Computer" ' 'Geben Sie die spezifischen Optionen der Sicherheitskonvertierung an. ' objSecurityTranslation.TranslationOption = admtTranslateAdd objSecurityTranslation.TranslateFilesAndFolders = True objSecurityTranslation.TranslateLocalGroups = True objSecurityTranslation.TranslatePrinters = True objSecurityTranslation.TranslateRegistry = True objSecurityTranslation.TranslateShares = True objSecurityTranslation.TranslateUserProfiles = False objSecurityTranslation.TranslateUserRights = True ' 'Führen Sie die Sicherheitskonvertierung für die angegebenen Computerobjekte durch. ' objSecurityTranslation.Translate admtData, _ Array("Computername1" ,"Computername2" ) 148 Set objSecurityTranslation = Nothing Set objMigration = Nothing </Script> </Job> Erneute losweise Migration von Benutzerkonten und Migration von Arbeitsstationen Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Die erneute Migration von Benutzerkonten und Arbeitsstationen in Losen unterstützt Sie beim Nachverfolgen des Migrationsprozesses. Konvertieren Sie für jedes Los von Benutzern zuerst die lokalen Benutzerprofile, und migrieren Sie dann die Arbeitsstationen. Überprüfen Sie, ob die Migration von Profilen und Arbeitsstationen erfolgreich war, und migrieren Sie dann die Benutzerkonten. Führen Sie nach jedem Los eine erneute Migration von globalen Gruppen durch. Weitere Informationen finden Sie unter Erneute Migration aller globalen Gruppen nach der Migration aller Lose weiter unten in diesem Handbuch. Konvertieren lokaler Benutzerprofile Mit dem Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) werden Profile für unterstützte Computermigrationsobjekte konvertiert. Eine Liste mit Informationen, welche Betriebssysteme für Computermigrationsobjekte für die verschiedenen Versionen von ADMT unterstützt werden, finden Sie unter Versionen vom Active Directory-Migrationsprogramm und unterstützte Umgebungen. Lokale Profile werden im Ersetzen-Modus konvertiert, denn bei einer Konvertierung im Hinzufügen-Modus besteht die Gefahr, dass Softwareinstallationen mithilfe der Bereitstellung über Gruppenrichtlinien nicht funktionieren. Alle Anwendungen, die mit der Windows InstallerVersion 2.0 (die auf Arbeitsstationen, die Windows 2000 Server Service Pack 3 (SP3) oder Service Pack 4 (SP4) und Windows XP Service Pack 1 (SP1) oder Service Pack 2 (SP2) ausführen, sowie in vielen weit verbreiteten Softwarepaketen verwendet wird) verpackt wurden, funktionieren möglicherweise nach dem Konvertieren des Profils nicht. Wenn der ADMTSicherheitskonvertierungs-Assistent lokale Profile im Ersetzen-Modus konvertiert, kehrt er in den Hinzufügen-Modus zurück, wenn ein Profil gesperrt ist. Dies kann zu einer erfolgreichen Profilkonvertierung führen. Möglicherweise funktioniert die Installation von Anwendungen nach dem Konvertieren des Profils jedoch nicht. 149 Bevor Sie die Konvertierung von lokalen Benutzerprofilen starten, lassen Sie genug Zeit für den Neustart der Arbeitsstationen, nachdem Sie sie in die Zieldomäne verschoben haben. Sehen Sie den ADMT-Zeitverzögerungsfaktor (standardmäßig fünf Minuten) zuzüglich der für einen Neustartzyklus der Arbeitsstationen erforderlichen Zeit vor. Hinweis Konvertieren Sie die lokalen Benutzerprofile in der Nacht, bevor Sie die Benutzer auffordern, sich mithilfe ihrer neuen Konten in der Zieldomäne anzumelden. Das Konvertieren von Profilen in vorhergehenden Nacht stellt sicher, dass das neue Benutzerprofil die aktuellsten Benutzereinstellungen enthält. Sie können lokale Benutzerprofile mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption oder eines Skripts konvertieren. So konvertieren Sie lokale Benutzerprofile mithilfe des ADMT-Snap-Ins 1. Fügen Sie für jede Arbeitsstation in der Quelldomäne, die Sie migrieren, das ADMTRessourcenmigrationskonto zur lokalen Administratorgruppe hinzu. 2. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 3. Verwenden Sie den Sicherheitskonvertierungs-Assistenten, indem Sie die in der folgenden Tabelle beschriebenen Schritte ausführen. Seite des Assistenten Vorgang Optionen für die Sicherheitskonvertierung Klicken Sie auf Zuvor migrierte Objekte. Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Quelldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus. Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Zieldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, und klicken Sie auf Weiter. Computerauswahl Klicken Sie auf Computer aus Domäne 150 auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Computerauswahl auf Hinzufügen, um die Computer in der Quelldomäne auszuwählen, für die Sie die Sicherheit konvertieren möchten, klicken Sie auf OK, und klicken Sie dann auf Weiter. Oder Klicken Sie auf Objekte aus Includedatei lesen und anschließend auf Weiter. Geben Sie den Speicherort der Includedatei ein, und klicken Sie auf Weiter. Objekte konvertieren Klicken Sie auf Benutzerprofile. Optionen für die Sicherheitskonvertierung Klicken Sie auf Ersetzen. Dialogfeld "ADMT-Agent" Wählen Sie Vorüberprüfung und Agent ausführen aus, und klicken Sie dann auf Start. 4. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem der Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um die Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde, müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen "MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert. So konvertieren Sie lokale Benutzerprofile mithilfe der ADMT-Befehlszeilenoption 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Geben Sie in der Befehlszeile den Befehl ADMT Security mit den entsprechenden Parametern ein, und drücken Sie dann die EINGABETASTE: ADMT SECURITY /N "<Computername1>" "<Computername2>" /SD:" <Quelldomäne>" /TD:" <Zieldomäne>" /TO:" <Zielorganisationseinheit>" /TOT:Replace /TUP:YES Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt über die Befehlszeile angegeben wird: ADMT SECURITY /N "<Computername1>" "<Computername2>" /O "<Optionsdatei>.txt" In der folgenden Tabelle sind die allgemeinen Parameter zum Migrieren von 151 Benutzerkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem entsprechenden Äquivalent in der Optionsdatei. Parameter Befehlszeilensyntax Optionsdateisyntax <Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne" <Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne" Optionen für die Sicherheitskonvertierung /TOT:REPLACE TranslateOption=REPLACE Ändern der Sicherheit des lokalen Benutzerprofils /TUP:YES TranslateUserProfiles=YES 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem der Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um die Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde, müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen "MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert. So konvertieren Sie lokale Benutzerprofile mithilfe eines Skripts Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle und -Optionen zur Konvertierung lokaler Benutzerprofile enthält. Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“. <Job id=" TranslatingLocalProfilesBetweenForests" > <Script language="VBScript" src="AdmtConstants.vbs" /> <Script language="VBScript" > Option Explicit Dim objMigration Dim objSecurityTranslation ' 'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte. ' 152 Set objMigration = CreateObject("ADMT.Migration" ) Set objSecurityTranslation = objMigration.CreateSecurityTranslation ' 'Geben Sie die allgemeinen Migrationsoptionen an. ' objMigration.SourceDomain = "Quelldomäne" objMigration.TargetDomain = "Zieldomäne" objMigration.TargetOu = "Computer" ' 'Geben Sie die spezifischen Optionen der Sicherheitskonvertierung an. ' objSecurityTranslation.TranslationOption = admtTranslateReplace objSecurityTranslation.TranslateUserProfiles = True ' 'Führen Sie die Sicherheitskonvertierung für die angegebenen Computerobjekte durch. ' objSecurityTranslation.Translate admtData, _ Array("Computername1" ,"Computername2" ) Set objSecurityTranslation = Nothing Set objMigration = Nothing </Script> </Job> Losweise Migrierung von Arbeitsstationen Migrieren Sie nach der Migration eines Loses von lokalen Benutzerprofilen das entsprechende Los der Benutzerarbeitsstationen. Wenn Sie eine Arbeitsstation zwischen Domänen migrieren, 153 wird die SAM-Datenbank (Security Accounts Manager, Sicherheitskonto-Manager) zusammen mit dem Computer migriert. Konten in der lokalen SAM-Datenbank (z. B. lokale Gruppen), die verwendet werden, um den Zugriff auf Ressourcen zu ermöglichen, werden immer zusammen mit dem Computer verschoben. Daher müssen sie nicht migriert werden. Wenn auf einer Arbeitsstation verwaltete Dienstkonten installiert sind und diese Konten zuvor migriert wurden, wird von ADMT eine Option zur erneuten Installation des migrierten verwalteten Dienstkontos auf dem migrierten Computer und zur Aktualisierung des DienststeuerungsManagers (Service Control Manager, SCM) bereitgestellt. Damit dieser Vorgang von ADMT ausgeführt werden kann, muss das Konto, von dem die Computermigration ausgeführt wird, die Berechtigung zum Ändern der Sicherheitsbeschreibungen für das migrierte verwaltete Dienstkonto aufweisen. Hinweis Verwenden Sie einen kleinen Wert für den Parameter RestartDelay, um Arbeitsstationen unmittelbar nach deren Beitritt zur Zieldomäne oder sobald wie möglich danach erneut zu starten. Ressourcen, die nach der Migration nicht neu gestartet werden, befinden sich in einem unbestimmten Zustand. Sie können Arbeitsstationen mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption oder eines Skripts migrieren. So migrieren Sie Arbeitsstationen mithilfe des ADMT-Snap-Ins 1. Melden Sie sich auf dem Computer in der Zieldomäne, auf dem Sie ADMT installiert haben, mithilfe des ADMT-Ressourcenmigrationskontos an. 2. Verwenden Sie den Computermigrations-Assistenten, und führen Sie die in der folgenden Tabelle beschriebenen Schritte aus. Seite des Assistenten Vorgang Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Quelldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus. Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Zieldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, 154 und klicken Sie auf Weiter. Computerauswahl Klicken Sie auf Computer aus Domäne auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Computerauswahl auf Hinzufügen, um die Computer in der Quelldomäne auszuwählen, die Sie migrieren möchten, klicken Sie auf OK und dann auf Weiter. Oder Klicken Sie auf Objekte aus Includedatei lesen und anschließend auf Weiter. Geben Sie den Speicherort der Includedatei ein, und klicken Sie auf Weiter. Informationen zu verwalteten Dienstkonten (wird angezeigt, wenn auf dem Computer ein verwaltetes Dienstkonto installiert ist) Wählen Sie alle verwalteten Dienstkonten aus, die nicht auf dem migrierten Computer in der Zieldomäne installiert werden sollen, und klicken Sie dann auf Überspringen/Einbeziehen, um die Konten mit Überspringen zu kennzeichnen. Auswahl der Organisationseinheit Klicken Sie auf Durchsuchen. Suchen Sie im Dialogfeld Container suchen nach dem Container Computer der Zieldomäne oder der entsprechenden Organisationseinheit, und klicken Sie dann auf OK. Objekte konvertieren Aktivieren Sie das Kontrollkästchen Lokale Gruppen. Aktivieren Sie das Kontrollkästchen Benutzerrechte. Optionen für die Sicherheitskonvertierung Klicken Sie auf Hinzufügen. Computeroptionen Akzeptieren Sie im Feld Minuten, bis der Computer nach Beenden des Assistenten neu gestartet wird den Standardwert von 5 Minuten, oder geben Sie einen anderen Wert ein. Objekteigenschaftsausnahme Wenn Sie bestimmte Objekteigenschaften 155 von der Migration ausschließen möchten, aktivieren Sie das Kontrollkästchen Bestimmte Objekteigenschaften von der Migration ausschließen, wählen Sie die Objekteigenschaften aus, die ausgeschlossen werden sollen, verschieben Sie diese in das Feld Ausgeschlossene Eigenschaften, und klicken Sie dann auf Weiter. Konfliktverwaltung Klicken Sie auf Quellobjekt nicht migrieren, wenn in der Zieldomäne ein Konflikt ermittelt wird. Dialogfeld "ADMT-Agent" Wählen Sie Vorüberprüfung und Agent ausführen aus, und klicken Sie dann auf Start. 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem der Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um die Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde, müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen "MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert. 4. Öffnen Sie Active Directory-Benutzer und -Computer, und vergewissern Sie sich, dass die Arbeitsstationen in der entsprechenden Organisationseinheit in der Zieldomäne vorhanden sind. So migrieren Sie Arbeitsstationen mithilfe der ADMT-Befehlszeilenoption 1. Melden Sie sich auf dem Computer in der Zieldomäne, auf dem ADMT installiert ist, mithilfe des ADMT-Ressourcenmigrationskontos an. 2. Geben Sie in der Befehlszeile den Befehl ADMT Computer mit den entsprechenden Parametern ein, und drücken Sie dann die EINGABETASTE: ADMT COMPUTER /N "<Computername1>" "<Computername2>" /SD:"<Quelldomäne>" /TD:"<Zieldomäne>" /TO:"<Zielorganisationseinheit>" [/M: "<Name des einzelnen verwalteten Dienstkontos 1>" "<Name des einzelnen verwalteten Dienstkontos 2>"] [/UALLMSA:Yes] /RDL:5 Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt über die Befehlszeile angegeben wird: ADMT COMPUTER /N "<Computername1>" "<Computername2>" /O:" <Optionsdatei>.txt" In der folgenden Tabelle sind die allgemeinen Parameter zur Migration von 156 Arbeitsstationen aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem entsprechenden Äquivalent in der Optionsdatei. Parameter Befehlszeilensyntax Optionsdateisyntax <Quelldomäne> SD:"Quelldomäne" SourceDomain="Quelldomäne" <Quellorganisationsein heit> Speicherort /SO:"Quellorganisationsei SourceOU="Quellorganisationsein nheit" heit" <Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne" Aktualisieren aller verwalteten Dienstkonten /UALLMSA: YES UpdateAllManagedServiceAccoun Aktualisieren bestimmter verwalteter Dienstkonten /M: ts=Yes "Name 1" "Name 2"… UPDATEMSANAME="Name 1" "Name 2"… Hinweis Der Parameter „/M“ hat Vorrang vor dem Parameter „/UALLMS A“. <Zielorganisationseinhe /TO:"Zielorganisationseinh it> Speicherort eit" TargetOU="Zielorganisationseinh Neustartverzögerung (Minuten) /RDL:5 RestartDelay=5 Option für die Sicherheitskonvertierun g /TOT:ADD TranslationOption=ADD Konvertieren von Benutzerrechten /TUR:YES TranslateUserRights=YES Konvertieren lokaler Gruppen /TLG:YES TranslateLocalGroups=YES eit" 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Das Migrationsprotokoll listet Computer, den Abschlussstatus und den Pfad zur Protokolldatei 157 für jeden Computer auf. Wenn ein Fehler für einen Computer aufgezeichnet wurde, müssen Sie die Protokolldatei für den betreffenden Computer auf Probleme mit lokalen Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen "MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert. 4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die Zielorganisationseinheit. Vergewissern Sie sich, dass die Arbeitsstationen in der Zielorganisationseinheit vorhanden sind. So migrieren Sie Arbeitsstationen mithilfe eines Skripts Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle und -Optionen zur Migration von Arbeitsstationen enthält. Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“. <Job id="MigratingWorkstationsBwtweenForest" > <Script language="VBScript" src="AdmtConstants.vbs" /> <Script language="VBScript" > Option Explicit Dim objMigration Dim objComputerMigration ' 'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte. ' Set objMigration = CreateObject("ADMT.Migration" ) Set objComputerMigration = objMigration.CreateComputerMigration ' 'Geben Sie die allgemeinen Migrationsoptionen an. ' objMigration.SourceDomain = "Quelldomäne" objMigration.SourceOu = "Computer" objMigration.TargetDomain = "Zieldomäne" objMigration.TargetOu = "Computer" 158 ' 'Geben Sie die spezifischen Optionen für die Computermigration an. ' objComputerMigration.RestartDelay = 1 objComputerMigration.TranslationOption = admtTranslateAdd objComputerMigration.TranslateLocalGroups = True objComputerMigration.TranslateUserRights = True objComputerMigration.UpdateAllManagedServiceAccounts = True ' 'Migrieren Sie die Computerobjekte für die angegebenen Computerobjekte. ' objComputerMigration.Migrate admtData, _ Array("Computername1" ,"Computername2" ) Set objComputerMigration = Nothing Set objMigration = Nothing </Script> Erneute losweise Migration von Benutzerkonten Nachdem Sie den Erfolg der Migration der lokalen Benutzerprofile und Benutzerarbeitsstationen für das Benutzerlos überprüft haben, migrieren Sie die Benutzerkonten für das entsprechende Los. Sie können Benutzerkonten losweise mithilfe des ADMT-Snap-Ins, der ADMTBefehlszeilenoption oder eines Skripts migrieren. Wenn Sie Benutzerkonten migrieren, bei denen AMA (Authentication Mechanism Assurance, Sicheres Authentifizierungsverfahren) aktiviert ist, verwenden Sie eine Includedatei. Geben Sie in der Includedatei die ursprünglichen UPNs (User Principal Names) aus der Quelldomäne als Ziel-UPNs an, damit AMA funktioniert. Weitere Informationen dazu finden Sie unter Verwenden einer Includedatei. So migrieren Sie das aktuelle Los von Benutzerkonten mithilfe des ADMT-Snap-Ins erneut 159 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Verwenden Sie den Assistenten zum Migrieren von Benutzerkonten, und führen Sie die in der folgenden Tabelle beschriebenen Schritte aus. Seite des Assistenten Vorgang Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Quelldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus. Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOS- oder DNS-Namen der Zieldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, und klicken Sie auf Weiter. Benutzerauswahl Klicken Sie auf Benutzer aus Domäne auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Benutzerauswahl auf Hinzufügen, um die Benutzer in der Quelldomäne auszuwählen, die Sie im aktuellen Los migrieren möchten, klicken Sie auf OK und dann auf Weiter. Oder Klicken Sie auf Objekte aus Includedatei lesen und anschließend auf Weiter. Geben Sie den Speicherort der Includedatei ein, und klicken Sie auf Weiter. Auswahl der Organisationseinheit Stellen Sie sicher, dass in ADMT die richtige Zielorganisationseinheit aufgelistet wird. Falls es sich nicht um die richtige Organisationseinheit handelt, geben Sie diese ein, oder klicken Sie auf 160 Durchsuchen. Suchen Sie im Dialogfeld Container suchen nach der Zieldomäne und organisationseinheit, und klicken Sie dann auf OK. Kennwortoptionen Klicken Sie auf Kennwörter migrieren. Geben Sie unter Quelldomänencontroller für die Kennwortmigration: den Namen des die Kennwörter exportierenden Servers ein, oder übernehmen Sie den Standardwert. Optionen für die Kontoaktualisierung Klicken Sie unter Zielkontenstatus: auf Zielkonten aktivieren. Klicken Sie unter Optionen zum Deaktivieren des Quellkontos: auf Tage bis zum Ablaufen der Quellkonten:, und geben Sie dann die Anzahl der Tage ein, für die Sie die Quellkonten beibehalten möchten. Normalerweise wird der Wert 7 verwendet. Aktivieren Sie das Kontrollkästchen Benutzer-SIDs zur Zieldomäne migrieren. Benutzerkonto Geben Sie den Benutzernamen, das Kennwort und die Domäne eines Kontos mit Administratoranmeldeinformationen ein. Benutzeroptionen Aktivieren Sie das Kontrollkästchen Servergespeicherte Profile konvertieren. Aktivieren Sie das Kontrollkästchen Benutzerrechte aktualisieren. Aktivieren Sie das Kontrollkästchen Zugeordnete Benutzergruppen migrieren. Aktivieren Sie das Kontrollkästchen Gruppenmitgliedschaften der Benutzer korrigieren. Objekteigenschaftsausnahme Deaktivieren Sie das Kontrollkästchen 161 Bestimmte Objekteigenschaften von der Migration ausschließen. Konfliktverwaltung Klicken Sie auf In Konflikt stehende Objekte migrieren und zusammenführen. Deaktivieren Sie das Kontrollkästchen Vor dem Zusammenführen Benutzerrechte für vorhandene Zielkonten entfernen. Deaktivieren Sie das Kontrollkästchen Zusammengeführte Objekte in die angegebene Zielorganisationseinheit verschieben. 3. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler. 4. Öffnen Sie Active Directory-Benutzer und -Computer, und überprüfen Sie, ob die Benutzerkonten in der entsprechenden Organisationseinheit in der Zieldomäne vorhanden sind. So migrieren Sie das aktuelle Los von Benutzern mithilfe der ADMT-Befehlszeilenoption erneut 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Geben Sie in der Befehlszeile den Befehl ADMT User mit den entsprechenden Parametern ein, und drücken Sie dann die EINGABETASTE: ADMT USER /N "<Benutzername1>" "<Benutzername2>" /SD:" <Quelldomäne>" /TD:" <Zieldomäne>" /TO:" <Zielorganisationseinheit>" /MSS:YES /TRP:YES /UUR:YES Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt über die Befehlszeile angegeben wird: ADMT USER /N "<Benutzername1>" "<Benutzername2>" /O "<Optionsdatei>.txt" In der folgenden Tabelle sind die allgemeinen Parameter zum Migrieren von Benutzerkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem entsprechenden Äquivalent in der Optionsdatei. Parameter Befehlszeilensyntax Optionsdateisyntax <Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne" <Quellorganisationsein heit> Speicherort /SO:"Quellorganisationsein SourceOU="Quellorganisationsei heit" nheit" 162 <Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne" <Zielorganisationseinhe it> Speicherort /TO:"Zielorganisationseinh TargetOU="Zielorganisationsein eit" heit" Migrieren von SIDs /MSS:YES MigrateSIDs=YES Konfliktverwaltung /CO:REPLACE ConflictOptions=REPLACE Servergespeichertes Profil konvertieren /TRP:YES Benutzerrechte aktualisieren /UUR:YES Kennwortoptionen /PO:COPY /PS:<Name (Standard) PES-Servers> TranslateRoamingProfile=YES UpdateUserRights=YES des PasswordOption=COPY PasswordServer=:<Name des PES-Servers> Ablaufdatum der Quelle /SEP:30 SourceExpiration=30 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. 4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die Zielorganisationseinheit. Vergewissern Sie sich, dass die Benutzer in der Zielorganisationseinheit vorhanden sind. So migrieren Sie das aktuelle Los von Benutzern mithilfe eines Skripts erneut Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle und -Optionen zur Migration von Benutzern enthält. Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“. <Job id="MigratingUserAccountsInBatchesBetweenForests" > <Script language="VBScript" src="AdmtConstants.vbs" /> <Script language="VBScript" > Option Explicit Dim objMigration Dim objUserMigration ' 'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte. ' 163 Set objMigration = CreateObject("ADMT.Migration" ) Set objUserMigration = objMigration.CreateUserMigration ' 'Geben Sie die allgemeinen Migrationsoptionen an. ' objMigration.SourceDomain = "Quelldomäne" objMigration.SourceOu = "Quellcontainer" objMigration.TargetDomain = "Zieldomäne" objMigration.TargetOu = "Zielcontainer" objMigration.PasswordOption = admtCopyPassword objMigration.PasswordServer = "Name des Kennwortexportservers" objMigration.ConflictOptions = admtReplaceConflicting ' 'Geben Sie die spezifischen Optionen der Benutzermigration an. ' objUserMigration.SourceExpiration = 7 objUserMigration.MigrateSIDs = True objUserMigration.TranslateRoamingProfile = True objUserMigration.UpdateUserRights = False objUserMigration.FixGroupMembership = True objUserMigration.MigrateServiceAccounts = False ' 'Migrate specified user objects. ' objUserMigration.Migrate admtData, Array("Benutzername1" , "Benutzername2" ) Set objUserMigration = Nothing Set objMigration = Nothing 164 </Script> </Job> Erneute Migration aller globalen Gruppen nach der Kontenmigration Eine umfangreiche Benutzerkontenmigration kann sich über einen längeren Zeitraum erstrecken. Daher müssen Sie globale Gruppen nach dem Migrieren jedes Benutzerloses möglicherweise erneut aus der Quelldomäne in die Zieldomäne migrieren. Das Ziel besteht darin, Änderungen nachzuvollziehen, die in der Quelldomäne nach der ursprünglichen Migration der globalen Gruppen an der Gruppenmitgliedschaft vorgenommen wurden. Weitere Informationen zur erneuten Migration globaler Gruppen – sowie entsprechende Vorgehensweisen – finden Sie unter Erneute Migration aller globalen Gruppen nach der Migration aller Lose weiter unten in diesem Handbuch. Erneute Migration aller globalen Gruppen nach der Migration aller Lose Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Führen Sie nach der Migration aller Lose eine abschließende erneute globale Migration durch, um sicherzustellen, dass alle Änderungen letzter Hand, die an der globalen Gruppenmitgliedschaft in der Quelldomäne vorgenommen wurden, in die Zieldomäne übernommen werden. Sie können die erneute Migration globaler Gruppen mithilfe des ADMT-Snap-Ins (Active Directory Migration Tool, Active Directory-Migrationsprogramm), der ADMT-Befehlszeilenoption oder eines Skripts ausführen. So migrieren Sie globale Gruppen erneut mithilfe des ADMT-Snap-Ins 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Verwenden Sie den Assistenten zum Migrieren von Gruppenkonten, und führen Sie die in der folgenden Tabelle beschriebenen Schritte aus. Seite des Assistenten Vorgang Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Quelldomäne an. Geben Sie in der Dropdownliste 165 Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus. Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Zieldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, und klicken Sie auf Weiter. Gruppenauswahl Klicken Sie auf Gruppen aus Domäne auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Gruppenauswahl auf Hinzufügen, um die zu migrierenden Gruppen in der Quelldomäne auszuwählen, klicken Sie auf OK, und klicken Sie dann auf Weiter. Oder Klicken Sie auf Objekte aus Includedatei lesen und anschließend auf Weiter. Geben Sie den Speicherort der Includedatei ein, und klicken Sie auf Weiter. Auswahl der Organisationseinheit Geben Sie den Namen der Organisationseinheit (Organizational Unit, OU) ein, oder klicken Sie auf Durchsuchen. Suchen Sie im Dialogfeld Container suchen den Container in der Zieldomäne, in den die globalen Gruppen verschoben werden sollen, und klicken Sie dann auf OK. Gruppenoptionen Aktivieren Sie das Kontrollkästchen Benutzerrechte aktualisieren. Stellen Sie sicher, dass das Kontrollkästchen Gruppenmitglieder kopieren deaktiviert ist. Stellen Sie sicher, dass das Kontrollkästchen Migrierte Objekte 166 aktualisieren deaktiviert ist. Aktivieren Sie das Kontrollkästchen Gruppenmitgliedschaft korrigieren. Aktivieren Sie das Kontrollkästchen Gruppen-SIDs zur Zieldomäne migrieren. Benutzerkonto Geben Sie den Benutzernamen, das Kennwort und die Domäne eines Kontos ein, das über administrative Rechte in der Quelldomäne verfügt. Objekteigenschaftsausnahme Deaktivieren Sie das Kontrollkästchen Bestimmte Objekteigenschaften von der Migration ausschließen. Konfliktverwaltung Aktivieren Sie das Kontrollkästchen In Konflikt stehende Objekte migrieren und zusammenführen (alle anderen Optionen sind deaktiviert). 3. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler. 4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die Zielorganisationseinheit. Überprüfen Sie, ob die globalen Gruppen in der Organisationseinheit der Zieldomäne vorhanden sind. So migrieren Sie globale Gruppen erneut mithilfe der ADMT-Befehlszeilenoption 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Geben Sie den Befehl ADMT Group mit den entsprechenden Parametern in der Befehlszeile ein, und drücken Sie dann die EINGABETASTE: ADMT GROUP /N "<Gruppenname1>" "<Gruppenname2>" /SD:" <Quelldomäne>" /TD:" <Zieldomäne>" /TO:" <Zielorganisationseinheit>" /MSS:YES /CO:REPLACE Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt über die Befehlszeile angegeben wird: ADMT GROUP /N "<Gruppenname1>" "<Gruppenname2>" /O: "<Optionsdatei>.txt" In der folgenden Tabelle sind die allgemeinen Parameter zur Migration globaler Gruppen aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem entsprechenden Äquivalent in der Optionsdatei. Parameter Befehlszeilensyntax Optionsdateisyntax 167 <Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne" <Quellorganisationsein heit> Speicherort /SO:"Quellorganisationsein SourceOU="Quellorganisationsei heit" nheit" <Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne" <Zielorganisationseinhe it> Speicherort /TO:"Zielorganisationseinh TargetOU="Zielorganisationsein eit" heit" Migrieren von GG SIDs /MSS:YES MigrateSIDs=YES Konfliktverwaltung /CO:REPLACE ConflictOptions=REPLACE 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. 4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die Zielorganisationseinheit. Bestätigen Sie, dass die globalen Gruppen in der Organisationseinheit der Zieldomäne vorhanden sind. So migrieren Sie globale Gruppen erneut mithilfe eines Skripts Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle und -Optionen zur Migration globaler Gruppen enthält. Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“. <Job id=" RemigratingGlobalGroupsBetweenForests" > <Script language="VBScript" src="AdmtConstants.vbs" /> <Script language="VBScript" > Option Explicit Dim objMigration Dim objGroupMigration ' 'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte. ' Set objMigration = CreateObject("ADMT.Migration" ) Set objGroupMigration = objMigration.CreateGroupMigration ' 168 'Geben Sie die allgemeinen Migrationsoptionen an. ' objMigration.SourceDomain = "Quelldomäne" objMigration.SourceOu = "Quellcontainer" objMigration.TargetDomain = "Zieldomäne" objMigration.TargetOu = "Zielcontainer" objMigration.ConflictOptions = admtReplaceConflicting ' 'Geben Sie die spezifischen Optionen der Gruppenmigration an. ' objGroupMigration.MigrateSIDs = True ' 'Migrieren Sie die angegebenen Gruppenobjekte. ' objGroupMigration.Migrate admtData, Array("Gruppenname1" ,"Gruppenname2" ) Set objGroupMigration = Nothing Set objMigration = Nothing </Script> </Job> Konvertieren der Sicherheit im Entfernungsmodus Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Konvertieren Sie die Sicherheit für Objekte, um die Sicherheitskennungen (Security Identifiers, SIDs) der Konten in der Quelldomäne aus den Zugriffssteuerungslisten der migrierten Objekte zu 169 entfernen. Führen Sie diesen Vorgang erst aus, nachdem alle Quellkonten deaktiviert wurden. Führen Sie den Sicherheitskonvertierungs-Assistenten für alle Dateien, freigegebenen Ordner, Drucker und lokalen Gruppen sowie mindestens einen Domänencontroller aus (um die Sicherheit für freigegebene lokale Gruppen zu konvertieren). Wenn Sie die Sicherheit im Entfernungsmodus konvertieren, sind die Sicherheitskennungen in der Quelldomäne für den Benutzer nicht mehr vorhanden oder verfügbar, wenn das Zielbenutzerkonto erfolgreich migriert wurde und die Sicherheitskennungen hier hinzugefügt werden. Dieser Vorgang ermöglicht eine administrative Bereinigung und stellt sicher, dass Benutzer ihr "neues" Zieldomänenkonto und nicht mehr ihr "altes" Quelldomänenkonto verwenden. Sie können die Sicherheit für Objekte im Entfernungsmodus mithilfe des Active DirectoryMigrationspgrogramm-Snap-Ins (ADMT), der ADMT-Befehlszeilenoption oder eines Skripts konvertieren. So konvertieren Sie die Sicherheit für Objekte im Entfernungsmodus mithilfe des ADMTSnap-Ins 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Verwenden Sie den Sicherheitskonvertierungs-Assistenten, indem Sie die in der folgenden Tabelle beschriebenen Schritte ausführen. Seite des Assistenten Vorgang Optionen für die Sicherheitskonvertierung Klicken Sie auf Zuvor migrierte Objekte. Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Quelldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus. Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Zieldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, und klicken Sie auf Weiter. Computerauswahl Klicken Sie auf Computer aus Domäne 170 auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Computerauswahl auf Hinzufügen, um die Computer auszuwählen, für die Sie die Sicherheit konvertieren möchten, klicken Sie auf OK, und klicken Sie dann auf Weiter. Oder Klicken Sie auf Objekte aus Includedatei lesen und anschließend auf Weiter. Geben Sie den Speicherort der Includedatei ein, und klicken Sie auf Weiter. Objekte konvertieren Deaktivieren Sie das Kontrollkästchen Benutzerprofile. Aktivieren Sie alle anderen Kontrollkästchen. Optionen für die Sicherheitskonvertierung Klicken Sie auf Entfernen. So konvertieren Sie die Sicherheit für Objekte im Entfernungsmodus mithilfe der ADMTBefehlszeilenoption 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Geben Sie den Befehl ADMT Security mit den entsprechenden Parametern in der Befehlszeile ein, und drücken Sie dann die EINGABETASTE. ADMT SECURITY /N "<Computername1>" "<Computername2>" /SD:" <Quelldomäne>" /TD:" <Zieldomäne>" /TO:" <Zielorganisationseinheit>" /TOT:Remove Alternativ können Sie Parameter in eine Optionsdatei aufnehmen, die Sie in der folgenden Weise auf der Befehlszeile angeben: ADMT SECURITY /N "<Computername1>" "<Computername2>" /O "<Optionsdatei>.txt" In der folgenden Tabelle sind die allgemeinen Parameter zum Migrieren von Benutzerkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem entsprechenden Äquivalent in der Optionsdatei. Parameter Befehlszeilensyntax Optionsdateisyntax <Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne" <Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne" 171 Optionen für die Sicherheitskonvertierung /TOT:Remove TranslateOption=REMOVE 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem der Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um die Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde, müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen "MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert. So konvertieren Sie die Sicherheit für Objekte im Entfernungsmodus mithilfe eines Skripts Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle und -Optionen zum Konvertieren der Sicherheit für Objekte im Entfernungsmodus enthält. Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“. <Job id=" TranslatingSecurityInRemoveModeOnObjectsBetweenForests" > <Script language="VBScript" src="AdmtConstants.vbs" /> <Script language="VBScript" > Option Explicit Dim objMigration Dim objSecurityTranslation ' 'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte. ' Set objMigration = CreateObject("ADMT.Migration" ) Set objSecurityTranslation = objMigration.CreateSecurityTranslation ' 'Geben Sie die allgemeinen Migrationsoptionen an. ' 172 objMigration.SourceDomain = "Quelldomäne" objMigration.TargetDomain = "Zieldomäne" objMigration.TargetOu = "Computer" ' 'Geben Sie die spezifischen Optionen der Sicherheitskonvertierung an. ' objSecurityTranslation.TranslationOption = admtTranslateRemove objSecurityTranslation.TranslateFilesAndFolders = True objSecurityTranslation.TranslateLocalGroups = True objSecurityTranslation.TranslatePrinters = True objSecurityTranslation.TranslateRegistry = True objSecurityTranslation.TranslateShares = True objSecurityTranslation.TranslateUserProfiles = False objSecurityTranslation.TranslateUserRights = True ' 'Führen Sie die Sicherheitskonvertierung für die angegebenen Computerobjekte durch. ' objSecurityTranslation.Translate admtData, _ Array("Computername1" ,"Computername2" ) Set objSecurityTranslation = Nothing Set objMigration = Nothing </Script> </Job> Migrieren von Ressourcen Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 173 Der Vorgang des Migrierens von Ressourcen zwischen Active Directory-Domänen in verschiedenen Gesamtstrukturen umfasst die Migration der folgenden Elemente: Arbeitsstationskonten und Mitgliedsserver Domänen und freigegebene lokale Gruppen Domänencontroller Nachdem Sie alle Ressourcenobjekte erfolgreich in die Zieldomäne migriert haben, können Sie die Quelldomäne außer Betrieb nehmen. Die folgende Abbildung zeigt den Vorgang zum Migrieren von Ressourcenobjekten zwischen Active Directory-Domänen in verschiedenen Gesamtstrukturen. Migrieren von Arbeitsstationen und Mitgliedsservern Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Migrieren Sie die verbleibenden Arbeitsstationen, die Sie nicht während des Vorgangs der Migration von Benutzerkonten migriert haben, zusammen mit Mitgliedsservern in kleinen Losen von bis zu 100 Computern. Die Migration der Arbeitsstationskonten und Mitgliedsserver ist ein einfacher Vorgang. Arbeitsstationen und Mitgliedsserver besitzen eigene Datenbanken der 174 Sicherheitskontenverwaltung (Security Account Manager, SAM). Wenn Sie eine Arbeitsstation zwischen Domänen migrieren, wird die SAM-Datenbank zusammen mit dem Computer migriert. Konten in der lokalen SAM-Datenbank (z. B. lokale Gruppen), die verwendet werden, um den Zugriff auf Ressourcen zu ermöglichen, werden immer zusammen mit dem Computer verschoben. Daher müssen Sie nicht migriert werden. Wenn auf einer Arbeitsstation verwaltete Dienstkonten installiert sind und diese Konten zuvor migriert wurden, wird vom Active Directory-Migrationsprogramm (ADMT) eine Option zur erneuten Installation des migrierten verwalteten Dienstkontos auf dem migrierten Computer und zur Aktualisierung des Dienststeuerungs-Managers (Service Control Manager, SCM) bereitgestellt. Damit dieser Vorgang von ADMT ausgeführt werden kann, muss das Konto, von dem die Computermigration ausgeführt wird, die Berechtigung zum Ändern der Sicherheitsbeschreibungen für das migrierte verwaltete Dienstkonto aufweisen. Da für die Migration ein Neustart der Arbeitsstationen und Mitgliedsserver erforderlich ist, ist es wichtig, die Migration für einen Zeitpunkt zu planen, an dem der Server keine Anforderungen bedient. Hinweis Starten Sie Arbeitsstationen sofort neu, nachdem Sie die der Zieldomäne hinzugefügt haben, indem Sie einen niedrigen Wert (z. B. 1) für den Parameter RestartDelay auswählen. Ressourcen, die nach der Migration nicht neu gestartet werden, befinden sich in einem unbestimmten Zustand. Sie können die Arbeitsstationen und Mitgliedsserver mithilfe des ADMT-Snap-Ins (Active Directory Migration Tool, Active Directory-Migrationsprogramm), der ADMT-Befehlszeilenoption oder eines Skripts migrieren. So migrieren Sie Arbeitsstationen und Mitgliedsserver mithilfe des ADMT-Snap-Ins 1. Melden Sie sich auf dem Computer in der Zieldomäne, auf dem Sie ADMT installiert haben, mithilfe des ADMT-Ressourcenmigrationskonto an. 2. Verwenden Sie den Assistenten zum Migrieren von Computerkonten, und führen Sie die in der folgenden Tabelle beschriebenen Schritte aus. Seite des Assistenten Vorgang Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Quelldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus. Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOS175 oder DNS-Namen der Zieldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, und klicken Sie auf Weiter. Computerauswahl Klicken Sie auf Computer aus Domäne auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Computerauswahl auf Hinzufügen, um die Computer in der Quelldomäne auszuwählen, die Sie migrieren möchten, klicken Sie auf OK und dann auf Weiter. Oder Klicken Sie auf Objekte aus Includedatei lesen und anschließend auf Weiter. Geben Sie den Speicherort der Includedatei ein, und klicken Sie auf Weiter. Informationen zu verwalteten Dienstkonten (wird angezeigt, wenn auf dem Computer ein verwaltetes Dienstkonto installiert ist) Wählen Sie alle verwalteten Dienstkonten aus, die nicht auf dem migrierten Computer in der Zieldomäne installiert werden sollen, und klicken Sie dann auf Überspringen/Einbeziehen, um die Konten mit Überspringen zu kennzeichnen. Auswahl der Organisationseinheit Klicken Sie auf Durchsuchen. Suchen Sie im Dialogfeld Container suchen nach dem Container Computer der Zieldomäne oder der entsprechenden Organisationseinheit, und klicken Sie dann auf OK. Optionen für die Sicherheitskonvertierung Aktivieren Sie das Kontrollkästchen Lokale Gruppen. Aktivieren Sie das Kontrollkästchen Benutzerrechte. Objekte konvertieren Klicken Sie auf Hinzufügen. Computeroptionen Akzeptieren Sie unter Minuten, bis der Computer nach Beenden des 176 Assistenten neu gestartet wird den Standardwert von 5 Minuten, oder geben Sie einen anderen Wert ein. Objekteigenschaftsausnahme Wenn Sie bestimmte Objekteigenschaften von der Migration ausschließen möchten, aktivieren Sie das Kontrollkästchen Bestimmte Objekteigenschaften von der Migration ausschließen, wählen Sie die Objekteigenschaften aus, die ausgeschlossen werden sollen, verschieben Sie diese in Ausgeschlossene Eigenschaften, und klicken Sie dann auf Weiter. Konfliktverwaltung Klicken Sie auf Quellobjekt nicht migrieren, wenn in der Zieldomäne ein Konflikt ermittelt wird. ADMT Agent Wählen Sie Vorüberprüfung und Agent ausführen aus, und klicken Sie dann auf Start. 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem der Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um die Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde, müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen "MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert. 4. Öffnen Sie Active Directory-Benutzer und -Computer, und vergewissern Sie sich, dass die Arbeitsstationen in der entsprechenden Organisationseinheit in der Zieldomäne vorhanden sind. So migrieren Sie Arbeitsstationen und Mitgliedsserver mithilfe der ADMTBefehlszeilenoption 1. Melden Sie sich auf dem Computer in der Zieldomäne, auf dem ADMT installiert ist, mithilfe des ADMT-Ressourcenmigrationskontos an. 2. Geben Sie in der Befehlszeile den Befehl ADMT Computer mit den entsprechenden Parametern ein, und drücken Sie dann die EINGABETASTE: ADMT COMPUTER /N "<Computername1>" "<Computername2>" /SD:"<Quelldomäne>" /TD:"<Zieldomäne>" /TO:"<Zielorganisationseinheit>" [/M: “<Name des einzelnen verwalteten Dienstkontos 1>" "<Name des einzelnen verwalteten Dienstkontos 2>"] 177 [/UALLMSA:Yes] /RDL:5 Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt über die Befehlszeile angegeben wird: ADMT COMPUTER /N "<Computername1>" "<Computername2>" /O:" <Optionsdatei>.txt" In der folgenden Tabelle sind die allgemeinen Parameter zur Migration von Arbeitsstationen aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem entsprechenden Äquivalent in der Optionsdatei. Parameter Befehlszeilensyntax Optionsdateisyntax <Quelldomäne> SD:"Quelldomäne" SourceDomain="Quelldomäne" <Quellorganisationsein heit> Speicherort /SO:"Quellorganisationsei SourceOU="Quellorganisationsein nheit" heit" <Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne" Aktualisieren verwalteter Dienstkonten /UALLMSA: YES UpdateAllManagedServiceAccoun Aktualisieren bestimmter verwalteter Dienstkonten /M ts=Yes "Name 1" "Name 2"… UPDATEMSANAME="Name 1" "Name 2"… Hinweis Der Parameter „/M“ hat Vorrang vor dem Parameter „/UALLMS A“. <Zielorganisationseinhe /TO:"Zielorganisationseinh it> Speicherort eit" TargetOU="Zielorganisationseinh Neustartverzögerung (Minuten) /RDL:5 RestartDelay=5 Option für die Sicherheitskonvertierun g /TOT:ADD TranslationOption=ADD Konvertieren von /TUR:YES TranslateUserRights=YES eit" 178 Benutzerrechten Konvertieren lokaler Gruppen /TLG:YES TranslateLocalGroups=YES 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Das Migrationsprotokoll listet Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden Computer auf. Wenn ein Fehler für einen Computer aufgezeichnet wurde, müssen Sie die Protokolldatei für den betreffenden Computer auf Probleme mit lokalen Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen "MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert. 4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die Zielorganisationseinheit. Vergewissern Sie sich, dass die Arbeitsstationen in der Zielorganisationseinheit vorhanden sind. So migrieren Sie Arbeitsstationen und Mitgliedsserver mithilfe eines Skripts Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle und -Optionen für die Migration von Arbeitsstationen und Mitgliedsservern enthält. Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“. <Job id="MigratingWorkstationsMemberServersBetweenForests" > <Script language="VBScript" src="AdmtConstants.vbs" /> <Script language="VBScript" > Option Explicit Dim objMigration Dim objComputerMigration ' 'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte. ' Set objMigration = CreateObject("ADMT.Migration" ) Set objComputerMigration = objMigration.CreateComputerMigration ' 'Geben Sie die allgemeinen Migrationsoptionen an. 179 ' objMigration.SourceDomain = "Quelldomäne" objMigration.SourceOu = "Computer" objMigration.TargetDomain = "Zieldomäne" objMigration.TargetOu = "Computer" ' 'Geben Sie die spezifischen Optionen für die Computermigration an. ' objComputerMigration.RestartDelay = 1 objComputerMigration.TranslationOption = admtTranslateAdd objComputerMigration.TranslateLocalGroups = True objComputerMigration.TranslateUserRights = True objComputerMigration.UpdateAllManagedServiceAccounts = True ' 'Migrieren Sie die Computerobjekte für die angegebenen Computerobjekte. ' objComputerMigration.Migrate admtData, _ Array("Computername1" ,"Computername2" ) Set objComputerMigration = Nothing Set objMigration = Nothing </Script> </Job> 180 Migrieren von Domänen- und freigegebenen lokalen Gruppen Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Freigegebene lokale Gruppen sind lokale Gruppen in Windows NT 4.0 und Active DirectoryDomänen, die in den Zugriffssteuerungslisten für Domänencontroller verwendet werden können. Wenn eine Domäne für den Betrieb im einheitlichen Modus von Windows 2000 oder auf der Funktionsebene einer Windows Server 2003-Domöne konfiguriert ist, werden freigegebene lokale Gruppen automatisch in lokale Domänengruppen geändert. Diese Gruppen können dann in Zugriffssteuerungslisten auf Mitgliedsservern und Arbeitsstationen verwendet werden. Wenn lokale Domänengruppen oder freigegebene lokale Gruppen in Zugriffssteuerungslisten auf Domänencontrollern oder Mitgliedsservern verwendet werden, müssen Sie sie in die Zieldomäne migrieren, bevor der Server migriert wird. Es ist nicht erforderlich, Zugriffssteuerungslisten als Teil des Migrationsvorgangs zu ändern. Die Zugriffssteuerungslisten verweisen weiterhin auf die lokalen Domänengruppen oder die freigegebenen lokalen Gruppen in der Quelldomäne. Da die lokalen Domänengruppen oder die freigegebenen lokalen Gruppen mithilfe des SID-Verlaufs in die Zieldomäne migriert werden können, bleibt der Zugriff auf die Ressourcen für Benutzer erhalten. ADMT behält die Mitgliedschaft der lokalen Gruppe während der Migration bei. Sie können Domänen- oder freigegebene lokale Gruppen mithilfe des ADMT-Snap-Ins (Active Directory Migration Tool, Active Directory-Migrationsprogramm) oder eines Skripts migrieren. So migrieren Sie Domänen- und freigegebene lokale Gruppen mithilfe des ADMT-SnapIns 1. Melden Sie sich auf dem Computer in der Zieldomäne, auf dem Sie ADMT installiert haben, mithilfe des ADMT-Ressourcenmigrationskontos an. 2. Verwenden Sie den Assistenten zum Migrieren von Gruppenkonten, und führen Sie die in der folgenden Tabelle beschriebenen Schritte aus. Seite des Assistenten Vorgang Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Quelldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus. Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOS181 oder DNS-Namen der Zieldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, und klicken Sie auf Weiter. Gruppenauswahl Klicken Sie auf Gruppen aus Domäne auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Gruppenauswahl auf Hinzufügen, um die zu migrierenden Gruppen in der Quelldomäne auszuwählen, klicken Sie auf OK, und klicken Sie dann auf Weiter. Oder Klicken Sie auf Objekte aus Includedatei lesen und anschließend auf Weiter. Geben Sie den Speicherort der Includedatei ein, und klicken Sie auf Weiter. Auswahl der Organisationseinheit Geben Sie den Namen der Organisationseinheit ein, oder klicken Sie auf Durchsuchen. Suchen Sie im Dialogfeld Container suchen den Container in der Zieldomäne, in den die globalen Gruppen verschoben werden sollen, und klicken Sie dann auf OK. Gruppenoptionen Aktivieren Sie das Kontrollkästchen Gruppen-SIDs zur Zieldomäne migrieren. Stellen Sie sicher, dass alle anderen Optionen nicht ausgewählt sind. Benutzerkonto Geben Sie den Benutzernamen, das Kennwort und die Domäne eines Kontos ein, das über Verwaltungsberechtigungen in der Quelldomäne verfügt. Objekteigenschaftsausnahme Deaktivieren Sie das Kontrollkästchen Bestimmte Objekteigenschaften von der Migration ausschließen. 182 Konfliktverwaltung Aktivieren Sie das Kontrollkästchen In Konflikt stehende Objekte migrieren und zusammenführen. (Alle anderen Optionen sind deaktiviert.) 3. Klicken Sie nach der Ausführung des Assistenten auf Protokoll anzeigen. Überprüfen Sie das Migrationsprotokoll auf Fehler. 4. Öffnen Sie Active Directory-Benutzer und -Computer, suchen Sie die Zielorganisationseinheit, und überprüfen Sie dann, ob die freigegebenen lokalen Gruppen in der Organisationseinheit der Zieldomäne vorhanden sind. So migrieren Sie Domänen- und freigegebene lokale Gruppen mithilfe eines Skripts Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle und -Optionen zum Migrieren von Domänen- und freigegebenen lokalen Gruppen enthält. Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“. <Job id=" MigratingDomainAndSharedLocalGroupsBetweenForests" > <Script language="VBScript" src="AdmtConstants.vbs" /> <Script language="VBScript" > Option Explicit Dim objMigration Dim objGroupMigration ' 'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte. ' Set objMigration = CreateObject("ADMT.Migration" ) Set objGroupMigration = objMigration.CreateGroupMigration ' 'Geben Sie die allgemeinen Migrationsoptionen an. ' objMigration.SourceDomain = "Quelldomäne" 183 objMigration.SourceOu = "Quellcontainer" objMigration.TargetDomain = "Zieldomäne" objMigration.TargetOu = "Zielcontainer" ' 'Geben Sie die spezifischen Optionen der Gruppenmigration an. ' objGroupMigration.MigrateSIDs = True ' 'Migrieren Sie die angegebenen Gruppenobjekte. ' objGroupMigration.Migrate admtData, _ Array("lokaler Gruppenname1" ,"lokaler Gruppenname2" ) Set objGroupMigration = Nothing Set objMigration = Nothing </Script> </Job> Migrieren von Domänencontrollern Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 In Active Directory oder Active Directory-Domänendienste (Active Directory Domain Services, AD DS) können Domänencontroller zwischen Domänen migriert werden. Zu diesem Zweck müssen Sie die folgenden Aktionen ausführen: Entfernen Sie Active Directory oder AD DS vom Domänencontroller. Migrieren Sie den Domänencontroller als Mitgliedsserver in die Zieldomäne. Installieren Sie Active Directory oder AD DS erneut. Wenn der Server Windows 2000 Server ausführt, können Sie Active Directory oder AD DS nicht in der Zieldomäne installieren, wenn die Zieldomäne sich bereits auf der Funktionsebene von 184 Windows Server 2003 befindet. In diesem Fall müssen Sie vor dem Installieren von Active Directory oder AD DS ein Upgrade des Servers auf Windows Server 2003 ausführen. Dieselben Schritte sind zum Migrieren eines RODC sowie für einen beschreibbaren Domänencontroller erforderlich. Anschließen der Migration Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Nachdem Sie alle Konten und Ressourcen aus der Quell- in die Zieldomäne migriert haben, führen Sie die folgenden Tasks aus, um den Neustrukturierungsvorgang abzuschließen: Übertragen Sie die Verwaltung der Benutzer- und Gruppenkonten von der Quelldomäne an die Zieldomäne. Stellen Sie sicher, dass mindestens zwei Domänencontroller in der Quelldomäne weiterhin betrieben werden, bis der Ressourcenmigrationsvorgang abgeschlossen ist. Sichern Sie die beiden Domänencontroller in der Quelldomäne. Nachdem Sie diese Schritte ausgeführt haben, können Sie die Sicherheit der Mitgliedsserver in der Zieldomäne konvertieren und die Quelldomäne außer Betrieb nehmen. Die folgende Abbildung zeigt den Vorgang zum Abschließen der Migration von Active Directory-Domänen zwischen Gesamtstrukturen. 185 Konvertieren der Sicherheit auf Mitgliedsservern Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Konvertier der Sicherheit auf Mitgliedsservern, um die Zugriffssteuerungslisten (Access Control Lists, ACLs) der Ressourcen zu bereinigen. Nach der Migration von Objekten in die Zieldomäne enthalten die Ressourcen die ACL-Einträge der Quelldomänenobjekte. Wenn Sie den SIDVerlauf verwenden, um den Zugriff auf Ressourcen während der Migration bereitzustellen, verbleiben die Sicherheitskennungen (SIDs) aus der Quelldomäne in den Zugriffssteuerungslisten, um Benutzern Zugriff auf Ressourcen zu ermöglichen, während die Migration durchgeführt wird. Nach dem Abschluss der Migration werden die SIDs aus der Quelldomäne jedoch nicht mehr benötigt. Verwenden Sie den SicherheitskonvertierungsAssistenten im Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT), um die SIDs der Quelldomäne durch die SIDs der Zieldomäne zu ersetzen. Wenn Sie nicht den SID-Verlauf für den Ressourcenzugriff verwenden, müssen Sie diesen Vorgang nicht ausführen, weil Sie die Sicherheitskonvertierung bereits im Entfernen-Modus nach dem Abschluss der Benutzermigration ausgeführt haben sollten. Sie können Sicherheit auf Mitgliedsservern mithilfe des ADMT-Snap-Ins, der ADMTBefehlszeilenoption oder eines Skripts konvertieren. So konvertieren Sie Sicherheit auf Mitgliedsservern mithilfe des ADMT-Snap-Ins 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Verwenden Sie den Sicherheitskonvertierungs-Assistenten, indem Sie die in der folgenden Tabelle beschriebenen Schritte ausführen. Seite des Assistenten Vorgang Optionen für die Sicherheitskonvertierung Klicken Sie auf Zuvor migrierte Objekte. Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Quelldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus. Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Zieldomäne an. 186 Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, und klicken Sie auf Weiter. Computerauswahl Klicken Sie auf Computer aus Domäne auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Computerauswahl auf Hinzufügen, um die Computer auszuwählen, für die Sie die Sicherheit konvertieren möchten, klicken Sie auf OK, und klicken Sie dann auf Weiter. Oder Klicken Sie auf Objekte aus Includedatei lesen und anschließend auf Weiter. Geben Sie den Speicherort der Includedatei ein, und klicken Sie auf Weiter. Objekte konvertieren Deaktivieren Sie das Kontrollkästchen Benutzerprofile. Aktivieren Sie alle anderen Optionen. Optionen für die Sicherheitskonvertierung Klicken Sie auf Ersetzen. So konvertieren Sie Sicherheit auf Mitgliedsservern mithilfe der ADMTBefehlszeilenoption 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Geben Sie den Befehl ADMT Security mit den entsprechenden Parametern in der Befehlszeile ein, und drücken Sie dann die EINGABETASTE: ADMT SECURITY /N "<Computername1>" "<Computername2>" /SD:" <Quelldomäne>" /TD:" <Zieldomäne>" /TO:" <Zielorganisationseinheit>" /TOT:Replace Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt über die Befehlszeile angegeben wird: ADMT SECURITY /N "<Computername1>" "<Computername2>" /O "<Optionsdatei>.txt" In der folgenden Tabelle sind die allgemeinen Parameter zum Migrieren von Benutzerkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem entsprechenden Äquivalent in der Optionsdatei. 187 Parameter Befehlszeilensyntax Optionsdateisyntax <Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne" <Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne" Optionen für die Sicherheitskonvertierung /TOT:Replace TranslateOption=REPLACE 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem der Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um die Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde, müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen "MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert. So konvertieren Sie Sicherheit auf Mitgliedsservern mithilfe eines Skripts Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle und -Optionen zum Konvertieren der Sicherheit auf Mitgliedsservern enthält. Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“. <Job id=" TranslatingSecurityOnMemberServersBetweenForests" > <Script language="VBScript" src="AdmtConstants.vbs" /> <Script language="VBScript" > Option Explicit Dim objMigration Dim objSecurityTranslation ' 'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte. ' Set objMigration = CreateObject("ADMT.Migration" ) Set objSecurityTranslation = objMigration.CreateSecurityTranslation ' 'Geben Sie die allgemeinen Migrationsoptionen an. 188 ' objMigration.SourceDomain = "Quelldomäne" objMigration.TargetDomain = "Zieldomäne" objMigration.TargetOu = "Computer" ' 'Geben Sie die spezifischen Optionen der Sicherheitskonvertierung an. ' objSecurityTranslation.TranslationOption = admtTranslateReplace objSecurityTranslation.TranslateFilesAndFolders = True objSecurityTranslation.TranslateLocalGroups = True objSecurityTranslation.TranslatePrinters = True objSecurityTranslation.TranslateRegistry = True objSecurityTranslation.TranslateShares = True objSecurityTranslation.TranslateUserProfiles = False objSecurityTranslation.TranslateUserRights = True ' 'Führen Sie die Sicherheitskonvertierung für die angegebenen Computerobjekte durch. ' objSecurityTranslation.Translate admtData, _ Array("Computername1" ,"Computername2" ) Set objSecurityTranslation = Nothing Set objMigration = Nothing </Script> </Job> 189 Außerbetriebnahme der Quelldomänen Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Nachdem Sie die Migration der Konten und Ressourcen in Ihrer Quelldomäne abgeschlossen haben, nehmen Sie die Quelldomäne außer Betrieb. Stellen Sie sicher, dass eine vollständige Sicherung des Systemstatus eines Domänencontrollers vorhanden ist, damit Sie die Domäne jederzeit erneut online schalten können. So nehmen Sie die Quelldomäne außer Betrieb 1. Entfernen Sie alle Vertrauensstellungen zwischen der Quelldomäne und der Zieldomäne. 2. Führen Sie alle verbleibenden Domänencontroller in der Quelldomäne, die nicht in die Zieldomäne migriert wurden, einem neuen Zweck zu. 3. Deaktivieren Sie alle Konten, die Sie während des Migrationsvorgangs erstellt haben, einschließlich der Konten, denen Sie Verwaltungsberechtigungen zugewiesen haben. Hinweis Wenn Sie die Quelldomäne außer Betrieb nehmen, zeigen freigegebene lokale Gruppen sowie lokale Gruppen, die Sie nicht mithilfe des Sicherheitskonvertierungs-Assistenten konvertiert haben, Gruppenmitglieder als "Unbekanntes Konto" an. Dies geschieht, weil Mitgliedernamen aus der Quelldomäne nicht aufgelöst werden. Diese Gruppenmitgliedschaften sind jedoch noch vorhanden, und dieses Verhalten wirkt sich nicht auf Benutzer aus. Löschen Sie Einträge mit dem Status "Unbekanntes Konto" nicht, weil dann der Zugriff deaktiviert wird, der durch den SID-Verlauf ermöglicht wird. Führen Sie den Sicherheitskonvertierungs-Assistenten aus, um diese Einträge zu entfernen. Active Directory-Domänenneustrukturierung innerhalb einer Gesamtstruktur Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Wenn Sie die Anzahl der Active Directory-Domänen in Ihrer Gesamtstruktur verringern, wird auch Folgendes verringert oder vereinfacht: Verwaltungsanforderungen für die Organisation Replikationsdatenverkehr Verwaltung von Benutzern und Gruppen Implementierung von Gruppenrichtlinien 190 Wenn Benutzer häufig Speicherorten erneut zugewiesen werden, die Teil verschiedener Domänen sind, können Sie auch Objekte auf regelmäßiger Basis zwischen Domänen migrieren. Der Vorgang der Neustrukturierung von Active Directory-Domänen innerhalb einer Gesamtstruktur unterscheidet sich vom Vorgang für die Neustrukturierung von Active DirectoryDomänen zwischen Gesamtstrukturen. Für diesen Vorgang ist eine sorgfältige Planungs- und Testphase erforderlich. Prüfliste: Ausführen einer Migration innerhalb einer Gesamtstruktur Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Das Verringern der Anzahl der Active Directory-Domänen in der Gesamtstruktur vereinfacht die folgenden Aufgaben oder verringert den Zeitaufwand für deren Ausführung: Verwalten der Verwaltungsanforderungen für die Organisation Verarbeiten des Replikationsdatenverkehrs Verwalten von Benutzern und Gruppen Implementieren von Gruppenrichtlinien Wenn Sie häufig Benutzer verschiedenen Domänen erneut zuweisen, können Sie auch auf regelmäßiger Basis Objekte zwischen Domänen migrieren. Die Neustrukturierung von Active Directory-Domänen innerhalb einer Gesamtstruktur unterscheidet sich von der Migration zwischen Gesamtstrukturen, und sie erfordert sorgfältige Planung und Tests. Task Referenz Lesen der Installationsanweisungen für das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) Installieren von ADMT in der Zieldomäne Legen Sie zuerst den folgenden Registrierungsschlüssel auf den Zieldomänencontrollern fest, um Computer mit Windows Server® 2008, Windows Server 2003, Windows Vista® (ohne Service Pack 1), Windows XP und Microsoft® Windows 2000 (mit ADMT 3.1) zu einer Zieldomäne mit Domänencontrollern mit Windows Server 2008 R2 oder Windows Server 2008 zu migrieren: Weitere Informationen zum Vornehmen dieser Änderung mithilfe von Gruppenrichtlinien finden Sie unter "Bekannte Probleme bei der Installation und Deinstallation von AD DS" (http://go.microsoft.com/fwlink/?LinkId= 119321). Hinweis Zum Migrieren von Computern, die unter Windows Vista SP1, Windows 7 oder Windows 191 Task Referenz Server 2008 R2 ausgeführt werden, muss dieser Registrierungsschlüssel nicht festgelegt werden. Registrierungspfad: HKLM\System\CurrentControlSet\Services\Netlogon \Parameters Registrierungswert: AllowNT4Crypto Typ: REG_DWORD Daten: 1 Hinweis Diese Registrierungseinstellung entspricht der Einstellung Mit Windows NT 4.0 kompatible Kryptografiealgorithmen zulassen in der Gruppenrichtlinie. Aktivieren Sie für alle Migrationstasks, die AgentBereitstellung verwenden und bei denen WindowsFirewall in Gebrauch ist, die Ausnahme für Datei- und Druckerfreigabe. Dies kann die Migration für folgende Situationen beinhalten: Migrieren von Arbeitsstationscomputern und Mitgliedsservern, die unter Windows Server 2008 R2, Windows Server 2008, Windows 7 oder Windows Vista ausgeführt werden Migrieren von Sicherheitseinstellungen oder Ausführen der Sicherheitskonvertierung Vorbereiten der Neustrukturierung von Active DirectoryDomänen innerhalb einer Gesamtstruktur Dieser Task umfasst die folgenden Untertasks: Bewerten der neuen Active DirectoryDomänenstruktur. Zuweisen von Domänenobjektrollen und Speicherorten. Planen der Gruppen- und Textmigration. Erstellen eines Rollbackplans und eines Benutzerkommunikationsplans. Erstellen von Migrationskontengruppen. Installieren von ADMT. Weitere Informationen finden Sie unter "Aktivieren oder Deaktivieren der Ausnahme für Datei- und Druckerfreigabe" (http://go.microsoft.com/fwlink/?LinkID= 119315). Installieren von ADMT in der Zieldomäne Vorbereiten der Neustrukturierung von Active Directory-Domänen innerhalb einer Gesamtstruktur 192 Task Referenz Planen der Aktualisierung von Dienstkonten. Migrieren universeller und globaler Gruppen mithilfe des Migrieren von Gruppen Assistenten zum Migrieren von Gruppenkonten oder des Befehlszeilentools ADMT GROUP. Migrieren von Dienstkonten mithilfe des Assistenten zum Migrieren von Dienstkonten oder ADMTBefehlszeilentools, z. B. ADMT SERVICE zum Identifizieren von Dienstkonten in der Quelldomäne und ADMT USER zum Migrieren von Dienstkonten, die Sie angeben. Migrieren von Dienstkonten Migrieren von verwalteten Dienstkonten mithilfe des Assistenten zum Migrieren von verwalteten Dienstkonten oder mit dem Befehlszeilentool ADMT MANAGEDSERVICEACCOUNT. Migrieren von verwalteten Dienstkonten Migrieren von Benutzerkonten mithilfe des Assistenten zum Migrieren von Benutzerkonten oder dem Befehlszeilentool ADMT USER. Migrieren von Benutzerkonten Konvertieren lokaler Benutzerprofile mithilfe des Sicherheitskonvertierungs-Assistenten oder des Befehlszeilentools ADMT SECURITY. Konvertieren lokaler Benutzerprofile Migrieren von Arbeitsstationscomputern und Mitgliedsservern mithilfe des ComputermigrationsAssistenten oder des Befehlszeilentools ADMT COMPUTER. Migrieren von Arbeitsstationen und Mitgliedsservern Migrieren lokaler Domänengruppen mithilfe des Assistenten zum Migrieren von Gruppenkonten oder des Befehlszeilentools ADMT GROUP. Migrieren lokaler Domänengruppen Abschließen der Tasks nach der Migration. Dieser Task umfasst die folgenden Untertasks: Untersuchen von Migrationsprotokollen auf Fehler Untersuchen der Migrationsprotokolle auf Fehler. Überprüfen der Gruppentypen Überprüfen der Gruppentypen. Konvertieren der Sicherheit auf Mitgliedsservern. Konvertieren der Sicherheit auf Mitgliedsservern Außerbetriebnahme der Quelldomänen. Außerbetriebnahme der Quelldomänen 193 Übersicht zum Umstrukturieren von Active Directory-Domänen innerhalb einer Gesamtstruktur Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Der effizienteste Active Directory-Entwurf umfasst die kleinst mögliche Anzahl Domänen. Durch Minimieren der Anzahl der Domänen in der Gesamtstruktur können Sie die Verwaltungskosten verringern und die Effizienz Ihrer Organisation steigern. Möglicherweise müssen Sie eine Umstrukturierung der Domänen in Ihrer Gesamtstruktur durchführen, wenn Ihre Organisation z. B. einen regionalen Bürostandort schließt und die regionale Domäne für diesen Standort nicht mehr benötigt wird. Zum Vereinfachen der logischen Active Directory-Struktur kann auch in den folgenden Fällen eine Umstrukturierung der Domänen in der Gesamtstruktur sinnvoll sein: Nach einem Upgrade der Netzwerkinfrastruktur. Nach dem Erhöhen der Netzwerkbandbreite und der Replikationskapazität. Der Prozess der Umstrukturierung von Active Directory-Domänen in einer Gesamtstruktur ähnelt dem Prozess der Kontomigration zwischen Domänen. Bei der Migration von Konten und Ressourcen zwischen Domänen werden Objekte von der Quelldomäne ohne Dekommissionierung der Quelldomäne zur Zieldomäne migriert. Beim Umstrukturieren von Active Directory-Domänen wird die Quelldomäne nach der Migration aller Domänenobjekte aus der Gesamtstruktur entfernt. Bevor Sie mit dem Restrukturieren von Active Directory-Domänen in einer Gesamtstruktur beginnen, müssen Sie sicherstellen, dass die Quell- und Zieldomänen mindestens auf der Domänenfunktionsebene arbeiten, die für die von Ihnen verwendete Version von ADMT erforderlich ist. Bei Verwendung von ADMT v3.1 muss die Domänenfunktionsebene mindestens Windows 2000 (einheitlicher Modus) sein. Bei Verwendung von ADMT v3.2 muss die Domänenfunktionsebene mindestens Windows Server 2003 sein. Nachdem Sie den Umstrukturierungsprozess von Active Directory-Domänen in einer Gesamtstruktur abgeschlossen haben, können Sie die Quelldomäne dekommissionieren, um den Mehraufwand verringern zu helfen und die Verwaltung auf der Domänenfunktionsebene in der Organisation zu vereinfachen. Umstrukturieren von Active DirectoryDomänen innerhalb einer Gesamtstruktur mithilfe von ADMT v3.1 Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 194 Zum aufrecht Erhalten des Benutzerzugriffs auf Ressourcen während des Umstrukturierungsprozesses von Domänen müssen die Migrationsschritte in einer bestimmten Reihenfolge ausgeführt werden. Die folgenden Abbildungen zeigen den Vorgang für die Neustrukturierung von Active Directory-Domänen innerhalb einer Gesamtstruktur. Hintergrundinformationen zum Neustrukturieren von Active DirectoryDomänen innerhalb einer Gesamtstruktur Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Die Neustrukturierung von Active Directory-Domänen innerhalb einer Gesamtstruktur umfasst die Migration von Konten und Ressourcen aus dem Quelldomänen in die Zieldomänen. Im Gegensatz zur Neustrukturierung von Active Directory-Domänen zwischen Gesamtstrukturen sind bei einer Neustrukturierung von Domänen innerhalb einer Gesamtstruktur die migrierten Objekte in der Quelldomäne nicht mehr vorhanden. Hinweis Bei einer Migration innerhalb einer Gesamtstruktur werden Computerkonten anders als Benutzer- und Gruppenkonten behandelt. Damit ein Rollbackvorgang möglich ist, wird ein neues Computerkonto in der Zieldomäne erstellt, das Quellcomputerkonto bleibt jedoch nach der Migration in der Quelldomäne aktiviert. Außerdem sind beim Migrieren von Konten, Ressourcen und Gruppen besondere Erwägungen zu berücksichtigen, wenn Sie Active Directory-Domänen innerhalb einer Gesamtstruktur neu strukturieren, da für Active Directory-Gruppen Eingrenzungsregeln gelten. Aus diesen Gründen besteht die Herausforderung bei der Neustrukturierung von Active Directory-Domänen in einer 195 Gesamtstruktur darin, sicherzustellen, dass Benutzer während des Migrationsvorgangs über ununterbrochenen Zugriff auf Ressourcen verfügen. Geschlossene Sätze und offene Sätze Wenn Sie Active Directory-Domänen innerhalb einer Gesamtstruktur neu strukturieren, müssen Sie zwei Typen von geschlossenen Mengen berücksichtigen: Benutzer und Gruppen Ressourcen und lokale Gruppen Benutzer und Gruppen Der erste Typ der geschlossenen Menge enthält Folgendes: Benutzerkonten Alle globalen Gruppen, zu denen die Benutzer gehören Alle anderen Mitglieder der globalen Gruppen Globale Gruppen sind auf Mitglieder der Domäne beschränkt, in der die globale Gruppe vorhanden ist. Wenn Sie ein Benutzerkonto in eine neue Domäne migrieren, die globalen Gruppen, zu denen der Benutzer gehört, jedoch nicht migrieren, ist der Benutzer daher nicht mehr gültiges Mitglied in diesen globalen Gruppen, und der Benutzer kann nicht auf Ressourcen zugreifen, die auf der Mitgliedschaft in diesen globalen Gruppen basieren. Wenn Sie Konten zwischen Domänen in einer Gesamtstruktur verschieben, ist es daher erforderlich, geschlossene Sätze zu verschieben, damit der Zugriff auf Ressourcen für Benutzer erhalten bleibt. Zwar können integrierte Konten (z. B. Administratoren, Benutzer und Hauptbenutzer) sowie bekannte Konten (z. B. Domänen-Admins und Domänenbenutzer) keine Migrationsobjekte des Active Directory-Migrationsprogramms (Active Directory Migration Tool, ADMT) sein, die Migration dieser Gruppen in geschlossenen Mengen ist jedoch kein häufiges Problem. Die Verwendung in Zugriffssteuerungslisten oder die Mitgliedschaft in lokalen Domänengruppen ist keine effektive Methode zum Zuweisen von Ressourcenberechtigungen. Wenn Sie Benutzer migrieren, ernennt ADMT den Benutzer zu einem Mitglied der Gruppe Domänenbenutzer in der Zieldomäne. Berechtigungen für andere integrierte Gruppen (z. B. Server-Operatoren und Sicherungs-Operatoren) oder bekannte Gruppen (z. B. DomänenAdmins) bleiben jedoch nicht erhalten. Wenn Sie integrierte oder bekannte Gruppen zum Zuweisen von Ressourcenberechtigungen verwendet haben, müssen Sie diese Berechtigungen einer neuen lokalen Domänengruppe erneut zuweisen, bevor Sie mit der Migration beginnen. Die erneute Zuweisung von Berechtigungen besteht aus den folgenden Schritten: 1. Erstellen einer neuen lokalen Domänengruppe in der Quelldomäne. 2. Erstellen einer neuen globalen Gruppe in der Quelldomäne, die Benutzer enthält, die Zugriff auf die Ressource benötigen. 3. Hinzufügen der neuen globalen Gruppe zur lokalen Domänengruppe. 196 4. Ausführen der Sicherheitskonvertierung mithilfe einer SID-Zuordnungsdatei (Security Identifier, Sicherheitskennung), die die bekannte Gruppe der neuen lokalen Domänengruppe (die im ersten Schritt erstellt wurde) für alle Ressourcen zuordnet, die Berechtigungen mithilfe bekannter Gruppen zuweisen. Weitere Informationen zum Ausführen einer Sicherheitskonvertierung mithilfe einer SID-Zuordnungsdatei finden Sie unter Konvertieren der Sicherheit mithilfe einer SID-Zuordnungsdatei weiter unten in diesem Handbuch. In kleinen Domänenumgebungen mit wenigen globalen Gruppen sind Sie möglicherweise in der Lage, geschlossene Sätze von Benutzern und Gruppen zu identifizieren. Wenn Sie geschlossene Sätze identifizieren können, können Sie Benutzer und Gruppen gleichzeitig migrieren. In einer großen Domänenumgebung kann ein Benutzer zu mehreren globalen Gruppen gehören. Daher ist es schwierig, nur geschlossene Sätze von Benutzer und Gruppen zu identifizieren und zu migrieren. Aus diesem Grund besteht die beste Vorgehensweise im Migrieren von Gruppen, bevor die Benutzerkonten migriert werden. Benutzer 1 gehört z. B. zu den globalen Gruppen Global A und Global B und ist Mitglied in Domäne 1. Wenn ein Administrator Benutzer 1 und Global A in Domäne 2 in der gleichen Gesamtstruktur verschiebt, sind diese Konten in Domäne 1 nicht mehr vorhanden. Sie sind nur in Domäne 2 in der gleichen Gesamtstruktur vorhanden. Die Gruppe Global B verbleibt in Domäne 1. Es entsteht eine offene Menge oder eine Menge, die Benutzer und Gruppen in mehreren Domänen enthält. Da globale Gruppen nur Mitglieder aus der Domäne enthalten dürfen, in der die globale Gruppe vorhanden ist, ist die Mitgliedschaft von Benutzer 1 in Global B nicht mehr gültig, und Benutzer 1 kann nicht mehr basierend auf der Mitgliedschaft in Global B auf Ressourcen zugreifen. Aus diesem Grund besteht die beste Vorgehensweise im Migrieren beider globaler Gruppen, bevor Benutzer 1 migriert wird. Wenn Sie eine offene Menge von Objekten in eine Umgebung migrieren, in der die Funktionsebene für die Quelldomäne und die Zieldomäne der einheitliche Modus von Windows 2000 oder höher ist, wandelt ADMT die globale Gruppe in eine universelle Gruppe um, damit diese Benutzer aus den anderen Domänen enthalten darf und die Gruppenmitgliedschaft beibehalten werden kann. Wenn die Menge zu einer geschlossenen Menge wird, ändert ADMT die Gruppe erneut in eine globale Gruppe. Der Vorteil dieses Vorgangs besteht darin, dass ADMT sicherstellt, dass alle Probleme hinsichtlich geschlossener Mengen behoben werden. Die Replikationsaufwand des globalen Katalogs erhöht sich jedoch, während die Gruppen universelle Gruppen sind, weil die Mitgliedschaft in den globalen Katalog kopiert wird. Hinweis Wenn die Funktionsebene der Quelldomäne der gemischte Modus von Windows 2000 ist, kann ADMT die globale Gruppe nicht in eine universelle Gruppe umwandeln, weil universelle Gruppen auf dieser Funktionsebene nicht vorhanden sein können. Selbst wenn die Zieldomäne im einheitlichen Modus betrieben wird, könnten Benutzer in Domänen im gemischten Modus nicht die Sicherheitskennungen universeller Gruppen in ihren Zugriffstoken abrufen, wenn die Gruppen von außerhalb der Domäne stammen. Aus diesem Grund erstellt ADMT eine Kopie der globalen Gruppe in der Zieldomäne und fügt alle migrierten Benutzer der Kopie dieser Gruppe hinzu. Diese neue Gruppe besitzt eine neue Sicherheitskennung und keinen SID-Verlauf. Diese Methode erhält den Zugriff 197 auf Ressourcen nur, wenn Sie den Sicherheitskonvertierungs-Assistenten von ADMT im Hinzufügemodus zum Aktualisieren von Berechtigungen ausführen, wodurch der Migrationsvorgang verzögert und verkompliziert wird. Aus diesem Grund wird nicht empfohlen, Domänen neu zu strukturieren, die auf der Funktionsebene gemischter Modus von Windows 2000 oder als Windows Server 2003-Zwischendomäne ausgeführt werden. Ressourcen und lokale Gruppen Der zweite Typ der geschlossenen Menge sind Ressourcen und lokale Gruppen. In den meisten Fällen werden Berechtigungen für Ressourcen lokalen Computergruppen oder lokalen Domänengruppen erteilt. Da lokale Computergruppen beim Migrieren des Computers migriert werden, sind diese Gruppen eine natürliche geschlossene Menge. Lokale Domänengruppen können jedoch auf mehreren Computern zum Zuweisen von Berechtigungen verwendet werden. In diesem Fall können Sie entweder alle Computer, die die lokale Domänengruppe verwenden, zum gleichen Zeitpunkt wie die lokale Domänengruppe in die Zieldomäne migrieren, oder Sie können die lokale Domänengruppe manuell in eine universelle Gruppe ändern und diese universelle Gruppe dann migrieren. Das Ändern der lokalen Domänengruppe in eine universelle Gruppe ist ein manueller Vorgang, weil ADMT diesen Task nicht automatisch ausführt. Diese Änderung kann zwar den globalen Katalog vergrößern, ist aber für einen beschränkten Zeitraum eine effektive Methode zum Migrieren von Ressourcen und lokalen Domänengruppen als geschlossene Menge. SID-Verlauf Der SID-Verlauf unterstützt die Aufrechterhaltung des Benutzerzugriffs auf Ressourcen während des Vorgangs der Neustrukturierung von Active Directory-Domänen. Wenn Sie ein Objekt in eine andere Domäne migrieren, wird dem Objekt eine neue Sicherheitskennung zugewiesen. Weil Sie Objekten Berechtigungen basierend auf Sicherheitskennungen zuweisen, verliert ein Benutzer den Zugriff auf die betreffende Ressource, wenn sich die Sicherheitskennung ändert, bis Sie Berechtigungen erneut zuweisen. Wenn Sie ADMT zum Migrieren von Objekten zwischen Domänen in der gleichen Gesamtstruktur verwenden, bleibt der SID-Verlauf automatisch erhalten. Auf diese Weise bleibt die Sicherheitskennung aus der Quelldomäne ein Attribut des Objekts, nachdem das Objekt in die Zieldomäne migriert wurde. Eine Organisation, die ihre Active Directory-Domänen neu strukturiert, verschiebt z. B. universelle und globale Gruppen aus einer Quelldomäne in die Zieldomäne, bevor die Benutzerkonten verschoben werden. Da es sich um eine Migration innerhalb einer Gesamtstruktur handelt und die Funktionsebene der Quelldomäne der einheitliche Modus von Windows 2000 ist, sind diese Gruppen in der Quelldomäne nicht mehr vorhanden. Sie sind ausschließlich in der Zieldomäne vorhanden. Weil der SID-Verlauf von Benutzern und Gruppen migriert wird, haben die Benutzer basierend auf ihrer Mitgliedschaft in einer Gruppe, die in der Zieldomäne vorhanden ist, auch weiterhin Zugriff auf Ressourcen in der Quelldomäne. 198 Zuweisen des Ressourcenzugriffs zu Gruppen Die effektivste Methode zum Zuweisen von Berechtigungen zu Ressourcen besteht im Ausführen der folgenden Aktionen: 1. Zuweisen von Benutzern zu globalen Gruppen 2. Platzieren globaler Gruppen innerhalb von lokalen Domänengruppen 3. Zuweisen von Berechtigungen zu lokalen Domänengruppen Wenn Sie Ressourcen auf diese Weise Berechtigungen zuweisen, wird der Migrationsvorgang vereinfacht. Vorbereiten der Neustrukturierung von Active Directory-Domänen innerhalb einer Gesamtstruktur Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Durch eine sorgfältige Vorbereitung vor der Neustrukturierung von Active Directory-Domänen können Sie die Auswirkungen verringern, die die Migration von Objekten von den Quell- in die Zieldomänen auf Benutzer besitzt. Die folgende Abbildung zeigt die Schritte, die für die Vorbereitung der Neustrukturierung von Active Directory-Domänen innerhalb einer Gesamtstruktur erforderlich sind. 199 Beurteilen der neuen Struktur der Active Directory-Gesamtstruktur Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Beurteilen Sie die Domänenstruktur Ihrer vorhandenen Active Directory-Gesamtstruktur, und identifizieren Sie dann die Domänen, die Sie durch Konsolidierung mit anderen Domänen umstrukturieren möchten. Zu diesem Zweck müssen Sie folgende Aktionen ausführen: Identifizieren der Quelldomänen, aus denen Objekte migriert werden sollen. Identifizieren und beurteilen der Organisationseinheitsstruktur (Organizational Unit, OU) der Quelldomäne, in der diese Objekte platziert werden sollen. 200 Identifizieren der Quelldomänen Die Quelldomänen sind die Domänen, aus denen Objekte migriert werden sollen und deren Dekommissionierung vorgesehen ist. Beim Neustrukturieren von Active Directory-Domänen sollte idealerweise eine möglichst geringe Anzahl von Objekten migriert werden. Identifizieren Sie beim Auswählen von Quelldomänen die Domänen, in denen die kleinste Anzahl zu migrierender Objekte vorhanden ist. Identifizieren und Beurteilen der Organisationseinheitsstruktur der Zieldomäne Identifizieren Sie die Organisationseinheiten aus der Quelldomäne, die Sie in der Zieldomäne benötigen, und bestimmen Sie dann, ob Sie neue Organisationseinheiten in der Zieldomäne erstellen müssen. Wenn Sie das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) im Befehlszeilen- oder Skriptmodus verwenden, können Sie die Organisationseinheitsstruktur beim Migrieren von Benutzern, Gruppen oder Computern migrieren. Die Organisationseinheiten werden immer zwischen den Domänen kopiert und werden in der Quelldomäne nicht gelöscht. Für die erfolgreiche Migration einer Organisationseinheit müssen Sie eine Quellorganisationseinheit und eine Zielorganisationseinheit in ADMT angeben, und die Zielorganisationseinheit muss vorhanden sein. Alle Objekte in der Quellorganisationseinheit und alle untergeordneten Organisationseinheiten werden in die Zielorganisationseinheit migriert. Die angegebene Quellorganisationseinheit wird selbst nicht migriert. Weitere Informationen zum Erstellen einer Organisationseinheitsstruktur finden Sie unter "Entwerfen von Organisationseinheiten für die Delegierung der Verwaltung" (http://go.microsoft.com/fwlink/?LinkID=76628) (englischsprachig). Zuweisen von Domänenobjektrollen und Speicherorten Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Erstellen Sie eine Objektzuweisungstabelle, die Rollen und Speicherorte für alle zu migrierenden Objekte auflistet. Erstellen Sie eine Tabelle für Kontoobjekte, wie etwa Benutzer-, Gruppen- und Dienstkonten, und eine Tabelle für Ressourcenobjekte, wie etwa Arbeitsstationen, Profile und Domänencontroller. Listen Sie in Ihren Tabellen die Quell- und Zielspeicherorte für alle zu migrierenden Objekte auf. Bestimmen Sie vor dem Erstellen der Kontoobjektzuweisungstabelle, ob die Organisationseinheitsstrukturen auf Domänenebene für die Quell- und die Zieldomäne gleich sind. Wenn sie nicht gleich sind, müssen Sie die Quell- und die Zielorganisationseinheit in den Objektzuweisungstabellen identifizieren. 201 Ein Arbeitsblatt, das Sie beim Erstellen einer Kontoobjektzuweisungstabelle unterstützt, finden Sie unter "User and Group Object Assignment Table" (DSSREER_1.doc) im Download Job_Aids_Designing_and_Deploying_Directory_and_Security_Services der Job Aids für das Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/?LinkId=14384, englischsprachig). Die folgende Abbildung zeigt ein Beispiel einer Objektzuweisungstabelle für Benutzer und Gruppen. Identifizieren sie zum Erstellen eines Ressourcenobjektzuweisungstabelle die Quell- und Zielorganisationseinheit für jedes Objekt, und notieren Sie den physikalischen Speicherort und die Rolle in der Zieldomäne. Ein Arbeitsblatt, das Sie beim Erstellen einer Ressourcenobjektzuweisungstabelle unterstützt, finden Sie unter "Resource Object Assignment Table" (DSSREER_2.doc) im Download Job_Aids_Designing_and_Deploying_Directory_and_Security_Services der Job Aids für das Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/?LinkId=14384, englischsprachig). Die folgende Abbildung zeigt ein Beispiel einer Ressourcenobjektzuweisungstabelle. 202 Planen der Migration von Gruppen Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Nur wenn Sie geschlossene Sätze bei der Neustrukturierung von Active Directory-Domänen innerhalb einer Gesamtstruktur identifizieren können, sollten Sie Gruppen und Benutzer separat migrieren. Auf diese Weise wird sichergestellt, dass Benutzer auch weiterhin Zugriff auf erforderliche Ressourcen besitzen. Die folgende Tabelle listet die einzelnen Gruppentypen und den physikalischen Speicherort der jeweiligen Gruppe auf. Gruppentyp Speicherort Globale Gruppe Active Directory Universelle Gruppe Active Directory 203 Gruppentyp Speicherort Lokale Domänengruppe Active Directory Lokale Computergruppe Datenbank des lokalen Computers Jeder Typ von Gruppe wird basierend auf dem physikalischen Speicherort der Gruppe und ihren Regeln für die Gruppenmitgliedschaft auf andere Weise migriert. Sie können universelle Gruppen und globale Gruppen mithilfe des Active Directory-Migrationsprogramms (Active Directory Migration Tool, ADMT) migrieren. Sie können diese für die Dauer der Migration in universelle Gruppen umwandeln, wenn Sie keine geschlossenen Mengen migrieren. Sie können die Mitgliedschaft der lokalen Computergruppe mithilfe des Sicherheitskonvertierungs-Assistenten aktualisieren. Jeder Gruppentyp verfügt über andere Regeln für die Mitgliedschaft, und jeder Gruppentyp dient einem anderen Zweck. Dies wirkt sich auf die Reihenfolge aus, in der Gruppen aus den Quell- in die Zieldomänen migriert werden. Die folgende Tabelle fasst die Gruppen und ihre Mitgliedschaftsregeln zusammen. Gruppentyp Regeln und Mitgliedschaft Universelle Gruppen Universelle Gruppen können Mitglieder aus beliebigen Domänen in der Gesamtstruktur enthalten, und sie können die Gruppenmitgliedschaft in den globalen Katalog replizieren. Aus diesem Grund können Sie sie für administrative Gruppen verwenden. Wenn Sie Domänen neu strukturieren, migrieren Sie die universellen Gruppen zuerst. Globale Gruppen Globale Gruppen können Mitglieder aus der Domäne enthalten, zu der sie gehören. ADMT ändert die globale Gruppe in der Quelldomäne automatisch in eine universelle Gruppe, wenn diese in die Zieldomäne migriert wird, wenn die Funktionsebene beider Domänen der einheitliche Modus von Windows 2000 oder höher ist. ADMT ändert die universellen Gruppen automatisch zurück in globale Gruppen, nachdem alle Mitglieder der Gruppe in die Zieldomäne migriert wurden. Lokale Domänengruppen Lokale Domänengruppen können Benutzer aus beliebigen Domänen enthalten. Sie werden verwendet, um Ressourcen Berechtigungen zuzuweisen. Wenn Sie Domänen neu 204 Gruppentyp Regeln und Mitgliedschaft strukturieren, müssen Sie lokale Domänengruppen migrieren, wenn Sie die Ressourcen migrieren, auf die sie den Zugriff bereitstellen, oder Sie müssen den Gruppentyp in eine universelle Gruppe ändern. Auf diese Weise wird die Unterbrechung des Benutzerzugriffs aus Ressourcen so kurz wie möglich gehalten. ADMT wandelt lokale Domänengruppen nicht automatisch in universelle Gruppen um, wie dies für globale Gruppen der Fall ist. Planen von Testmigrationen Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) enthält keine Testmigrationsoption. Entwickeln Sie einen Testplan, um jedes Objekt systematisch zu testen, nachdem es in die neue Umgebung migriert wurde, und ggf. auftretende Probleme zu identifizieren und beheben. Das Testen des Erfolgs der Migration stellt sicher, dass Benutzer, die aus der Quell- in die Zieldomäne migriert wurden, sich anmelden, auf Ressourcen basierend auf der Gruppenmitgliedschaft und basierend auf Benutzeranmeldeinformationen zugreifen können. Das Testen stellt außerdem sicher, dass Benutzer auf die Ressourcen zugreifen können, die Sie migrieren. Nachdem Sie die Tests abgeschlossen haben, können Sie mit der Migration kleiner Pilotgruppen fortfahren und dann schrittweise die Größe der Lose von Migrationsobjekten in Ihrer Produktionsumgebung erhöhen. Verwenden Sie das folgende Verfahren, um die Migration von Konto- und Ressourcenobjekten zu testen: 1. Erstellen Sie einen Testbenutzer in der Quelldomäne. Schließen Sie diesen Testbenutzer in die Migrationen ein. 2. Fügen Sie diesen Benutzer den entsprechenden globalen Gruppen hinzu, um den Ressourcenzugriff zu aktivieren. 3. Melden Sie sich an der Quelldomäne als Testbenutzer an, und vergewissern Sie sich, dass Sie ordnungsgemäß auf Ressourcen zugreifen können. 4. Nachdem Sie das Benutzerkonto migriert haben, konvertieren Sie das Benutzerprofil und migrieren die Arbeitsstation des Benutzers, melden sich an der Zieldomäne als Testbenutzer an und überprüfen, ob der erforderliche Zugriff und die entsprechenden Funktionen für den 205 Benutzer erhalten geblieben sind. Der Test kann z. B. die folgenden Überprüfungen beinhalten: Der Benutzer kann sich erfolgreich anmelden. Der Benutzer besitzt Zugriff auf alle entsprechenden Ressourcen, z. B. auf Datei- und Druckfreigaben, Dienste wie etwa Messaging sowie Zugriff auf Branchenanwendungen. Es ist besonders wichtig, den Zugriff auf intern entwickelte Anwendungen zu testen, die auf Datenbankserver zugreifen. Das Benutzerprofil wurde erfolgreich konvertiert, und die Desktopeinstellungen, die Desktopdarstellung, Verknüpfungen und der Zugriff auf den Ordner Eigene Dateien sind erhalten geblieben. Vergewissern Sie sich außerdem, dass Anwendungen im Menü Start angezeigt und über dieses Menü gestartet werden können. Beim Migrieren von Benutzerkonten kann nicht jede Benutzereigenschaft migriert werden. Weitere Informationen zu Benutzereigenschaften, die nicht migriert werden können, finden Sie weiter unten in diesem Handbuch unter Migrieren von Benutzerkonten. Nachdem Sie Ressourcen migriert haben, melden Sie sich als Testbenutzer in der Zieldomäne an und vergewissern sich dann, dass Sie ordnungsgemäß auf Ressourcen zugreifen können. Wenn in einem der Schritte des Testverfahrens Fehler auftreten, ermitteln Sie die Ursache des Problems, und stellen Sie dann fest, ob Sie das Problem beheben können, bevor der Zugriff auf das Objekt in der Zieldomäne möglich sein muss. Wenn Sie das Problem nicht beheben können, bevor der Zugriff auf das Objekt erforderlich ist, führen Sie einen Rollbackvorgang in die ursprüngliche Konfiguration aus, damit der Zugriff auf das Benutzer- oder Ressourcenobjekt sichergestellt ist. Weitere Informationen zum Erstellen eines Rollbackplans finden Sie unter Erstellen eines Rollbackplans weiter unten in diesem Handbuch. Erstellen Sie eine Migrationstestmatrix als Teil Ihres Testplans. Füllen Sie eine Testmatrix für jeden Schritt im Migrationsvorgang aus. Wenn Sie z. B. 10 Lose von Benutzern migrieren, füllen Sie die Testmatrix 10 Mal aus – einmal für jedes migrierte Los. Wenn Sie 10 Mitgliedsserver migrieren, füllen Sie die Testmatrix für jeden der 10 Server aus. Ein Arbeitsblatt, das Sie beim Erstellen einer Testmatrix unterstützt, finden Sie unter "Migration Test Matrix" (DSSREER_3.doc) im Download Job_Aids_Designing_and_Deploying_Directory_and_Security_Services der Job Aids für das Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/?LinkId=14384, englischsprachig). Die folgende Abbildung zeigt ein Beispiel für eine ausgefüllte Migrationstestmatrix. 206 Erstellen eines Rollbackplans Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Nachdem Sie den Migrationsvorgang begonnen haben, können Sie die Änderungen nicht mehr rückgängig machen, die Sie an Active Directory-Domänen in Ihrer Gesamtstruktur vornehmen. Da Konten aus einer Domäne in eine andere verschoben und nicht kopiert werden, wenn Sie Domänen neu strukturieren, sind die Änderungen nicht rückgängig zu machen. Wenn Sie Ihre 207 Pläne ändern, nachdem Sie mit dem Migrationsvorgang begonnen haben, besteht die einzige Möglichkeit, Konten erneut in der Quelldomäne zu speichern, im erneuten Migrieren der Konten. Erstellen Sie einen Rollbackplan für den Fall, dass Sie Konten erneut migrieren müssen, nachdem Sie mit der Neustrukturierung Ihrer Domänen begonnen haben. Wenn Sie einen Rollbackplan erstellen möchten, wählen Sie die Methode aus, die Sie zum erneuten Migrieren von Konten verwenden möchten. Hinweis Zum Sicherstellen eines erfolgreichen Rollbacks einer gesamtstrukturinternen Migration dürfen Sie nicht versuchen, die Objekte in der Zieldomäne zu löschen und sie dann in der Quelldomäne wiederherzustellen. Sie können sonst die Objekte nicht mehr in der Quelldomäne wiederherstellen, weil sie vom Proxy für das domänenübergreifende Verschieben automatisch gelöscht werden, wenn eine Wiederherstellung versucht wird. Sie können das Active Directory-Migrationsprogramm (ADMT) zum erneuten Migrieren von Konten aus der Zieldomäne zurück in die Quelldomäne verwenden. In diesem Fall wird die ursprüngliche Zieldomäne die neue Quelldomäne, und die ursprüngliche Quelldomäne wird zur neuen Zieldomäne. Führen Sie die gleichen Schritte in den Assistenten aus, die Sie zuvor zum Migrieren der Konten verwendet haben. Wenn Sie die Konten erneut migrieren, verfügen die Objekte, die in die Zieldomäne migriert und dann erneut in die Quelldomäne migriert wurden, neue Sicherheitskennungen (Security Identifiers, SIDs). Sie weisen jedoch ihre ursprüngliche Sicherheitskennung in ihrem SID-Verlauf auf. Aus diesem Grund sind sie zwar nicht mit den Konten vor der Migration identisch, sie besitzen jedoch die gleiche Funktionalität. Wenn Sie eine Dienstkontenmigration umkehren möchten, müssen Sie die Dienste nochmals aufzählen und die Dienstkonten dann erneut migrieren, indem Sie die Ziel- und Quelldomänen vertauschen. Wenn Sie Skripts zum Ausführen der ursprünglichen Migration verwenden, ist die Verwendung von Skripts für die erneute Migration von Konten die schnellste Methode zum Rückgängigmachen der Änderungen. Invertieren Sie einfach die Objekte im Skript, die für die Quell- und Zieldomänen verwendet werden, um die Objekte neu zu migrieren. Nachdem Sie Ihren Rollbackplan erstellt haben, müssen Sie ihn testen, um ggf. auftretende Probleme zu identifizieren und zu beheben, bevor Sie mit der Neustrukturierung der Active Directory-Domänen beginnen. Erstellen eines Endbenutzermigrationsplans Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Entwickeln Sie einen Plan, um alle betroffenen Benutzer über die bevorstehende Kontomigration zu informieren und so sicherzustellen, dass sie ihre Zuständigkeiten kennen, die Auswirkungen der Migration verstehen und wissen, an wen sie sich wegen Hilfe und Support wenden können. Bevor Sie mit der Benutzermigration beginnen, senden Sie einen Hinweis an alle Benutzer, die für die Migration vorgesehen sind. Da Benutzer normalerweise in Losen von ungefähr 100 208 Benutzern zugleich migriert werden, ist es außerdem sinnvoll, den Benutzern in jedem Los zwei oder drei Tage vor der geplanten Umstellung ihres Loses eine letzte Benachrichtigung zu senden. Wenn Ihre Organisation ein Intranet betreibt, veröffentlichen Sie den Zeitplan zur Kontomigration und die in der Benutzer-E-Mail enthaltenen Informationen auf einer leicht zugänglichen Webseite. Nehmen Sie die folgenden Informationen in Ihre Endbenutzerkommunikation auf. Allgemeine Informationen Machen Sie Benutzer auf die Tatsache aufmerksam, dass für ihre Benutzerkonten die Migration zu einer neuen Domäne geplant ist. Verweisen Sie die Benutzer auf eine Webseite oder auf eine interne Ressource, wo sie weitere Informationen finden und den Zeitplan für die Migration einsehen können. Teilen Sie den Benutzern den neuen Domänennamen mit. Achten Sie darauf, die Benutzer zu informieren, dass sich ihre Kontokennwörter nicht ändern werden. Lassen Sie die Benutzer wissen, dass das ursprüngliche Domänenkonto unmittelbar im Anschluss an die Migration deaktiviert wird und dass das deaktivierte Konto nach einem festgelegten Zeitraum gelöscht wird. Dies ist nicht erforderlich, wenn sie sich mit UPNs (User Principal Names) anmelden. Auswirkungen Vergewissern Sie sich, dass den Benutzern bewusst ist, dass sie nach der Migration ihres Kontos möglicherweise auf einige Ressourcen, wie etwa Websites, freigegebene Ordner oder Ressourcen, die von Personen in der Gruppe oder Abteilung nicht häufig verwendet werden, nicht mehr zugreifen können. Stellen Sie Informationen für Benutzer hinsichtlich der Personen bereit, die sie um Hilfe bitten können, um den Zugriff auf erforderliche Ressourcen wieder zu erlangen. Anmeldestatus während der Migration Achten Sie darauf, dass den Benutzern bewusst ist, dass sie sich während des Migrationsvorgangs nicht bei der Domäne anmelden oder auf E-Mail oder sonstige Ressourcen zugreifen können. Achten Sie unbedingt darauf, den Zeitraum anzugeben, in dem keine Benutzeranmeldung möglich ist. Schritte vor der Migration Machen Sie die Benutzer auf alle Schritte aufmerksam, die sie vor dem Beginn des Migrationsvorgangs ausführen müssen. Beispielsweise müssen sie alle mithilfe von EFS (Encrypting File System) verschlüsselten Dateien entschlüsseln. Das Versäumnis, die verschlüsselten Dateien zu entschlüsseln, bewirkt den Verlust des Zugriffs auf die verschlüsselten Dateien nach der Migration. 209 Die Benutzer müssen darüber hinaus sicherstellen, dass ihre Computer zum Zeitpunkt der geplanten Kontenmigration mit dem Netzwerk verbunden sind. Erwartete Änderungen Beschreiben Sie weitere Änderungen, die den Benutzern im Anschluss an die Migration auffallen werden, wie etwa Änderungen in der Verwendung von SmartCards, sicherer E-Mail oder Instant Messaging, falls zutreffend. Informationen zu Planung und Support Stellen Sie Informationen zu weiteren Informationsquellen bereit, z. B. eine interne Website, auf der Sie Informationen zur Migration bekanntmachen. Geben Sie darüber hinaus Informationen zu Kontaktpersonen an, an die sich Benutzer bei Terminkonflikten für das Datum der Migration wenden können. Erstellen von Migrationskontengruppen Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Wenn Sie Konten und Ressourcen innerhalb einer Gesamtstruktur migrieren möchten, können Sie eine Kontenmigrationsgruppe und eine Ressourcenmigrationgruppe mit den entsprechenden Anmeldeinformationen erstellen. Anschließend müssen Sie die Konten, die die ADMTMigrationen (Active Directory Migration Tool, Active Directory-Migrationsprogramm) ausführen, der Kontenmigrationsgruppe bzw. der Ressourcenmigrationgruppe hinzufügen. Da ADMT nur eine beschränkte Sammlung von Berechtigungen benötigt, können Sie durch das Erstellen separater Migrationsgruppen die Verwaltung vereinfachen, indem Sie die Gruppen erstellen, die entsprechenden Berechtigungen zuweisen und diesen Gruppen dann die erforderlichen Administratoren hinzufügen. Wenn Sie Migrationstasks für Ihre Organisation über mehrere administrative Gruppen verteilt sind, erstellen Sie separate Migrationsgruppen für jede administrative Gruppe, die die Migration ausführt. Weisen Sie die erforderlichen Berechtigungen zum Ändern von Objekten wie z. B. Benutzern, globalen Gruppen und lokalen Profilen gemäß der folgenden Tabelle zu. Der Benutzer, der ADMT ausführt, muss ein Administrator auf dem Computer sein, auf dem ADMT installiert ist. Verwenden Sie in der Zieldomäne eine Gruppe mit delegierter Steuerung der Computerorganisationseinheit und der Benutzerorganisationseinheit. Sie können ggf. eine separate Gruppe für die Migration von Arbeitsstationen verwenden, wenn dieser Migrationsvorgang an Administratoren delegiert wird, die sich am gleichen Standort wie die Arbeitsstationen befinden. Verwenden Sie die Informationen in der folgenden Tabelle, um die Anmeldeinformationen zu ermitteln, die für Ihre Migration erforderlich sind. 210 Migrationsobjekt In der Quelldomäne In der Zieldomäne erforderliche erforderliche Anmeldeinformationen Anmeldeinformationen Benutzer/Verwaltetes Dienstkonto/Gruppe Hinweis Für verwaltete Dienstkonten wird bei einer Migration innerhalb der Gesamtstruktur der SID-Verlauf nicht gespeichert. Computer Profil Lokaler Administrator, Domänenadministrator und delegierte Berechtigung Liest alle Benutzerinformationen für die Quellorganisationseinheit. Delegierte Berechtigungen Erstellt, entfernt und verwaltet Benutzerkonten, Erstellt, entfernt und verwaltet Gruppen und Ändert die Mitgliedschaft einer Gruppe für die Benutzerorganisationseinheit oder die Gruppenorganisationseinheit sowie lokaler Administrator auf dem Computer, auf dem ADMT installiert ist. Domänenadministrator oder delegierte Rechte zum Löschen der Objekte in der Quellorganisationseinheit und Mitglied der Gruppe Administratoren auf jedem Computer. Delegierte Berechtigung für die Computerorganisationseinheit und lokaler Administrator auf dem Computer, auf dem ADMT installiert ist. Lokaler Administrator oder Domänenadministrator, für servergespeicherte Profile: Administrator des Computers, der den freigegebenen Ordner des servergespeicherten Profils hostet. Delegierte Berechtigung Erstellt, entfernt und verwaltet Benutzerkonten für die Computerorganisationseinheit und lokaler Administrator auf dem Computer, auf dem ADMT installiert ist. Hinweis Wenn auf dem Computer ein verwaltetes Dienstkonto installiert ist, verwenden Sie ein Konto mit der Berechtigung zum Aktualisieren der Sicherheitsbeschreibung des verwalteten Dienstkontos in der Zieldomäne. Hinweis Möglicherweise müssen zusätzliche 211 Migrationsobjekt In der Quelldomäne In der Zieldomäne erforderliche erforderliche Anmeldeinformationen Anmeldeinformationen Vorbereitungsschritte ausgeführt werden, wenn Sie servergespeicherte Profile für Computer mit Windows Vista oder Windows 7 migrieren möchten. Weitere Informationen finden Sie unter Vorbereiten von servergespeicherten Profilen für die Migration von Computern unter Windows Vista und Windows 7. ADMT enthält außerdem Datenbankverwaltungsrollen, mit denen Sie Benutzern, die bestimmte Migrationstasks ausführen, eine Untermenge von Datenbankberechtigungen zuweisen können. Die Datenbankverwaltungsrollen und die Migrationstasks, die sie ausführen können, werden in der folgenden Tabelle aufgelistet. Rolle Migrationstask Kontenmigratoren Kontenmigrationstasks, z. B. Benutzer- und Gruppenmigration. Ressourcenmigratoren Ressourcenmigrationstasks, z. B. Computermigration und Sicherheitskonvertierung. Kontenmigratoren üben außerdem die Rolle von Ressourcenmigratoren aus. Datenleser Fragt die betreffende Datenbank ab. Kontenmigratoren und Ressourcenmigratoren üben außerdem die Rolle von Datenlesern aus. Benutzer, denen die Rolle SQL Server-Systemadministrator zugewiesen wurde, üben alle ADMT-Datenbankverwaltungsrollen aus. Sie sind berechtigt, die folgenden Aktionen auszuführen: Anzeigen von Datenbankrollen und Benutzern, die diese Rollen ausüben. Hinzufügen von Gruppen oder Benutzern zu Rollen. 212 Entfernen von Gruppen oder Benutzern aus Rollen. Standardmäßig wird der lokalen Gruppe Administratoren die Rolle des Systemadministrators zugewiesen. Diese Gruppe kann alle ADMT-Datenbankfunktionen ausführen. Installieren von ADMT in der Zieldomäne Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Verwenden Sie je nach der Version, die Sie installieren möchten, eine der folgenden Anleitungen für die Installation des Active Directory-Migrationsprogramms (Active Directory Migration Tool, ADMT): ADMT Version 3.1 bietet eine Option zum Installieren einer vorkonfigurierten Datenbankinstanz von Microsoft SQL Server® Express an. Bei ADMT Version 3.2 muss eine bereits installierte SQL Server-Datenbankinstanz vorhanden sein. Die übrigen Anleitungen zum Trennen, Neukonfigurieren und Entfernen einer Datenbankdatei gelten für beide ADMTVersionen. Installieren von ADMT v3.1 Installieren von ADMT v3.2 Trennen einer vorhandenen Datenbankdatei von einer vorherigen Version von ADMT und SQL Server Neukonfiguration einer Datenbankinstallation mit "Admtdb.exe" Erneutes Verwenden einer ADMT-Datenbank aus einer vorherigen Installation Installieren von ADMT v3.1 Dieser Abschnitt behandelt die folgenden Probleme beim Installieren von ADMT v3.1 Voraussetzungen für die Installation von ADMT v3.1 Installieren von ADMT v3.1 mithilfe des Standarddatenbankspeichers Voraussetzungen für die Installation von ADMT v3.1 Wenn Sie das Active Directory-Migrationsprogramm Version 3.1 (Active Directory Migration Tool, ADMT v3.1) installieren, wird außerdem SQL Server 2005 Express Edition standardmäßig als Datenspeicher installiert. Als Option können Sie ADMT v3.1 für die Verwendung einer Datenbank aus SQL Server 2000 mit Service Pack 4 (SP4) Standard oder Enterprise Edition bzw. einer SQL Server 2005 Standard- oder Enterprise Edition-Installation konfigurieren, die Sie zuvor erstellt haben. Bevor Sie ADMT v3.1 installieren, führen Sie die folgenden erforderlichen Tasks aus: Installieren Sie Windows Server 2008. Entfernen Sie alle früheren Versionen von ADMT mithilfe der Option Software in der Systemsteuerung. Wenn Sie versuchen, ADMT v3.1 auf einem Server zu installieren, auf dem eine frühere Version von ADMT installiert ist, wird eine Fehlermeldung angezeigt, und 213 die Installation wird nicht fortgesetzt. Wenn erforderlich, können Sie die Datenbank während der Installation aus der vorherigen Version von ADMT (z. B. aus ADMT v2.0 oder ADMT v3.0) in ADMT v3.1 importieren. Wenn Sie nicht planen, die lokale Standarddatenbankinstallation zu verwenden, stellen Sie sicher, dass eine andere SQL Server 2000- oder SQL Server 2005-Datenbankinstallation mit einer ADMT-Instanz konfiguriert ist. Weitere Informationen zum Erstellen einer ADMT-Instanz für eine a SQL Server-Datenbank finden Sie unter Installieren von ADMT mithilfe einer vorkonfigurierten SQL-Datenbank. Installieren von ADMT v3.1 mithilfe des Standarddatenbankspeichers Sie können den Standarddatenbankspeicher basierend auf SQL Server 2005 Express Edition oder eine vorkonfigurierte SQL-Datenbank zum Installieren von ADMT verwenden. Die gängigste und empfohlene Installationsmethode besteht in der Verwendung des Standarddatenbankspeichers, den der Installations-Assistent des Active DirectoryMigrationsprogramms automatisch konfiguriert. So installieren Sie ADMT mithilfe des Standarddatenbankspeichers Laden Sie je nach vorhandener Umgebung ADMT v3.1 (http://go.microsoft.com/fwlink/?LinkId=121732) oder ADMT v3.2 (http://go.microsoft.com/fwlink/?LinkId=186197) herunter. Weitere Informationen dazu, welche Version von ADMT Sie verwenden können, finden Sie unter Versionen vom Active Directory-Migrationsprogramm und unterstützte Umgebungen. Doppelklicken Sie auf der Downloadwebsite auf admtsetup.exe. Der Installations-Assistent wird geöffnet. Seite des Assistenten Vorgang Willkommen Klicken Sie auf Weiter. Komponenten werden konfiguriert Die ADMT-Datenbankinstanz (MS_ADMT) wird auf dem lokalen Computer erstellt. Zwar wird SQL Server 2005 Express Edition unabhängig davon, ob ADMT diese Anwendung verwendet, standardmäßig lokal installiert, ADMT deaktiviert SQL Server 2005 Express Edition jedoch, wenn Sie eine andere Datenbankinstanz auf der nächsten Seite des Assistenten angeben. Datenbankauswahl Geben Sie die Datenbankinstanz an, mit der Sie eine Verbindung herstellen 214 möchten. Die empfohlene Auswahl ist Lokale SQL Server 2005 Express Edition verwenden. Dann wird ADMT v3.1 so konfiguriert, dass die lokal installierte Datenbankinstanz verwendet wird. Wenn Sie mehrere ADMT v3.1-Konsolen verwenden oder einen dedizierten Datenbankserver einsetzen, auf dem Sie die ADMT-Datenbank zentralisieren möchten, wählen Sie die Option Vorhandenen Microsoft SQL Server verwenden aus. Geben Sie den Server im Format Server\Instanz an. Sie sollten die SQL ServerDatenbankinstanz konfigurieren, bevor Sie diese Option auswählen. Die ADMT v3.1-Installation wird zwar fortgesetzt, wenn keine Verbindung mit der Datenbank hergestellt werden kann, Sie können ADMT jedoch erst zum Migrieren von Konten oder Ressourcen verwenden, nachdem die Datenbankinstanz erstellt wurde und verfügbar ist. Datenbankimport des Active DirectoryMigrationsprogramms v3 Sie können eine ADMT v3.0-Installation nicht auf ADMT v3.1 aktualisieren, Sie können jedoch Daten aus einer ADMT v3.0-Datenbank in eine ADMT v3.1-Datenbank importieren. Wenn Sie keine Daten aus einer ADMT v3.0-Datenbank importieren möchten, wählen Sie Nein, keine Daten aus einer vorhandenen Datenbank importieren (Standard) aus. Wenn Sie Daten aus ADMT v3.0 in die neue ADMT v3.1-Datenbank importieren möchten, wählen Sie Ja, Daten aus einer ADMT v3.0-Datenbank importieren aus. Wenn Sie Daten importieren möchten, geben Sie den Pfad zur ADMT v3.0215 Datenbankdatei an. Datenbankimport des Active DirectoryMigrationsprogramms v2 Sie können eine ADMT v2.0-Installation nicht auf ADMT v3.1 aktualisieren, Sie können jedoch Daten aus einer ADMT v2.0-Datenbank in eine ADMT v3.0-Datenbank importieren. Wenn Sie keine Daten aus einer ADMT v2.0-Datenbank importieren möchten, wählen Sie Nein, keine Daten aus einer ADMT v2-Datenbank importieren aus. Wenn Sie Daten aus ADMT v2.0 in die neue ADMT v3.1-Datenbank importieren möchten, wählen Sie Ja, Daten aus einer ADMT v2.0-Datenbank importieren aus. Wenn Sie Daten importieren möchten, geben Sie den Pfad zur ADMT v2.0Datenbankdatei an. Die ADMT v2.0-Datenbank besitzt den Dateinamen protar.mdb und sollte in dem Verzeichnis gespeichert sein, das zuvor für die ADMT v2.0-Installation verwendet wurde. Zusammenfassung Diese Seite fasst die von Ihnen ausgewählten Optionen zusammen. Klicken Sie auf Fertig stellen, um die ADMT v3.1-Installation abzuschließen. Installieren von ADMT v3.2 Für ADMT v3.2 ist eine vorkonfigurierte Instanz von SQL Server als zugrunde liegender Standarddatenspeicher erforderlich. Verwenden Sie hierzu SQL Server Express. Wenn Sie eine der folgenden Versionen von SQL Server Express verwenden, ergeben sich aus der Installation von ADMT zwingend die folgenden Service Pack-Anforderungen: SQL Server 2005 Express muss mit Service Pack 3 (SP3) oder später installiert werden. SQL Server 2008 Express muss mit Service Pack 1 (SP1) oder später installiert werden. Hinweis 216 Wenn Sie SQL Server Express verwenden, muss die ADMT-Konsole lokal auf dem Server, auf dem die SQL Server Express-Datenbankinstanz gehostet wird, installiert und ausgeführt werden. Als Option können Sie Vollversionen von SQL Server 2005 bzw. SQL Server 2008 verwenden. In diesem Fall können Sie die ADMT-Konsole auf einem Remotecomputer installieren und ausführen sowie mehrere ADMT-Konsolen auf verschiedenen Remotecomputern ausführen. Wenn Sie eine Vollversion von SQL Server verwenden, ergeben sich aus der Installation von ADMT keine zwingenden Service Pack-Anforderungen. Im Rest dieses Abschnitts werden die folgenden Installationsprobleme behandelt: Voraussetzungen für die Installation von ADMT v3.2 Installieren von ADMT v3.2 Voraussetzungen für die Installation von ADMT v3.2 Bevor Sie ADMT v3.2 installieren, führen Sie die folgenden erforderlichen Aufgaben aus: Verwenden Sie Software in der Systemsteuerung, um alle Versionen von ADMT zu entfernen, die älter als ADMT v3.2 sind. Obgleich ADMT v3.2 ein Upgrade von einer früheren Version von ADMT nicht unterstützt, können Sie eine vorhandene Datenbank aus einer vorherigen ADMT-Installation wiederverwenden, vorausgesetzt, es handelt sich nicht um eine Datenbank aus ADMT Version 2 (v2) oder ADMT Version 1 (v1). Weitere Informationen finden Sie unter Erneutes Verwenden einer ADMT-Datenbank aus einer vorherigen Installation. Installieren oder aktualisieren Sie nach Bedarf einen Servercomputer (vorzugsweise einen Mitgliedsserver) in der Quell- oder Zieldomänenumgebung, um Windows Server 2008 R2 auszuführen. Sie können ADMT v3.2 zwar zum Migrieren von Konten und Ressourcen aus Active Directory-Umgebungen mit einer Domänenfunktionsebene von Windows Server 2003 oder später verwenden, ADMT v3.2 kann aber nur auf einem Server mit Windows Server 2008 R2 installiert werden. Der Servercomputer, den Sie zum Installieren von ADMT v3.2 verwenden, muss nicht nur Windows Server 2008 R2 ausführen, sondern darf auch nicht unter der Server CoreInstallationsoption installiert sein oder als schreibgeschützter Domänencontroller (Read-Only Domain Controller, RODC) ausgeführt werden. Konfigurieren Sie eine SQL Server-Datenbankinstallation mit einer ADMT-Instanz. Sie können SQL Server Express entweder herunterladen und lokal installieren oder eine Datenbankinstanz für ADMT aus einer vorhandenen SQL Server-Datenbank erstellen. Weitere Informationen zum Installieren von SQL Server Express finden Sie unter Installieren von ADMT v3.2. Weitere Informationen zum erstellen einer ADMT-Instanz aus einer SQL Server-Datenbank finden Sie unter Installieren von ADMT durch Neukonfiguration einer Datenbankinstallation mit "Admtdb.exe". 217 Installieren von ADMT v3.2 Laden Sie SQL Server 2005 Express (http://go.microsoft.com/fwlink/?LinkId=181159) herunter, oder erstellen Sie eine neue Datenbankinstanz auf einer vorhandenen SQL Server-Installation, die mit ADMT v3.2 verwendet werden soll. Wählen Sie während der SQL Server-Installation Windows-Authentifizierungsmodus. Verwenden Sie im Anschluss an die Installation von SQL Server das folgende Verfahren, um ADMT v3.2 zu installieren. Die Mitgliedschaft in der Gruppe Administratoren (oder eine äquivalente Berechtigung) ist mindestens erforderlich, um dieses Verfahren auszuführen. Weitere Informationen zum Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477). So installieren Sie ADMT v3.2 1. Doppelklicken Sie im ADMT-Downloadpaket auf admtsetup32.exe. 2. Stellen Sie auf der Seite Willkommen sicher, dass die Empfehlungen erfüllt sind, und klicken Sie dann auf Weiter. 3. Klicken Sie auf der Seite Lizenzvertrag auf Ich stimme zu und dann auf Weiter. 4. Geben Sie auf der Seite Datenbankauswahl die Server\Instanz ein. Der Servername muss auch für lokale Datenbankinstanzen eingegeben werden. Sie können einen Punkt (".") eingeben, um den lokalen Server zu kennzeichnen. Die SQL Server Express-Instanz wird standardmäßig SQLEXPRESS genannt. Wenn Sie also eine standardmäßige SQL Server Express-Instanz auf dem lokalen Server verwenden möchten, geben Sie .\SQLEXPRESS ein. 5. Wenn Sie eine SQL Express-Installation gewählt haben, aber keine Datenbankdatei ADMT.mdf am Standard-Datenspeicherort %windir%\ADMT\Data vorhanden ist, wird die Seite Datenbankimport angezeigt. Andernfalls wird diese Datenbankdatei von ADMT-Setup automatisch angefügt und die Seite Zusammenfassung angezeigt. Wenn Sie keine Daten importieren müssen, klicken Sie auf der Seite Datenbankimport auf Nein, keine Daten aus einer vorhandenen Datenbank importieren (Standard). Wenn Sie Daten aus einer vorherigen ADMT-Installation importieren müssen, klicken Sie auf Ja, Daten aus einer vorhandenen ADMT v3.0- oder ADMT v3.1-Datenbank importieren und dann auf Durchsuchen, um zum Speicherort der vorhandenen Datenbankdatei zu navigieren. Bevor die Daten aus einer vorhandenen Datenbank importiert werden können, müssen Sie die Datenbankdatei mithilfe von SQL Server-Befehlen von SQL Server trennen. Weitere Informationen finden Sie unter Trennen einer vorhandenen Datenbankdatei von einer vorherigen Version von ADMT und SQL Server. Klicken Sie nach Fertigstellung des Vorgangs auf Weiter. 6. Prüfen Sie auf der Seite Zusammenfassung die Ergebnisse der Installation, und klicken Sie auf Fertig stellen. 218 Trennen einer vorhandenen Datenbankdatei von einer vorherigen Version von ADMT und SQL Server Wenn Sie SQL Server Express verwenden, wird die Datenbank automatisch beim Entfernen von ADMT getrennt. Die getrennte SQL Server Express-Datenbank kann als Teil einer anderen ADMT-Installation zu einem späteren Zeitpunkt wiederverwendet werden. In diesem Fall wird ADMT automatisch an die vorhandene, bei der Installation angegebene Datenbank angefügt. Sie können die ADMT-Datenbankdatei von einer vollständigen SQL Server-Instanz trennen, wenn Sie dieser Datenbank eine andere Anwendung anfügen möchten. Wenn Sie beispielsweise eine vollständige SQL Server-Installation nach SQL Server Express verschieben möchten oder wenn Sie eine ADMT-Datenbank aus einer früheren Installation verwenden möchten, die Sie den SQL Server-Verwaltungstools anfügen möchten, muss diese von der Datenbank getrennt sein, bevor Sie von ADMT verwendet werden kann. Zum Trennen einer Datenbank können Sie folgende gespeicherte SQL-Prozedur verwenden: sp_detach_db [ @dbname = ] 'dbname' Weitere Informationen zu dieser gespeicherten Prozedur finden Sie in der Dokumentation von SQL Server. Weitere Informationen zum Verwenden von SQL Server Management Studio zum Trennen der Datenbank finden Sie unter Vorgehensweise: Trennen einer Datenbank (SQL Server Management Studio) (http://go.microsoft.com/fwlink/?LinkId=183994). Neukonfiguration einer Datenbankinstallation mit "Admtdb.exe" Wenn Sie während der Installation Probleme mit der Datenbankkonfiguration haben, oder wenn während der ADMT v3.2-Installation SQL Server Express angegeben wurde, Sie aber nach der Installation zu SQL Server (oder umgekehrt) wechseln möchten, können Sie Admtdb.exe verwenden. Die Befehlszeilensyntax für Admtdb.exe finden Sie in der folgenden Tabelle. Sie können Admtdb.exe von einer Eingabeaufforderung mit erhöhten Rechten auf jedem Server ausführen, der eine Verbindung mit dem Servercomputer mit SQL Server herstellen kann, um die ADMT-Instanz auf diesem Servercomputer zu erstellen. Syntax Beschreibung admtdb create /{s|server}: "Server\Instanz" Installiert eine neue ADMT-Datenbank oder bereitet eine leere Datenbank vor. Der Parameter /server gibt den Namen des Computers mit SQL Server und der Instanz an, mit dem bzw. der eine Verbindung hergestellt werden soll, um die Datenbank zu erstellen. Dieser Parameter ist erforderlich. 219 Syntax Beschreibung admtdb upgrade /s|server: Server\Instanz Aktualisiert eine vorherige Version einer ADMT v3.0- oder ADMT v3.1-Datenbank. Der erforderliche Parameter /server gibt den Namen des Computers mit SQL Server und der Instanz an, mit dem bzw. der eine Verbindung hergestellt werden soll, um die ADMT v3.0oder ADMT v3.1-Datenbank zu aktualisieren. Hinweis Bevor Sie die ADMT-Datenbank aktualisieren, überprüfen Sie die Kompatibilität zwischen der Datenbank und der ADMT-Konsole, indem Sie zuerst die ADMT-Konsole öffnen. admtdb attach [/{a|attach}: "v3xDatenbankpfad" Fügt eine vorhandene ADMT-Datenbank an die lokale SQL Express 2005- oder SQL Server Express 2008-Instanz an. Der erforderliche Parameter /attach gibt den Pfad zu einer getrennten Datenbankdatei Admt.mdf an. Geben Sie an der Eingabeaufforderung admtdb /? ein, um die Hilfe zu allen Befehlszeilenoptionen von Admtdb.exe anzuzeigen. Wenn Sie die Migration unter Verwendung einer lokalen SQL Server Express-Datenbank begonnen und dann eine Remoteinstanz einer SQL Server-Datenbank konfiguriert haben, nun aber zur Verwendung einer lokalen SQL Server Express-Datenbank zurückwechseln müssen, führen Sie folgendes Verfahren aus. In diesem Fall ist die ADMT-Datenbank bereits der SQL Express-Instanz angefügt. Deshalb muss sie nicht explizit erneut angefügt werden. Wenn Sie die Migration unter Verwendung von SQL Server begonnen haben, aber zu SQL Server Express zurückwechseln möchten, finden Sie Informationen unter Erneutes Verwenden einer ADMT-Datenbank aus einer vorherigen Installation. Die Mitgliedschaft in der Gruppe Administratoren (oder eine äquivalente Berechtigung) ist mindestens erforderlich, um dieses Verfahren auszuführen. Weitere Informationen zum Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477). So verwenden Sie eine lokale Datenbank erneut, nachdem Sie eine Remoteinstanz einer SQL Server-Datenbank konfiguriert haben 220 1. Klicken Sie auf dem lokalen Computer auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Dienste. 2. Vergewissern Sie sich im Bereich Details, dass der Dienst, von dem die SQL Server Express-Instanz gehostet wird, ausgeführt wird und dass der Starttyp auf Automatisch festgelegt ist. Wenn Sie ADMT v3.1 verwenden und SQL Server Express vom ADMTInstallationsprogramm installiert haben lassen, lautet der Dienstname MSSQL$MS_ADMT. Wenn der Dienst nicht gestartet wurde oder der Starttyp nicht auf automatischen Start beim Systemstart festgelegt wurde, klicken Sie auf Gestartet, klicken mit der rechten Maustaste auf den Namen des Diensts und klicken dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Allgemein in der Liste Starttyp auf Automatisch. 4. Klicken Sie unter Dienststatus auf Starten, und klicken Sie dann auf OK. 5. Schließen Sie Dienste. 6. Geben Sie an der Eingabeaufforderung die folgenden Befehle ein: Hinweis Der Befehl admtdb attach ist nur erforderlich, wenn Sie zuvor SQL-Befehle zum Trennen der lokalen SQL Server Express-Instanz ausgeführt haben. admtdb attach /{s | Server}:"Lokale SQL Server Express-Instanz" admt config setdatabase /s:Server\Instanz. Sie können die lokale Datenbank nun verwenden. Erneutes Verwenden einer ADMT-Datenbank aus einer vorherigen Installation Wenn Sie eine vorhandene (getrennte) Datenbank aus einer früheren ADMT v3.0-, ADMT v3.1oder ADMT v3.2-Installation mit einer lokalen SQL Server-Instanz verwenden möchten, können Sie das folgende Verfahren ausführen. Hinweis Die Mitgliedschaft in der Gruppe Administratoren (oder eine äquivalente Berechtigung) ist mindestens erforderlich, um dieses Verfahren auszuführen. Einzelheiten zum Verwenden der richtigen Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477). So verwenden Sie eine vorhandene (getrennte) ADMT-Datenbank mit einer lokalen SQL Server-Instanz 1. Klicken Sie auf dem lokalen Computer auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Dienste. 2. Vergewissern Sie sich im Bereich Details, dass der Dienst, von dem die SQL Server 221 Express-Instanz gehostet wird, ausgeführt wird und dass der Starttyp auf Automatisch festgelegt ist. Wenn Sie ADMT v3.1 verwenden und SQL Server Express vom ADMTInstallationsprogramm installiert haben lassen, lautet der Dienstname MSSQL$MS_ADMT. Wenn der Dienst nicht gestartet wurde oder der Starttyp nicht auf automatischen Start beim Systemstart festgelegt wurde, klicken Sie auf Gestartet, klicken mit der rechten Maustaste auf den Namen des Diensts und klicken dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Allgemein in der Liste Starttyp auf Automatisch. 4. Klicken Sie unter Dienststatus auf Starten, und klicken Sie dann auf OK. 5. Schließen Sie Dienste. 6. Geben Sie an der Eingabeaufforderung die folgenden Befehle ein: admtdb attach /{s | Server}:”Lokale SQL Server Express-Instanz” /{a | Attach}:”Pfad zur anzufügenden ADMT v3.x-Datenbankdatei" admt config setdatabase /s: Server\Instanz Sie können jetzt die vorhandene ADMT-Datenbank mit der lokalen SQL Server-Instanz verwenden. Es ist nicht erforderlich, den ADMT-Installations-Assistenten erneut auszuführen. Die ADMT-Installation kann nur einmal ausgeführt werden. Alle nachfolgenden Änderungen an der Datenbankkonfiguration können mithilfe der Befehle admtdb.exe und admt config setdatabase ausgeführt werden. Planen der Aktualisierung von Dienstkonten Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Die meisten Dienste werden im Kontext des lokalen Systemkontos ausgeführt. Dies hat zur Folge, dass sie bei der Migration zu einer anderen Domäne keine Wartung erfordern. Einige Dienste werden jedoch im Kontext eines Benutzerkontos statt in dem des lokalen Systemkontos ausgeführt. Die Konvertierung von Dienstkonten bezieht sich auf den Prozess des Identifizierens, Migrierens und Aktualisierens von Diensten, die im Kontext von Benutzerkonten ausgeführt werden. Dieser Prozess umfasst drei Schritte. Zuerst startet der Administrator das Active DirectoryMigrationsprogramm (Active Directory Migration Tool, ADMT) auf dem Active DirectoryDomänencontroller und führt den Assistenten zum Migrieren von Dienstkonten aus. Im zweiten Schritt sendet der Assistent zum Migrieren von Dienstkonten einen Agent an einen angegebenen Computer und identifiziert alle Dienste auf dem Computer, die im Kontext eines Benutzerkontos ausgeführt werden (er migriert die Dienste jedoch nicht). Als dritter Schritt, der später im Migrationsprozess erfolgen kann, wird dann die Migration der Konten ausgeführt, wenn die anderen Benutzerkonten mit dem Assistenten zum Migrieren von Benutzerkonten migriert werden. 222 Der Assistent zum Migrieren von Dienstkonten überprüft jeden Dienst auf einem Computer, um Dienste zu identifizieren, die im Kontext eines Benutzerkontos ausgeführt werden. Während der Migration von Dienstkonten kann eine Sicherheitslücke auftreten, wenn eine Person, die kein Dienstadministrator ist, sich mit Administratorberechtigungen bei einem Konto in der Quelldomäne anmeldet, jedoch auf dem eigenen Computer ein ungültiges Kennwort zum Starten des Diensts verwendet. Der Dienst wird vor der Kontomigration nicht gestartet – da das Kennwort nicht richtig ist – es funktioniert jedoch nach der Migration, da ADMT das Kennwort des Dienstkontos zurücksetzt und alle Dienste, die das betreffende Dienstkonto verwenden, mit dem neuen Kennwort konfiguriert. Zur Vermeidung dieses möglichen Sicherheitsproblems ist es wichtig, nur die Server in den Assistenten zum Migrieren von Dienstkonten aufzunehmen, die von vertrauenswürdigen Administratoren verwaltet werden. Verwenden Sie den Assistenten zum Migrieren von Dienstkonten nicht zur Erkennung von Dienstkonten auf Computern, die nicht von vertrauenswürdigen Administratoren verwaltet werden, wie z. B. Arbeitsstationen. Wenn Sie einen vertrauenswürdigen Computer nicht identifizieren und konvertieren, dessen Dienstkonto daher nicht aktualisiert wird, müssen Sie das neue Kennwort, das von ADMT erstellt wird, manuell festlegen. Rufen Sie zu diesem Zweck das Kennwort aus der Datei Password.txt ab, und geben Sie dann manuell die Konto- und Kennwortinformationen für den Dienst auf dem Computer ein, der nicht konvertiert wurde. Wenn die Konten, die vom Assistenten für die Migration von Dienstkonten in der ADMTDatenbank als im Kontext eines Benutzerkontos ausgeführt identifiziert wurden, in die Zieldomäne migriert werden, erteilt ADMT jedem Konto das Recht zur Anmeldung als Dienst. So führen Sie den Assistenten zum Migrieren von Dienstkonten aus 1. Starten Sie in ADMT den Assistenten zum Migrieren von Dienstkonten. 2. Verwenden Sie den Assistenten, indem Sie die in der folgenden Tabelle beschriebenen Schritte ausführen. Seite des Assistenten Vorgang Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Quelldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus. Wenn Sie eine Migration innerhalb der Gesamtstruktur ausführen, wird der Domänencontroller, der die Funktion des RID-Betriebsmasters (Relative ID) ausübt, unabhängig von Ihrer Auswahl immer als 223 Quelldomänencontroller verwendet. Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOS- oder DNS-Namen der Zieldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, und klicken Sie auf Weiter. Informationen aktualisieren Klicken Sie auf Ja, Informationen aktualisieren. Computerauswahloption Klicken Sie auf Computer aus Domäne auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Dienstkontoauswahl auf Hinzufügen, um die Konten in der Quelldomäne auszuwählen, die Sie migrieren möchten, klicken Sie auf OK und dann auf Weiter. Oder Klicken Sie auf Objekte aus Includedatei lesen und anschließend auf Weiter. Geben Sie den Speicherort der Includedatei ein, und klicken Sie auf Weiter. Dialogfeld "Agent" Wählen Sie unter Agent-Aktionen den Eintrag Vorüberprüfung und Agent ausführen aus, und klicken Sie dann auf Start. Eine Nachricht wird in der AgentZusammenfassung angezeigt, wenn die Agentvorgänge abgeschlossen sind. Klicken Sie nach dem Abschluss der Agentvorgänge auf Schließen. Dienstkontoinformationen Wählen Sie alle Benutzerkonten aus, die in der ADMT-Datenbank nicht als Dienstkonten markiert werden müssen, und klicken Sie dann auf Überspringen/Einbeziehen, um für die Konten Überspringen zu markieren. Der Assistent stellt eine Verbindung mit den ausgewählten Computern her und sendet 224 dann einen Agent, um jeden Dienst auf den Remotecomputern zu überprüfen. Auf der Seite Dienstkontoinformationen sind die Dienste, die im Kontext eines Benutzerkontos ausgeführt werden, zusammen mit dem Namen des betreffenden Benutzerkontos aufgelistet. ADMT vermerkt in seiner Datenbank, dass diese Benutzerkonten als Dienstkonten migriert werden müssen. Wenn ein Benutzerkonto nicht als Dienstkonto migriert werden soll, wählen Sie das Konto aus und klicken dann auf Überspringen/Einbeziehen, um den Status von Einbeziehen in Überspringen zu ändern. 3. Zum Aktualisieren des Dienststeuerungs-Managers mit den neuen Informationen verwenden Sie SCM aktualisieren. Sofern kein Fehler beim Erreichen eines Computers zum Zweck der Aktualisierung vorliegt, ist die Schaltfläche SCM aktualisieren nicht verfügbar. Wenn nach der Identifikation und Migration des Kontos ein Problem beim Aktualisieren eines Dienstkontos auftritt, stellen Sie sicher, dass der Computer, den Sie zu erreichen versuchen, verfügbar ist, und starten Sie dann den Assistenten zum Migrieren von Dienstkonten erneut. Klicken Sie im Assistenten auf SCM aktualisieren, um die Aktualisierung des Diensts zu versuchen. Wenn Sie den Assistenten zum Migrieren von Dienstkonten bereits zuvor ausgeführt haben und die Schaltfläche SCM aktualisieren nicht zur Verfügung steht, untersuchen Sie die ADMT-Protokolldateien, um die Ursache des Problems zu ermitteln. Nachdem Sie das Problem behoben haben und der Agent erfolgreich eine Verbindung hergestellt hat, steht die Schaltfläche SCM aktualisieren zur Verfügung. So identifizieren Sie Dienstkonten mithilfe der ADMT-Befehlszeilenoption 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: ADMT SERVICE /N "<Computername1>" "<Computername2>" /SD:"<Quelldomäne>" /TD:" <Zieldomäne>" Dabei sind <computername1> und <computername2> die Namen von Computern in der Quelldomäne, auf denen die Dienstkonten ausgeführt werden. Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt über die Befehlszeile angegeben wird: ADMT SERVICE /N "<Computername1>" "<Computername2>" /O:" <Optionsdatei>.txt" In der folgenden Tabelle sind die allgemeinen Parameter zum Identifizieren von Dienstkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem entsprechenden Äquivalent in der Optionsdatei. Parameter Befehlszeilensyntax Optionsdateisyntax <Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne" 225 <Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne" 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. So identifizieren Sie Dienstkonten mithilfe eines Skripts Erstellen Sie mithilfe des folgenden Beispielskripts ein Skript, das ADMT-Befehle und Optionen zum Identifizieren von Dienstkonten enthält. Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“. <Job id="IdentifyingServiceAccounts" > <Script language="VBScript" src="AdmtConstants.vbs" /> <Script language="VBScript" > Option Explicit Dim objMigration Dim objServiceAccountEnumeration ' 'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte. ' Set objMigration = CreateObject("ADMT.Migration" ) Set objServiceAccountEnumeration = _ objMigration.CreateServiceAccountEnumeration ' 'Geben Sie die allgemeinen Migrationsoptionen an. ' objMigration.SourceDomain = "Quelldomäne" ' 'Listen Sie die Dienstkonten der angegebenen Computer auf. ' 226 objServiceAccountEnumeration.Enumerate admtData, _ Array("Computername1" ,"Computername2" ) Set objServiceAccountEnumeration = Nothing Set objMigration = Nothing </Script> </Job> Beispiel: Vorbereiten der Neustrukturierung von Active Directory-Domänen Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Contoso Corporation hat die Hardware aktualisiert, um die Netzwerkbandbreite und den Replikationsdatenverkehr zu vergrößern, der unterstützt werden kann. Als Folge dieses Umstands führt das Unternehmen seine Domäne Africa mit der Domäne EMEA zusammen. Die Domäne Africa ist die Quelldomäne, und die Domäne EMEA ist die Zieldomäne für die Migration. Die Organisation muss insgesamt 1.800 Benutzer aus der Domäne Africa in die Domäne EMEA migrieren. Neben den Benutzerkonten muss die Organisation auch Ressourcen wie etwa Arbeitsstationen, Server und Gruppen migrieren. Da Contoso Corporation eine große Organisation mit zahlreichen globalen Gruppen ist, sind geschlossene ;engen schwierig zu identifizieren. Daher hat sich das Unternehmen entschieden, globale Gruppen als universelle Gruppen zu migrieren. Das Unternehmen kann so vorgehen, weil die Infrastruktur des Unternehmens die verstärkte Replikation der universellen Gruppen verarbeiten kann und die Domänen Africa und EMEA auf der Funktionsebene Windows 2000 (einheitlicher Modus) betrieben werden. Das Unternehmen hat identische Organisationseinheitsstrukturen in den Domänen Africa und EMEA erstellt. Aus diesem Grund muss keine neue Organisationseinheitsstruktur erstellt werden, und es müssen auch keine Organisationseinheiten migriert werden. Contoso Corporation hat eine Liste der Computer erstellt, die Dienstkonten ausführen, damit der Assistent zum Migrieren von Dienstkonten zum Identifizieren von Diensten verwendet werden kann, die im Kontext von Benutzerkonten ausgeführt werden. Das Unternehmen macht sich am meisten Sorgen um eine Sammlung von Konten, die auf eine SQL Server-Datenbank zugreifen müssen. Der Zugriff auf diese Datenbank ist ein wichtiger Teil des Geschäfts. Das Unternehmen hat sich entschieden, das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) als Migrationstool zu verwenden und die zugehörigen Assistenten zu nutzen. Das Unternehmen installiert ADMT und erstellt zwei Kontenmigrationsgruppen, die für den Migrationsvorgang verwendet werden. Das Unternehmen 227 weist der erste Gruppe Berechtigungen auf hoher Ebene zu und fügt dieser Gruppe dann die entsprechenden Mitglieder des Bereitstellungsteams hinzu. Das zentralisierte Bereitstellungsteam verwendet dieses Konto zum Migrieren von Benutzern. Das Unternehmen weist der zweiten Gruppe Berechtigungen für Arbeitsstationen und lokale Ressourcen zu. Das Bereitstellungsteam verwendet die zweite Gruppe zum Migrieren von Ressourcen an den Remotestandorten. Migrieren von Domänenobjekten zwischen Active Directory-Domänen Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Die Umstrukturierung von Active Directory-Domänen in einer Gesamtstruktur umfasst das Migrieren von Domänenobjekten in einer bestimmten Reihenfolge, um sicherzustellen, dass die Benutzer weiterhin Zugriff auf Ressourcen haben. Die folgenden Abbildungen zeigen den Vorgang des Migrierens von Domänenobjekten zwischen verschiedenen Active DirectoryDomänen. 228 Migrieren von Gruppen Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Migrieren Sie Gruppen, bevor Sie die Benutzerkonten migieren, die Mitglied dieser Gruppen sind, um Ihr System vor dem Problem offener Mengen beim Umstrukturieren von Active DirectoryDomänen innerhalb einer Gesamtstruktur zu schützen. Wenn Sie Gruppen zugleich mit Benutzern migrieren, können Sie möglicherweise keine verschachtelten Gruppen migrieren, wodurch eine offene Menge entsteht. Befolgen Sie darüber hinaus beim Migrieren von Gruppen diese Richtlinien: Migrieren Sie universelle Gruppen zuerst, gefolgt von globalen Gruppen. Migrieren Sie domänenlokale Gruppen beim Migrieren der Ressourcen (Domänencontroller und Mitgliedsserver), auf denen sie zum Zuweisen von Berechtigungen verwendet werden. Sie können sich entscheiden, computerlokale Gruppen beim Migrieren des Computers zu einem späteren Zeitpunkt im Umstrukturierungsprozess zu migrieren. Migrieren universeller Gruppen Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Migrieren Sie universelle Gruppen aus der Quell- in die Zieldomäne, ohne Benutzer zu migrieren, die gleichzeitig Mitglied in diesen Gruppen sind. Wenn Sie universelle Gruppen ohne die Benutzer migrieren, bietet dies Schutz vor dem Problem offener Mengen. Durch den SID-Verlauf besitzen Gruppenmitglieder basierend auf der Mitgliedschaft in der universellen Gruppe weiterhin Zugriff auf Ressourcen. Wenn Sie universelle Gruppen in Zieldomäne migrieren, sind diese in der Quelldomäne nicht mehr vorhanden. Hinweis Wenn Sie eine kleine Anzahl universeller Gruppen migrieren, können Sie diese universellen Gruppen zum gleichen Zeitpunkt wie globale Gruppen migrieren. Sie können universelle Gruppen mithilfe des ADMT-Snap-Ins (Active Directory Migration Tool, Active Directory-Migrationsprogramm), der ADMT-Befehlszeilenoption oder eines Skripts migrieren. So migrieren Sie universelle Gruppen mithilfe des ADMT-Snap-Ins Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. Verwenden Sie den Assistenten zum Migrieren von Gruppenkonten, und führen Sie die in der folgenden Tabelle beschriebenen Schritte aus. Seite des Assistenten Vorgang 229 Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Quelldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus. Wenn Sie eine Migration innerhalb der Gesamtstruktur ausführen, wird der Domänencontroller, der die Funktion des RID-Betriebsmasters (Relative ID, auch als Flexible Single Master Operations oder FSMO bezeichnet) ausübt, unabhängig von Ihrer Auswahl immer als Quelldomänencontroller verwendet. Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOS- oder DNS-Namen der Zieldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, und klicken Sie auf Weiter. Gruppenauswahloption Klicken Sie auf Gruppen aus Domäne auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Gruppenauswahl auf Hinzufügen, um die zu migrierenden Gruppen in der Quelldomäne auszuwählen, klicken Sie auf OK, und klicken Sie dann auf Weiter. Oder Klicken Sie auf Objekte aus Includedatei lesen und anschließend auf Weiter. Geben Sie den Speicherort der Includedatei ein, und klicken Sie auf Weiter. Auswahl der Organisationseinheit Geben Sie den Namen der Organisationseinheit (Organizational Unit, OU) ein, oder klicken Sie auf Durchsuchen. Suchen Sie im Dialogfeld Container 230 suchen den Container in der Zieldomäne, in den die universellen Gruppen verschoben werden sollen, und klicken Sie dann auf OK. Gruppenoptionen Die Kontrollkästchen Gruppen-SIDs zur Zieldomäne migrieren und Gruppenmitgliedschaft korrigieren sind aktiviert und werden abgeblendet angezeigt. Stellen Sie sicher, dass keine anderen Optionen ausgewählt sind. Konfliktverwaltung Wählen Sie Quellobjekt nicht migrieren, wenn in der Zieldomäne ein Konflikt ermittelt wird aus. So migrieren Sie universelle Gruppen mithilfe der ADMT-Befehlszeilenoption 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. Hinweis Wenn Sie eine Gruppenmigration mit sIDHistory-Migration über die Befehlszeile starten, muss der Befehl auf einem Domänencontroller in der Zieldomäne ausgeführt werden. 2. Geben Sie den Befehl ADMT Group mit den entsprechenden Parametern in der Befehlszeile ein, und drücken Sie dann die EINGABETASTE: ADMT GROUP /N "<Gruppenname1>" "<Gruppenname2>" /IF:YES /SD:" <Quelldomäne>" /TD:" <Zieldomäne>" /TO:" <Zielorganisationseinheit>" Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt über die Befehlszeile angegeben wird: ADMT GROUP /N "<Gruppenname1>" "<Gruppenname2>" /O: "<Optionsdatei>.txt" Die folgende Tabelle nennt die Parameter, die für die Migration universeller Gruppen erforderlich sind, die Befehlszeilenparameter sowie die Optionsdateientsprechungen. Eine vollständige Liste aller verfügbaren Parameter finden Sie in der Hilfe zu ADMT v3.1. Parameter Befehlszeilensyntax Optionsdateisyntax Innerhalb einer Gesamtstruktur /IF:YES IntraForest=YES <Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne" <Zielorganisationseinhe /TO:"Zielorganisationseinh TargetOU="Zielorganisationseinh 231 it> Speicherort eit" eit" Konfliktverwaltung /CO:IGNORE (Standard) ConflictOptions=IGNORE 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. 4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie dann die Organisationseinheit der Zieldomäne. Überprüfen Sie, ob die universellen Gruppen in der Organisationseinheit der Zieldomäne vorhanden sind. So migrieren Sie universelle Gruppen mithilfe eines Skripts Verwenden Sie das folgende Beispiel, um ein Skript vorzubereiten, das ADMT-Befehle und Optionen zum Migrieren von Gruppen innerhalb einer Gesamtstruktur beinhaltet. Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“. Hinweis Wenn Sie eine Gruppenmigration mit sIDHistory-Migration über ein Skript starten, müssen Sie das Skript auf einem Domänencontroller in der Zieldomäne ausführen. <Job id="MigratingGroupsWithinForest" > <Script language="VBScript" src="AdmtConstants.vbs" /> <Script language="VBScript" > Option Explicit Dim objMigration Dim objGroupMigration ' 'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte. ' Set objMigration = CreateObject("ADMT.Migration" ) Set objGroupMigration = objMigration.CreateGroupMigration ' 'Geben Sie die allgemeinen Migrationsoptionen an. ' 232 objMigration.IntraForest = True objMigration.SourceDomain = "Quelldomäne" objMigration.SourceOu = "Quellcontainer" objMigration.TargetDomain = "Zieldomäne" objMigration.TargetOu = "Zielcontainer" ' 'Migrieren Sie die angegebenen Gruppenobjekte. ' objGroupMigration.Migrate admtData, Array("Gruppenname1" ,"Gruppenname2" ) Set objGroupMigration = Nothing Set objMigration = Nothing </Script> </Job> Migrieren globaler Gruppen Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Migrieren Sie globale Gruppen (ohne Mitglieder) aus der Quelldomäne in die Zieldomäne, um sich vor dem Problem offener Mengen zu vermeiden. (Weitere Informationen zu offenen Mengen finden Sie unter Hintergrundinformationen zum Neustrukturieren von Active Directory-Domänen innerhalb einer Gesamtstruktur weiter oben in diesem Handbuch.) Nachdem die globalen Gruppen in die Zieldomäne migriert wurden, sind sie in der Quelldomäne nicht mehr vorhanden, wenn die Quelldomäne die Funktionsebene Windows 2000 im einheitlichen Modus oder höher aufweist. Da globale Gruppen nur Mitglieder aus ihrer eigenen Domäne enthalten, können Sie nicht aus einer Domäne in eine andere migriert werden. Das Active Directory-Migrationsprogramm (ADMT) ändert globale Gruppen während ihrer Migration in universelle Gruppen. Die universelle Gruppe in der Zieldomäne speichert den SID-Verlauf (Security Identifier, Sicherheitskennung) der globalen Gruppe in der Quelldomäne. Auf diese Weise können Benutzer weiterhin auf Ressourcen in der Quelldomäne zugreifen, nachdem die globalen Gruppen migriert wurden. 233 ADMT setzt die universellen Gruppen auf globale Gruppen zurück, nachdem alle Mitglieder der globalen Gruppe aus der Quelldomäne in die Zieldomäne migriert wurden. Sie müssen integrierte und bekannte globale Gruppen nicht in die Migration einschließen, weil diese Gruppen in der Zieldomäne bereits vorhanden sind. Wenn Sie eine integrierte und bekannte globale Gruppe für die Migration auswählen, migriert ADMT diese nicht. ADMT fügt stattdessen einen Vermerk in das Protokoll ein und setzt die Migration anderer globaler Gruppen fort. Das Verfahren zum Verwenden des Assistenten zum Migrieren von Gruppenkonten zum Migrieren globaler Gruppen ist mit dem Verfahren zum Migrieren universeller Gruppen identisch. Weitere Informationen zum Verfahren zum Migrieren globaler und universeller Gruppen finden Sie unter Migrieren universeller Gruppen weiter oben in diesem Handbuch. Nachdem Sie den Migrationsvorgang für globale Gruppen abgeschlossen haben, verwenden Sie Active Directory-Benutzer und -Computer, um zu überprüfen, ob die globalen Gruppen erfolgreich migriert wurden. Bestätigen Sie, dass die globalen Gruppen in der Quelldomäne nicht mehr vorhanden sind und die Gruppen in der Zieldomäne in der Organisationseinheit angezeigt werden, die Sie während des Migrationsvorgangs angegeben haben. Die globalen Gruppen werden als universelle Gruppen in der Zieldomäne aufgelistet, wenn sie noch Mitglieder in der Quelldomäne besitzen. Wenn Sie eine Liste der Mitglieder der universellen Gruppe anzeigen möchten, klicken Sie mit der rechten Maustaste auf die Gruppe, klicken Sie auf Eigenschaften, und klicken Sie dann auf die Registerkarte Mitglieder. Die ursprünglichen Mitglieder der globalen Gruppe werden aufgelistet. Beachten Sie jedoch, dass die Benutzerkonten noch nicht migriert wurden. Wenn Sie während der Migration innerhalb einer Gesamtstruktur Benutzerkonten migrieren, nicht jedoch die globalen Gruppen in der Quelldomäne, bei der die Benutzerkonten Mitglieder sind, aktualisiert ADMT die globalen Gruppen in der Quelldomäne trotzdem. ADMT entfernt die Mitgliedschaft der migrierten Benutzerkonten in der globalen Gruppe in der Quelldomäne, weil die globale Gruppe nur Mitglieder aus der Quelldomäne enthalten kann. Als Ergebnis besteht die Möglichkeit, dass Benutzer nach der Migration nicht mehr auf Ressourcen in der Quelldomäne zugreifen, weil sie nicht mehr Mitglieder der betreffenden Gruppen sind. Sie können globale Gruppen mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption oder eines Skripts migrieren. So migrieren Sie globale Gruppen mithilfe des ADMT-Snap-Ins 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Verwenden Sie den Assistenten zum Migrieren von Gruppenkonten, und führen Sie die in der folgenden Tabelle beschriebenen Schritte aus. Seite des Assistenten Aktion Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOS234 oder DNS-Namen der Quelldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus. Wenn Sie eine Migration innerhalb der Gesamtstruktur ausführen, wird der Domänencontroller, der die Funktion des RID-Betriebsmasters (Relative ID, auch als Flexible Single Master Operations oder FSMO bezeichnet) ausübt, unabhängig von Ihrer Auswahl immer als Quelldomänencontroller verwendet. Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOS- oder DNS-Namen der Zieldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, und klicken Sie auf Weiter. Gruppenauswahl Klicken Sie auf Gruppen aus Domäne auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Gruppenauswahl auf Hinzufügen, um die zu migrierenden Gruppen in der Quelldomäne auszuwählen, klicken Sie auf OK, und klicken Sie dann auf Weiter. Oder Klicken Sie auf Objekte aus Includedatei lesen und anschließend auf Weiter. Geben Sie den Speicherort der Includedatei ein, und klicken Sie auf Weiter. Auswahl der Organisationseinheit Geben Sie den Namen der Organisationseinheit ein, oder klicken Sie auf Durchsuchen. Suchen Sie im Dialogfeld Container suchen den Container in der Zieldomäne, in den die globalen Gruppen verschoben werden sollen, und klicken Sie dann auf 235 OK. Gruppenoptionen Die Kontrollkästchen Gruppen-SIDs zur Zieldomäne migrieren und Gruppenmitgliedschaft korrigieren sind aktiviert und werden abgeblendet angezeigt. Stellen Sie sicher, dass keine anderen Optionen ausgewählt sind. Konfliktverwaltung Wählen Sie Quellobjekt nicht migrieren, wenn in der Zieldomäne ein Konflikt ermittelt wird aus. 3. Nachdem der Assistent ausgeführt wurde, klicken Sie auf Protokoll anzeigen, und überprüfen Sie das Migrationsprotokoll dann auf Fehler. 4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie dann die Organisationseinheit der Zieldomäne. Bestätigen Sie, dass die globalen Gruppen in der Organisationseinheit der Zieldomäne vorhanden sind. So migrieren Sie globale Gruppen mithilfe der ADMT-Befehlszeilenoption 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. Hinweis Wenn Sie eine Gruppenmigration mit sIDHistory-Migration über die Befehlszeile starten, müssen Sie den Befehl auf einem Domänencontroller in der Zieldomäne ausführen. 2. Geben Sie den Befehl ADMT Group mit den entsprechenden Parametern in der Befehlszeile ein, und drücken Sie dann die EINGABETASTE: ADMT GROUP /N "<Gruppenname1>" "<Gruppenname2>" /IF:YES /SD:" <Quelldomäne>" /TD:" <Zieldomäne>" /TO:" <Zielorganisationseinheit>" Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt über die Befehlszeile angegeben wird: ADMT GROUP /N "<Gruppenname1>" "<Gruppenname2>" /O: "<Optionsdatei>.txt" Die folgende Tabelle nennt die Parameter, die für die Migration globaler Gruppen erforderlich sind, die Befehlszeilenparameter sowie die Optionsdateientsprechungen. Parameter Befehlszeilensyntax Optionsdateisyntax Innerhalb einer Gesamtstruktur /IF:YES IntraForest=YES 236 <Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne" <Zielorganisationseinhe /TO:"Zielorganisationseinh it> Speicherort eit" TargetOU="Zielorganisationseinh Konfliktverwaltung ConflictOptions=IGNORE /CO:IGNORE (Standard) eit" 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. 4. Öffnen Sie „Active Directory-Benutzer und -Computer“, und suchen Sie dann die Organisationseinheit der Zieldomäne. Bestätigen Sie, dass die globalen Gruppen in der Organisationseinheit der Zieldomäne vorhanden sind. So migrieren Sie globale Gruppen mithilfe eines Skripts 1. Verwenden Sie ein Skript, das ADMT-Befehle und Optionen für die Migration universeller Gruppen verbindet. Weitere Informationen zum Migrieren universeller Gruppen finden Sie unter Migrieren universeller Gruppen weiter oben in diesem Handbuch. Hinweis Wenn Sie eine Gruppenmigration mit sIDHistory-Migration über ein Skript starten, muss das Skript auf einem Domänencontroller in der Zieldomäne ausgeführt werden. 2. Nach Abschluss der Migration der globalen Gruppe mithilfe eines Skripts überprüfen Sie das Migrationsprotokoll. Die Datei migration.log wird in dem Ordner gespeichert, in dem Sie ADMT installiert haben. Dies ist normalerweise Windows\ADMT\Logs. Hinweis Da universelle Gruppen in den globalen Katalog repliziert werden, kann sich die Konvertierung globaler Gruppen in universelle Gruppen negativ auf den Replikationsdatenverkehr auswirken. Wenn die Gesamtstruktur auf der Funktionsebene Windows Server 2003 oder Windows Server 2008 betrieben wird, werden diese Auswirkungen verringert, weil nur Änderungen an der Mitgliedschaft der universellen Gruppe repliziert werden. Wenn die Gesamtstruktur jedoch nicht auf der Funktionsebene Windows Server 2003 oder Windows Server 2008 betrieben wird, wird die gesamte Gruppenmitgliedschaft bei jeder Änderung der Mitgliedschaft der universellen Gruppe repliziert. Migrieren von Dienstkonten Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Migrieren Sie die Dienstkonten, die Sie zuvor im Umstrukturierungsprozess innerhalb einer Gesamtstruktur identifiziert haben, mithilfe des Assistenten zum Migrieren von Dienstkonten. Die 237 Konten wurden von diesem Assistenten in der Datenbank des Active DirectoryMigrationsprogramms (Active Directory Migration Tool, ADMT) als Dienstkonten markiert. Weitere Informationen zur Verwendung von ADMT zum Identifizieren von Dienstkonten, die im Kontext eines Benutzerkontos ausgeführt werden, finden Sie unter Planen der Aktualisierung von Dienstkonten weiter vorn in diesem Handbuch. Sie können Dienstkonten mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption oder eines Skripts migrieren. So migrieren Sie Dienstkonten mithilfe des ADMT-Snap-Ins Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. Verwenden Sie den Assistenten zum Migrieren von Benutzerkonten, und führen Sie die in der folgenden Tabelle beschriebenen Schritte aus. Seite des Assistenten Vorgang Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Quelldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus. Wenn Sie eine Migration innerhalb der Gesamtstruktur ausführen, wird der Domänencontroller, der die Funktion des RID-Betriebsmasters (Relative ID, auch als Flexible Single Master Operations oder FSMO bezeichnet) ausübt, unabhängig von Ihrer Auswahl immer als Quelldomänencontroller verwendet. Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOS- oder DNS-Namen der Zieldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, und klicken Sie auf Weiter. Benutzerauswahl Klicken Sie auf Benutzer aus Domäne auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite 238 Benutzerauswahl auf Hinzufügen, um die Konten in der Quelldomäne auszuwählen, die Sie migrieren möchten, klicken Sie auf OK und dann auf Weiter. Oder Klicken Sie auf Objekte aus Includedatei lesen und anschließend auf Weiter. Geben Sie den Speicherort der Includedatei ein, und klicken Sie auf Weiter. Auswahl der Organisationseinheit Geben Sie den Namen der Organisationseinheit (Organizational Unit, OU) ein, oder klicken Sie auf Durchsuchen. Suchen Sie im Dialogfeld Container suchen den Container in der Zieldomäne, in den die Konten verschoben werden sollen, und klicken Sie dann auf OK. Benutzeroptionen Aktivieren Sie das Kontrollkästchen Benutzerrechte aktualisieren. Vergewissern Sie sich, dass keine weiteren Einstellungen ausgewählt sind, einschließlich der Option Zugeordnete Benutzergruppen migrieren. Ein Warnfeld wird angezeigt, um Sie zu informieren, dass die Benutzer den Zugriff auf Ressourcen verlieren, wenn die globalen Gruppen, denen die Benutzerkonten angehören, nicht ebenfalls migriert werden. Wählen Sie OK, um die Migration fortzusetzen. Konfliktverwaltung Wählen Sie Quellobjekt nicht migrieren, wenn in der Zieldomäne ein Konflikt ermittelt wird aus. Dienstkontoinformationen Klicken Sie auf Alle Dienstkonten migrieren und SCM für einbezogene Elemente aktualisieren. Der Assistent zeigt eine Liste der Dienstkonten für die Migration an (falls Sie Konten migrieren, die keine Dienstkonten darstellen, werden 239 diese Konten migriert, aber nicht in der Liste aufgeführt). Standardmäßig sind diese Konten als Einbeziehen gekennzeichnet. Wenn Sie den Status des Kontos ändern möchten, wählen Sie das Konto aus, und klicken Sie dann auf Überspringen/Einbeziehen. Klicken Sie auf Weiter, um die Konten zu migrieren. Ein Dialogfeld Migrationsstatus setzt Sie über den aktuellen Status der Migration in Kenntnis. Zu diesem Zeitpunkt verschiebt ADMT die Konten in die Zieldomäne, erstellt ein neues Kennwort für die Konten, weist den Konten das Recht zur Anmeldung als Dienst zu und stellt diese neuen Informationen den Diensten zur Verfügung, die die Konten verwenden. Wenn der Status im Dialogfeld Migrationsstatus als Abgeschlossen aufgeführt wird, können Sie mit der verbleibenden gesamtstrukturinternen Migration fortfahren. Vor dem Abschluss der Migration der Dienstkonten stellen Benutzer möglicherweise Unterbrechungen bei der Verwendung der Dienste fest. Dies hat den Grund, dass die Dienste bis zu ihrem Neustart immer noch das migrierte Konto verwenden. Führen Sie für alle Dienste, die kontinuierlich Anmeldeinformationen verwenden, einen manuellen Neustart aus, um optimale Ergebnisse sicherzustellen. So migrieren Sie Dienstkonten mithilfe der ADMT-Befehlszeilenoption 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: ADMT USER /N "<Servername1>" "<Servername2>" /IF:YES /SD:" <Quelldomäne>" /TD:" <Zieldomäne>" /TO:" <Zielorganisationseinheit>" /MSA:YES Dabei sind <Servername1> und <Servername2> die Namen von Servern in der Quelldomäne, auf denen die Dienstkonten ausgeführt werden. Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt über die Befehlszeile angegeben wird: ADMT USER /N "<Servername1>" "<Servername2>" /O: "<Optionsdatei>.txt" Die folgende Tabelle nennt die Parameter, die für die Migration von Dienstkonten erforderlich sind, die Befehlszeilensyntax sowie die Optionsdateientsprechungen. Parameter Befehlszeilensyntax Optionsdateisyntax Innerhalb einer /IF:YES IntraForest=YES 240 Gesamtstruktur <Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne" <Zielorganisationseinhe /TO:"Zielorganisationseinh it> Speicherort eit" TargetOU="Zielorganisationseinh Dienstkonten migrieren /MSA:YES MigrateServiceAccounts=YES Benutzerrechte aktualisieren /UUR:YES UpdateUserRights=YES In Konflikt stehende Konten ignorieren /CO:IGNORE (Standard) eit" ConflictOptions=IGNORE (Standard) 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. 4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die Organisationseinheit der Zieldomäne. Überprüfen Sie, ob die Dienstkonten in der Organisationseinheit der Zieldomäne vorhanden sind. So migrieren Sie Dienstkonten mithilfe eines Skripts Verwenden Sie die folgende Auflistung, um ein Skript vorzubereiten, das ADMT-Befehle und -Optionen für das Migrieren von Dienstkonten enthält. Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“. <Job id=" MigratingServiceAccountsWithinForest" > <Script language="VBScript" src="AdmtConstants.vbs" /> <Script language="VBScript" > Option Explicit Dim objMigration Dim objUserMigration ' 'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte. ' Set objMigration = CreateObject("ADMT.Migration" ) Set objUserMigration = objMigration.CreateUserMigration 241 ' 'Geben Sie die allgemeinen Migrationsoptionen an. ' objMigration.IntraForest = True objMigration.SourceDomain = "Quelldomäne" objMigration.SourceOu = "Quellcontainer" objMigration.TargetDomain = "Zieldomäne" objMigration.TargetOu = "Zielcontainer" ' 'Geben Sie die spezifischen Optionen der Benutzermigration an. ' objUserMigration.UpdateUserRights = True objUserMigration.MigrateServiceAccounts = True ' 'Migrieren Sie die angegebenen Dienstkonten. ' objUserMigration.Migrate admtData, _ Array("Name des Dienstkontos1", "Name des Dienstkontos2" ) Set objUserMigration = Nothing Set objMigration = Nothing </Script> </Job> Migrieren von verwalteten Dienstkonten Ein verwaltetes Dienstkonto ist ein Domänenkontoobjekt, das im Active Directory-Schema von Windows Server 2008 R2 verfügbar ist. Ein verwaltetes Dienstkonto kann auf Computern 242 installiert werden, auf denen Windows 7 oder Windows Server 2008 R2 ausgeführt wird. Nur ADMT v3.2 kann verwaltete Dienstkonten migrieren. Das Ermitteln und Migrieren verwalteter Dienstkonten mithilfe von ADMT v3.2 erfolgt in zwei Schritten: 1. Verwenden Sie den Assistenten zum Migrieren von verwalteten Dienstkonten oder das Befehlszeilenprogramm admt managedserviceaccount, um verwaltete Dienstkonten wie in diesem Thema beschrieben in die Zieldomäne zu migrieren. 2. Verwenden Sie den Computermigrations-Assistenten oder das Befehlszeilenprogramm admt computer, um die Computer zu migrieren, auf denen die verwalteten Dienstkonten gehostet sind. Weitere Informationen über das Migrieren von Computern bei einer Migration zwischen Gesamtstrukturen finden Sie unter Erneute losweise Migration von Benutzerkonten und Migration von Arbeitsstationen. Weitere Informationen über das Migrieren von Computern bei einer Migration innerhalb einer Gesamtstruktur finden Sie unter Migrieren von Arbeitsstationen und Mitgliedsservern. Die verwalteten Dienstkonten, die im vorherigen Schritt migriert und ursprünglich auf den migrierten Computern installiert wurden, werden bei der Computermigration identifiziert. Nach Abschluss der Computermigration werden die verwalteten Dienstkonten erneut auf dem Computer in der Zieldomäne installiert (sofern nicht eine Anforderung vorliegt, diese zu überspringen). Wenn Sie eine Sicherheitskonvertierung auf den Mitgliedsservern ausgeführt haben, die über Ressourcen verfügen, den verwalteten Dienstkonten Berechtigungen zu erteilen, verfügen die Konten in der Zieldomäne über dieselben Berechtigungen für den Ressourcenzugriff wie in der Quelldomäne. Wichtig Bei der Migration verwalteter Dienstkonten zwischen Domänen in derselben Gesamtstruktur müssen Sie auf den Mitgliedsservern in der Quelldomäne, die über Ressourcen verfügen, den verwalteten Dienstkonten Berechtigungen zu erteilen, die Sicherheitskonvertierung ausführen. Bei einer Migration innerhalb einer Gesamtstruktur ist eine Sicherheitskonvertierung normalerweise nicht erforderlich, da die SID mit dem Konto verschoben wird. Verwaltete Dienstkonten, die zwischen Domänen innerhalb einer Gesamtstruktur migriert werden, werden kopiert. In der Zieldomäne wird ein neues Konto erstellt, und die Kontoeigenschaften (mit Ausnahme der SID) werden aus der Quelldomäne kopiert. Aus diesem Grund muss die Sicherheitskonvertierung ausgeführt werden. Wenn die Ressourcen in der Quelldomäne, die dem verwalteten Dienstkonto Berechtigungen erteilen, auf demselben Computer gehostet werden wie das verwaltete Dienstkonto, empfiehlt es sich, die Sicherheitskonvertierung für die entsprechenden Ressourcen (Dateien und Ordner, lokale Gruppen usw.) auf der Seite Objekte konvertieren im Computermigrations-Assistenten auszuwählen. Wenn sich die Ressourcen auf anderen Computern befinden, die nicht migriert werden, müssen Sie auf diesen Computern den SicherheitskonvertierungsAssistenten ausführen und auf der Seite Optionen für die 243 Sicherheitskonvertierung die Option Zuvor migrierte Objekte auswählen oder die MSA-Konten explizit in einer SID-Zuordnungsdatei bereitstellen. Weitere Informationen zur Sicherheitskonvertierung finden Sie unter Konvertieren der Sicherheit auf Mitgliedsservern. So werden verwaltete Dienstkonten mit ADMT-Snap-In migriert 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Klicken Sie im ADMT-Snap-In auf Vorgang, und klicken Sie dann auf Assistent zum Migrieren von verwalteten Dienstkonten. 3. Führen Sie den Assistenten zum Migrieren von verwalteten Dienstkonten mit den Informationen aus der folgenden Tabelle aus. Seite des Assistenten Vorgang Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Quelldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus. Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOS- oder DNS-Namen der Zieldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, und klicken Sie auf Weiter. Option für die Auswahl verwalteter Dienstkonten Klicken Sie auf Verwaltete Dienstkonten aus Domäne auswählen, um verwaltete Dienstkonten entweder mithilfe des Dialogfelds für die Objektauswahl oder mittels einer Includedatei aus der Domäne zu migrieren. Diese Option eignet sich optimal, wenn alle verwalteten Dienstkonten aus der Quelldomäne migriert werden sollen. Oder Klicken Sie auf Computer für die Abfrage 244 nach installierten verwalteten Dienstkonten angeben, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Auswahl verwalteter Dienstkonten auf Hinzufügen, um die Computerkonten in der Quelldomäne auszuwählen, die Sie nach verwalteten Dienstkonten abfragen möchten, klicken Sie auf OK und dann auf Weiter. Diese Option bietet sich bevorzugt an, wenn nur verwaltete Dienstkonten migriert werden sollen, die auf bestimmten Computern installiert sind. Auf jedem von Ihnen angegebene Computer können mehrere verwaltete Dienstkonten installiert sein. Sie können diese beiden Optionen auch miteinander kombinieren, indem Sie sich im Assistenten zurück und wieder vorwärts bewegen. So können Sie z. B. Computer angeben, die abgefragt werden sollen, und die auf diesen Computern installierten verwalteten Dienstkonten dann der Liste der Konten hinzufügen, die migriert werden sollen. Anschließend können Sie im Assistenten auf Zurück klicken, um wieder auf diese Seite zurückzukehren und weitere verwaltete Dienstkonten aus der Domäne oder aus einer Includedatei auswählen. Option für die Auswahl verwalteter Dienstkonten Diese Seite wird nur dann angezeigt, wenn Sie verwaltete Dienstkonten aus der Domäne auswählen. Klicken Sie auf Verwaltete Dienstkonten aus Domäne auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Auswahl verwalteter Dienstkonten auf Hinzufügen, um die Konten in der Quelldomäne auszuwählen, die Sie migrieren möchten, klicken Sie auf OK, und klicken Sie dann auf Weiter. Oder Klicken Sie auf Objekte aus Includedatei lesen und anschließend auf Weiter. Geben Sie den Speicherort der Includedatei ein, und klicken Sie auf 245 Weiter. Auswahl der Organisationseinheit Klicken Sie auf Durchsuchen, um einen Speicherort für die migrierten Konten anzugeben, und klicken Sie anschließend auf Weiter. Optionen für verwaltete Dienstkonten Aktivieren Sie das Kontrollkästchen Kontenrechte aktualisieren. Aktivieren Sie das Kontrollkästchen Gruppenmitgliedschaften der Konten korrigieren. Wenn das Konto in eine andere Gesamtstruktur migriert wird, aktivieren Sie das Kontrollkästchen Konto-SIDs in Zieldomäne migrieren. Diese Option ist bei einer Migration innerhalb einer Gesamtstruktur nicht verfügbar. Klicken Sie auf Weiter. Geben Sie den Benutzernamen, das Kennwort und die Domäne eines Kontos ein, das administrative Anmeldeinformationen in der Quelldomäne besitzt, und klicken Sie dann auf Weiter. Fertigstellen des Assistenten Überprüfen Sie Ihre Auswahl, und klicken Sie dann auf Fertig stellen. 4. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler. 5. Starten Sie Active Directory-Benutzer und -Computer, und überprüfen Sie dann, ob die verwalteten Dienstkonten in der entsprechenden Organisationseinheit in der Zieldomäne vorhanden sind. So migrieren Sie verwaltete Dienstkonten mithilfe der ADMT-Befehlszeilenoption 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: ADMT MANAGEDSERVICEACCOUNT /N "<Verwaltetes_Dienstkonto1_Name>" "<Verwaltetes_Dienstkonto2_Name>" /IF:NO /SD:"<Quelldomäne>" /TD:"<Zieldomäne>" /UUR:YES /FGM:YES /MSS:YES 246 Dabei stehen <Verwaltetes_Dienstkonto1_Name> und <Verwaltetes_Dienstkonto2_Name> für die Namen der verwalteten Dienstkonten in der Quelldomäne. Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt über die Befehlszeile angegeben wird: ADMT MANAGEDSERVICEACCOUNT /N "<Verwaltetes_Dienstkonto1_Name>" "<Verwaltetes_Dienstkonto2_Name>" /O:"<Optionsdatei>.txt" Die folgende Tabelle enthält die allgemeinen Parameter für das Migrieren von verwalteten Dienstkonten zusammen mit dem jeweiligen Befehlszeilenparameter und dem entsprechenden Äquivalent in der Optionsdatei. Werte Befehlszeilensyntax Optionsdateisyntax Migration zwischen Gesamtstrukturen /IF:No Intraforest=No <Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne" <Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne" Kontenrechte aktualisieren /UUR:Yes UpdateUserRights=Yes Gruppenmitgliedschaften der Konten aktualisieren /FGM:Yes FixGroupMembership=Yes Migrieren von Konten-SIDs /MSS:Yes MigrateSIDs=Yes Hinweis SIDs für verwaltete Dienstkonten können Sie nur zwischen Gesamtstrukturen migrieren. Wenn Sie diesen Parameter bei einer Migration innerhalb einer Gesamtstruktur verwenden, wird ein Fehler angezeigt. 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Bei verwalteten Dienstkonten, die auf Mitgliedscomputern in der Quelldomäne gehostet sind, können Sie den Mitgliedscomputer beim Ausführen einer Computermigration mit einbeziehen. 247 Die verwalteten Dienstkonten werden dann auf dem Mitgliedscomputer in der Zieldomäne installiert, nachdem der Computer migriert wurde. Migrieren von Benutzerkonten Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Domänen können eine große Anzahl Benutzerkonten enthalten. Verwenden Sie eine Technik, die als gestufte Konvertierung bezeichnet wird und in deren Verlauf Sie Benutzerkonten auf Lose aufteilen, die dann einzeln migriert werden, um die Migration von Benutzerkonten verwaltbar zu gestalten. Sie können die Benutzer auf jede gewünschte Weise in Gruppen zusammenfassen. Beim Migrieren von Benutzerkonten kann nicht jede Benutzereigenschaft migriert werden. So werden z. B. Daten, die durch die DPAPI (Data Protection API) geschützt sind, nicht migriert. DPAPI unterstützt den Schutz der folgenden Elemente: Anmeldeinformationen für Webseiten (z. B. Kennwörter) Anmeldeinformationen für Dateifreigaben Private Schlüssel, die EFS, S/MIME (Secure/Multipurpose Internet Mail Extensions) und anderen Zertifikaten zugeordnet sind Programmdaten, die mithilfe der Funktion CryptProtectData() geschützt sind Aus diesem Grund ist das Testen von Benutzermigrationen wichtig. Verwenden Sie Ihr Migrationstestkonto, um alle Eigenschaften zu identifizieren, die nicht migriert wurden, und die Benutzerkonfigurationen in der Zieldomäne entsprechend zu aktualisieren. Wenn Sie Gruppenrichtlinienobjekte zum Verwalten der Softwareinstallation verwenden, bedenken Sie, dass die Dateien des Windows Installers für bestimmte Vorgänge, wie etwa Reparieren und Deinstallieren, Zugriff auf die Originalquelle benötigen. Der Administrator muss in diesem Fall erneut Berechtigungen für den Softwareverteilungspunkt zuweisen, um Zugriff auf Konten bereitzustellen. Führen Sie die folgenden Aufgaben aus, um den Zugriff auf die Softwareverteilung beizubehalten: 1. Migrieren von Benutzern mithilfe des Active Directory-Migrationsprogramms (Active Directory Migration Tool, ADMT) 2. Ausführen des Sicherheitskonvertierungs-Assistenten auf dem Softwareverteilungspunkt. Migrieren von Organisationseinheiten und Unterstrukturen von Organisationseinheiten Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Wenn Sie Organisationseinheiten (Organizational Units, OUs) und Unterstrukturen Ihrer Organisationseinheiten in die Zieldomäne kopieren möchten, können Sie entweder die 248 Befehlszeilen- oder die Skriptoption verwenden und die entsprechenden Parameter ersetzen. Sie müssen eine Quellorganisationseinheit und eine Zielorganisationseinheit angeben, und die Zielorganisationseinheit muss vorhanden sein. Alle Objekte in der Quellorganisationseinheit und alle untergeordneten Organisationseinheiten werden in die Zielorganisationseinheit migriert, die angegebene Quellorganisationseinheit wird selbst jedoch nicht migriert. Wenn Sie die Befehlszeilenoption zum Migrieren der Konten, Gruppen oder Benutzer verwenden und darüber hinaus Organisationseinheiten migrieren möchten, ändern Sie die Befehlszeile, um die Option /D zu verwenden. Statt die Option /N (/IncludeName) zu verwenden, müssen Sie die Option /D (/IncludeDomain) mit RECURSE und MAINTAIN wie folgt verwenden: ADMT /D:RECURSE+MAINTAIN /O "<Optionsdatei.txt>" Wenn Sie Konten, Gruppen oder Computer mithilfe der Skriptoption migrieren und darüber hinaus Organisationseinheiten migrieren möchten, ändern Sie das Skript, um die Option admtDomain zu verwenden. Statt die Option admtData oder admtFile zu verwenden, müssen Sie die Option admtDomainmit admtRecurse und admtMaintainHierarchy wie folgt verwenden: objUserMigration.Migrate admtDomain + admtRecurse + admtMaintainHierarchy Migrieren von Konten Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Sie können jedes Benutzerkontenlos mithilfe des ADMT-Snap-Ins (Active Directory Migration Tool, Active Directory-Migrationsprogramm), der ADMT-Befehlszeilenoption oder eines Skripts migrieren. Wenn Sie Benutzerkonten migrieren, bei denen AMA (Authentication Mechanism Assurance, Sicheres Authentifizierungsverfahren) aktiviert ist, verwenden Sie eine Includedatei. Geben Sie in der Includedatei den ursprünglichen UPN (User Principal Name) aus der Quelldomäne als Ziel-UPNs an, damit AMA funktioniert. Weitere Informationen dazu finden Sie unter Verwenden einer Includedatei. So migrieren Sie Benutzerkonten mithilfe des ADMT-Snap-Ins Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. Verwenden Sie den Assistenten zum Migrieren von Benutzerkonten, und führen Sie die in der folgenden Tabelle beschriebenen Schritte aus. Seite des Assistenten Vorgang Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Quelldomäne an. Geben Sie in der Dropdownliste 249 Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus. Wenn Sie eine Migration innerhalb der Gesamtstruktur ausführen, wird der Domänencontroller, der die Funktion des RID-Betriebsmasters (Relative ID, auch als Flexible Single Master Operations oder FSMO bezeichnet) ausübt, unabhängig von Ihrer Auswahl immer als Quelldomänencontroller verwendet. Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOS- oder DNS-Namen der Zieldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, und klicken Sie auf Weiter. Benutzerauswahl Klicken Sie auf Benutzer aus Domäne auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Gruppenauswahl auf Hinzufügen, um die Benutzer in der Quelldomäne auszuwählen, die Sie im aktuellen Los migrieren möchten, klicken Sie auf OK und dann auf Weiter. Oder Klicken Sie auf Objekte aus Includedatei lesen und anschließend auf Weiter. Geben Sie den Speicherort der Includedatei ein, und klicken Sie auf Weiter. Auswahl der Organisationseinheit Stellen Sie sicher, dass in ADMT die richtige Zielorganisationseinheit (Organizational Unit, OU) aufgelistet wird. Falls es sich nicht um die richtige Organisationseinheit handelt, geben Sie diese ein, oder klicken Sie auf Durchsuchen. Suchen Sie im Dialogfeld Container 250 suchen nach der Zieldomäne und organisationseinheit, und klicken Sie dann auf OK. Benutzeroptionen Aktivieren Sie das Kontrollkästchen Servergespeicherte Profile konvertieren. Aktivieren Sie das Kontrollkästchen Benutzerrechte aktualisieren. Deaktivieren Sie das Kontrollkästchen Zugeordnete Benutzergruppen migrieren. Ein Warnfeld wird angezeigt, das Sie informiert, dass die Benutzer den Zugriff auf Ressourcen verlieren, wenn die globalen Gruppen, denen die Benutzerkonten angehören, nicht ebenfalls migriert werden. Klicken Sie auf OK, um die Migration fortzusetzen. Konfliktverwaltung Klicken Sie auf Quellobjekt nicht migrieren, wenn in der Zieldomäne ein Konflikt ermittelt wird. Nachdem Sie im Assistenten zum Migrieren von Benutzerkonten auf Fertig stellen geklickt haben, wird das Dialogfeld Migrationsstatus angezeigt. Nachdem sich der Status in Abgeschlossen geändert hat, zeigen Sie das Migrationsprotokoll an, um zu bestimmen, ob während des Migrationsprozesses Fehler aufgetreten sind. Klicken Sie im Dialogfeld Migrationsstatus auf Schließen. Die migrierten Benutzerkonten können sich nur bei der Zieldomäne anmelden, und sie werden bei der ersten Anmeldung an der Zieldomäne zum Ändern des Kennworts aufgefordert. So migrieren Sie Benutzerkonten mithilfe der ADMT-Befehlszeilenoption 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. Hinweis Wenn Sie eine Benutzermigration mit sIDHistory-Migration über die Befehlszeile starten, müssen Sie den Befehl auf einem Domänencontroller in der Zieldomäne ausführen. 2. Geben Sie in einer Befehlszeile den Befehl ADMT User mit den entsprechenden Parametern ein, z. B.: ADMT USER /N "<Benutzername1>" "<Benutzername2>" /IF:YES /SD:" <Quelldomäne>" 251 /TD:" <Zieldomäne>" /TO:" <Zielorganisationseinheit>" /TRP:YES /UUR:YES Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt über die Befehlszeile angegeben wird: ADMT USER /N "<Benutzername1>" "<Benutzername2>" /O "<Optionsdatei>.txt" Die folgende Tabelle nennt die Parameter, die für die Migration von Benutzerkonten erforderlich sind, die Befehlszeilenparameter sowie die Optionsdateientsprechungen. Parameter Befehlszeilensyntax Optionsdateisyntax Innerhalb einer Gesamtstruktur /IF:YES IntraForest=YES <Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne" <Quellorganisationsein heit> Speicherort /SO:"Quellorganisationsein SourceOU="Quellorganisationsei heit" nheit" <Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne" <Zielorganisationseinhe it> Speicherort /TO:"Zielorganisationseinh TargetOU="Zielorganisationsein eit" heit" Konfliktverwaltung /CO:IGNORE Servergespeichertes Profil konvertieren /TRP:YES Benutzerrechte aktualisieren /UUR:YES (Standard) (Standard) ConflictOptions=IGNORE TranslateRoamingProfile=YES UpdateUserRights=YES 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. 4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie dann die Organisationseinheit der Zieldomäne. Vergewissern Sie sich, dass die Benutzer in der Organisationseinheit der Zieldomäne vorhanden sind. So migrieren Sie Benutzerkonten mithilfe eines Skripts Hinweis Wenn Sie eine Benutzermigration mit sIDHistory-Migration über ein Skript starten, muss das Skript auf einem Domänencontroller in der Zieldomäne ausgeführt werden. Verwenden Sie das folgende Beispiel, um ein Skript vorzubereiten, das ADMT-Befehle und Optionen zum Migrieren von Benutzerkonten innerhalb einer Gesamtstruktur beinhaltet. Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der 252 Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“. <Job id=" MigratingUserAccountsWithinForest" > <Script language="VBScript" src="AdmtConstants.vbs" /> <Script language="VBScript" > Option Explicit Dim objMigration Dim objUserMigration ' 'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte. ' Set objMigration = CreateObject("ADMT.Migration" ) Set objUserMigration = objMigration.CreateUserMigration ' 'Geben Sie die allgemeinen Migrationsoptionen an. ' objMigration.IntraForest = True objMigration.SourceDomain = "Quelldomäne" objMigration.SourceOu = "Quellcontainer" objMigration.TargetDomain = "Zieldomäne" objMigration.TargetOu = "Zielcontainer" ' 'Geben Sie die spezifischen Optionen der Benutzermigration an. ' objUserMigration.TranslateRoamingProfile = True objUserMigration.UpdateUserRights = True objUserMigration.FixGroupMembership = True objUserMigration.MigrateServiceAccounts = False 253 ' 'Migrate specified user objects. ' objUserMigration.Migrate admtData, Array("Benutzername1" , "Benutzername2" ) Set objUserMigration = Nothing Set objMigration = Nothing </Script> </Job> Konvertieren lokaler Benutzerprofile Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Konvertieren Sie lokale Benutzerprofile, nachdem Sie Benutzerkonten migriert haben. Um die Dienstunterbrechung für Benutzer so gering wie möglich zu halten, konvertieren Sie lokale Benutzerprofile sofort nach der Migration eines Los von Benutzern. Wenn Ihre Quelldomäne nur eine kleine Anzahl von Vor-Active Directory-Clients enthält, migrieren Sie diese als Gruppe, und konvertieren Sie dann ihre Benutzerprofile, bevor Sie das nächste Los migrieren. Normalerweise sind keine Aktionen erforderlich, um eine lokales Profil auf Clients zwischen Domänen in der gleichen Gesamtstruktur zu konvertieren, weil die GUID des Benutzers gleich bleibt. Das lokale Profil kann die SID-zu-GUID-Zuordnung verwenden, die in der Registrierung gespeichert wird, um das Profil des Benutzers erneut zuzuweisen und es dann der neuen Sicherheitskennung (Security Identifier, SID) erneut zuzuordnen. Wenn Sie das Benutzerkonto in eine Domäne innerhalb der Gesamtstruktur migrieren, der Pfad für das lokale Profil jedoch ein anderer ist, wird das Benutzerprofil geändert, und es wird ein neuer Profilordner auf dem Server mit den richtigen Zugriffssteuerungslisten (Access Control Lists, ALCs) erstellt. Der Administrator muss sicherstellen, dass der Benutzer auf den Profilordner zugreifen kann. Sie können lokale Benutzerprofile mithilfe des Active Directory-Migrationspgrogramm-Snap-Ins (ADMT), der ADMT-Befehlszeilenoption oder eines Skripts konvertieren. Vorsicht Vergewissern Sie sich, dass die Benutzerprofilkonvertierung für jeden Benutzer erfolgreich ist, bevor sich der betreffende Benutzer anmelden darf. Wenn bei der 254 Benutzerprofilkonvertierung für einen Benutzer ein Fehler auftritt, darf sich dieser Benutzer nicht an der Zieldomäne anmelden. In diesem Fall führen Sie manuell einen Rollbackvorgang für das Benutzerkonto aus, indem Sie das Benutzerkonto in der Zieldomäne deaktivieren und das Benutzerkonto in der Quelldomäne aktivieren. So konvertieren Sie lokale Benutzerprofile mithilfe des ADMT-Snap-Ins 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Klicken Sie im Active Directory Migrationsprogramm-Snap-In (ADMT) auf Vorgang, und klicken Sie dann auf Sicherheitskonvertierungs-Assistent. 3. Führen Sie den Sicherheitskonvertierungs-Assistenten mithilfe der Informationen in der folgenden Tabelle aus. Seite des Assistenten Vorgang Optionen für die Sicherheitskonvertierung Klicken Sie auf Zuvor migrierte Objekte. Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Quelldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus. Wenn Sie eine Migration innerhalb der Gesamtstruktur ausführen, wird der Domänencontroller, der die Funktion des RID-Betriebsmasters (Relative ID, auch als Flexible Single Master Operations oder FSMO bezeichnet) ausübt, unabhängig von Ihrer Auswahl immer als Quelldomänencontroller verwendet. Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOS- oder DNS-Namen der Zieldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, und klicken Sie auf Weiter. Computerauswahl Klicken Sie auf Computer aus Domäne 255 auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Computerauswahl auf Hinzufügen, um die Computer mit zu migrierenden Benutzerprofilen in der Quelldomäne auszuwählen, klicken Sie auf OK, und klicken Sie dann auf Weiter. Oder Klicken Sie auf Objekte aus Includedatei lesen und anschließend auf Weiter. Geben Sie den Speicherort der Includedatei ein, und klicken Sie auf Weiter. Objekte konvertieren Klicken Sie auf Benutzerprofile. Optionen für die Sicherheitskonvertierung Klicken Sie auf Ersetzen. So konvertieren Sie lokale Benutzerprofile mithilfe der ADMT-Befehlszeilenoption 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Geben Sie in der Befehlszeile den Befehl ADMT Security mit den entsprechenden Parametern ein, und drücken Sie dann die EINGABETASTE. ADMT SECURITY /N "<Computername1>" "<Computername2>" /SD:" <Quelldomäne>" /TD:" <Zieldomäne>" /TOT:REPLACE /TUP:YES Alternativ können Sie Parameter in eine Optionsdatei aufnehmen, die Sie in der folgenden Weise auf der Befehlszeile angeben: ADMT SECURITY /N "<Computername1>" "<Computername2>" /O "Optionsdatei.txt " Die folgende Tabelle nennt die Parameter, die für die Konvertierung lokaler Benutzerprofile erforderlich sind, die Befehlszeilenparameter sowie die Optionsdateientsprechungen. Parameter Befehlszeilensyntax Optionsdateisyntax Innerhalb einer Gesamtstruktur /IF:YES IntraForest=YES <Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne" <Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne" <Zieldomäne> /TOT:REPLACE TranslateOption=REPLACE 256 Ändern der Sicherheit des lokalen Benutzerprofils /TUP:YES TranslateUserProfiles=YES 3. Überprüfen Sie die im Migrationsprotokoll aufgeführten Ergebnisse auf Fehler. So konvertieren Sie lokale Benutzerprofile mithilfe eines Skripts Verwenden Sie das folgende Beispiel, um ein Skript vorzubereiten, das ADMT-Befehle und Optionen zum Konvertieren lokaler Benutzerprofile beinhaltet. Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“. <Job id=" TranslatingLocalProfilesWithinForest" > <Script language="VBScript" src="AdmtConstants.vbs" /> <Script language="VBScript" > Option Explicit Dim objMigration Dim objSecurityTranslation ' 'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte. ' Set objMigration = CreateObject("ADMT.Migration") Set objSecurityTranslation = objMigration.CreateSecurityTranslation ' 'Geben Sie die allgemeinen Migrationsoptionen an. ' objMigration.IntraForest = True objMigration.SourceDomain = "Quelldomäne" objMigration.TargetDomain = "Zieldomäne" 257 ' 'Geben Sie die spezifischen Optionen der Sicherheitskonvertierung an. ' objSecurityTranslation.TranslationOption = admtTranslateReplace objSecurityTranslation.TranslateUserProfiles = True ' 'Führen Sie die Sicherheitskonvertierung für die angegebenen Computerobjekte durch. ' objSecurityTranslation.Translate admtData, _ Array("Computername1" ,"Computername2" ) Set objSecurityTranslation = Nothing Set objMigration = Nothing </Script> </Job> Migrieren von Arbeitsstationen und Mitgliedsservern Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Migrieren von Arbeitsstationen und Mitgliedsservern aus der Quelldomäne in die Zieldomäne. Beim Migrieren von Computern werden die Änderungen erst nach dem Neustart des Computers wirksam. Führen Sie den Neustart von Computern nach der Migration so bald wie möglich aus, um den Migrationsprozess abzuschließen. Hinweis Starten Sie Mitgliedsarbeitsstationen und Server sofort neu, nachdem Sie die der Zieldomäne hinzugefügt haben, indem Sie einen niedrigen Wert für den Parameter RestartDelay auswählen. Ressourcen, die nach der Migration nicht neu gestartet werden, befinden sich in einem unbestimmten Zustand. 258 Firewalls, wie etwa die Windows-Firewall in Windows XP Service Pack 2 (SP 2), können den Abschluss der ADMT-Computerkontomigration (Active Directory Migration Tool, Active DirectoryMigrationsprogramm) verhindern. Testen Sie die Computermigration ausführlich in einer Laborumgebung, um alle möglichen Probleme einzukreisen, bevor Sie die Migration in der Produktionsumgebung ausführen. Weitere Informationen zum Konfigurieren der WindowsFirewall finden Sie unter "Windows-Firewall sperrt nach der Installation von Windows XP Service Pack 2 eventuell den Internetzugriff für einige Programme" (http://go.microsoft.com/fwlink/?LinkId=76705) und "Dienste und Port-Anforderungen für das Microsoft Windows-Serversystem" (http://go.microsoft.com/fwlink/?LinkId=58432). Computerkonten werden bei der Migration zwischen Domänen innerhalb einer Active DirectoryGesamtstruktur anders als Benutzer- und Gruppenkonten behandelt. Während Benutzer- und Gruppenkonten in der Quelldomäne während einer Migration innerhalb einer Gesamtstruktur gelöscht werden, bleiben Computerkonten in der Quelldomäne aktiviert, und es wird ein neues Computerkonto in der Zieldomäne erstellt. Dadurch wird ein späteres Rollback der Computermigration ermöglicht, sollte es erforderlich werden. Nachdem die Migration abgeschlossen wurde, und Ihre Tests bestätigen, dass der Computer wie erwartet funktioniert, können Sie das Computerkonto in der Quelldomäne ohne Gefahr löschen. Wenn auf einer Arbeitsstation verwaltete Dienstkonten installiert sind und diese Konten zuvor migriert wurden, wird von ADMT eine Option zur erneuten Installation des migrierten verwalteten Dienstkontos auf dem migrierten Computer und zur Aktualisierung des DienststeuerungsManagers (Service Control Manager, SCM) bereitgestellt. Damit dieser Vorgang von ADMT ausgeführt werden kann, muss das Konto, von dem die Computermigration ausgeführt wird, die Berechtigung zum Ändern der Sicherheitsbeschreibungen für das migrierte verwaltete Dienstkonto aufweisen. Sie können Arbeitsstationen und Mitgliedsserver mithilfe des ADMT-Snap-Ins, der ADMTBefehlszeilenoption oder eines Skripts migrieren. So migrieren Sie Arbeitsstationen und Mitgliedsserver mithilfe des ADMT-Snap-Ins 1. Melden Sie sich bei dem Computer in der Zieldomäne, in der ADMT installiert ist, mit einem Benutzerkonto an, das Mitglied der ADMT-Ressourcenmigrationsgruppe ist. 2. Verwenden Sie den Assistenten zum Migrieren von Computerkonten, und führen Sie die in der folgenden Tabelle beschriebenen Schritte aus. Seite des Assistenten Vorgang Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Quelldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie 259 einenbeliebigen Domänencontroller aus. Wenn Sie eine Migration innerhalb der Gesamtstruktur ausführen, wird der Domänencontroller, der die Funktion des RID-Betriebsmasters (Relative ID, auch als Flexible Single Master Operations oder FSMO bezeichnet) ausübt, unabhängig von Ihrer Auswahl immer als Quelldomänencontroller verwendet. Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Zieldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, und klicken Sie auf Weiter. Computerauswahl Klicken Sie auf Computer aus Domäne auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Computerauswahl auf Hinzufügen, um die Computer in der Quelldomäne auszuwählen, die Sie migrieren möchten, klicken Sie auf OK und dann auf Weiter. Oder Klicken Sie auf Objekte aus Includedatei lesen und anschließend auf Weiter. Geben Sie den Speicherort der Includedatei ein, und klicken Sie auf Weiter. Informationen zu verwalteten Dienstkonten (wird angezeigt, wenn auf dem Computer ein verwaltetes Dienstkonto installiert ist) Wählen Sie alle verwalteten Dienstkonten aus, die nicht auf dem migrierten Computer in der Zieldomäne installiert werden sollen, und klicken Sie dann auf Überspringen/Einbeziehen, um die Konten mit Überspringen zu kennzeichnen. Auswahl der Organisationseinheit Klicken Sie auf Durchsuchen. Suchen Sie im Dialogfeld Container suchen in der Zieldomäne nach der Organisationseinheit, in die die Computer 260 migriert werden, und klicken Sie dann auf OK. Objekte konvertieren Aktivieren Sie das Kontrollkästchen Lokale Gruppen. Aktivieren Sie das Kontrollkästchen Benutzerrechte. Optionen für die Sicherheitskonvertierung Klicken Sie auf Ersetzen. Computeroptionen Akzeptieren Sie im Feld Minuten, bis der Computer nach Beenden des Assistenten neu gestartet wird den Standardwert von 5 Minuten, oder geben Sie einen anderen Wert ein. Objekteigenschaftsausnahme Wenn Sie bestimmte Objekteigenschaften von der Migration ausschließen möchten, aktivieren Sie das Kontrollkästchen Bestimmte Objekteigenschaften von der Migration ausschließen, wählen Sie die Objekteigenschaften aus, die ausgeschlossen werden sollen, verschieben Sie diese in Ausgeschlossene Eigenschaften, und klicken Sie dann auf Weiter. Konfliktverwaltung Klicken Sie auf Quellobjekt nicht migrieren, wenn in der Zieldomäne ein Konflikt ermittelt wird. Dialogfeld "ADMT-Agent" Wählen Sie Vorüberprüfung und Agent ausführen aus, und klicken Sie dann auf Start. Wenn Sie eine Migration innerhalb der Gesamtstruktur ausführen, migriert ADMT den SID-Verlauf (Security Identifier) und löscht das Quellobjekt. Wenn Sie eine Migration innerhalb der Gesamtstruktur ausführen, erlaubt ADMT die Sicherheitskonvertierung daher nur im Ersetzungsmodus. 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem der Assistent abgeschlossen wurde, klicken Sie auf Protokoll anzeigen, um die Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden Computer 261 anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde, müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen "MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert. So migrieren Sie Arbeitsstationen und Mitgliedsserver mithilfe der ADMTBefehlszeilenoption 1. Melden Sie sich bei dem Computer in der Zieldomäne, in der ADMT installiert ist, mit einem Benutzerkonto an, das Mitglied der ADMT-Ressourcenmigrationsgruppe ist. 2. Geben Sie den Befehl ADMT Computer mit den entsprechenden Parametern in der Befehlszeile ein, und drücken Sie dann die EINGABETASTE: ADMT COMPUTER /N "<Computername1>" "<Computername2>" /IF:YES /SD:"<Quelldomäne>" /TD:"<Zieldomäne>" /TO:"<Zielorganisationseinheit>" [/M: "<Name des einzelnen verwalteten Dienstkontos 1>" "<Name des einzelnen verwalteten Dienstkontos 2>"] [/UALLMSA:Yes] /RDL:1 Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt über die Befehlszeile angegeben wird: ADMT COMPUTER /N "<Computername1>" "<Computername2>" /O:" <Optionsdatei>.txt" Die folgende Tabelle nennt die Parameter, die für die Migration von Arbeitsstationen und Mitgliedsservern erforderlich sind, die Befehlszeilenparameter sowie die Optionsdateientsprechungen. Parameter Befehlszeilensyntax Optionsdateisyntax Innerhalb einer Gesamtstruktur /IF:YES IntraForest=YES <Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne" <Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne" Aktualisieren der angegebenen verwalteten Dienstkonten /M:"Benutzer/Verwaltetes UpdateMSAName= Dienstkonto/Gruppe" "Benutzer/Verwaltetes Dienstkonto/Gruppe" Hinweis Der Parameter „/M“ hat Vorrang vor dem Parameter „/UALLMS 262 A“. Aktualisieren aller verwalteten Dienstkonten /UALLMSA: YES Aktualisieren bestimmter verwalteter Dienstkonten /M UpdateAllManagedServiceAccounts =Yes "Name 1" "Name 2"… UPDATEMSANAME="Name 1" "Name 2"… Hinweis Der Parameter „/M“ hat Vorrang vor dem Parameter „/UALLMS A“. <Zielorganisationseinh eit> Speicherort /TO:"Zielorganisationsein TargetOU="Zielorganisationseinhe heit" it" Neustartverzögerung (Minuten) /RDL:5 RestartDelay=5 Konfliktverwaltung /CO:IGNORE Optionen für die Sicherheitskonvertieru ng /TOT:ADD TranslationOption=YES Konvertieren von Benutzerrechten /TUR:YES TranslateUserRights=YES Konvertieren lokaler Gruppen /TLG:YES TranslateLocalGroups=YES (Standard) ConflictOptions=IGNORE 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Das Migrationsprotokoll listet Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden Computer auf. Wenn ein Fehler für einen Computer aufgezeichnet wurde, müssen Sie die Protokolldatei für den betreffenden Computer auf Probleme mit lokalen Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen "MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert. 4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie dann die Organisationseinheit der Zieldomäne. Vergewissern Sie sich, dass die Arbeitsstationen und Mitgliedsserver in der Organisationseinheit der Zieldomäne vorhanden sind. 263 So migrieren Sie Arbeitsstationen und Mitgliedsserver mithilfe eines Skripts Verwenden Sie die folgende Auflistung, um ein Skript vorzubereiten, das ADMT-Befehle und Optionen zum Migrieren von Arbeitsstationen und Mitgliedsservern innerhalb einer Gesamtstruktur beinhaltet. Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“. <Job id=" MigratingWorkstationsMemberServersWithinForest" > <Script language="VBScript" src="AdmtConstants.vbs" /> <Script language="VBScript" > Option Explicit Dim objMigration Dim objComputerMigration ' 'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte. ' Set objMigration = CreateObject("ADMT.Migration" ) Set objComputerMigration = objMigration.CreateComputerMigration ' 'Geben Sie die allgemeinen Migrationsoptionen an. ' objMigration.IntraForest = True objMigration.SourceDomain = "Quelldomäne" objMigration.SourceOu = "Computer" objMigration.TargetDomain = "Zieldomäne" objMigration.TargetOu = "Computer" ' 'Geben Sie die spezifischen Optionen für die Computermigration an. ' 264 objComputerMigration.TranslationOption = admtTranslateAdd objComputerMigration.TranslateLocalGroups = True objComputerMigration.TranslateUserRights = True objComputerMigration.UpdateAllManagedServiceAccounts = True objComputerMigration.RestartDelay = 1 ' 'Migrieren Sie die Computerobjekte für die angegebenen Computerobjekte. ' objComputerMigration.Migrate admtData, _ Array("Computername1" ,"Computername2") Set objComputerMigration = Nothing Set objMigration = Nothing </Script> </Job> Migrieren lokaler Domänengruppen Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Migrieren Sie die lokalen Domänengruppen, die in der Active Directory-Domäne vorhanden sind. Sie können die lokalen Domänengruppen mithilfe des ADMT-Snap-Ins (Active Directory Migration Tool, Active Directory-Migrationsprogramm), der ADMT-Befehlszeilenoption oder eines Skripts migrieren. So migrieren Sie lokale Domänengruppen mithilfe des ADMT-Snap-Ins Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. Verwenden Sie den Assistenten zum Migrieren von Gruppenkonten, und führen Sie die in der folgenden Tabelle beschriebenen Schritte aus. Seite des Assistenten Vorgang 265 Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Quelldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus. Wenn Sie eine Migration innerhalb der Gesamtstruktur ausführen, wird der Domänencontroller, der die Funktion des RID-Betriebsmasters (Relative ID, auch als Flexible Single Master Operations oder FSMO bezeichnet) ausübt, unabhängig von Ihrer Auswahl immer als Quelldomänencontroller verwendet. Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOS- oder DNS-Namen der Zieldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, und klicken Sie auf Weiter. Gruppenauswahl Klicken Sie auf Gruppen aus Domäne auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Gruppenauswahl auf Hinzufügen, um die zu migrierenden Gruppen in der Quelldomäne auszuwählen, klicken Sie auf OK, und klicken Sie dann auf Weiter. Oder Klicken Sie auf Objekte aus Includedatei lesen und anschließend auf Weiter. Geben Sie den Speicherort der Includedatei ein, und klicken Sie auf Weiter. Auswahl der Organisationseinheit Geben Sie den Namen der Organisationseinheit (Organizational Unit, OU) ein, oder klicken Sie auf Durchsuchen. Suchen Sie im Dialogfeld Container 266 suchen in der Zieldomäne nach der Organisationseinheit, in die die lokalen Domänengruppen migriert werden, und klicken Sie dann auf OK. Gruppenoptionen Die Kontrollkästchen Gruppen-SIDs zur Zieldomäne migrieren und Gruppenmitgliedschaft korrigieren sind aktiviert und werden abgeblendet angezeigt. Stellen Sie sicher, dass keine anderen Optionen ausgewählt sind. Namenskonflikte Klicken Sie auf In Konflikt stehende Konten ignorieren und nicht migrieren. So migrieren Sie lokale Domänengruppen mithilfe der ADMT-Befehlszeilenoption 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Geben Sie den Befehl ADMT Group mit den entsprechenden Parametern in der Befehlszeile ein, und drücken Sie dann die EINGABETASTE: ADMT GROUP /N "<Gruppenname1>" "<Gruppenname2>" /IF:YES /SD:" <Quelldomäne>" /TD:" <Zieldomäne>" /TO:" <Zielorganisationseinheit>" Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt über die Befehlszeile angegeben wird: ADMT GROUP /N "<Gruppenname1>" "<Gruppenname2>" /O: "<Optionsdatei>.txt" Die folgende Tabelle nennt die Parameter, die für die Migration lokaler Domänengruppen erforderlich sind, die Befehlszeilenparameter sowie die Optionsdateientsprechungen. Eine vollständige Liste aller verfügbaren Parameter finden Sie in der Hilfe zu ADMT v3.1. Parameter Befehlszeilensyntax Optionsdateisyntax Innerhalb einer Gesamtstruktur /IF:YES IntraForest=YES <Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne" <Zielorganisationseinhe /TO:"Zielorganisationseinh it> Speicherort eit" TargetOU="Zielorganisationseinh Konfliktverwaltung ConflictOptions=IGNORE /CO:IGNORE (Standard) eit" 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. 4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie dann die 267 Organisationseinheit der Zieldomäne. Überprüfen Sie, ob die lokalen Domänengruppen in der Organisationseinheit der Zieldomäne vorhanden sind. So migrieren Sie lokale Domänengruppen mithilfe eines Skripts Verwenden Sie ein Skript, das ADMT-Befehle und Optionen für die Migration lokaler Domänengruppen verbindet. Sie können das gleiche Skript verwenden, das Sie zum Migrieren universeller Gruppen verwendet haben. Weitere Informationen zum Migrieren universeller Gruppen finden Sie unter Migrieren universeller Gruppen weiter oben in diesem Handbuch. Beispiel: Neustrukturierung von Active Directory-Domänen Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Contoso Corporation möchte die Objekte der Domäne „Afrika“ in die Domäne „EMEA“ migrieren. Damit die Beeinträchtigung der Benutzer und die Zeit mit hoher Netzwerklast so gering wie möglich gehalten werden können, hat sich Contoso entschieden, die Migration der Domänenobjekte so schnell wie möglich auszuführen. Bei der Migration werden alle migrierten globalen Gruppen zu universellen Gruppen, bis jeder zur Gruppe gehörende Benutzer in die Zieldomäne migriert wurde. Da in der Gesamtstruktur auch Domänen enthalten sind, die auf der Funktionsebene von Windows Server 2003 ausgeführt werden, werden nur die inkrementellen Änderungen der Mitgliedschaft für universelle Gruppen im globalen Katalog repliziert. Die Contoso-Administratoren haben eine komplexe Testlaborumgebung eingerichtet, in der der Migrationsvorgang vor der Ausführung getestet werden soll. Beim Test des Vorgangs haben sie ermittelt, dass die Migration innerhalb von zwei Wochen ausgeführt werden könnte. Die globalen und universellen Gruppen werden am Montag und Dienstag der ersten Woche migriert. Am Mittwoch werden die Dienstkonten migriert und die Dienste aktualisiert. Donnertag, Freitag und Samstag werden für die Migration der Benutzerkonten genutzt. Am Sonntag der ersten Woche werden die Server migriert. In der zweiten Woche erfolgt die Migration der Server und Arbeitsstationen. Die lokalen Domänengruppen werden am Ende der zweiten Woche migriert. Ausführen von Aufgaben nach der Migration Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Nach dem Abschluss aller für die Umstrukturierung von Active Directory-Domänen in einer Gesamtstruktur erforderlichen Migrationsaufgaben müssen Sie überprüfen, ob die Migration wie geplant erfolgt ist, und einige Anschlussaufgaben an die Migration ausführen. Die folgende Abbildung stellt den Prozess für das Ausführen von Aufgaben nach der Migration dar. 268 Untersuchen von Migrationsprotokollen auf Fehler Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) unterhält ein detailliertes Protokoll jeder Aktion, die beim Migrieren von Ressourcen zwischen Active DirectoryDomänen ausgeführt wird. Fehler, die während des Migrationsprozesses auftreten, werden im Migrationsprotokoll vermerkt, obwohl sie möglicherweise keine Warnmeldung in ADMT auslösen. Das Untersuchen des Migrationsprotokolls nach dem Abschluss einer Migration ist eine gute Methode, um festzustellen, ob alle Aufgaben erfolgreich abgeschlossen wurden. Da es wichtig ist, die Schritte der Migration in einer bestimmten Reihenfolge durchzuführen, ist es sinnvoll, das Migrationsprotokoll nach jedem Schritt zu überprüfen, damit alle Fehler rechtzeitig entdeckt werden, um sie beheben zu können. Hinweis Protokolldateien werden im Ordner Windows\ADMT\Logs auf dem Computer erstellt, auf dem ADMT installiert ist. 269 Zugriff auf ADMT-Protokolldateien ADMT protokolliert alle Migrationsaufgaben und speichert die Protokolle in der ADMTDatenbank. Die Protokolle für die letzten 20 Migrationsaufgaben werden auf dem lokalen Computer gespeichert. Sie können die in der ADMT-Datenbank gespeicherten Protokollinformationen mithilfe des ADMT-Snap-Ins anzeigen, oder Sie können den Befehl admt task verwenden, um die betreffenden Informationen abzurufen und an einem angegebenen Speicherort zu speichern. Beim Ausführen von Migrationen zwischen Gesamtstrukturen können Sie sich entscheiden, die Attribute für jedes migrierte Benutzer-, Gruppen und Computerobjekt zu protokollieren. Dies wird als ausführliche Protokollierung bezeichnet und mit dem Befehl admt config logging ausgeführt. Weitere Informationen und Beispiele zu Befehlen im Zusammenhang mit dem Zugriff auf ADMTProtokolldateien finden Sie, wenn Sie in der ADMT-Hilfe nach "admt config logging" oder "admt task" suchen. Überprüfen der Gruppentypen Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) ändert globale Gruppen in universelle Gruppen, wenn Sie diese aus der Quelldomäne in die Zieldomäne migrieren. Diese Änderung findet automatisch statt, weil globale Gruppen nur Mitglieder ihrer eigenen Domäne enthalten können. Daher können sie nicht als globale Gruppen erhalten bleiben, wenn sie in eine andere Domäne migriert werden, bis die Gruppenmitglieder migriert werden. ADMT ändert die universellen Gruppen zurück in globale Gruppen, wenn das letzte Mitglied der Gruppe in die Zieldomäne migriert wird. Da universelle Gruppen ihre Mitgliedschaft in den globalen Katalog replizieren, ist die Überprüfung wichtig, ob die universellen Gruppen ordnungsgemäß zurück in globale Gruppen geändert werden. Verwenden Sie das Snap-In Active Directory-Benutzer und -Computer, um zu bestätigen, dass universelle Gruppen erfolgreich migriert wurden. Wenn Sie lokale Domänengruppen manuell geändert haben, stellen Sie sicher, dass Sie diese auf lokale Domänengruppen zurücksetzen, nachdem alle Ressourcen migriert wurden. Konvertieren der Sicherheit auf Mitgliedsservern Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Konvertieren der Sicherheit auf Mitgliedsservern, um die Zugriffssteuerungslisten (Access Control Lists, ACLs) der Ressourcen zu bereinigen. Nach der Migration von Objekten in die Zieldomäne enthalten die Ressourcen die ACL-Einträge der Quelldomänenobjekte. Obwohl der SID-Verlauf 270 (Security Identifier) Zugriff auf Ressourcen während der Migration bietet, sollten Zugriffssteuerungslisten nach der Migration bereinigt werden, damit sie die neue primäre SID der migrierten Gruppen enthalten. Verwenden Sie den Sicherheitskonvertierungs-Assistenten in ADMT, um die SIDs der Quelldomäne durch die SIDs der Zieldomäne zu ersetzen. Wichtig Bei der Migration verwalteter Dienstkonten zwischen Domänen in derselben Gesamtstruktur müssen Sie auf den Mitgliedsservern in der Quelldomäne, die über Ressourcen verfügen, den verwalteten Dienstkonten Berechtigungen zu erteilen, die Sicherheitskonvertierung ausführen. Verwaltete Dienstkonten, die zwischen Domänen innerhalb einer Gesamtstruktur migriert werden, werden kopiert. In der Zieldomäne wird ein neues Konto erstellt, und die Kontoeigenschaften (mit Ausnahme der SID) werden aus der Quelldomäne kopiert. Aus diesem Grund muss die Sicherheitskonvertierung ausgeführt werden. Weitere Informationen hierzu finden Sie unter Migrieren von verwalteten Dienstkonten. So konvertieren Sie Sicherheit auf Mitgliedsservern mithilfe des ADMT-Snap-Ins Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. Verwenden Sie den Sicherheitskonvertierungs-Assistenten, indem Sie die in der folgenden Tabelle beschriebenen Schritte ausführen. Seite des Assistenten Vorgang Optionen für die Sicherheitskonvertierung Klicken Sie auf Zuvor migrierte Objekte. Domänenauswahl Geben Sie unter Quelle in der Dropdownliste Domäne den NetBIOSoder DNS-Namen der Quelldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus. Wenn Sie beabsichtigen, eine SIDZuordnungsdatei zu verwenden, klicken Sie auf Andere in einer Datei angegebene Objekte, und geben Sie dann den Speicherort der SIDZuordnungsdatei an, die Sie erstellt haben. Wenn Sie eine Migration innerhalb der Gesamtstruktur ausführen, wird der Domänencontroller, der die Rolle des 271 RID-Betriebsmasters (Relative ID, auch als Flexible Single Master Operations oder FSMO bezeichnet) ausübt, unabhängig von Ihrer Auswahl immer als Quelldomänencontroller verwendet. Geben Sie unter Ziel in der Dropdownliste Domäne den NetBIOS- oder DNS-Namen der Zieldomäne an. Geben Sie in der Dropdownliste Domänencontroller den Namen des Domänencontrollers an, oder wählen Sie einenbeliebigen Domänencontroller aus, und klicken Sie auf Weiter. Computerauswahl Klicken Sie auf Computer aus Domäne auswählen, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Dienstkontoauswahl auf Hinzufügen, um die Konten in der Quelldomäne auszuwählen, die Sie migrieren möchten, klicken Sie auf OK und dann auf Weiter. - oder Klicken Sie auf Objekte aus Includedatei lesen und anschließend auf Weiter. Geben Sie den Speicherort der Includedatei ein, und klicken Sie auf Weiter. Objekte konvertieren Klicken Sie auf Datei und Ordner, Freigaben, Drucker, Benutzerrechte und Registrierung. Optionen für die Sicherheitskonvertierung Klicken Sie auf Ersetzen. So konvertieren Sie Sicherheit auf Mitgliedsservern mithilfe der ADMTBefehlszeilenoption 1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist, mit dem Migrationskonto des ADMT-Kontos an. 2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: ADMT Security /N "<Computername1>" "<Computername2>" /SD:" <Quelldomäne>" /TD:" <Zieldomäne>" 272 Dabei stehen <Computername1> und <Computername2> für die Namen von Computern, für die Sie die Sicherheit konvertieren möchten. Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt über die Befehlszeile angegeben wird: ADMT Security /N "<Computername1>" "<Computername2>" /O:" <Optionsdatei>.txt" In der folgenden Tabelle sind die allgemeinen Parameter zum Konvertieren der Sicherheit auf Mitgliedsservern aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem entsprechenden Äquivalent in der Optionsdatei. Parameter Befehlszeilensyntax Optionsdateisyntax <Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne" <Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne" 3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. So konvertieren Sie Sicherheit auf Mitgliedsservern mithilfe eines Skripts Verwenden Sie das folgende Beispiel, um ein Skript vorzubereiten, das ADMT-Befehle und Optionen zum Konvertieren der Sicherheit auf Mitgliedsservern beinhaltet. Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“. <Job id=" TranslatingSecurityOnMemberServersWithinForest" > <Script language="VBScript" src="AdmtConstants.vbs" /> <Script language="VBScript" > Option Explicit Dim objMigration Dim objSecurityTranslation ' 'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte. ' Set objMigration = CreateObject("ADMT.Migration" ) Set objSecurityTranslation = objMigration.CreateSecurityTranslation ' 273 'Geben Sie die allgemeinen Migrationsoptionen an. ' objMigration.IntraForest = True objMigration.SourceDomain = "Quelldomäne" objMigration.TargetDomain = "Zieldomäne" objMigration.TargetOu = "Computer" ' 'Geben Sie die spezifischen Optionen der Sicherheitskonvertierung an. ' objSecurityTranslation.TranslationOption = admtTranslateReplace objSecurityTranslation.TranslateFilesAndFolders = True objSecurityTranslation.TranslateLocalGroups = True objSecurityTranslation.TranslatePrinters = True objSecurityTranslation.TranslateRegistry = True objSecurityTranslation.TranslateShares = True objSecurityTranslation.TranslateUserProfiles = False objSecurityTranslation.TranslateUserRights = True ' 'Führen Sie die Sicherheitskonvertierung für die angegebenen Computerobjekte durch. ' objSecurityTranslation.Translate admtData, _ Array("Computername1" ,"Computername2" ) Set objSecurityTranslation = Nothing Set objMigration = Nothing </Script> </Job> 274 Konvertieren der Sicherheit mithilfe einer SID-Zuordnungsdatei Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Wenn Sie Sicherheitskonvertierung durchführen müssen, damit die dem Quellkonto oder der Quellkontengruppe erteilten Berechtigungen dem Zielkonto oder der Zielkontengruppe erteilt werden, verwenden Sie eine Datei für die SID-Zuordnung (Security Identifier), um die zwei Konten einander zuzuordnen. Die SID-Zuordnungsdatei ist eine Datei im Format mit durch Kommas getrennten Werten (CSV), die Kontenpaare auflistet, entweder im Windows NTKontennamen- (Domäne\Name) oder SID-Format. Das Konto auf der linken Seite ist das Quellkonto, und das Konto auf der rechten Seite ist das Zielkonto. Die Sicherheitskonvertierung des Active Directory-Migrationsprogramms (Active Directory Migration Tool, ADMT) überträgt die Sicherheit vom Quellkonto auf das Zielkonto. Auf die SID-Zuordnungsdatei kann im Sicherheitskonvertierungs-Assistenten oder auf der Befehlszeile verwiesen werden. Die Option lautet /SMF, sodass die vollständige Befehlszeile folgendermaßen aussieht: ADMT SECURITY /N "<Computername>" /SMF:"<Pfad_zur_SID-Zuordnungsdatei>" Außerbetriebnahme der Quelldomänen Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Nachdem Sie alle Objekte aus der Quelldomäne in die Zieldomäne migriert haben, einschließlich aller Computer und Mitgliedsserver, verbleiben nur die Domänencontroller in der Quelldomäne. Führen Sie zum Dekommissionieren der Quelldomäne den Assistenten zum Installieren von Active Directory aus, um Active Directory oder die Active Directory-Domänendienste (Active Directory Domain Services, AD DS) von den Domänencontrollern in der Quelldomäne zu entfernen. Migrieren Sie die Domänencontroller aus der Quelldomäne als Mitgliedsserver in die Zieldomäne. Verwenden Sie erforderlichenfalls, je nach der beabsichtigten neuen Rolle der Server in der Zieldomäne, den Assistenten zum Installieren von Active Directory, um Active Directory oder AD DS auf den Mitgliedsservern zu installieren, um ihnen in der Zieldomäne wieder den Status als Domänencontroller zu verleihen. Führen Sie die Sicherheitskonvertierung für Domänencontroller aus, wenn sich Ressourcen auf dem Computer befinden, der als der neue Domänencontroller verwendet werden soll. 275 Beispiel: Ausführen von Aufgaben nach der Migration Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Das Team für die Migrationsnacharbeit bei Contoso Corporation beginnt die Aufgaben nach Abschluss der Migration während der ersten Woche der Migration. Die Teammitglieder untersuchen das Migrationsprotokoll nach dem Abschluss der ersten Gruppe von Migrationen am ersten Tag. Sie analysieren das Migrationsprotokoll und definieren die Aktion, die zum Migrieren von Konten erforderlich ist, bei denen Fehler festgestellt wurden. Auf diese Weise kann das Migrationsteam ohne Unterbrechung mit der Migration fortfahren. Während der zweiten Woche des Migrationsprozesses überprüft das Bereitstellungsteam, ob globale Gruppen nach dem Abschluss der Benutzermigration aus dem Status als universelle Gruppe wieder in den Status als globale Gruppe zurückgekehrt sind. Nachdem die Mitgliedsserver migriert wurden, führt das Bereitstellungsteam den SicherheitskonvertierungsAssistenten aus, um die SIDs (Security Identifiers) der Quelldomäne aus den Zugriffssteuerungslisten (Access Control Lists, ACLs) der Mitgliedsserver zu entfernen. Schließlich dekommissionieren die Mitglieder des Bereitstellungsteams die Domäne Africa am Ende der zweiten Woche, indem sie Active Directory oder AD DS von den Domänencontrollern in der Africa-Domäne entfernen. Anschließend migrieren sie die Domänencontroller als Mitgliedsserver in die Domäne EMEA. Anhang: Erweiterte Verfahren Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Die nachfolgend aufgelisteten Verfahren stellen fortgeschrittene Methoden zum Ausführen verschiedener Aufgaben dar, die beim Umstrukturieren von Domänen mithilfe des Active Directory-Migrationsprogramms (Active Directory Migration Tool, ADMT) nützlich sein können. Konfigurieren eines veborzugten Domänencontrollers Umbenennen von Objekten während der Migration Verwenden einer Includedatei Verwenden einer Optionsdatei Konfigurieren eines veborzugten Domänencontrollers Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 276 Das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) stellt eine Option zum Auswählen des für die Migration verwendeten Quell- und Zieldomänencontrollers zur Verfügung, anstatt ihn durch den DC-Locatordienst (Domain Controller Locator) auswählen zu lassen. Auf der Seite Domänenauswahl, die in allen ADMT-Assistenten enthalten ist, haben Sie nun die Möglichkeit, bestimmte Quell- und Zieldomänencontroller auszuwählen. Nur ein beschreibbarer Domänencontroller kann als bevorzugter Domänencontroller ausgewählt werden. Als Alternative können Sie auch Beliebiger Domänencontroller in der Dropdownliste auswählen. Wenn Sie einen Domänencontroller angeben, wird dieser verwendet, wenn er verfügbar ist. Wenn Sie Beliebiger Domänencontroller auswählen, fragt ADMT einen bevorzugten Domänencontroller ab. Wenn kein bevorzugter Domänencontroller konfiguriert wurde, verwendet ADMT den DC-Locatordienst, um einen Domänencontroller in der angegebenen Domäne zu suchen. Sie können einen bevorzugten Domänencontroller auch mithilfe der Befehlszeilenoption admt config angeben. Sie müssen die Quell- und Zieldomänencontroller unabhängig voneinander konfigurieren. Nachdem Sie einen bevorzugten Domänencontroller konfiguriert haben, ermittelt ADMT dessen Gültigkeit und Verfügbarkeit und verwendet ihn dann bei jeder Ausführung von ADMT automatisch. Hinweis Wenn Sie eine Migration innerhalb der Gesamtstruktur ausführen, wird immer der Domänencontroller, der die Funktion des RID-Betriebsmasters (Relative ID, auch als Flexible Single Master Operations oder FSMO bezeichnet) ausübt, standardmäßig verwendet. Wenn Sie einen anderen Domänencontroller als den RID-Betriebsmaster als bevorzugten Domänencontroller auswählen, setzt ADMT Ihre Auswahl außer Kraft und verwendet immer den RID-Betriebsmaster. So konfigurieren Sie einen bevorzugten Domänencontroller in der Quelldomäne Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: admt config setdomaincontroller /Domain:<Domänenname> /sdc:<Quelldomänencontroller> Wert Beschreibung DomainName Gibt den Namen einer Active DirectoryDomäne an. SourceDomainController Gibt den Computernamen eines Domänencontrollers in der Quelldomäne an. 277 So konfigurieren Sie einen bevorzugten Domänencontroller in der Zieldomäne Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: admt config setdomaincontroller /Domain:<Domänenname> /tdc:<Zieldomänencontroller> Wert Beschreibung Domänenname Gibt den Namen einer Active DirectoryDomäne an. TargetDomainController Gibt den Computernamen eines Domänencontrollers in der Zieldomäne an. Sie können den bevorzugten Domänencontroller auch löschen, den Sie in der Quell- oder Zieldomäne konfiguriert haben. So löschen Sie bevorzugte Domänencontroller in einer angegebenen Domäne Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: admt config cleardomaincontrollers /Domain:<Domänenname> Wert Beschreibung Domänenname Gibt den Namen einer Active DirectoryDomäne an. Sie können die bevorzugten Domänencontroller auch anzeigen, die Sie in der Quell- oder Zieldomäne konfiguriert haben. So zeigen Sie von Ihnen konfigurierte bevorzugte Domänencontroller an Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: admt config getdomaincontrollers 278 Umbenennen von Objekten während der Migration Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Im Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) können Sie eine Includedatei zum Umbenennen von Quelldomänenobjekten verwenden, damit sie nach dem Migrieren in die Zieldomäne einen neuen Namen erhalten. Weitere Informationen zum Verwenden einer Includedatei während einer Migration finden Sie unter Verwenden einer Includedatei. Verwenden Sie das folgende Format in einer Includedatei, um Computer-, Benutzer- oder Gruppenobjekte während der Migration umzubenennen. So benennen Sie Objekte mithilfe einer Includedatei um Verwenden Sie SourceName, TargetRDN, TargetSAM, und TargetUPN als Spaltenüberschriften oben in der Includedatei. SourceName ist der Name des Quellkontos und muss als erste Spaltenüberschrift aufgelistet werden. Hinweis Wenn der Ziel-UPN (User Principal Name, Benutzerprinzipalname) für einen Benutzer die Angabe eines Domänennamens erfordert, der sich vom UPN der Zieldomäne unterscheidet, verwenden Sie dieses Format, um sicherzustellen, dass der Benutzername beibehalten und von ADMT während der Migration nicht geändert wird. Sie müssen den Kontonamen als Benutzernamen, relativ definierten Namen oder kanonischen Namen angeben. Wenn Sie den Kontonamen als relativ definierten Namen angeben, müssen Sie auch die Quellorganisationseinheit angeben. Die Spaltenüberschriften TargetRDN, TargetSAM und TargetUPN sind optional und können in beliebiger Reihenfolge aufgelistet werden. Hinweis Die Spaltenüberschrift TargetUPN ist nur für die Migration von Benutzerkonten relevant, da Gruppen- und Computerkonten keinen UPN aufweisen. Die folgenden Beispiele zeigen gültige Includedateien, in denen die Umbenennungsoption verwendet wird: SourceName,TargetSam abc,def Dieser Includedateieintrag ändert den Kontonamen TargetSAM für den Benutzer "abc" in "def". Die Angaben TargetRDN und TargetUPN, die in dieser Includedatei nicht angegeben werden, ändern sich als Ergebnis der Migration nicht. SourceName,TargetRDN,TargetUPN 279 abc,CN=def,[email protected] Dieser Includedateieintrag ändert den TargetRDN für den Benutzer "abc" in "CN=def" und den TargetUPN in [email protected]. Der TargetSAM für den Benutzer "abc" ändert sich als Ergebnis der Migration nicht. Wichtig Sie müssen "CN=" angeben, bevor Sie einen RDN-Wert verwenden. Verwenden einer Includedatei Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Wenn Sie eine große Anzahl von Benutzern, Gruppen oder Computern migrieren, ist es effizienter, eine Includedatei zu verwenden. Eine Includedatei ist eine Textdatei, in der Sie die zu migrierenden Benutzer-, Gruppen- und Computerobjekte auflisten. Dabei wird für jedes Objekt eine separate Zeile verwendet. Sie können Benutzer, Gruppen und Computer zusammen in einer Datei auflisten, oder Sie können eine separate Datei für jeden Objekttyp erstellen. Nachdem Sie die Includedatei (oder Includedateien) erstellt haben, geben Sie den Namen der Datei während der Migration an. Das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) greift zum Abrufen der enthaltenen Informationen auf die Datei zu. So geben Sie eine Includedatei an Aus einem ADMT-Assistenten Von der Befehlszeile So geben Sie eine Includedatei aus einem ADMT-Assistenten an Klicken Sie auf der Seite Computerauswahloption des Computermigrations-Assistenten Benutzerauswahloption des Assistenten zum Migrieren von Benutzerkonten Gruppenauswahloption des Assistenten zum Migrieren von Gruppenkonten auf Objekte aus Includedatei lesen. Wenn die Aufforderung angezeigt wird, geben Sie den Speicherort der Includedatei an. So geben Sie eine Includedatei auf der Befehlszeile an Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: admt computer /sd:<Quelldomäne> /td:<Zieldomäne> /F:<NameDerIncludedatei> Hinweis Informationen zur richtigen Befehlszeilensyntax für das Migrieren von Benutzern 280 und Gruppen finden Sie, wenn Sie in der Hilfe von ADMT, Version 3.1, nach "admt benutzer" und "admt gruppe" suchen. Die folgenden Informationen beschreiben die Felder einer Includedatei und bieten Beispiele zu jedem Feld: Feld "SourceName" Das Feld SourceName gibt den Namen des Quellobjekts an. Sie können einen Kontonamen oder einen relativ definierten Namen angeben. Wenn Sie nur Quellnamen angeben, ist es optional, eine Kopfzeile in der ersten Zeile der Datei zu definieren. Das folgende Beispiel enthält eine Headerzeile, die das Feld Quellname angibt, und einen Quellobjektnamen, der in mehreren Formaten angegeben wird. Die zweite Zeile gibt einen Kontonamen an. In der dritten Zeile ist ein Kontoname im Kontonamenformat von Windows NT 4.0 angegeben. Die vierte Zeile gibt einen relativ definierten Namen an. SourceName Name Domäne\Name CN=Name Feld "TargetName" Sie können das Feld TargetName verwenden, um einen Basisnamen anzugeben, der zum Generieren eines relativ definierten Zielnamens, eines SAM-Zielkontonamens (Security Accounts Manager, Sicherheitskonto-Manager) und eines UPN-Zielnamens (User Principal Name, Benutzerprinzipalname) verwendet wird. Das Feld TargetName darf nicht mit anderen Zielnamenfeldern kombiniert werden, die weiter unten beschrieben werden. Hinweis Der Ziel-UPN wird nur für Benutzerobjekte generiert, und es wird nur ein UPN-Präfix generiert. Ein UPN-Suffix wird mithilfe eines Algorithmus angehängt, der davon abhängt, ob ein UPN-Suffix für die Zielorganisationseinheit (Organizational Unit, OU) oder die Zielgesamtstruktur definiert ist. Wenn es sich bei dem Objekt um einen Computer handelt, enthält der SAM-Zielkontoname das Suffix "$". Im folgenden Eingabebeispiel werden der relativ definierte Zielname, der SAM-Zielkontoname und der Ziel-UPN als "CN=Neuer_Name", "Neuer_Name" bzw. "Neuer_Name" generiert. SourceName,TargetName Alter_Name, Neuer_Name Felder "Ziel_RDN", "Ziel_SAM" und "Ziel_UPN" Sie können die Felder TargetRDN, TargetSAM, und TargetUPN verwenden, um die verschiedenen Zielnamen unabhängig voneinander anzugeben. Sie können beliebige Kombinationen dieser Felder in beliebiger Reihenfolge angeben. TargetRDN gibt den relativ definierten Zielnamen für das Objekt an. 281 TargetSAM gibt den SAM-Zielkontonamen für das Objekt an. Beachten Sie, dass der Name für Computer das Suffix "$" enthalten muss, damit es sich um einen gültigen SAM-Kontonamen für einen Computer handelt. TargetUPN gibt den Ziel-UPN (User Principal Name, Benutzerprinzipalname) für das Objekt an. Sie können nur das UPN-Präfix oder einen vollständigen UPN-Namen (Präfix@Suffix) angeben. Wenn der angegebene Name ein Leerzeichen (" ") oder ein Komma (",") enthält, müssen Sie den Namen in doppelte Anführungszeichen (") einschließen. Darüber hinaus muss einem Kommazeichen (",") ein Escapezeichen ("\") vorangestellt werden, da der Vorgang ansonsten zu einem Fehler führt. ADMT zeichnet einen Fehler aufgrund ungültiger Syntax in der Protokolldatei auf. SourceName,TargetRDN Alter_Name, CN=Neuer_Name SourceName,TargetRDN,TargetSAM Alter_Name, "CN=Neuer_RDN", Neuer_SAM_Name SourceName,TargetRDN,TargetSAM,TargetUPN Alter_Name, "CN=letzter, erster", Neuer_SAM_Name, Neuer_UPN_Name SourceName,TargetSAM,TargetUPN,TargetRDN Hinweis Verwenden Sie dieses Format beim Umbenennen von Benutzerobjekten, um z. B. eine Zieldomäne oder eine unterschiedliche Domäne für den Ziel-UPN anzugeben. Weitere Informationen finden Sie unter Umbenennen von Objekten während der Migration. Alter_Name, Neuer_SAM_Name, [email protected], "CN=Neuer_Name" Hinweis Objekte können während der Migration auch mithilfe einer Includedatei umbenannt werden. Weitere Informationen zum Verwenden einer Includedatei finden Sie unter Umbenennen von Objekten während der Migration. Verwenden einer Optionsdatei Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Sie können Optionsdateien zum Angeben mindestens eines Parameters für Migrationtasks verwenden. Durch eine Optionsdatei ist es nicht mehr erforderlich, bei jeder Ausführung eines Tasks über die Befehlszeile Parameter anzugeben. Es stehen zwei Optionen zum Erstellen einer Optionsdatei zur Verfügung. Sie können folgendermaßen vorgehen: Erstellen Sie eine einzelne Optionsdatei, die Abschnitte für jeden Typ von Migrationstask enthält. 282 Erstellen Sie separate Optionsdateien mit eindeutigen Einstellungen für jeden Typ von Migrationstask. Der Abschnitt "Migration" in der Optionsdatei gibt Parameter an, die für alle Tasks gelten. Nachfolgende Abschnitte geben taskspezifische Parameter an. Verwenden Sie die folgende Optionsdatei als Referenz, um die Optionsdatei für Ihre Migration anzupassen. [Migration] IntraForest=No SourceDomain=Quelldomänenname SourceOu=Pfad_der_Quellorganisationseinheit TargetDomain=Zieldomänenname TargetOu=Pfad_der_Zielorganisationseinheit PasswordOption=Complex PasswordServer="" PasswordFile="" ConflictOptions=Ignore UserPropertiesToExclude="" InetOrgPersonPropertiesToExclude="" GroupPropertiesToExclude="" ComputerPropertiesToExclude="" [User] DisableOption=EnableTarget SourceExpiration=None MigrateSIDs=Yes TranslateRoamingProfile=No UpdateUserRights=No MigrateGroups=No UpdatePreviouslyMigratedObjects=No FixGroupMembership=Yes MigrateServiceAccounts=No UpdateGroupRights=No [Group] MigrateSIDs=Yes UpdatePreviouslyMigratedObjects=No FixGroupMembership=Yes UpdateGroupRights=No 283 MigrateMembers=No DisableOption=EnableTarget SourceExpiration=None TranslateRoamingProfile=No MigrateServiceAccounts=No [Security] TranslationOption=Add TranslateFilesAndFolders=No TranslateLocalGroups=No TranslatePrinters=No TranslateRegistry=No TranslateShares=No TranslateUserProfiles=No TranslateUserRights=No SidMappingFile=SID_Zuordnungsdatei Sie können Optionen auskommentieren, indem Sie am Anfang der betreffenden Zeile ein Semikolon einfügen. Hinweis Wenn ein Parameter nicht angegeben wird, wird die Standardeinstellung verwendet. Problembehandlung von ADMT Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Befolgen Sie die folgenden Empfehlungen zur Problembehandlung, um Probleme bei Ihrem Migrationsvorgang zu beheben: Behandlung von Problemen bei der Installation von ADMT Behandlung von Problemen bei der Benutzermigration Behandlung von Problemen bei der Gruppenmigration Behandlung von Problemen bei der Migration von Dienstkonten Behandlung von Problemen bei der Migration von verwalteten Dienstkonten Behandlung von Problemen bei der Computermigration Behandlung von Problemen bei der Kennwortmigration Behandlung von Problemen bei der Sicherheitskonvertierung Behandlung von Problemen bei der Migration innerhalb einer Gesamtstruktur Behandlung von Problemen der ADMT-Protokolldatei Behandlung von Problemen der ADMT-Befehlszeile 284 Behandlung von Problemen bei Agent-Vorgängen Behandlung von Problemen bei der Installation von ADMT Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 In diesem Thema werden bekannte Probleme bei der Installation des Active DirectoryMigrationsprogramms (Active Directory Migration Tool, ADMT) behandelt. Fehler beim Starten von ADMT nach erfolgreicher Installation bei Datenbankversion 0.0 In Situationen, wenn vom ADMT-Setup die SQL Server Express Edition-Datenbankinstanz gefunden wird, jedoch wegen einer Zugriffsverweigerung oder aus einem anderen Grund keine ADMT-Datenbank erstellt werden kann, kann die ADMT-Installation erfolgreich ausgeführt werden, auf der Seite Fertigstellen wird jedoch Datenbankversion: 0.0 angezeigt. Die Datenbankversion kann auch über die Protokolldatei unter „%windir%\ADMT\Logs\admtsetup.log“ abgerufen werden. In diesem Fall wird beim Start von ADMT der folgende Fehler angezeigt: Fehlgeschlagene Aktionen können nicht ermittelt werden... Fehler bei der Anmeldung für den Benutzer. Der Benutzer ist keiner vertrauenswürdigen SQL Server-Verbindung zugeordnet. Problembehandlung: 1. Deinstallieren Sie ADMT. 2. Stellen Sie sicher, dass Sie für die ausgewählte Instanz über Schreibzugriff verfügen und eine Datenbank erstellen können. Die SQL Server Express Edition-Dienstkontogruppe, die bei der Installation von SQL Server erstellt wurde, verfügt über Berechtigungen für den ADMT-Datenbankordner. Der Benutzer, von dem ADMT installiert wird, muss dieser Dienstkontogruppe hinzugefügt werden. Wenn ADMT über dasselbe Konto installiert wurde, von dem auch SQL Server Express Edition installiert wurde, wurde dieses Konto der Gruppe als Teil der SQL Server-Installation hinzugefügt. Für SQL Server 2005 Express Edition lautet die Dienstkontogruppe „SQLServer2005MSSQLUser$Computername$Name der Instanz“. Für SQL Server 2008 Express Edition lautet die Dienstkontogruppe „SQLServerMSSQLUser$Computername$Name der Instanz“. 3. Installieren Sie ADMT erneut. Hinweis Wenn dieses Verhalten bei der vollständigen Version von SQL Server auftritt, stellen Sie sicher, dass das Konto, von dem ADMT installiert wird, über die Berechtigung zum Erstellen und Verbinden der Datenbank auf der SQL Server-Instanz verfügt. 285 Behandlung von Problemen bei der Benutzermigration Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Dieses Thema behandelt bekannte Probleme beim Migrieren von Benutzern mit dem Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT). Sonderzeichen werden bei der Migration von Kontonamen ersetzt ADMT ersetzt in den Vor-Windows 2000-Namen des SAM-Kontonamens und UPNs (User Principal Name, Benutzerprinzipalname) die folgenden Zeichen durch einen Unterstrich ("_"): "*+,/:;<=>?[\]| Der Punkt (".") wird durch einen Unterstrich ("_") ersetzt, wenn er das letzte Zeichen eines Namens ist. Die Gruppenmitgliedschaft von Zielkonten wird nach nachfolgenden Benutzermigrationen aktualisiert Wenn Sie einen Benutzer migrieren, der bereits zuvor migriert wurde, aktualisiert die Option Zugeordnete Benutzergruppen migrieren im Assistenten zum Migrieren von Benutzerkonten die Gruppenmitgliedschaft des migrierten Kontos. Während nachfolgender Benutzermigrationen werden alle neuen Gruppen, bei denen der Quellbenutzer Mitglied ist, an die Gruppenmitgliedschaft des Benutzers im Zielkonto angehängt. Beispiel: Bob ist ein Benutzer der Domäne HB-ACCT-WC. Er ist Mitglied der Gruppe HB-ACCTWC \Autoren, und er wird zusammen mit der Gruppe Autoren in die Zieldomäne hay-buv.tld (NetBIOS-Name HAY-BUV) migriert. Nach der ersten Migration ist Bob Mitglied von HAYBUV\Autoren. Bob wird nach dieser ersten Migration außerdem den folgenden Gruppen in der Quelldomäne hinzugefügt: 1. HB-ACCT-WC\Bob wird der Gruppe HB-ACCT-WC\Editoren hinzugefügt. 2. HAY-BUV\Bob wird HAY-BUV\TechEditoren hinzugefügt. Wenn HB-ACCT-WC\Bob erneut migriert wird, um seine Gruppenkonten zu korrigieren, ist HAYBUV\Bob ein Mitglied von HAY-BUV\Autoren, HAY-BUV\Editoren und HAYBUV\TechEditoren. Um das Konto nur auf die Gruppen des Quellbenutzers zurückzusetzen, müssen Sie das Zielkonto löschen und dann die Migration des Quellkontos wiederholen. Es ist auch möglich, Gruppen mit der Option Vorhandene Mitglieder entfernen erneut zu migrieren. Berechtigungen für einen Benutzer, der aus einer Active Directory-Domäne migriert wird, werden während der Migration auf Standardwerte zurückgesetzt Wenn Sie einen Benutzer aus einer Active Directory-Domäne in eine andere migrieren, erstellt der Assistent zum Migrieren von Benutzerkonten eine neue Sicherheitsbeschreibung für migrierte Benutzerobjekte, indem Einstellungen aus der Zieldomäne verwendet werden. Die Registerkarte Sicherheit wird nur angezeigt, wenn Sie Ansicht\Erweiterte Funktionen auswählen. 286 Dieses Verhalten ist beabsichtigt, weil die Zieldomäne – nicht die Quelldomäne – die Sicherheitseinstellungen für das migrierte Benutzerkonto vorschreibt. Anzeige einer falschen Fehlermeldung während einer Benutzergruppenkorrektur, wenn ein Benutzerkonto gelöscht wird Wenn Sie nach einer Migration ein Benutzerkonto in der Zieldomäne löschen und eine Gruppe, die das Benutzerkonto in der Quelldomäne (als Mitglied einer anderen Gruppe) enthalten hat, zwischen den gleichen Domänen migriert wird, protokolliert ADMT die folgende falsche Fehlermeldung: Das Konto kann <nicht> zur <Gruppe> hinzugefügt werden, da das<Konto> nicht in die Zieldomäne migriert wurde. Wenn Sie diese Fehlermeldung erhalten, migrieren Sie das Benutzerkonto erneut in die Zieldomäne. Der Ausschluss der Eigenschaft "useraccountcontrol" wird ignoriert Die Benutzereigenschaft userAccountControl wird immer kopiert, wenn eine Migration aus Windows NT 4.0-Domänen stattfindet. Selbst wenn Sie diese Eigenschaft auf der Seite Objekteigenschaftsausnahme ausgeschlossen haben, wird diese Ausnahme ignoriert und die Eigenschaft migriert. Wenn die Migration jedoch aus Active Directory-Domänen erfolgt, wird der Ausschluss dieser Eigenschaft beachtet, und sie wird während der Benutzermigration nicht kopiert. Die Option "Vorhandene Benutzerrechte entfernen" funktioniert nicht Ursache: Wenn die einem Benutzer, dessen Benutzerrechte gelöscht werden, zugeordnete Gruppenrichtlinienvorlage den nicht-domänenqualifizierten Namen des Benutzers enthält (z. B. Benutzer1 anstelle von DomäneA\Benutzer1), tritt ein Fehler beim Löschvorgang auf. Lösung: Korrigieren Sie den Eintrag des Benutzernamens in der Gruppenrichtlinienvorlage. Beim Versuch, Benutzer mit SID-Verlauf zu migrieren, erhalten Sie die folgende Fehlermeldung Benutzer können nicht migriert werden. Die folgende für den SID-Verlauf erforderliche Konfiguration wurde nicht durchgeführt. Überwachung wurde in der Zieldomäne nicht aktiviert. Nicht angegebener Fehler (0x80004005) Dieser Fehler kann auftreten, weil einige Unterkategorien für die VerzeichnisdienstÜberwachungsrichtlinie in Windows Server 2008 und Windows Server 2008 R2 nicht standardmäßig aktiviert sind. Zum Migrieren von Benutzern mit SID-Verlauf müssen alle Unterkategorien aktiviert sein. Weitere Informationen darüber, wie diese aktiviert werden, finden Sie unter Konfigurieren der Quell- und Zieldomänen für die Migration des SID-Verlaufs. Behandlung von Problemen bei der Gruppenmigration Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 287 Dieses Thema behandelt bekannte Probleme beim Migrieren von Gruppen mit dem Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT). Lokale Gruppen enthalten nach dem Migrieren der lokalen Gruppe bei der Migration eines bestimmten Kontos sowohl Quell- und Zielkonten. Wenn Sie ein Mitglied einer zuvor migrierten lokalen Gruppe migrieren, wird das Quellkonto für dieses Mitglied beim Hinzufügen des Zielkontos nicht entfernt. Wenn das Mitglied vor dem Migrieren der lokalen Gruppe migriert wird, wird nur das Mitglied des Zielkontos hinzugefügt. Dieses Verhalten ist beabsichtigt und bezieht sich nur auf die Migration zwischen Gesamtstrukturen. Die Liste der Gruppenmitglieder wird für eine Gruppe, die eine migrierte Gruppe aus einer dritten Domäne enthält, nicht aktualisiert Wenn Sie eine Gruppe migrieren, verweisen alle Gruppen in einer dritten Domäne, die diese ursprüngliche Gruppe als Mitglied enthalten, immer noch auf die Gruppe in der Quelldomäne. Beim Ausführen einer Migration zwischen Gesamtstrukturen behalten die Gruppenmitglieder den Zugriff auf Ressourcen bei, da der SID-Verlauf (Security Identifier) automatisch migriert wird. Beim Durchführen einer Migration zwischen Gesamtstrukturen muss die Gruppenmitgliedschaft festgelegt sein, wenn der SID-Verlauf nicht migriert wird. Verwenden Sie den Assistenten zum Migrieren von Gruppen, um Benutzer zu migrieren, die verschachtelten Gruppen angehören Wenn Zugeordnete Benutzergruppen migrieren ausgewählt ist, migriert der Assistent zum Migrieren von Benutzerkonten nur Gruppen, bei denen der Benutzer direkt Mitglied ist. Gruppen, denen der Benutzer durch Verschachtelung von Gruppen angehört, werden nicht migriert. Wenn Sie Gruppen mithilfe des Assistenten zum Migrieren von Gruppenkonten migrieren, werden alle Benutzer und Gruppen, die Mitglied einer bestimmten Gruppe sind, einschließlich Gruppen, die über Verschachtelung von Gruppen Mitglied sind, rekursiv vom Assistenten migriert, wenn die Option Gruppenmitglieder kopieren aktiviert ist. Wenn in der Quelldomäne Windows 2000 oder Windows Server 2003 ausgeführt wird, empfiehlt sich bei verschachtelten Gruppen, die betroffenen Objekte mithilfe des Assistenten zum Migrieren von Gruppenkonten zu migrieren, wenn Sie Gruppenmitgliedschaften beibehalten möchten, die sich über die Verschachtelung ergeben. Behandlung von Problemen bei der Migration von Dienstkonten Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Dieses Thema behandelt bekannte Probleme beim Migrieren von Dienstkonten mit dem Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT). Sie müssen über die entsprechenden Berechtigungen zum Aktualisieren eines Dienstkontos auf einem Remotecomputer verfügen, wenn Sie ein Konto migrieren. 288 Das Benutzerkonto, das ADMT ausführt, muss über Lokale Anmelderechte für beliebige Remotecomputer verfügen, an die das Programm einen Agent verteilt. Dies gilt auch für jeden Remotecomputer, dessen Dienststeuerungs-Manager (Service Control Manager, SCM) geändert wird, während ein Dienstkonto mithilfe des Assistenten zum Migrieren von Benutzerkonten migriert wird. Wenn dieses Konto nicht berechtigt ist, den Dienststeuerungs-Manager zu ändern, wird das Dienstkonto trotzdem in die Zieldomäne migriert, der Dienst auf dem Remotecomputer wird jedoch nicht so aktualisiert, dass das Zieldomänenkonto verwendet wird. Führen Sie den Assistenten zum Migrieren von Benutzerkonten aus, und wählen Sie Nein, vorhandene Informationen verwenden auf der Seite Informationen aktualisieren aus, um den Dienst auf dem Remotecomputer zu aktualisieren. Da der fehlende Zugriff des Benutzers nicht immer als ein Fehler in Migrationsstatus gekennzeichnet wird, bietet sich als bewährte Methode an, die Migrationsprotokolldatei auf Fehler zu überprüfen, nachdem Sie Dienstkonten migriert haben. Dienste müssen auf allen Computern identifiziert werden, bevor Dienstkonten migriert werden. Wenn Sie Dienste auf Servern mithilfe des Assistenten zum Migrieren von Benutzerkonten identifizieren, nachdem die Benutzermigration stattgefunden hat, tritt ein Fehler der Konfiguration dieser Dienste mit den migrierten Konto- und Kennwortinformationen auf. Sie müssen die Benutzermigration erneut ausführen, um diese Dienste zu konfigurieren. Die Dienstkontenmigration unter Windows Server 2008 und Windows Vista dauert länger als erwartet Wenn Sie die Dienstkontenmigration auf einem Computer mit Windows Server 2008 oder Windows Vista ausführen und diese viel länger als erwartet dauert, können Sie die Leistung steigern, indem Sie eine Windows-Firewallausnahme für Remotedienstverwaltung auf dem verwendeten Computer aktivieren. Weitere Informationen finden Sie im folgenden Verfahren. So fügen Sie eine Windows-Firewallausnahme für Remotedienstverwaltung hinzu 1. Öffnen Sie Systemsteuerung (klassische Ansicht), und öffnen Sie dann WindowsFirewall. 2. Klicken Sie auf die Registerkarte Ausnahmen. 3. Vergewissern Sie sich, dass das Kontrollkästchen Remotedienstverwaltung aktiviert ist. 4. Klicken Sie auf OK. Behandlung von Problemen bei der Migration von verwalteten Dienstkonten In diesem Thema werden bekannte Probleme beim Migrieren von verwalteten Dienstkonten mit dem Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) behandelt. Nur ADMT v3.2 kann verwaltete Dienstkonten migrieren. 289 Wenn der Computermigrations-Assistent abstürzt, müssen Sie möglicherweise Änderungen an der Sicherheitsbeschreibung eines verwalteten Dienstkontos widerrufen. Wenn Sie einen Computer migrieren, auf dem verwaltete Dienstkonten installiert sind, und die verwalteten Dienstkonten wurden migriert, dann installiert ADMT die verwalteten Dienstkonten auf dem Computer, nachdem er zur Zieldomäne migriert wurde. Bevor ein verwaltetes Dienstkonto von ADMT installiert wird, wird die Sicherheitsbeschreibung des Kontos so geändert, dass dem Zielcomputer die Berechtigungen zum Zurücksetzen des Kennworts sowie zum Ändern des Attributs userAccountControl gewährt werden. Die Änderung der Sicherheitsbeschreibung ist für die Installation der verwalteten Dienstkonten notwendig. Sicherheit Solange der Computer über erhöhte Berechtigungen verfügt, ist ein Netzwerkdienst auf dem Computer möglicherweise in der Lage, ein verwaltetes Dienstkonto zu deaktivieren. Deshalb kann von ihm ein Denial-of-Service-Angriff (DoS) auf die Dienste gestartet werden, die im Sicherheitskontext dieses verwalteten Dienstkontos ausgeführt werden. Der Angreifer kann die Anmeldeinformationen des verwalteten Dienstkontos auch verwenden, um auf andere Daten zuzugreifen. Zur Verringerung dieses Risikos werden Änderungen an den Sicherheitsbeschreibungen der migrierten verwalteten Dienstkonten von ADMT zu Referenzzwecken protokolliert. Falls ein Fehler beim Computermigrations-Assistenten auftritt, können Sie die Protokolldatei des migrierten Computers überprüfen. Stellen Sie sicher, dass die Berechtigung für jedes verwaltete Dienstkonto widerrufen wurde. Wenn dies nicht der Fall ist, müssen diese Änderungen in den Active Directory-Domänendiensten (AD DS) manuell widerrufen werden, um zu verhindern, dass Zielcomputern erhöhte Berechtigungen zum Zurücksetzen von Kennwörtern sowie zum Aktivieren bzw. Deaktivieren der verwalteten Dienstkonten gewährt werden. Die Änderungen an den Sicherheitsbeschreibungen werden in der ComputermigrationsProtokolldatei namens Migration<TaskID>.log protokolliert. Die Protokolldatei befindet sich im Ordner %windir%\ADMT\Logs auf dem Computer, auf dem ADMT ausgeführt wird. Die Protokollmeldungen mit den dazugehörigen Beschreibungen werden in der folgenden Tabelle aufgelistet. Protokollmeldung Die Meldung wird im folgenden Fall protokolliert … Die Sicherheitsbeschreibung für das verwaltete Dienstkonto "%1" erlaubt dem Computer "%2" nun das Zurücksetzen seines Kennworts sowie das Ändern seines userAccountControlAttributs. Die Sicherheitsbeschreibung eines verwalteten Dienstkontos wurde von ADMT erfolgreich geändert. Die Sicherheitsbeschreibung für das verwaltete Dienstkonto "%1" wurde wiederhergestellt. Die Sicherheitsbeschreibung eines verwalteten Dienstkontos wurde von ADMT erfolgreich wiederhergestellt. 290 Protokollmeldung Die Meldung wird im folgenden Fall protokolliert … Die Sicherheitsbeschreibung für das verwaltete Dienstkonto "%1" kann nicht geändert werden, hr=%2!lx!. Die nachfolgende Installation dieses verwalteten Dienstkontos auf dem Computer "%3" wird fehlschlagen. Die Sicherheitsbeschreibung eines verwalteten Dienstkontos kann von ADMT nicht geändert werden. Fehler beim Wiederherstellen der Sicherheitsbeschreibung für das verwaltete Dienstkonto "%1", hr=%2!lx!. Die Sicherheitsbeschreibung eines verwalteten Dienstkontos kann von ADMT nicht wiederhergestellt werden. Führen Sie zum manuellen Widerrufen der Änderungen an der Sicherheitsbeschreibung das folgende Verfahren aus. So widerrufen Sie Änderungen an der Sicherheitsbeschreibung eines migrierten verwalteten Dienstkontos 1. Öffnen Sie Active Directory-Benutzer und -Computer. Klicken Sie zum Öffnen des Dienstprogramms Active Directory-Benutzer und -Computer imStartmenü auf Systemsteuerung, doppelklicken Sie auf Verwaltung, und doppelklicken Sie dann auf Active Directory-Benutzer und -Computer. 2. Klicken Sie auf Ansicht und dann auf Erweiterte Funktionen. 3. Navigieren Sie zu dem Container, der das verwaltete Dienstkonto enthält, klicken Sie mit der rechten Maustaste auf das Konto, und klicken Sie dann auf Eigenschaften. Standardmäßig werden verwaltete Dienstkonten im Container Verwaltete Dienstkonten erstellt. 4. Klicken Sie auf die Registerkarte Sicherheit und dann auf den Zugriffssteuerungseintrag für das Computerobjekt. 5. Deaktivieren Sie für Kennwort zurücksetzen das Kontrollkästchen Zulassen. 6. Klicken Sie auf Erweitert. 7. Klicken Sie auf den Zugriffssteuerungseintrag für das Computerobjekt, klicken Sie auf Bearbeiten, und deaktivieren Sie dann für userAccountCntrol schreiben das Kontrollkästchen Zulassen. 8. Klicken Sie zuerst zweimal auf OK, dann auf Übernehmen, und klicken Sie erneut auf OK, um das Dialogfeld Eigenschaften zu schließen. 291 Behandlung von Problemen bei der Computermigration Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Dieses Thema behandelt bekannte Probleme beim Migrieren von Computern mit dem Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT). Durch die Computermigration innerhalb einer Gesamtstruktur wird das Computerkonto in der Quelldomäne nicht deaktiviert. Nach einer Computermigration innerhalb einer Gesamtstruktur wird das migrierte Computerkonto in der Quelldomäne weder deaktiviert noch gelöscht. Dieses Verhalten ist beabsichtigt. Wenn Sie die Konten migrierter Computer in der Quelldomäne deaktivieren oder löschen möchten, schreiben Sie ein einfaches ADSI-Skript (Active Directory Service Interfaces). Das Computerkonto wird selbst bei einem Migrationsfehler erstellt. Wenn ein Computermigrationsfehler als Ergebnis eines Agent-bezogenen Fehlers auftritt, wird das Computerkonto, das für den Computer in der Zieldomäne erstellt wird, nicht gelöscht. Hinweis Wenn Sie In Konflikt stehende Objekte migrieren und zusammenführen auf der Seite Konfliktverwaltung des Computermigrations-Assistenten auswählen, müssen Sie das Computerkonto nicht löschen, das in der Zieldomäne erstellt wurde, bevor Sie versuchen, den Computer erneut zu migrieren. Migrieren Sie Computer vor Gruppen bei einer Migration zwischen Gesamtstrukturen Wenn Sie eine Migration zwischen Gesamtstrukturen ausführen und Computer vorhanden sind, die Mitglieder von Gruppen sind (mit Ausnahme der Gruppe Domänencomputer), müssen Sie diese Computer migrieren, bevor Sie die Gruppen migrieren, zu denen sie gehören. Für Migrationen zwischen Gesamtstrukturen ist dies Voraussetzung und verhindert, dass diese Computer ihre Gruppenmitgliedschaft verlieren. Zeitweiser Fehler des ADMT-Remote-Agent-Diensts Wenn ein Fehler bei der Bereitstellung des ADMT-Remote-Agent-Diensts auf einem Remotecomputer als Teil einer Computermigration, Sicherheitskonvertierung, Dienstkontenidentifizierung oder eines Kontoreferenzberichts auftritt, kann sich der Agent möglicherweise nicht selbst beenden oder deinstallieren. Wenn dies der Fall ist, wird mit jeder nachfolgenden Agent-Bereitstellung eine Meldung ausgegeben, die besagt, dass eine Instanz des Agents bereits ausgeführt wird, bis der ADMT-Agent-Prozess geschlossen oder der Remotecomputer neu gestartet wird. Die Computermigration kann zu einem Fehler führen, wenn ein Computerkonto mit dem gleichen NetBios-Namen bereits in der Zieldomäne vorhanden ist. Wenn Sie einen Computer mehrmals zwischen zwei Domänen migrieren, tritt ggf. ein Fehler bei der Verteilung von Agents auf, wenn in der Zieldomäne ein Computerkonto bereits vorhanden ist, 292 das den gleichen NetBIOS-Namen wie der Computer besitzt, der aus der Quelldomäne migriert wird. ADMT konnte die Domänenzuordnung eines bestimmten Computers nicht ändern. Aufgrund dieses Fehlers verlor der Computer die Zugehörigkeit zu allen Domänen. Ursache:Ursache: Der Grund dafür kann eine fehlerhafte Konfiguration der Migrationsumgebung oder eine Fehlfunktion des Quell- oder Zielcomputers sein. Lösung: Fügen Sie den Computer einer Domäne als Mitglied hinzu, und erstellen Sie das Computerkonto in der Domäne wie in den folgenden Anleitungen beschrieben. Wenn Sie einer Domäne beitreten möchten, müssen Sie die Anmeldeinformationen eines Kontos mit Administratorberechtigungen für die Domäne eingeben, der der Computer beitreten soll. Sie müssen den Computer neu starten, um den Beitritt des Computers zur Domäne abzuschließen. So ändern Sie die Domänenmitgliedschaft eines Computers mit Windows 2000 (für ADMT v3.1) oder Windows Server 2003 1. Melden Sie sich über ein Konto mit lokalen Administratoranmeldeinformationen am Computer an. 2. Klicken Sie auf dem Desktop mit der rechten Maustaste auf Arbeitsplatz und dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte Computername auf Ändern. 4. Wählen Sie unter Computernamen ändern die Option Domäne: aus, und geben Sie dann den Namen der Domäne ein, der der Computer beitreten soll. Klicken Sie auf OK, und klicken Sie erneut auf OK, wenn Sie aufgefordert werden, den Computer neu zu starten. So ändern Sie die Domänenmitgliedschaft eines Computers mit Windows Vista, Windows 7, Windows Server 2008 oder Windows Server 2008 R2 1. Melden Sie sich über ein Konto mit lokalen Administratoranmeldeinformationen am Computer an. 2. Klicken Sie auf Start, klicken Sie mit der rechten Maustaste auf Computer, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf Einstellungen ändern. 4. Klicken Sie auf der Registerkarte Computername auf Ändern. 5. Wählen Sie unter Computernamen ändern die Option Domäne aus, und geben Sie dann den Namen der Domäne ein, der der Computer beitreten soll. Klicken Sie auf OK, und klicken Sie erneut auf OK, wenn Sie aufgefordert werden, den Computer neu zu starten. 293 Behandlung von Problemen bei der Kennwortmigration Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Dieses Thema behandelt bekannte Probleme beim Migrieren von Kennwörtern mit dem Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT). Migrierte Kennwörter entsprechen möglicherweise nicht der Kennwortrichtlinie der Zieldomäne Die Migration von Kennwörtern in ADMT umgeht die Überprüfungen durch die Kennwortrichtlinie. Wenn eine Kennwortrichtlinie festgelegt ist, wird sie erst durchgesetzt, wenn das Kennwort geändert wird. Aus diesem Grund verlangt ADMT von migrierten Benutzern immer das Ändern des Kennworts bei der nächsten Anmeldung. Nach einer Migration zwischen Gesamtstrukturen können sich Benutzer nicht an der neuen Domäne anmelden. Ursache: Beim Durchführen einer Migration zwischen Gesamtstrukturen aktiviert ADMT für migrierte Benutzer immer die Option Benutzer muss Kennwort bei der nächsten Anmeldung ändern. Wenn die Option Benutzer kann Kennwort nicht ändern für das Benutzerkonto aktiviert ist, ist die Anmeldung über das Zielkonto erst dann möglich, wenn eine oder beide Optionen geändert wurden. Lösung: Ändern Sie die Optionen mithilfe eines der folgenden Verfahren: So aktivieren Sie die Funktion, das Benutzerkennwort zu ändern 1. Klicken Sie im Menü Ansicht unter Active Directory-Benutzer und -Computer auf Erweiterte Funktionen. 2. Klicken Sie mit der rechten Maustaste auf den Benutzernamen, und klicken Sie dann auf Eigenschaften. 3. Legen Sie auf der Registerkarte Sicherheitseinstellungen die Berechtigung Kennwort ändern für Jeder und für den Benutzer selbst fest. So entfernen Sie das Flag "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" Klicken Sie unter Active Directory-Benutzer und -Computer auf den Benutzernamen, und klicken Sie dann auf Kennwort zurücksetzen. Nach einer Migration innerhalb einer Gesamtstruktur können sich Benutzer nicht an der neuen Domäne anmelden. Ursache: Die in der alten Domäne für die Benutzerkonten verwendeten Kennwörter verstoßen möglicherweise gegen die Kennworteinschränkungen in der neuen Domäne. Bei einer Migration innerhalb einer Gesamtstruktur werden die Kennwörter für die Benutzerkonten von der Quelldomäne zur Zieldomäne migriert. Wenn die Benutzerkonten der 294 Quelldomäne über Kennwörter verfügen, die auf dem Ziel gegen die Kennworteinschränkungen (wie etwa die Mindestlänge) verstoßen, sind die betroffenen migrierten Benutzer erst dann in der Lage, sich anzumelden, wenn das Kennwort auf einen Wert festgelegt wird, der die Richtlinie für Kennwörter in der Zieldomäne erfüllt. Wenn die Benutzer versuchen, die ungültigen Kennwörter zu verwenden, werden ihre neuen Benutzerkonten möglicherweise gesperrt. Wenn Sie im Assistenten für die Migration von Benutzerkonten die Option Zielkonten deaktivieren ausgewählt haben, werden die neuen Benutzerkonten deaktiviert. Daher sind die migrierten Benutzer erst dann in der Lage, sich anzumelden, wenn die Sperrung der Konten aufgehoben oder die Konten als aktiviert gekennzeichnet wurden. Lösung: Setzen Sie die Kennwörter der Benutzerkonten auf einen Wert zurück, der die Richtlinie für Kennwörter in der neuen Domäne erfüllt, und aktivieren Sie die Benutzerkonten, falls sie aufgrund eines wiederholten Kennwortfehlers deaktiviert wurden. Migrierte Benutzer erhalten eine Fehlermeldung, die anzeigt, dass der Benutzername oder das Kennwort falsch ist. Ursache: Migrierte Benutzer können sich aufgrund der Kennwortrichtlinie nicht anmelden, selbst wenn die Kennwortrichtlinien scheinbar deaktiviert sind. Während einer Migration deaktivieren einige Systemadministratoren möglicherweise die Kennwortrichtlinien für die Zieldomäne. Wenn sie dabei die Richtlinie der Mindestkennwortlänge deaktivieren, ohne die Kennwortrichtlinie auf Null festzulegen, ist es möglich, dass sich die Benutzer nicht anmelden können, da eine gültige Kennwortrichtlinie noch immer wirksam ist. Lösung: Legen Sie die Richtlinie für die minimale Kennwortlänge auf Null fest. Wenn die Kennwortrichtlinie mit der Länge Null wirksam ist, kann die Richtlinie der Mindestkennwortlänge deaktiviert werden. Behandlung von Problemen bei der Sicherheitskonvertierung Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Dieses Thema behandelt bekannte Probleme bei der Sicherheitskonvertierung mit dem Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT). Die Sicherheitskonvertierung wirkt sich nicht auf das Outlook-Profil aus Wenn Sie im Sicherheitskonvertierungs-Assistenten Benutzerprofile auf der Seite Objekte konvertieren auswählen, wird die Sicherheit für Microsoft Office Outlook®-Profile nicht konvertiert. Verwenden Sie den Assistenten zum Migrieren von Microsoft Exchange Server, um Outlook-Profile für migrierte Konten zu reparieren. Der Assistent zum Migrieren von ExchangeServern ist ab der Version 2003 im Liefer- und Installationsumfang von Exchange Server enthalten. 295 Sicherheitskonvertierung für native Registrierungsschlüssel steht nicht zur Verfügung, wenn Sie 64-Bit-Versionen vor Windows Vista ausführen Dies ist ein bekanntes Problem, das seine Ursache in Inkonsistenzen bei der Verarbeitung der Registrierungsumleitung durch das WOW64-Subsystem (Windows-on-Windows 64-Bit) zwischen Windows Vista und früheren Versionen des Betriebssystems Microsoft Windows hat. Dieses Problem betrifft die Ausführung der Sicherheitskonvertierung an einheitlichen Registrierungsspeicherorten für 64-Bit-Versionen von Windows Server 2008 oder Windows Vista nicht. Nach der Migration können neue Benutzerkonten in der Zieldomäne nicht auf Ressourcen zugreifen, für die die Quelldomänenkonten über Berechtigungen verfügen. Ursache: Die Einstellungen, die für die Ausführung von ADMT erforderlich sind, wurden nicht ordnungsgemäß eingerichtet. Die meisten Migrationsprobleme werden durch eine nicht ordnungsgemäß konfigurierte Migrationsumgebung verursacht. Lösung: Öffnen Sie die Migrationsprotokolldatei, und suchen Sie nach dem Konto, das Sie mit dem SID-Verlauf (Security Identifier) migriert haben. Wenn der SID-Verlauf zum Konto hinzugefügt wurde, sollte ein Eintrag ähnlich dem folgenden angezeigt werden: 06.10.2005 18:28:50-SID für Benutzerkontoname zum SID-Verlauf von Benutzerkontoname hinzugefügt Wenn Sie eine Fehlermeldung erhalten, ist es nahezu sicher, dass Sie die Umgebung nicht ordnungsgemäß konfiguriert haben. Sie sollten die Konfigurationsthemen vor dem erneuten Migrationsversuch noch einmal lesen. Die Migration des SID-Verlaufs funktioniert nicht. Ursache: Es müssen mehrere Bedingungen erfüllt sein, damit die Migration des SID-Verlaufs funktioniert. Lösung: Konfigurieren Sie die Migrationsumgebung vor der Ausführung von ADMT ordnungsgemäß, und arbeiten Sie die Konfigurationsthemen durch, bevor Sie die Migration fortsetzen. Hinweis Bei der Migration eines zuvor migrierten Sicherheitsprinzipals zu einer neuen Domäne sollten die Kriterien für die Migration des SID-Verlaufs für alle drei Domänen festgelegt sein. Angenommen, Sie haben die folgenden drei Domänen: DomäneA, DomäneB und DomäneC. Benutzer1 in DomäneA (DomäneA\Benutzer1) wird als DomäneB\Benutzer1 nach DomäneB migriert, und der SID-Verlauf wird konvertiert. DomäneB\Benutzer1 verfügt jetzt über die primäre SID für DomäneB\Benutzer1 und den Wert des SID-Verlaufs für DomäneA\Benutzer1. Wenn ein Administrator DomäneB\Benutzer1 zu DomäneC\Benutzer1 migrieren möchte und alle SIDs von DomäneB\Benutzer1 erhalten will, müssen die richtigen Konfigurationseinstellungen wirksam sein, um die Migration von DomäneA zu DomäneC und von DomäneB zu DomäneC zu ermöglichen. Wenn DomäneA außer Betrieb genommen wurde oder die korrekte Konfiguration 296 zwischen DomäneA und DomäneC nicht gewährleistet werden kann, migriert ADMT die SID für DomäneB\Benutzer1 zu DomäneC\Benutzer1 und protokolliert die Tatsache, dass die SID von DomäneA\Benutzer1 nicht migriert werden konnte. Wenn DomäneA nicht existiert, schreibt ADMT eine Fehlermeldung in das Protokoll, führt die Migration jedoch erfolgreich aus. Sie können diese Fehlermeldung ignorieren. Nach der Migration können neue Benutzerkonten in der Zieldomäne nicht auf Ressourcen zugreifen, für die die Quelldomänenkonten über Berechtigungen verfügen. Ursache: Die Einstellungen, die für die Ausführung von ADMT erforderlich sind, wurden nicht ordnungsgemäß eingerichtet. Die meisten Migrationsprobleme werden durch eine nicht ordnungsgemäß konfigurierte Migrationsumgebung verursacht. Lösung: Öffnen Sie die Migrationsprotokolldatei, und suchen Sie nach dem Konto, das Sie mit dem SID-Verlauf migriert haben. Wenn der SID-Verlauf zum Konto hinzugefügt wurde, sollte ein Eintrag ähnlich dem folgenden angezeigt werden: 06.10.2005 18:28:50-SID für Benutzerkontoname zum SID-Verlauf von Benutzerkontoname hinzugefügt Wenn Sie eine Fehlermeldung erhalten, ist es nahezu sicher, dass Sie die Umgebung nicht ordnungsgemäß konfiguriert haben. Sie sollten die Konfigurationsthemen vor dem erneuten Migrationsversuch noch einmal lesen. Ich erhalte die folgende Fehlermeldung: "Der Papierkorb auf C:\ ist beschädigt. Soll der Papierkorb für dieses Laufwerk geleert werden?" Ursache: Dieses Verhalten ist beabsichtigt. Aus Sicherheitsgründen sollte jeder Benutzer, der sich bei einem Computer unter Windows 2000 oder Windows Server 2003 anmeldet, seinen eigenen, benutzerspezifischen Papierkorb erhalten. Die Zugriffsteuerungsliste (Access Control List, ACL) kann für jede Instanz des Papierkorbs nur eine benutzerspezifische SID enthalten. Wenn das Profil eines Benutzers mit der Option Hinzufügen migriert wird, wird die SID des Quelldomänenbenutzers zum SID-Verlauf des Papierkorbs hinzugefügt. Dadurch werden zwei benutzerspezifische SIDs in der Zugriffsteuerungsliste des Papierkorbs platziert. Dieses Problem tritt nicht auf, wenn Sie die Profile mithilfe der Option Ersetzen migrieren. Lösung: Klicken Sie in der Fehlermeldung auf Ja, dann wird der Papierkorb ohne Problem geleert. Wenn Sie auf Nein klicken, wird die Fehlermeldung so lange angezeigt, bis der Papierkorb geleert wird. Benutzer in vertrauenswürdigen Domänen können nicht auf DFS-Freigaben (Distributed File System, Verteiltes Dateisystem) in Active Directory-Domänen zugreifen. Ursache: Dieses Verhalten ist beabsichtigt. Lösung: Wenn Sie die Verwendung von DFS-Freigaben in Ihrer Domäne beabsichtigen, migrieren Sie die Computer, die Benutzern mit Zugriff auf DFS-Freigaben gehören, zuerst, oder migireren Sie die Computer und Benutzer in der gleichen Migrationssitzung. 297 Behandlung von Problemen bei der Migration innerhalb einer Gesamtstruktur Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 In diesem Thema werden bekannte Probleme beim Ausführen von Migrationen zwischen Gesamtstrukturen mit dem Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) behandelt. Domänenweite Benutzer- und Gruppenrechte werden nicht in die Zieldomäne migriert. Wenn Sie Benutzerrechte in den Assistenten zum Migrieren von Benutzer- und Gruppenkonten aktivieren, migrieren Sie nur die lokalen Rechte auf dem Quelldomänencontroller. Domänenweite Rechte werden nicht migriert. Migration globaler Gruppen und Quelldomänen im gemischten Modus. Wenn globale Gruppen zwischen einer Quelldomäne im gemischten Modus und einer Zieldomäne im einheitlichen Modus migriert werden und die Gruppen nicht leer sind, erstellt ADMT Kopien der globalen Gruppen in der Zieldomäne und fügt die Sicherheitskennung der globalen Gruppe der Quelldomäne nicht dem Attribut SID-Verlauf hinzu. Dieses Verhalten ist beabsichtigt. Unter diesen Umständen kann ADMT die globale Gruppe nicht in eine universelle Gruppe umwandeln, weil Domänen im gemischten Modus universelle Gruppen nicht erkennen und sie auch nicht dem Zugriffstoken des Benutzers hinzufügen können. Daher verlieren die Benutzer den Zugriff auf Ressourcen. Wichtig Es wird dringend empfohlen, Benutzer und Gruppen nur zwischen Domänen im einheitlichen Modus zu migrieren. Globale Gruppen werden für Migrationen innerhalb einer Gesamtstruktur ohne SID-Verlauf kopiert, wenn sie nicht mit Gruppenmitgliedern migriert werden und die Quelldomäne im gemischten Modus betrieben wird. Wenn Sie eine globale Gruppe in eine Domäne im gemischten Modus bei einer Migration innerhalb einer Gesamtstruktur mithilfe des Assistenten zum Migrieren von Gruppenkonten migrieren, wird diese globale Gruppe ohne SID-Verlauf kopiert – nicht migriert –, anstatt verschoben zu werden, wenn Sie die Option Gruppenmitglieder kopieren nicht auswählen. Dieses Verhalten ergibt sich aus den Regeln für globale Gruppenmitgliedschaft. Wenn ADMT die globale Gruppe verschiebt, anstatt sie zu kopieren, "verwaisen" die Gruppenmitglieder und verlieren jeden Ressourcenzugriff, der durch die Mitgliedschaft in der Gruppe erteilt wird, weil globale Gruppen keine Mitglieder aus anderen Domänen enthalten können. Wenn die Mitglieder dieser globalen Gruppe zu einem späteren Zeitpunkt migriert werden, wird die Gruppenmitgliedschaft wiederhergestellt. Da der SID-Verlauf jedoch nicht mit der Gruppe migriert wird, müssen Sie den Sicherheitskonvertierungs-Assistenten ausführen, um die 298 Zugriffssteuerungslisten zu aktualisieren. Dieser Vorgang wäre auch bei einer Migration zwischen Gesamtstrukturen ohne SID-Verlauf erforderlich. Wichtig Es wird dringend empfohlen, Benutzer und Gruppen nur zwischen Domänen im einheitlichen Modus zu migrieren. Die Tabelle migrierter Objekte wird nicht synchronisiert. Wenn der Administrator in der Zieldomäne eine migrierte Gruppe nach der Migration löscht, werden die Einträge für die migrierte Gruppe nicht aus der Tabelle der migrierten Objekte entfernt. Wenn eine Gruppe mit dem gleichen Namen wie die in der Zieldomäne gelöschte Gruppe aus der Quelldomäne migriert wird, kann ein Fehler auftreten. Dieser Fehler tritt nur auf, wenn Benutzer mit der Gruppe migriert werden. In diesem Fall wird die folgende Fehlermeldung angezeigt: ERR2:7422 Das Objekt <Objekt-RDN> konnte nicht verschoben werden, hr=80070057. Der Parameter ist falsch. Behandlung von Problemen der ADMTProtokolldatei Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Dieser Abschnitt behandelt ein bekanntes Problem bei ADMT-Protokolldateien (Active Directory Migration Tool, Active Directory-Migrationsprogramm). Die ADMT-Protokolldateien sind nicht aufzufinden. Lösung: Alle ADMT-Protokolldateien sind in der ADMT-Datenbank gespeichert. Die letzten 20 Migrationsprotokolle werden darüber hinaus im Ordner Logs unter dem Ordner ADMT auf dem Computer gespeichert, auf dem ADMT installiert ist. Über den Befehl admt task an der Befehlszeile kann auf alle ADMT-Protokolle in der Datenbank zugegriffen werden. Die Einträge des Ereignisprotokolls für den ADMT-Agent sind nicht lesbar. Ursache: Sie sind nicht an einem Computer angemeldet, auf dem ADMT installiert ist. Lösung: Der Agent schreibt möglicherweise Ereignisprotokolleinträge auf den Computer, auf dem er ausgeführt wird. Die Agentsoftware wird jedoch entfernt, wenn die Aufgabe des Agents abgeschlossen ist. Sie können die Einträge des Ereignisprotokolls auf dem Computer, an den der Agent verteilt wurde, anzeigen, indem Sie auf dem Computer, auf dem ADMT installiert ist, die Ereignisanzeige ausführen. Es werden mehr Informationen in den ADMT-Protokollen benötigt. Ursache: Fehlerhafte Einstellung der Protokollierungsstufe. Standardmäßig schreibt ADMT Zusammenfassungsinformationen in seine Protokolldateien. Die Detailebene kann durch Ändern des Registrierungseintrags erhöht werden, der die Protokollierungsstufe steuert. 299 Lösung: Legen Sie den Wert des Registrierungsschlüssels HKEY_LOCAL_MACHINE\Software\Microsoft\ADMT\TranslationLogLevel auf dem Computer, auf dem ADMT installiert ist, auf 7 fest. Sie können den ausführlichen Protokollierungsmodus für die Problemdiagnose und -behebung verwenden. Der ausführliche Protokollierungsmodus kann die Erstellung sehr großer Protokolldateien zur Folge haben, insbesondere in Fällen, in denen viele Dateien oder andere Objekte auf dem Zielcomputer gespeichert sind, deren Zugriffsteuerungslisten (Access Control Lists, ACLs) aktualisiert werden müssen. Da die Agentenprotokolle in den durch die Umgebungsvariable %TEMP% angegebenen Ordner geschrieben werden, sollte der Datenträger, auf den diese Umgebungsvariable zeigt, über ausreichend Speicherplatz verfügen. Wenn Sie sich mit dem ausführlichen Modus anmelden, müssen Sie möglicherweise den Wert der Umgebungsvariablen %TEMP% ändern, bevor Sie einen Agent verteilen. Generierte Berichte werden in ADMT nicht angezeigt. Ursache: Beim Generieren von Berichten aktualisiert ADMT die Konsole nicht automatisch. Lösung: Wenn Sie die Berichte anzeigen möchten, schließen Sie ADMT, und öffnen Sie das Programm dann erneut. Ausführen mehrerer Instanzen von ADMT in mehreren Sprachen Wenn Sie mehrere Instanzen von ADMT ausführen und verschiedene Instanzen verschiedene Sprachen verwenden, werden die Protokolldateien in der Sprache erstellt, in der die jeweilige Instanz ausgeführt wird. Dies wirkt sich in keiner Weise auf die Funktionalität von ADMT aus. Es wird jedoch empfohlen, beim Ausführen mehrerer Instanzen von ADMT eine einheitliche Sprache zu verwenden. Behandlung von Problemen der ADMTBefehlszeile Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Beachten Sie, dass das Befehlszeilentool die Skriptkomponente verwendet und dass daher Skriptprobleme auch beim Befehlszeilentool auftreten können. Doppelte Befehlszeilenparameter bewirken ein Überschreiben aller vorhergehenden Vorkommen Wenn ein Befehlszeilenparameter mehr als einmal angegeben wird, überschreibt der letzte Wert den vorhergehenden Wert. Dieses Verhalten ist beabsichtigt. Erweiterte Zeichen werden von der Befehlszeilenoberfläche nicht angezeigt Die ADMT-Befehlszeilenoberfläche konvertiert keine Unicode-Zeichen. Daher werden erweiterte Zeichen, wie etwa der deutsche "Umlaut", nicht ordnungsgemäß angezeigt. Die Option zum Aktivieren von Quellkonten ist in Migrationen zwischen Gesamtstrukturen nicht deaktiviert 300 Beim Ausführen von Migrationen zwischen Gesamtstrukturen werden Konten zwischen Domänen verschoben, nicht kopiert. Das Quellkonto wird im Rahmen der Verschiebung entfernt. Die Option zum Aktivieren eines Quellkontos steht jedoch auf der ADMT-Befehlszeilenoberfläche zur Verfügung. Wenn Sie diese Option verwenden, wird folgende Warnung angezeigt: WRN1: 7362: <Objektname> – Das Quellkonto konnte nicht aktiviert werden. Der Parameter ist falsch Behandlung von Problemen bei AgentVorgängen Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Ich erhalte die Fehlermeldung, dass das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) die Überwachung sowie den Registrierungsschlüssel TcpipClientSupport in Domänen nicht überprüfen konnte. Ursache: Der Agent wird mit ungültigen Anmeldeinformationen verteilt, oder die Migrationsumgebung ist nicht ordnungsgemäß konfiguriert. Lösung: Ein Agent wird an einen Remotecomputer verteilt, der die Anmeldeinformationen des Kontos benutzt, das für die Ausführung von ADMT verwendet wird. Nachdem der Agent auf dem Remotecomputer installiert wurde, wird er unter dem lokalen Systemkonto ausgeführt. Die Anmeldeinformationen, die Sie dem Assistenten vor der Verteilung des Agenten an den Remotecomputer bereitstellen, werden verwendet, um Ergebnisse auf eine Freigabe zurückzuschreiben, die auf dem Computer erstellt wurde, auf dem ADMT ausgeführt wird. Der Agent muss berechtigt sein, sich lokal beim Remotecomputer anzumelden; wird der Agent für die Migration von Computern verwendet, muss er über Administratorrechte für die Quelldomäne verfügen und lokaler Administrator auf allen Arbeitsstationen sein. Erstellen Sie Vertrauensstellungen, damit die Quell- und die Zieldomäne einander vertrauen, um sicherzustellen, dass Sie über die richtigen Anmeldeinformationen verfügen. Fügen Sie die Gruppe Domänen-Admins der Zieldomäne (Ziel\Domänen-Admins) zur integrierten Administratorgruppe der Quelldomäne hinzu (Quelle\Administratoren). Melden Sie sich mithilfe des Kontos Ziel\Domänen-Admins an, und geben Sie Anmeldeinformationen für das Konto Quelle\Administratoren an, wenn Sie dazu aufgefordert werden. Dadurch erhalten Sie Administratorberechtigungen sowohl für die Quell- als auch für die Zieldomäne. Vorgänge zur Verteilung von Agenten schlagen aufgrund von Anmeldeinformationskonflikten fehl Ursache: Es besteht eine aktive Verbindung, wie etwa ein zugeordnetes Laufwerk oder ein zugeordneter Drucker, zu einem Computer, auf dem ein Agent installiert wird. Der Verteilungsvorgang kann nicht durchgeführt werden, da ein Konflikt zwischen den Anmeldeinformationen der Agentinstallation und den vorhandenen Anmeldeinformationen vorliegt. 301 Lösung: Entfernen Sie alle aktiven Verbindungen zwischen dem Computer mit ADMT und dem Computer, an den der Agent verteilt wird. Beim Versuch, die Ergebnisse eines Remoteagentvorgangs anzuzeigen, erhalte ich die folgende Fehlermeldung: "Die Datei ComputerName\(%SystemRoot%)$\temp\dctlog.txt kann nicht geöffnet werden." Ursache: Die standardmäßige administrative Freigabe für den Systemdatenträger des Computers, an den der Agent verteilt wurde, ist nicht aktiviert. Da die Standardfreigabe nicht aktiviert ist, kann ADMT die Protokolldatei nicht lesen. Lösung: Aktivieren Sie die Standardfreigabe des Systemdatenträgers erneut. Beim Generieren von Berichten erhalte ich den IDispatch-Fehler 3107 Ursache: Dieser Fehler kann auftreten, wenn die Agentüberwachung geschlossen wird, bevor alle Agents die Ergebnisse in die ADMT-Berichtsdatenbank zurückgeschrieben haben. Lösung: Sie können dieses Problem verhindern, indem Sie die Agentüberwachung erst dann beenden, wenn alle Agents ihre Tasks abgeschlossen haben. Ich muss wissen, welche Protokolle und Ports ADMT zum Herstellen der Konsolenkommunikation mit Domänencontrollern und auf Arbeitsstationen ausgeführten ADMT-Agents verwendet Ursache: Wenn ADMT in Umgebungen ausgeführt wird, die über eine Firewall verfügen, müssen möglicherweise Portausnahmen festgelegt werden, um den ADMT-bedingten Verkehr im Netzwerk zu unterstützen. Lösung: Die ADMT-Konsole verwendet LDAP-Port (Lightweight Directory Access Protocol) 389 für die Kommunikation mit Domänencontrollern und RPC (Remote Procedure Call) für die Kommunikation mit ADMT-Agents. Für die RPC-Kommunikation kann jeder verfügbare Port im Bereich zwischen 1024 und 5000 verwendet werden. Weitere Informationen finden Sie im Artikel 836429 in der Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkId=122010). Warum werden die Dateien, die ADMT für die Agentbereitstellung generiert, nach der Verwendung nicht entfernt? Dateien, die auf Clientcomputern generiert werden, auf denen der ADMT-Agentdienst zur Sicherheitskonvertierung von lokalen Gruppen ausgeführt wurde, werden unter "%windir%\onepointdomainagent" untergebracht. Dateien an diesen Speicherorten bleiben nach dem Neustart möglicherweise aus folgenden Gründen erhalten: Wenn ADMT noch auf dem Computer installiert ist. Wenn nach dem Entfernen von ADMT vom Computer keine Bereinigung der Registrierung ausgeführt wird, um alle Einträge aus dem Pfad HKLM\Software\Microsoft\ADMT zu entfernen. Wenn der Neustart des Computers ausgeführt wird, bevor die ADMT-Agentprozesse abgeschlossen oder beendet wurden. Zum Überprüfen, ob die ADMT-Prozesse beendet wurden, kann der Task-Manager verwendet werden, um zu prüfen, ob die ADMTAgnt.exe und DctAgentServices.exe auf der Registerkarte Prozesse nicht mehr aufgelistet sind. 302 Wenn einer dieser Prozesse aufgelistet wird, verwenden Sie Task Manager, um die Prozesse zuerst zu beenden, bevor Sie einen Neustart ausführen. Weitere Ressourcen Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2 Diese Ressourcen enthalten weitere Informationen, Tools und Arbeitshilfen, die in Beziehung mit diesem Handbuch stehen. Verwandte Informationen Entwerfen und Bereitstellen von Verzeichnis- und Sicherheitsdiensten (http://go.microsoft.com/fwlink/?LinkId=76005, englischsprachig) Verwandte Tools Artikel 295758 in der Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkId=77553, englischsprachig) Verwandte Arbeitshilfen Download Job_Aids_Designing_and_Deploying_Directory_and_Security_Services der Job Aids für das Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/?LinkId=14384, englischsprachig) Dieses Paket enthält Arbeitsblätter und Beispielskripts, die Sie für Ihre eigene Migration anpassen können. 303