ADMTmigguide

Guia do ADMT: migrando e reestruturando
domnios do Active Directory

Microsoft Corporation
Publicado em: Junho de 2010
Autor: Justin Hall
Editores: Jim Becker, Margery Spears
Resumo
Este guia explica como usar a Ferramenta de Migrao do Active Directory verso 3.1
(ADMT v3.1) ou ADMT v3.2 para migrar usurios, grupos, contas de servio gerenciadas e
computadores entre domnios do Active Directory de florestas diferentes (migrao entre
florestas) ou entre domnios do Active Directory da mesma floresta (migrao dentro da floresta).
Ele tambm mostra como usar o ADMT para realizar uma converso de segurana entre
florestas diferentes do Active Directory.
As informaes contidas neste documento, incluindo URLs e outras referncias a sites da
Internet, esto sujeitas a alteraes sem aviso prvio. A menos que haja observao em
contrrio, os exemplos de empresas, organizaes, produtos, nomes de domnio, endereos de
email, logotipos, pessoas, lugares e eventos aqui representados so fictcios e nenhuma
associao com qualquer empresa, organizao, produto, nome de domnio, endereo de email,
logotipo, pessoa, lugar ou evento real intencional ou implcita. A conformidade com todas as
leis de direitos autorais aplicveis responsabilidade do usurio. Sem limitao dos direitos
autorais, nenhuma parte deste documento pode ser reproduzida, armazenada ou introduzida em
um sistema de recuperao nem transmitida sob qualquer forma, por qualquer meio (eletrnico,
mecnico, fotocpia, gravao, etc.) ou para qualquer finalidade, sem a permisso por escrito da
Microsoft Corporation.
A Microsoft pode ter patentes ou requisies para a obteno de patentes, marcas comerciais,
direitos autorais ou outros direitos de propriedade intelectual que abranjam o contedo deste
documento. A posse deste documento no lhe confere nenhum direito sobre as patentes, as
marcas comerciais, os direitos autorais ou outros direitos de propriedade intelectual citados,
salvo aqueles expressamente mencionados em um contrato de licena, por escrito, da Microsoft.
2010 Microsoft Corporation. Todos os direitos reservados.
Active Directory, Microsoft, Windows e Windows Server so marcas registradas ou comerciais da
Microsoft Corporation nos Estados Unidos e/ou em outros pases.
Os nomes de empresas e produtos reais aqui mencionados podem ser marcas comerciais de
seus respectivos proprietrios.
Contedo
Guia do ADMT: migrando e reestruturando domnios do Active Directory......................................9
Reestruturao dos Domnios do Active Directory Entre Florestas...........................................10
Reestruturao dos Domnios do Active Directory Entre Florestas...........................................10
Termos e definies................................................................................................................... 11
Ferramenta de Migrao do Active Directory............................................................................12
Usando um arquivo de incluso.............................................................................................14
Campo SourceName.......................................................................................................... 15
Campo TargetName............................................................................................................ 15
Campos TargetRDN, TargetSAM e TargetUPN...................................................................16
Renomeando objetos.......................................................................................................... 16
Usando um arquivo de excluso......................................................................................... 17
Usando scripts....................................................................................................................... 17
Verses e ambientes com suporte da Ferramenta de Migrao do Active Directory....................19

Suporte para recursos do Windows Server...............................................................................22
Prticas recomendadas para a migrao do Active Directory.......................................................23
Prticas recomendadas para o uso da Ferramenta de Migrao do Active Directory..................23
Prticas recomendadas para a execuo de migraes de contas de usurio e de grupo..........24
Prticas recomendadas para executar migraes de computadores...........................................25
Prticas recomendadas para reverter uma migrao...................................................................26
Reestruturao dos Domnios do Active Directory Entre Florestas..............................................27
Lista de verificao: Executando uma migrao entre florestas...................................................27
Viso geral da reestruturao de domnios do Active Directory entre florestas (Guia de Migrao
da ADMT v3.1)........................................................................................................................... 31
Processo de reestruturao de domnios do Active Directory entre florestas...............................31
Informaes bsicas sobre a reestruturao de domnios do Active Directory entre florestas.....32

Processo de migrao de conta................................................................................................33
Processo de migrao de recurso.............................................................................................34
Planejando reestruturar domnios do Active Directory entre florestas..........................................34
Determinando seu processo de migrao de contas....................................................................35
Usando o histrico SID para preservar o acesso a recursos........................................................37

Usando filtragem de SID durante a migrao de contas de usurios...........................................38
Atribuindo funes e localizaes de objetos...............................................................................39
Desenvolvendo um plano de testes para a sua migrao............................................................41
Criando um Plano de Reverso.................................................................................................... 43
Gerenciando usurios, grupos e perfis de usurio.......................................................................44

Administrando contas de usurio..............................................................................................45
Atributos que so sempre excludos pelo sistema.................................................................46
Lista de excluso de atributos do sistema.............................................................................46
Lista de excluso de atributos................................................................................................46
Administrando grupos globais................................................................................................... 46
Planejando uma migrao de perfil de usurio.........................................................................47
Preparao para a migrao de perfis mveis com computadores que executam o Windows
Vista e o Windows 7........................................................................................................... 48
Criando um plano de comunicao de usurio final.....................................................................50

Informaes gerais.................................................................................................................... 50
Impacto...................................................................................................................................... 51
Status do logon durante a migrao.......................................................................................... 51
Etapas pr-migrao................................................................................................................. 51
Alteraes esperadas................................................................................................................ 51
Agendamento e informaes de suporte...................................................................................51
Preparando os domnios de origem e de destino.........................................................................51
Instalando o software de criptografia elevada de 128 bits............................................................52
Estabelecendo confianas necessrias para a sua migrao......................................................53
Estabelecendo contas de migrao para a sua migrao............................................................53
Configurando os domnios de origem e de destino para a migrao de histrico SID..................57
Configurando a Estrutura da UO do Domnio de Destino para Administrao..............................59
Instalando o ADMT no domnio de destino...................................................................................60

Instalando o ADMT v3.1............................................................................................................ 60
Pr-requisitos para a instalao do ADMT v3.1.....................................................................60
Instalando o ADMT v3.1 usando o armazenamento de banco de dados padro...................61
Instalando o ADMT v3.2............................................................................................................ 63
Pr-requisitos para a instalao do ADMT v3.2.....................................................................64
Instalar o ADMT v3.2.............................................................................................................. 64
Separe um arquivo de banco de dados existente de uma verso anterior do ADMT e do
SQL Server............................................................................................................................ 65
Reconfigurando uma instalao de banco de dados com o Admtdb.exe..................................66
Reutilizar um banco de dados existente do ADMT de uma instalao anterior.........................68
Habilitando a migrao de senhas................................................................................................69
Inicializando o ADMT executando uma migrao de teste...........................................................72
Identificando contas de servio para a sua migrao...................................................................74

Identificando contas de servio................................................................................................. 74
Migrando Contas.......................................................................................................................... 79
Fazendo a transio de contas de servio na sua migrao........................................................80
Migrando grupos globais............................................................................................................... 85
Migrando contas ao usar o histrico SID......................................................................................90
Migrando contas de servio gerenciado.......................................................................................93
Migrando todas as contas de usurio...........................................................................................98
Repetindo a migrao de contas de usurio e migrando estaes de trablaho em lotes...........104

Convertendo perfis de usurios locais.....................................................................................105
Migrando estaes de trabalho em lotes.................................................................................109
Repetindo a migrao de contas de usurio em lotes.............................................................115
Repetindo a migrao de todos os grupos globais depois da migrao da conta de usurio. 120
Repetindo a migrao de todos os grupos globais depois que todos os lotes so migrados.....120
Migrando contas sem usar o histrico SID.................................................................................125
Migrando contas de servio gerenciado.....................................................................................126
Migrando todas as contas de usurio.........................................................................................132
Convertendo a segurana no modo de adio...........................................................................138
Repetindo a migrao de contas de usurio e migrando estaes de trabalho em lotes...........142

Convertendo perfis de usurios locais.....................................................................................142
Migrando estaes de trabalho em lotes.................................................................................146
Repetindo a migrao de contas de usurio em lotes.............................................................152
Repetindo a migrao de todos os grupos globais depois da migrao da conta de usurio. 157
Repetindo a migrao de todos os grupos globais depois que todos os lotes so migrados.....158
Convertendo segurana no modo de remoo...........................................................................162
Migrando Recursos..................................................................................................................... 166
Migrando estaes de trabalho e servidores membros..............................................................167

Migrando grupos locais compartilhados e de domnio................................................................173
Migrando controladores de domnio...........................................................................................176
Executando a migrao.............................................................................................................. 177
Fazendo a converso de segurana em servidores membros...................................................178
Descomissionando o domnio de origem....................................................................................182
Reestruturao dos Domnios do Active Directory Entre Florestas............................................183
Lista de verificao: Executando uma migrao entre florestas.................................................183
Viso geral da reestruturao de domnios do Active Directory dentro de uma floresta.............186
Reestruturando domnios do Active Directory dentro de uma floresta usando o ADMT v3.1......187
Informaes gerais sobre a reestruturao de domnios do Active Directory dentro de uma

floresta..................................................................................................................................... 187
Conjuntos fechados e conjuntos abertos.................................................................................188
Usurios e grupos................................................................................................................ 188
Recursos e grupos locais..................................................................................................... 190
Histrico do SID....................................................................................................................... 190
Atribuindo acesso de recurso a grupos...................................................................................191
Preparando-se para reestruturar os domnios do Active Directory dentro de uma floresta.........191
Avaliar a nova estrutura de florestas do Active Directory............................................................192

Identificar os domnios de origem............................................................................................ 193
Identificar e avaliar a estrutura da UO do domnio de destino.................................................193
Atribuir funes e localizaes dos objetos de domnio..............................................................193
Planejar a migrao de grupos................................................................................................... 195
Planejar migraes de teste....................................................................................................... 197
Criar um plano de reverso........................................................................................................ 199
Criar um plano de comunicao de usurio final........................................................................200

Informaes gerais.................................................................................................................. 201
Impacto.................................................................................................................................... 201
Status do logon durante a migrao........................................................................................ 201
Etapas pr-migrao............................................................................................................... 201
Alteraes esperadas.............................................................................................................. 201
Agendamento e informaes de suporte.................................................................................202
Criar grupos de contas de migrao...........................................................................................202

Instalando o ADMT no domnio de destino.................................................................................204
Instalando o ADMT v3.1.......................................................................................................... 205
Pr-requisitos para a instalao do ADMT v3.1...................................................................205
Instalando o ADMT v3.1 usando o armazenamento de banco de dados padro.................205
Instalando o ADMT v3.2.......................................................................................................... 208
Pr-requisitos para a instalao do ADMT v3.2...................................................................208
Instalar o ADMT v3.2............................................................................................................ 209
SQL Server.......................................................................................................................... 210
Reconfigurando uma instalao de banco de dados com o Admtdb.exe................................210
Reutilizar um banco de dados existente do ADMT de uma instalao anterior.......................212
Planejar a transio de contas de servio..................................................................................213
Exemplo: Preparando para Reestruturar os Domnios do Active Directory.................................218
Migrando objetos de domnio entre os domnios do Active Directory.........................................219
Migrar grupos.............................................................................................................................. 219
Migrar grupos universais............................................................................................................. 220
Migrar grupos globais................................................................................................................. 224
Migrar contas de servio............................................................................................................. 228
Migrando contas de servio gerenciado.....................................................................................233
Migrar contas de usurio............................................................................................................ 238
Migrando UOs e subrvores de UOs.......................................................................................... 238
Migrar contas.............................................................................................................................. 239
Converter perfis de usurios locais.............................................................................................244
Migrar estaes de trabalho e servidores membros...................................................................248
Migrar grupos locais de domnio.................................................................................................255
Exemplo: Reestruturando os Domnios do Active Directory........................................................257
Executando tarefas ps-migrao.............................................................................................. 258
Examinar logs da migrao procura de erros..........................................................................258

Acessando arquivos de log do ADMT......................................................................................259
Verificar os tipos de grupos......................................................................................................... 259
Fazer a converso de segurana em servidores membros........................................................260

Converter segurana usando um arquivo de mapeamento de SID............................................264
Descomissionar o domnio de origem.........................................................................................264
Exemplo: Executando tarefas ps-migrao..............................................................................265
Apndice: Procedimentos Avanados......................................................................................... 265
Configurar um controlador de domnio preferencial....................................................................266
Renomear objetos durante a migrao.......................................................................................268
Usar um arquivo de incluso...................................................................................................... 269

Para especificar um arquivo de incluso.................................................................................269
Usar um arquivo de opo.......................................................................................................... 271
Soluo de problemas da ADMT................................................................................................ 273
Solucionando problemas de instalao do ADMT......................................................................274
Solucionando problemas de migrao de usurios....................................................................275
Solucionando problemas de migrao de grupos.......................................................................276
Solucionando problemas de migrao de conta de servio........................................................277
Solucionando problemas de migrao de conta de servio gerenciado.....................................279
Solucionando problemas de migrao de computadores...........................................................281
Solucionando problemas de migrao de senhas......................................................................282
Solucionando problemas de converso de segurana...............................................................284
Solucionando problemas de migrao entre florestas................................................................286
Solucionando problemas do arquivo de log da ADMT................................................................287
Solucionando problemas de linha de comando do ADMT..........................................................288
Solucionando problemas de operaes de agente.....................................................................289
Recursos adicionais.................................................................................................................... 291

Informaes relacionadas....................................................................................................... 291
Ferramentas relacionadas....................................................................................................... 291
Auxlios de trabalho relacionados............................................................................................ 291
Guia do ADMT: migrando e reestruturando
Aplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2
Para obter uma verso disponvel para download desse guia no formato .doc, consulte o Guia do
ADMT: Migrando e reestruturando domnios do Active Directory (http://go.microsoft.com/fwlink/?
LinkId=191734).
Como parte da implantao do servio de diretrio do Active Directory ou do AD DS (Servios
de Domnio do Active Directory), voc pode optar por reestruturar seu ambiente pelas seguintes
razes:
Para otimizar a organizao dos elementos dentro da estrutura lgica do Active Directory
Para ajudar a concluir uma fuso, aquisio ou alienao comercial
A reestruturao envolve a migrao de recursos entre domnios do Active Directory na mesma
floresta ou em florestas diferentes. Depois de implantar o Active Directory ou o AD DS, voc
pode decidir reduzir ainda mais a complexidade do seu ambiente reestruturando domnios entre
florestas ou reestruturando domnios dentro de uma nica floresta.
Voc pode usar a Ferramenta de Migrao do Active Directory (ADMT) para realizar migraes
de objetos e converso de segurana conforme necessrio para que os usurios possam manter
o acesso a recursos de rede durante o processo de migrao. Para obter mais informaes
sobre as diferentes verses do ADMT que esto disponveis, quando usar cada verso e como
obt-las, consulte Verses e ambientes com suporte da Ferramenta de Migrao do Active
Directory.
Neste guia
Prticas recomendadas para a migrao do Active Directory
Reestruturao dos Domnios do Active Directory Entre Florestas
Reestruturao dos Domnios do Active Directory Entre Florestas
Apndice: Procedimentos Avanados
Soluo de problemas da ADMT
Recursos adicionais
As sees a seguir explicam os principais cenrios de migrao usando a ADMT. Depois que
voc determinar o cenrio apropriado para o seu ambiente, siga as etapas a seguir neste guia
para esse cenrio.
Reestruturao dos Domnios do Active Directory

Entre Florestas
Voc pode executar uma reestruturao entre florestas para alteraes comerciais, como fuses
ou aquisies ou alienaes, nas quais suas organizaes tm de combinar ou dividir recursos.
9
Importante Importante
Como parte do processo de reestruturao, quando voc migra objetos entre florestas, os
ambientes de origem e de destino existem simultaneamente. Isso possibilita a reverso para o
ambiente de origem durante a migrao, se for necessrio.
No h suporte para dividir ou clonar florestas, por exemplo, para acomodar a alienao de uma
organizao. Para obter mais informaes, consulte Reestruturando limitaes
(http://go.microsoft.com/fwlink/?LinkId=121736). (em ingls)
Se voc estiver usando o ADMT v3.1, todos os domnios de destino devero estar pelo
menos no nvel funcional nativo do Windows 2000. Se voc estiver usando o ADMT
v3.2, todos os domnios de origem e de destino devero estar pelo menos no nvel
funcional do Windows Server 2003.
Reestruturao dos Domnios do Active Directory

Entre Florestas
Quando reestruturar domnios em uma floresta, voc poder consolidar sua estrutura de domnio
e reduzir a sobrecarga e a complexidade administrativa. Ao contrrio do processo para
reestruturar domnios entre florestas, quando voc reestrutura domnios em uma floresta, as
contas migradas no existem mais no domnio de origem. Portanto, a reverso da migrao s
poder ocorrer quando voc executar o processo de migrao novamente em ordem inversa, do
domnio de destino anterior para o domnio de origem anterior.
Se voc estiver usando o ADMT v3.1, todos os domnios de destino devero estar pelo
menos no nvel funcional nativo do Windows 2000. Se voc estiver usando o ADMT v3.2,
todos os domnios de origem e destino devero estar pelo menos no nvel funcional do
Windows Server 2003.
A tabela a seguir lista as diferenas entre uma reestruturao dos domnios entre florestas e uma
reestruturao dos domnios intraflorestal.
Considerao de Reestruturao entre florestas Reestruturao entre

migrao florestas
Preservao do Os objetos so clonados em vez de migrados. Os objetos de usurio e

objeto O objeto original permanece no local de origem de grupo so migrados
para manter o acesso aos recursos dos e deixam de existir no
usurios. local de origem. Os
objetos da conta de
servio gerenciado e do
computador copiados e
as contas originais
permanecem habilitados
no domnio de origem.
Manuteno do A manuteno do histrico do SID opcional. O histrico SID
10
Considerao de Reestruturao entre florestas Reestruturao entre
migrao florestas
histrico do SID necessrio para as

(identificador de contas de usurio, de
segurana) grupo e do computador,
mas no para as contas
de servio gerenciado.
Reteno de senha A reteno de senha opcional. As senhas so sempre

mantidas.
Migrao do perfil Voc deve utilizar ferramentas como a ADMT Os perfis locais so
local para migrar perfis locais. migrados
automaticamente
porque o GUID
(identificador global
exclusivo) preservado.
Conjuntos fechados Voc no tem de migrar contas em conjuntos Voc deve migrar
fechados. Para obter mais informaes, contas em conjuntos
consulte Informaes gerais para fechados.
reestruturao dos domnios do
Active Directory dentro de uma floresta
(http://go.microsoft.com/fwlink/?LinkId=122123).
(em ingls)
Termos e definies
Os termos a seguir se aplicam ao processo de reestruturao dos domnios do Active Directory.
Migrao O processo de mover ou copiar um objeto de um domnio de origem para um
domnio de destino, preservando ou modificando caractersticas do objeto para torn-lo acessvel
no novo domnio.
Reestruturao do domnio Um processo de migrao que envolve a alterao da estrutura
do domnio de uma floresta. Uma reestruturao de domnio pode envolver a consolidao ou a
adio de domnios e pode ocorrer entre florestas ou em uma floresta.
Objetos de migrao Objetos de domnio que so movidos do domnio de origem para o
domnio de destino durante o processo de migrao. Os objetos de migrao podem ser contas
de usurio, contas de servio, grupos ou computadores.
Domnio de origem O domnio do qual os objetos so movidos durante uma migrao. Quando
ocorre uma reestruturao de domnios do Active Directory entre florestas, o domnio de origem
um domnio do Active Directory em uma floresta diferente do domnio de destino.
Domnio de destino O domnio para o qual os objetos so movidos durante uma migrao.
11
Contas internas Grupos de segurana padro que possuem conjuntos comuns de direitos e
permisses. Voc pode usar contas internas para conceder permisses para contas ou grupos
designados como membros desses grupos. Os SIDs (identificadores de segurana) de contas
internas so idnticos em todos os domnios. Portanto, as contas internas no podem ser objetos
de migrao.
Ferramenta de Migrao do Active Directory

Voc pode usar a ADMT para migrar objetos em florestas do Active Directory. Essa ferramenta
inclui assistentes que automatizam tarefas de migrao, como migrao de usurios, grupos,
contas de servio, computadores e confianas e execuo de converso de segurana.
Voc pode executar tarefas da ADMT usando o console da ADMT, uma linha de comando ou um
script. Quando voc executa a ADMT na linha de comando, geralmente mais eficiente usar um
arquivo de opo para especificar as opes da linha de comando. Voc pode usar a referncia
do arquivo de opo da ADMT do exemplo a seguir para ajud-lo a criar arquivos de opes. Os
exemplos de sintaxe da linha de comando so fornecidos para cada tarefa que voc deve
executar para reestruturar os domnios dentro da floresta.
A listagem a seguir mostra opes comuns que se aplicam a vrias tarefas de migrao. Cada
tipo de tarefa de migrao tem uma seo que lista opes especficas dessa tarefa. O nome da
seo corresponde ao nome da tarefa quando voc executa a ADMT na linha de comando. Voc
pode comentar itens com um ponto e vrgula. Na lista a seguir, os valores padro so
comentados.
[Migration]
;IntraForest=No
;SourceDomain="nome_de_domnio_de_origem"
;SourceOu="caminho_de_uo_de_origem"
;TargetDomain="nome_de_domnio_de_destino"
;TargetOu="caminho_de_uo_de_destino"
;PasswordOption=Complex
;PasswordServer=""
;PasswordFile=""
;ConflictOptions=Ignore
;UserPropertiesToExclude=""
;InetOrgPersonPropertiesToExclude=""
;GroupPropertiesToExclude=""
;ComputerPropertiesToExclude=""
[User]
12
;DisableOption=EnableTarget
;SourceExpiration=None
;MigrateSIDs=Yes
;TranslateRoamingProfile=No
;UpdateUserRights=No
;MigrateGroups=No
;UpdatePreviouslyMigratedObjects=No
;FixGroupMembership=Yes
;MigrateServiceAccounts=No
;UpdateGroupRights=No
[Group]
;MigrateSIDs=Yes
;UpdatePreviouslyMigratedObjects=No
;FixGroupMembership=Yes
;UpdateGroupRights=No
;MigrateMembers=No
;DisableOption=EnableTarget
;SourceExpiration=None
;TranslateRoamingProfile=No
;MigrateServiceAccounts=No
[Security]
;TranslationOption=Add
;TranslateFilesAndFolders=No
;TranslateLocalGroups=No
;TranslatePrinters=No
;TranslateRegistry=No
;TranslateShares=No
;TranslateUserProfiles=No
;TranslateUserRights=No
;SidMappingFile="SidMappingFile.txt"
Quando voc executa a ADMT na linha de comando, no precisar incluir uma opo em seu
comando se desejar aceitar o valor padro. Neste guia, entretanto, so fornecidas tabelas que
listam parmetros e valores possveis para referncia. As tabelas listam o equivalente linha de
13
comando de cada opo mostrada no procedimento do console da ADMT correspondente,
incluindo as opes nas quais voc aceita o valor padro.
Voc pode copiar a referncia do arquivo de opo no Bloco de Notas e salv-la usando uma
extenso de nome de arquivo .txt.
Como um exemplo, para migrar um pequeno nmero de computadores, voc pode digitar cada
nome de computador na linha de comando, usando a opo /N e, em seguida, listar outras
opes de migrao dentro de um arquivo de opo, como a seguir:
ADMT COMPUTER /N "<nome_do_computador1>" "<nome_do_computador2>"
/O:"<arquivo_de_opo>.txt"
Em que <nome_do_computador1> e <nome_do_computador2> so os nomes dos

computadores do domnio de origem que voc est migrando neste lote.
Usando um arquivo de incluso

Quando voc migra um nmero grande de usurios, grupos ou computadores, mais eficiente
usar um arquivo de incluso. Um arquivo de incluso um arquivo de texto no qual voc lista os
objetos de usurio, grupo e computador que deseja migrar, com cada objeto em uma linha
separada. Voc dever usar um arquivo de incluso se desejar renomear objetos durante a
migrao.
Voc pode listar usurios, grupos e computadores juntos em um arquivo ou pode criar um
arquivo separado para cada tipo de objeto. Em seguida, especifique o nome do arquivo de
incluso com a opo /F, como a seguir:
ADMT COMPUTER /F "<nome_de_arquivo_de_excluso>" /IF:YES /SD:"<domnio_de_origem>
/TD:"<domnio_de_destino>" /TO:"<UO_de_destino>"
Para especificar os nomes de usurios, grupos ou computadores, use uma das seguintes
convenes:
O nome da conta do SAM (Gerenciador de Contas de Segurana). Para especificar um
nome de computador nesse formato, voc deve anexar um smbolo de cifro ($) no nome do
computador. Por exemplo, para especificar um computador com o nome Workstation01, use
Workstation01$.
O nome diferenciado relativo (tambm conhecido como RDN), por exemplo, cn=
Workstation01. Se voc especificar a conta como um nome diferenciado relativo, dever
especificar a UO (unidade organizacional) de origem.
O nome cannico. Voc pode especificar o nome cannico como nome de domnio
DNS/caminho_da_uo/nome_do_objeto ou caminho_da_uo/nome_do_objeto, por exemplo,
Asia.trccorp.treyresearch.net/Computers/Workstation01 ou Computers/Workstation01.
As seguintes sees descrevem os campos de um arquivo de incluso e fornecem exemplos
para cada campo:
14
Observao
Campo SourceName
O campo SourceName especifica o nome do objeto de origem. Voc pode especificar um nome
de conta ou um nome diferenciado relativo. Se voc especificar apenas nomes de origem, ser
opcional definir um cabealho na primeira linha do arquivo.
O exemplo a seguir ilustra uma linha de cabealho que especifica o campo SourceName. O
exemplo mostra tambm um nome de objeto de origem que especificado em vrios formatos. A
segunda linha especifica um nome de conta. A terceira linha especifica um nome diferenciado
relativo.
SourceName
name
CN=name
Campo TargetName
Voc pode usar o campo TargetName para especificar um nome base que usado para gerar
um nome diferenciado relativo de destino, um nome de conta do SAM de destino e um UPN
(nome principal de usurio) de destino. O campo TargetName no pode ser combinado com
outros campos de nome de destino que so descritos nesta seo.
O UPN de destino gerado apenas para objetos de usurio e apenas um prefixo UPN
gerado. Um sufixo UPN anexado usando um algoritmo que depende se um sufixo UPN
est definido para a UO de destino ou a floresta de destino. Se o objeto for um
computador, a conta de SAM de destino incluir um sufixo "$".
O exemplo de entrada a seguir gera o nome diferenciado relativo de destino, o nome da conta do
SAM de destino e o UPN de destino como "CN=newname", "newname" e "newname",
respectivamente.
SourceName,TargetName
oldname, newname
Campos TargetRDN, TargetSAM e TargetUPN

Voc pode usar os campos TargetRDN, TargetSAM e TargetUPN para especificar os nomes de
destino diferentes, independentemente um do outro. Voc pode especificar qualquer combinao
desses campos em qualquer ordem.
TargetRDN especifica o nome diferenciado relativo de destino para o objeto.
TargetSAM especifica o nome de conta do SAM de destino para o objeto. Para computadores, o
nome deve incluir um sufixo "$" que seja um nome de conta do SAM vlido para um computador.
TargetUPN especifica o UPN de destino do objeto. Voc pode especificar apenas o prefixo UPN
ou um nome UPN completo (prefixo@sufixo). Se o nome especificado contiver um espao ou
uma vrgula, voc dever colocar o nome entre aspas duplas (" ").
SourceName,TargetRDN
oldname, CN=newname
15
Observao Importante
SourceName,TargetRDN,TargetSAM
oldname, "CN=New RDN", newsamname
SourceName,TargetRDN,TargetSAM,TargetUPN
oldname, "CN=last\, first", newsamname, newupnname
Uma vrgula dentro do valor CN deve ser precedida por um caractere de espao ("\") ou
a operao falhar e a ADMT registrar um erro de sintaxe invlido no arquivo de log.
SourceName,TargetSAM,TargetUPN,TargetRDN
oldname, newsamname, newupnname@targetdomain, "CN=New Name"
Renomeando objetos
Use o seguinte formato em um arquivo de incluso para renomear objetos de computador,
usurio ou grupo durante a migrao:
Use SourceName, TargetRDN, TargetSAM e TargetUPN como cabealhos de colunas na
parte superior do arquivo de incluso. SourceName o nome da conta de origem e deve ser
listado como o cabealho da primeira coluna. Os cabealhos de coluna TargetRDN,
TargetSAM e TargetUPN so opcionais e voc pode list-los em qualquer ordem.
necessrio especificar o nome da conta como um nome de usurio, nome diferenciado
relativo ou nome cannico. Se voc especificar o nome da conta como um nome
diferenciado relativo, dever especificar tambm a UO de origem.
Estes itens so exemplos de arquivos de incluso vlidos em que a opo de renomeao
usada:
SourceName,TargetSAM
abc,def
Essa entrada do arquivo de incluso altera o nome da conta TargetSAM do usurio "abc" para
"def." O TargetRDN e o TargetUPN, que no so especificados nesse arquivo de incluso, no
so alterados como resultado da migrao.
SourceName,TargetRDN,TargetUPN
abc,CN=def,def@contoso.com
Essa entrada do arquivo de incluso altera o TargetRDN do usurio abc para CN=def e o
TargetUPN para def@contoso.com. O TargetSAM do usurio abc no alterado como resultado
da migrao.
Voc deve especificar CN= antes de usar um valor RDN.
Usando um arquivo de excluso

Voc pode excluir objetos da migrao usando um arquivo de excluso. Um arquivo de excluso
uma arquivo de texto que lista o atributo SAMAccountName dos objetos que voc deseja
16
excluir. Por exemplo, para excluir as contas de servio gerenciado a seguir, crie um arquivo de
texto:
MSA_USER5$
MSA_USER6$
Depois, especifique o nome do arquivo de excluso quando executar o comando admt. Por
exemplo:
admt managedserviceaccount /ef:exclude file name
Como opo, voc pode especificar contas especficas usando o parmetro /en:
admt managedserviceaccount /en:conta de servio gerenciado 1 conta de servio
gerenciado 2
Usando scripts
Os scripts de amostra que so fornecidos neste guia referem-se s constantes simblicas que
so definidas em um arquivo chamado AdmtConstants.vbs. A listagem a seguir mostra o arquivo
VBScript (Microsoft Visual Basic Scripting Edition) de constantes da ADMT. As constantes so
fornecidas tambm na pasta de instalao da ADMT, no arquivo TemplateScript.vbs, no diretrio
%systemroot%\WINDOWS\ADMT.
Para usar os scripts de amostra deste guia, copie o arquivo VBScript de constantes da ADMT no
Bloco de Notas e salve-o como AdmtConstants.vbs. Certifique-se de salv-lo na mesma pasta
em que voc planeja salvar os scripts de amostra que so fornecidos neste guia.
Option Explicit
'----------------------------------------------------------------------------
' Constantes de script da ADMT
'----------------------------------------------------------------------------
' Constantes de PasswordOption
Const admtComplexPassword = &H0001
Const admtCopyPassword = &H0002
' Observe que a constante a seguir no pode ser especificada sozinha.
' Ela deve ser especificada junto com admtComplexPassword ou admtCopyPassword.
Const admtDoNotUpdatePasswordsForExisting = &H0010
' Constantes ConflictOptions
17
Const admtIgnoreConflicting = &H0000
Const admtMergeConflicting = &H0001
Const admtRemoveExistingUserRights = &H0010
Const admtRemoveExistingMembers = &H0020
Const admtMoveMergedAccounts = &H0040
' Constantes DisableOption
Const admtLeaveSource = &H0000
Const admtDisableSource = &H0001
Const admtTargetSameAsSource = &H0000
Const admtDisableTarget = &H0010
Const admtEnableTarget = &H0020
' Constante SourceExpiration
Const admtNoExpiration = -1
' Opo de converso
Const admtTranslateReplace = 0
Const admtTranslateAdd = 1
Const admtTranslateRemove = 2
' Tipo de relatrio
Const admtReportMigratedAccounts = 0
Const admtReportMigratedComputers = 1
Const admtReportExpiredComputers = 2
Const admtReportAccountReferences = 3
Const admtReportNameConflicts = 4
' Constantes de opo
18
Const admtNone = 0
Const admtData = 1
Const admtFile = 2
Const admtDomain = 3
Const admtRecurse = &H0100
Const admtFlattenHierarchy = &H0000
Const admtMaintainHierarchy = &H0200
Verses e ambientes com suporte da

Ferramenta de Migrao do Active
Directory
Este tpico explica as diferentes verses da Ferramenta de Migrao do Active Directory (ADMT)
que esto disponveis. Ele fornece links para baixar cada verso, e explica os requisitos para
instal-las, os ambientes com suporte em que elas podem ser usadas e como elas trabalham
com certos recursos do Active Directory no Windows Server.
verso do ADMT Platafo Requisitos Requisitos de domnio de Objetos de

rma de de domnio destino migrao de
instala de origem computador
o com suporte
ADMT v3.0 Windo Domnios O nvel funcional de domnio Migra

(http://go.microsoft.com/f ws de origem de destino mnimo computador
wlink/?LinkID=68791) Server podem Windows 2000 nativo. es que
2003 conter executam o
controladore Windows
s de 2000 Profes
domnio que sional, o
executem o Windows XP
Windows NT ,o
, o Windows Windows NT
2000 Server 4, o
ou o Windows 20
Windows 00 Server e
Server o Windows
2003. Server 2003.
Nenhum
nvel
funcional de
19
o com suporte
domnio
mnimo
exigido para
um domnio
de origem.
ADMT v3.1 Windo Domnios O nvel funcional de domnio Migra

(http://go.microsoft.com/f ws de origem de destino mnimo computador
wlink/?LinkId=121732) Server podem Windows 2000 nativo. es que
2008 conter Se o domnio de destino tiver executam o
controladore controladores de domnio que Windows
s de executem o Windows 2000 Profes
domnio que Server 2008 R2, use o sional, o
executam o ADMT v3.2. Windows XP
Windows ,o
2000 Observao Windows Vis
Server, H problemas ta, o
Windows conhecidos ao usar o Windows 20
Server 2003 ADMT v3.1 para 00 Server, o
ou o migrar objetos para Windows
Windows um domnio que tenha Server 2003
Server 2008 controladores de e o Windows
. Nenhum domnio do Windows Server 2008.
nvel Server 2008 R2. Para
funcional de obter mais
domnio informaes, consulte
mnimo o artigo 976659 da
exigido para Base de Dados de
um domnio Conhecimento
de origem, Microsoft
mas o (http://go.microsoft.co
ADMT v3.1 m/fwlink/?
no pode LinkId=182290).
ser usado
para migrar
objetos de
domnios do
Windows
NT 4.
20
o com suporte
ADMT v3.2 Windo O nvel O nvel funcional de domnio Migra

(http://go.microsoft.com/f ws funcional de de destino mnimo computador
wlink/?LinkId=186197) Server domnio de Windows Server 2003. es que
2008 origem executam o
R2 mnimo Windows XP
Windows Se ,o
rver 2003. Windows Vis
ta, o
Windows 7,
o Windows
Server 2003,
o Windows
Server 2008
e o Windows
Server 2008
R2.
Suporte para recursos do Windows Server

Nenhuma verso do ADMT pode ser instalada em um controlador de domnio somente leitura
(RODC) ou em uma instalao do Server Core. Um RODC no pode ser usado como um
controlador de domnio de origem ou destino para migrao.
Alm disso, o ADMT v3.2 fornece o seguinte suporte para novos recursos do Active Directory no
Windows Server 2008 R2.
Recurso Impacto de usar o ADMT v3.2
Contas de servio gerenciado Pode ser migrado usando o Assistente para

Migrao da Conta de Servio Gerenciado ou o
comando admt managedserviceaccount.
Garantia do Mecanismo de Autenticao Contas de usurio que esto habilitadas para a

Garantia de Mecanismo de Autenticao
precisam ser migradas usando um arquivo de
incluso
Importante
21
Recurso Impacto de usar o ADMT v3.2
O Nome do Usurio Principal (UPN)

alterado quando um usurio migrado,
o que impede o funcionamento da
Garantia do Mecanismo de
Autenticao. Para contornar esse
problema, voc precisa manter um
registro das UPNs das contas de
usurio que esto habilitadas para
Garantia de Mecanismo de
Autenticao e migr-las usando um
arquivo de incluso. Em um arquivo de
incluso, voc pode especificar as
targetUPNs para que esses usurios
sejam migrados. Assim voc pode
substituir as UPNs nesse domnio de
destino pela UPNS original do domnio
de origem. Para obter mais
informaes sobre como usar um
arquivo de incluso, consulte Usar um
arquivo de incluso.
Associao offline de domnio Nenhum impacto
Lixeira do Active Directory Nenhum impacto
Windows PowerShell No incorporado no ADMT v3.2
Prticas recomendadas para a migrao do

Active Directory
Para garantir que o processo de migrao seja o mais contnuo possvel, siga estas prticas
recomendadas:
Prticas recomendadas para o uso da Ferramenta de Migrao do Active Directory
Prticas recomendadas para a execuo de migraes de contas de usurio e de grupo
Prticas recomendadas para executar migraes de computadores
Prticas recomendadas para reverter uma migrao
22
Prticas recomendadas para o uso da
Ferramenta de Migrao do Active
Directory
Durante as migraes, faa backups regulares de controladores de domnio tanto nos
domnios de origem quanto nos domnios de destino. Se voc estiver migrando
computadores que contenham compartilhamentos de arquivo para a execuo de converso
de segurana, recomendamos que voc tambm faa backup desses computadores durante
migraes.
Antes de iniciar uma migrao, execute uma migrao de teste criando um usurio de teste,
adicionando o usurio de teste aos grupos globais adequados e verificando o acesso a
recursos antes e depois da migrao.
Teste seus cenrios de migrao em um ambiente de teste antes de migrar objetos do
ambiente de produo.
Tenha um plano de recuperao e garanta que seu plano de recuperao funcione durante a
fase de teste de sua migrao.
Descriptografe arquivos que tenham sido criptografados por meio do EFS (sistema de
criptografia de arquivos). Falha ao descriptografar arquivos criptografados resulta na perda
do acesso a arquivos criptografados aps a migrao. Certifique-se de comunicar aos
usurios finais de que eles precisaro descriptografar quaisquer arquivos criptografados ou
perdero o acesso a esses arquivos.
Garanta que o horrio do sistema esteja sincronizado em cada domnio do qual objetos
sejam migrados. A autenticao Kerberos falha se o horrio estiver diferente.
Prticas recomendadas para a execuo de

migraes de contas de usurio e de
grupo
migraes.
Recomenda-se migrar usurios em lotes. Um tamanho de lote de 100 usurios ajuda a
manter o processo de migrao gerencivel.
23
Importante
Sempre administre as alteraes em contas de usurio e contas de grupo no domnio de

origem durante o processo de migrao.
Use a opo Migrar e mesclar objetos conflitantes na pgina Gerenciamento de
Conflitos do Assistente para Migrao de Conta de Usurio e o Assistente para Migrao de
Conta de Grupo para repetir a migrao de usurios e grupos sempre que necessrio
durante a migrao. Administrar alteraes no domnio de origem e usar a opo Migrar e
mesclar objetos conflitantes durante a migrao faz com que todas as alteraes
realizadas em um objeto no domnio de origem sejam refletidas no domnio de destino
depois de migrado.
Para manter o acesso aos recursos, verifique se os membros do grupo aderem s seguintes
diretrizes:
Usam grupos globais para agrupar usurios.
Usam grupos locais para proteger recursos.
Inserem grupos globais em grupos locais para conceder aos membros dos grupos
globais acesso a um recurso.
Aderem s diretrizes na tabela a seguir quando voc converte perfis de usurio.
Tipo de perfil Diretrizes de converso
Perfis mveis Selecione a opo Converter perfis mveis

na pgina Opes do Usurio no Assistente
para Migrao de Conta de Usurio. Em
seguida, converta os perfis de usurio local
de um lote de usurios imediatamente depois
de migrar esses usurios.
Perfis locais Converta perfil locais como uma etapa parte

do processo de migrao de conta de
usurio. Selecione Perfis de usurio na
pgina Converter Objetos do Assistente
para Converso de Segurana. Converta os
perfis de usurio local de um lote de usurios
imediatamente depois de migrar esses
usurios.
Perfis no gerenciados Os usurios perdem seus perfis existentes

quando suas contas de usurio so migradas.
importante verificar se a converso do perfil local foi realizada com xito antes que os
usurios faam logon no domnio de destino. Se os usurios fizerem logon no domnio
de destino usando suas novas contas de destino e seus perfis no tiverem sido
convertidos com xito, eles precisaro migrar novamente do domnio de origem para o
24
domnio de destino. Para obter mais informaes sobre as etapas a serem seguidas se
uma converso de perfil local falhar, consulte Solucionando problemas de converso de
segurana.
Prticas recomendadas para executar

migraes de computadores
a migrao.
Verifique se as estaes de trabalho e os servidores membros foram reiniciados
imediatamente aps voc associ-los ao domnio de destino. A Ferramenta de Migrao do
Active Directory (ADMT) automatiza a reinicializao de estaes de trabalho e servidores
membros, mas voc deve utilizar a opo Minutos at que os computadores sejam
reinicializados aps a concluso do assistente do Assistente para Migrao de
Computadores para selecionar o perodo de tempo decorrido at que o computador seja
reiniciado. Os computadores que no forem reiniciados aps a migrao ficaro em um
estado indeterminado.
Comunique aos usurios finais que seus computadores devero estar conectados rede no
horrio agendado para migrao.
Prticas recomendadas para reverter uma

migrao
Reverta as contas de usurios e grupos que foram migradas entre florestas habilitando as
contas no domnio de origem (se elas foram desabilitadas durante a migrao), verificando
se as contas tm acesso aos recursos no domnio de origem e, em seguida, verificando se
os scripts de logon e os perfis de usurio funcionam conforme configurado no domnio de
origem.
Reverta os recursos que foram migrados entre florestas alterando a associao de domnio
de servidores e estaes de trabalho e, em seguida, reiniciando-os. Efetue logon nos
recursos no domnio de origem para garantir que os recursos sejam acessveis.
Reverta as contas e os recursos que foram migrados dentro de uma floresta migrando os
objetos novamente do domnio de destino para o domnio de origem. As contas e os recursos
25
Observao Observao
que foram migrados dentro de uma floresta so movidos e no so copiados. Portanto, eles
deixam de existir no domnio de origem.
Para garantir uma reverso bem-sucedida de uma migrao entre florestas, no
tente excluir os objetos no domnio de destino e, em seguida, restaur-los no
domnio de origem. No ser possvel recuperar os objetos do domnio de origem
porque eles so automaticamente excludos pelo proxy de movimentao entre
domnios aps tentativa de restaurao.
Ao executar uma migrao interna na floresta usando o ADMT v3.1, se o nvel
funcional do domnio de origem for o Windows 2000 misto, voc no poder migrar
os objetos novamente do domnio de destino para o domnio de origem para
desfazer as alteraes da migrao. Uma nova migrao requer que o domnio de
origem se torne o domnio de destino e, com o ADMT v3.1, o nvel funcional do
domnio de destino dever estar pelo menos no nvel do Windows 2000 nativo.
Reestruturao dos Domnios do Active

Directory Entre Florestas
A reestruturao de domnio do Active Directory entre florestas envolve realocar objetos de
domnios de origem em uma floresta para domnios de destino em outra. Pode ser necessrio
reestruturar domnios do Active Directory entre florestas para:
Migrar um domnio piloto para seu ambiente de produo.
Mesclar usurios e recursos com outra organizao devido a uma fuso corporativa e
necessidade de consolidar as duas infraestruturas de tecnologia da informao (TI).
Realocar usurios e recursos regularmente devido a uma implantao planejada de vrias
florestas.
Remover objetos de sua floresta devido a uma alienao para outra organizao ou para
mesclar posteriormente em uma floresta nova ou existente para essa organizao.
Nesta seo
Lista de verificao: Executando uma migrao entre florestas
Viso geral da reestruturao de domnios do Active Directory entre florestas (Guia de
Migrao da ADMT v3.1)
Reestruturando limitaes
Planejando reestruturar domnios do Active Directory entre florestas
Preparando os domnios de origem e de destino
Migrando Contas
Migrando Recursos
26
Executando a migrao
Lista de verificao: Executando uma

migrao entre florestas
A migrao de domnio do Active Directory entre florestas (migrao entre florestas) envolve
realocar objetos de domnios de origem em uma floresta para domnios de destino em outra.
Pode ser necessrio reestruturar os domnios do Active Directory entre as florestas pelos
seguintes motivos:
Para migrar um domnio piloto para seu ambiente de produo
Para mesclar sua floresta do Active Directory com a floresta de outra organizao e
consolidar as suas infraestruturas de tecnologia de informao (TI)
Tarefa Referncia
Leia as instrues de pr-instalao da Ferramenta de Instalando o ADMT no domnio de

Migrao do Active Directory (ADMT). destino
Para migrar computadores que estejam executando o Para obter mais informaes sobre
Windows Server 2008, o Windows Server 2003, o como fazer essa alterao usando a
Windows Vista (sem o Service Pack 1), o Windows XP Diretiva de Grupo, consulte Problemas
e o Microsoft Windows 2000 (usando o ADMT 3.1) para conhecidos relacionados instalao e
um domnio de destino com controladores de domnio remoo de AD DS
que estejam executando o Windows Server 2008 R2 ou (http://go.microsoft.com/fwlink/?
o Windows Server 2008, defina primeiro a seguinte LinkId=119321).
chave do Registro nos controladores de domnio de
destino:
Observao
Esta chave de Registro no precisa ser definida
para migrar computadores que executem o
Windows Server 2008 R2, o Windows 7 ou o
Windows Vista SP1.
Caminho do Registro:
HKLM\System\CurrentControlSet\Services\Netlogon
\Parameters
Valor do Registro: AllowNT4Crypto
Tipo: REG_DWORD
Dados: 1
Observao
27
Tarefa Referncia
Essa configurao do Registro corresponde

configurao Permitir algoritmos de
criptografia compatveis com
Windows NT 4.0 da Diretiva de Grupo.
Para tarefas de migrao que usem a implantao de Para obter mais informaes sobre
agente e o Firewall do Windows, habilite a exceo como fazer essa alterao no Firewall
Compartilhamento de Arquivo e Impressora. Isso pode do Windows, consulte Habilitar ou
incluir migrao nas seguintes situaes: desabilitar a exceo de
Migrao de computadores de estao de trabalho compartilhamento de arquivos e
e de servidores membros que estejam executando impressoras
o Windows Server 2008 R2, o Windows (http://go.microsoft.com/fwlink/?
Server 2008, o Windows Server 2003, o LinkID=119315).
Windows 7, o Windows Vista ou o Windows XP.
Migrao de configuraes de segurana ou
execuo de converso de segurana
Prepare-se para reestruturar os domnios do Instalando o ADMT no domnio de

Active Directory dentro de uma floresta. Essa tarefa destino
possui as seguintes subtarefas: Planejando reestruturar domnios do
Determine o processo de migrao da sua conta. Active Directory entre florestas
Atribua localizaes e funes de objeto.
Desenvolva um plano de testes para sua migrao.
Crie um plano de reverso.
Gerencie usurios, grupos e perfis de usurios.
Crie um plano de comunicao de usurio.
Prepare os domnios de origem e destino. Essa tarefa Instalando o ADMT no domnio de

possui as seguintes subtarefas: destino
Instale o software de criptografia de 128 bits. Planejando reestruturar domnios do
Estabelea confianas necessrias para a Active Directory entre florestas
migrao.
Estabelea contas de migrao para a sua
migrao.
Configure o domnios de origem e destino para a
migrao do histrico do identificador de segurana
(SID).
Configure a estrutura de unidade organizacional
(UO) do domnio de destino.
Instale o ADMT no domnio de destino.
28
Tarefa Referncia
Especifique contas de servio para a sua migrao.
Especifique e transfira contas de servio usando o Fazendo a transio de contas de

Assistente para Migrao de Conta de Servio ou as servio na sua migrao
ferramentas de linha de comando do ADMT. Voc pode
usar a ferramenta de linha de comando admt service
para especificar contas de servio no domnio de
origem. Voc pode usar a ferramenta de linha de
comando admt user para transferir as suas contas de
servio especificadas.
Migre grupos globais usando o Assistente para Migrando grupos globais

Migrao de Conta de Grupo ou a ferramenta de linha
de comando admt group.
Migre contas de servio gerenciado, contas de usurio Migrando contas ao usar o histrico
e contas de estao de trabalho com seus histricos SID
SID em lotes. Voc pode usar o Assistente para Migrando contas de servio gerenciado
Migrao de Conta de Usurio ou a ferramenta de linha
Migrando todas as contas de usurio
de comando admt user para migrar contas de usurio.
Voc pode usar o Assistente para Migrao de Conta
de Servio Gerenciado ou a ferramenta de linha de
comando admt managedserviceaccount para migrar
contas de servio gerenciado.
Migre recursos, como servidores membros e grupos de Repetindo a migrao de contas de

domnio local. Voc pode usar o Assistente para usurio e migrando estaes de
Migrao de Conta de Computador ou a ferramenta de trablaho em lotes
linha de comando admt computer para migrar contas
de computador. Voc pode usar o Assistente para
Migrao de Conta de Grupo ou a ferramenta de linha
de comando admt group para migrar grupos.
Converta segurana nos servidores para adicionar os Convertendo a segurana no modo de

SIDs das contas de usurio e de grupo no domnio de adio
destino s contas de listas de controle de acesso
(ACLs) de todos os recursos. Voc pode usar o
Assistente para converso de segurana ou a
ferramenta de linha de comando admt security.
Repita migraes de contas de usurio, computadores Repetindo a migrao de contas de

de estao de trabalho e servidores membros, incluindo usurio e migrando estaes de
a converso de perfis de usurios locais para objetos trablaho em lotes
de usurio e de computador migrados anteriormente.
Faa a migrao de grupos locais de domnio usando o Migrando grupos locais compartilhados
29
Tarefa Referncia
Assistente para Migrao de Conta de Grupo ou a e de domnio

ferramenta de linha de comando admt group.
Migre controladores de domnio. Migrando controladores de domnio
Concluir tarefas ps-migrao. Essa tarefa possui as Fazendo a converso de segurana em

seguintes subtarefas: servidores membros
Faa a converso de segurana em servidores Descomissionando o domnio de
membros. origem
Encerre os domnios de origem.
Viso geral da reestruturao de domnios

do Active Directory entre florestas (Guia
de Migrao da ADMT v3.1)
Ao reestruturar domnios entre florestas, voc pode reduzir o nmero de domnios em sua
organizao, o que ajuda a reduzir a complexidade administrativa e os custos de sobrecarga
associados do ambiente do Active Directory. A reestruturao de domnios envolve copiar contas
e recursos de um domnio de origem para um domnio de destino em outra floresta do Active
Directory. Se voc estiver usando a verso 3.1 da Ferramenta de Migrao do Active Directory
(ADMT), o domnio de destino dever estar pelo menos em um nvel funcional nativo do
Windows 2000. Se voc estiver usando a verso 3.2 do ADMT, os domnios de origem e de
destino devero estar pelo menos em um nvel funcional do Windows Server 2003.
Se sua organizao tiver sido fundida a outra organizao ou infraestrutura de tecnologia da
informao (TI), voc poder reestruturar domnios para consolidar contas e recursos entre as
duas infraestruturas.
Nesta seo
Processo de reestruturao de domnios do Active Directory entre florestas
Informaes bsicas sobre a reestruturao de domnios do Active Directory entre florestas
Processo de reestruturao de domnios do

Active Directory entre florestas
30
Reestruturar domnios do Active Directory entre florestas envolve o planejamento e a preparao
da reestruturao de domnio para sua organizao. Essa tarefa tambm requer que contas e
recursos sejam migrados para um domnio do Active Directory em outra floresta. A figura a seguir
mostra o processo de reestruturao de domnios do Active Directory entre florestas.
Informaes bsicas sobre a reestruturao

de domnios do Active Directory entre
florestas
O processo de migrao entre florestas no considerado destrutivo porque os objetos de
migrao continuam a existir no domnio de origem at que o domnio de origem seja
descomissionado. Como os ambientes do domnio de origem e de destino existem
simultaneamente durante a migrao, voc tem a opo de reverter para o ambiente de origem
caso a migrao falhe por algum motivo, por exemplo, se um determinado objeto no migrar ou o
acesso no for mantido e preservado no domnio de destino aps a execuo da migrao. Voc
pode usar a Ferramenta de Migrao do Active Directory (ADMT) para migrar contas e recursos
entre domnios, preservando permisses de usurio e objeto. Durante o processo de
reestruturao entre florestas, os usurios tm acesso contnuo a recursos necessrios. Alm
disso, voc pode mover usurios, grupos e recursos independentemente um do outro.
As sees restantes neste tpico explicam o processo de migrao de conta e recurso.
31
Processo de migrao de conta
A reestruturao de contas entre florestas do Active Directory envolve a cpia de usurios,
grupos e perfis locais do domnio de origem para o domnio de destino, preservando os direitos
de acesso e atributos desses objetos.
Quando contas de usurio so migradas entre domnios do Active Directory em florestas
diferentes, a conta original permanece em seu lugar no domnio de origem e uma nova conta
criada no domnio de destino. Como o identificador de segurana (SID) de uma entidade de
segurana (usurio ou grupo) sempre contm um identificador para o domnio no qual a entidade
de segurana est localizada, um novo SID criado para o usurio no domnio de destino.
Como o ADMT pode migrar o SID da entidade de segurana original para a entidade de
segurana do domnio de destino, no preciso executar tarefas adicionais para garantir acesso
a recursos a menos que voc esteja usando a filtragem do SID entre as florestas.
Se voc estiver usando o ADMT v3.1 e a verso 5.5 do Microsoft Exchange Server, use o
Assistente para Migrao do Exchange Server do ADMT para converter a segurana nas caixas
de correio dos usurios migrados. Se estiver usando servidores Exchange 2000, o ADMT no
fornece ferramentas para migrao de caixa de correio. Neste caso, planeje migrar caixas de
correio primeiro usando a ferramenta de migrao de caixa de correio do Exchange 2000 e
depois migre contas de usurio.
Se estiver usando a Diretiva de Grupo para gerenciar redirecionamento de pasta ou distribuio
de software, certifique-se de que estas diretivas continuem aplicveis ao migrar contas de
usurio para uma nova floresta. Alm disso, se estiver usando um objeto de Diretiva de Grupo
(GPO) para conceder ou negar acesso no domnio de origem e no no domnio de destino, o
ADMT no poder determinar o acesso remoto a ser atribudo ao usurio.
Se estiver usando a Diretiva de Grupo para gerenciar redirecionamento de pasta, Arquivos
Offline no funcionar depois que a conta de usurio for migrada para uma nova floresta.
Arquivos Offline armazena o SID do usurio como proprietrio; o SID alterado quando a conta
de usurio migrada. Para restaurar a propriedade de Arquivos Offline, use o Assistente para
converso de segurana do ADMT para substituir as permisses nos arquivos e pastas no
computador cliente que contm o cache de arquivos offline.
Para garantir que os usurios continuem tendo acesso a Arquivos Offline aps migrar contas de
usurio para o domnio de destino, voc pode fazer o seguinte:
1. Converta segurana em computadores clientes para atualizar Arquivos Offline.
2. Se o histrico do SID da conta de usurio no tiver sido migrado para o domnio de destino,
converta segurana no servidor que hospeda pastas redirecionadas.
Se estiver usando redirecionamento de pasta, uma das seguintes opes ocorre:
Se o caminho do redirecionamento de pasta for diferente no novo ambiente, os usurios
podero acessar a pasta se o histrico do SID da conta de usurio tiver sido migrado para o
domnio de destino. A extenso do redirecionamento de pasta copia os arquivos do local
original no domnio de origem para o novo local no domnio de destino. O histrico do SID
permite que a conta de usurio acesse as pastas de origem.
32
Se o caminho do redirecionamento de pasta for o mesmo no novo ambiente, os usurios no
podero acessar a pasta redirecionada porque o redirecionamento de pasta ir verificar a
propriedade da pasta redirecionada e falhar. Ser preciso, ento, converter segurana na
pasta redirecionada no servidor.
Se estiver usando a Diretiva de Grupo para gerenciar instalao de software e o pacote Windows
Installer exigir acesso origem original para operaes como reparo e remoo, ser preciso
converter segurana no ponto de distribuio do software aps migrar usurios para garantir que
a instalao do software continue funcionando corretamente no domnio de destino.
Processo de migrao de recurso

Domnios do Active Directory incluem trs tipos de recursos:
Contas de estao de trabalho
Contas de servidor membro
Recursos em servidores membros
A migrao de estaes de trabalho e servidores membros um processo simples. Os grupos
locais que voc cria para atribuir permisses a usurios esto localizados no banco de dados do
Gerenciador de Contas de Segurana (SAM) e so movidos quando voc move o servidor. No
preciso reconfigurar ACLs (listas de controle de acesso) para que os usurios possam acessar
recursos aps a migrao.
Para migrar controladores de domnio entre domnio, remova os Servios de Domnio Active
Directory (AD DS) do controlador de domnio, migre-o como servidor membro para o domnio de
destino e reinstale o AD DS.
Planejando reestruturar domnios do Active

Directory entre florestas
Conclua as tarefas de planejamento necessrias antes de comear a migrao. Isso ajuda a
garantir que os usurios possam continuar a fazer logon na rede e a acessar recursos durante a
migrao. O planejamento da reestruturao do domnio envolve o seguinte:
Determinar seu processo de migrao de conta
Atribuir localizaes e funes de objeto
Desenvolver um plano de teste
Criar um plano de reverso a ser usado caso ocorra falha na migrao
Gerenciar usurios, grupos e perfis de usurio
Criar um plano de comunicao de usurio final
Para se preparar para o processo de reestruturao, a equipe de implantao do Active Directory
precisa obter as informaes de design necessrias com a equipe de design do Active Directory.
33
A ilustrao a seguir mostra as etapas envolvidas no planejamento da reestruturao de
domnios do Active Directory entre florestas.
Determinando seu processo de migrao de

contas
Com a Ferramenta de Migrao do Active Directory (ADMT), voc pode usar o histrico do SID
(identificador de segurana) para manter permisses de recursos ao migrar contas. Contudo, se
a filtragem do SID estiver habilitada entre seus domnios de origem e de destino e voc no
confiar nos administradores do domnio de origem, no ser possvel desabilitar a filtragem do
SID. Voc tambm no poder usar o histrico do SID para conceder acesso a recursos do
domnio de origem. Neste caso, ser preciso usar um processo de migrao diferente.
Voc pode escolher um dos trs mtodos a seguir para migrar contas entre florestas enquanto
mantm os direitos do usurio de acessar recursos no domnio de origem:
Migrar contas de usurio ao usar o histrico do SID para acessar recursos. Com este
mtodo, voc remove a filtragem do SID nas confianas entre os domnios para permitir que
os usurios acessem recursos do domnio de origem por meio de suas credenciais do
histrico do SID.
Se tiver uma confiana de floresta, remova a filtragem do SID na confiana de floresta.
(Voc tambm pode substituir a confiana de floresta criando uma confiana externa
34
para que o domnio que mantm os recursos confie no domnio de destino e, em
seguida, removendo a filtragem do SID na confiana externa).
Se no tiver uma confiana de floresta, estabelea confianas externas entre os
domnios de origem e de destino. Voc precisa remover a filtragem do SID nas
confianas externas se o controlador de domnio que foi usado para criar a confiana
que est executando Windows Server 2008 R2, Windows Server 2008 ou o
Windows Server 2003. Se voc estiver usando o ADMT v3.1, o controlador de domnio
que usado para criar a confiana que pode estar executando o Windows 2000 Service
Pack 4 (SP4) ou posterior.
Para obter mais informaes sobre o processo, consulte Migrando contas ao usar o histrico
SID, posteriormente neste guia.
Migre todos os usurios, grupos e recursos para o domnio de destino em uma etapa. Para
obter mais informaes sobre o processo, consulte Migrando contas ao usar o histrico SID,
posteriormente neste guia.
Migre contas de usurio sem usar o histrico do SID para acessar recursos, mas converta a
segurana para todos os recursos antes do processo de migrao para garantir o acesso a
recursos. Para obter mais informaes sobre a migrao de contas sem usar o histrico do
SID, consulte Migrando contas sem usar o histrico SID, posteriormente neste guia.
Para determinar o melhor processo de migrao para a sua organizao, preciso antes
determinar se possvel desabilitar a filtragem do SID e migrar contas ao usar o histrico do SID
para acessar recursos. possvel faz-lo com segurana se os administradores do domnio de
origem confiarem completamente nos administradores do domnio de destino. Voc pode
desabilitar a filtragem do SID se uma das seguintes condies se aplicar:
Os administradores do domnio confiante so os administradores do domnio confivel.
Os administradores do domnio confiante confiam nos administradores do domnio confivel
e esto certos de terem protegido o domnio adequadamente.
Ao desabilitar a filtragem do SID, voc remove o limite de segurana entre florestas, que fornece
isolamento de dados e de servio entre as florestas. Por exemplo, um administrador do domnio
de destino com direitos de administrador de servio ou um indivduo com acesso fsico a um
controlador de domnio pode modificar o histrico do SID de uma conta para incluir o SID de um
administrador de domnio do domnio de origem. Quando a conta de usurio para a qual o
histrico do SID foi modificado fizer logon no domnio de destino, ela apresenta credenciais de
administrador de domnio vlidas para, e pode obter acesso a recursos do domnio de origem.
Por esse motivo, se voc no confiar nos administradores do domnio de destino ou no
acreditar que os controladores de domnio do domnio de destino so fisicamente seguros,
habilite a filtragem do SID entre seus domnios de origem e de destino e migre contas de usurio
sem usar o histrico do SID para acessar recursos.
A ilustrao a seguir mostra o processo de deciso envolvido na determinao do processo de
migrao adequado para a sua organizao.
35
Usando o histrico SID para preservar o
acesso a recursos
A prtica recomendada para conceder acesso a recursos usando os grupos globais para
organizar os usurios e os grupos locais do domnio para proteger os recursos. Insira grupos
globais em um grupo local do domnio para conceder aos membros do grupo global acesso ao
recurso. Um grupo global pode conter somente membros de seu prprio domnio. Quando um
usurio migrado entre domnios, todos os grupos globais aos quais o usurio esteja associado
tambm precisam ser migrados. Isso garante que os usurios possam continuar a acessar os
recursos que esto protegidos pelas listas de controle de acesso (DACLs) discricionrio relativas
aos grupos globais. Depois de migrar uma conta e de manter o histrico de identificador de
segurana (SID) da conta do domnio de origem, quando um usurio faz logon no domnio de
destino, tanto o novo SID quanto o SID original do atributo de histrico SID so adicionados ao
token de acesso do usurio. Esses SIDs determinam os membros do grupo local do usurio. Os
36
SIDs dos grupos aos quais o usurio est associado so adicionados ao token de acesso, junto
com o histrico SID dos grupos.
Os recursos dentro dos domnios de origem e de destino resolvem suas listas de controle de
acesso (ACLs) dos SIDs e verificam correspondncias entre suas ACLs e o token de acesso ao
conceder ou negar acesso. Se o SID ou o histrico SID corresponderem, o acesso ao recurso
concedido ou negado, de acordo com o acesso especificado na ACL. Se o recurso estiver no
domnio de origem e voc no tiver executado a converso de segurana, ele usar o histrico
SID da conta do usurio para conceder acesso.
Voc tambm pode preservar o SID original dos grupos globais e dos grupos universais no
histrico SID desses grupos no domnio de destino. Como os membros de grupo local baseiam-
se nos SIDs, quando voc migra o SID para o histrico SID do grupo global ou do grupo
universal no domnio de destino, os membros de grupo local do grupo global ou do grupo
universal so preservados automaticamente.
O histrico SID usado para isto:
Acesso ao perfil de usurio mvel
Acesso de autoridade de certificao
Acesso instalao de softwares
Acesso a recursos
Se voc no estiver usando o histrico SID para acessar recursos, voc ainda assim ter que
migrar o histrico SID para facilitar o acesso a esses itens.
Usando filtragem de SID durante a migrao

de contas de usurios
Para uma confiana de domnio a domnio, a filtragem de SID (identificador de segurana) no
permite o uso de SIDs de fora do domnio confivel para habilitar o acesso a qualquer recurso
dentro do domnio confiante. Para uma confiana de floresta a floresta, a filtragem de SID no
permite o uso de SIDs de fora do domnio confivel para habilitar o acesso a qualquer recurso
dentro de qualquer domnio na floresta confivel.
Para habilitar o SID de um usurio em uma floresta diferente para acessar um recurso dentro de
uma floresta com a filtragem de SID habilitada, converta a segurana no recurso para incluir o
SID de usurio na lista de permisses.
A filtragem de SID aplicada por padro quando a confiana de uma floresta estabelecida
entre dois domnios raiz da floresta. Alm disso, a filtragem de SID habilitada por padro
quando confianas externas so estabelecidas entre controladores de domnio que estejam
executando o Windows 2000 Service Pack 4 (SP4) ou posterior. Isso evita ataques de segurana
potenciais por administrador em uma floresta diferente.
Como a filtragem de SID no se aplica autenticao dentro de um domnio, tambm ser
possvel permitir acesso aos recursos por meio do histrico de SID, se o recurso e a conta
37
estiverem no mesmo domnio. Para permitir que usurios ou grupos acessem um recurso
usando um histrico de SID, a floresta em que o recurso est localizado deve confiar na floresta
em que a conta est localizada.
Para obter mais informaes sobre ataques baseados no histrico de SID e sobre a filtragem de
SID, consulte Definindo configuraes da filtragem de SID (http://go.microsoft.com/fwlink/?
LinkId=73446) (em ingls).
Atribuindo funes e localizaes de objetos

Crie uma tabela de atribuio de objetos que liste as funes e os locais de todos os objetos que
voc est migrando. Crie uma tabela para objetos de conta, como usurios, grupos e contas de
servio, e outra tabela para objetos de recurso, como estaes de trabalho, perfis e
controladores de domnio. Em suas tabelas, liste as localizaes da origem e do destino de todos
os objetos a serem migrados.
Antes de criar sua tabela de atribuio de objetos de contas, determine se as estruturas da UO
(unidade organizacional) dos domnios de origem e de destino so as mesmas. Se no forem as
mesmas, voc dever identificar a UO de origem e de destino em suas tabelas de atribuio de
objetos.
Para obter uma planilha que ajudar voc a criar uma tabela de atribuio de objetos consulte
"User and Group Object Assignment Table" (Tabela de atribuio de objetos de usurio e de
grupo) (DSSREER_1.doc) no download
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services do Auxlio de Trabalho
para o Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink?LinkId=14384) (em
ingls).
A ilustrao a seguir mostra um exemplo de uma tabela de atribuio de objetos para usurios e
grupos.
38
Para criar uma tabela de atribuio de objetos de recursos, identifique a UO de origem e de
destino de cada objeto e anote o local fsico e a funo no domnio de destino. Para obter uma
planilha que ajudar voc a criar uma tabela de atribuio de objetos de recursos, consulte
"Resource Object Assignment Table" (Tabela de atribuio de objetos de recursos)
(DSSREER_2.doc) no download
ingls).
A ilustrao a seguir mostra um exemplo de uma tabela de atribuio de objetos de recursos.
39
Desenvolvendo um plano de testes para a
sua migrao
A Ferramenta de Migrao do Active Directory no inclui uma opo de migrao de teste. No
entanto, voc pode desenvolver um plano que ajude voc a testar sistematicamente os objetos
depois de migr-los para o novo ambiente e que permita a voc identificar e corrigir quaisquer
problemas que possam ocorrer. Realizar testes para verificar se a migrao foi bem-sucedida
ajuda a garantir que os usurios migrados do domnio de origem para o domnio de destino
possam fazer logon, acessar recursos baseados em uma associao de grupo e acessar
recursos baseados em credenciais de usurio. A realizao de testes tambm ajuda a garantir
que os usurios possam acessar os recursos que voc migrou.
Depois de concluir os testes, voc poder continuar migrando pequenos grupos piloto e, em
seguida, aumentar gradualmente o tamanho de cada lote de objetos de migrao no seu
ambiente de produo.
40
Use o seguinte processo para testar a migrao do objeto de conta e de objetos de recurso:
1. Crie um usurio de teste no domnio de origem. Inclua esse usurio de teste em suas
migraes.
2. Associe esse usurio aos grupos globais apropriados para permitir acesso aos recursos.
3. Faa logon no domnio de origem como o usurio de teste e verifique se consegue acessar
os recursos de modo apropriado.
4. Depois de migrar a conta de usurio, converta o perfil de usurio e migre a estao de
trabalho do usurio, faa logon no domnio de destino como o usurio de teste e verifique se
o usurio manteve as funcionalidades e os acessos necessrios. Por exemplo, voc pode
realizar um teste para verificar se:
O usurio consegue fazer logon com xito.
O usurio tem acesso a todos os recursos apropriados (como compartilhamentos de
arquivos e impressoras), acesso a servios (como envio de mensagens) e acesso a
aplicativos de linha de negcios (LOB). especialmente importante testar o acesso a
aplicativos desenvolvidos internamente que acessam servidores de bancos de dados.
O perfil de usurio foi convertido com xito e o usurio mantm as configuraes da rea
de trabalho, a aparncia da rea de trabalho, os atalhos e o acesso pasta Meus
Documentos. Alm disso, verifique se os aplicativos so exibidos no menu Iniciar e se
podem ser iniciados por esse menu.
Ao migrar contas de usurio, voc no poder migrar todas as propriedades de usurio.
Para obter mais informaes sobre as propriedades de usurio que no podem ser
migradas, consulte Migrar contas de usurio, posteriormente neste guia.
Depois de migrar recursos, faa logon como usurio de teste no domnio de destino e verifique
se consegue acessar os recursos de modo apropriado.
Se ocorrer falha em alguma etapa do processo de teste, identifique a origem do problema e
determine se voc pode corrigi-lo antes que o objeto precise ficar acessvel no domnio de
destino. Se voc no conseguir corrigir o problema antes que o acesso ao objeto seja
necessrio, reverta para sua configurao original para garantir o acesso ao usurio ou ao objeto
de recurso. Para obter mais informaes sobre como criar um plano de reverso, consulte
Criando um Plano de Reverso, posteriormente neste guia.
Como parte do plano de teste, crie uma matriz de teste de migrao. Preencha uma matriz de
teste para cada etapa concluda no processo de migrao. Por exemplo, se voc migrar 10 lotes
de usurios, preencha a matriz de teste 10 vezes, uma para cada lote migrado. Se voc migrar
10 servidores membros, preencha uma matriz de teste para cada um dos 10 servidores.
Para obter uma planilha que ajudar voc a criar uma matriz de teste, consulte "Migration Test
Matrix" (Matriz de teste de migrao) (DSSREER_3.doc) no download
ingls).
A ilustrao a seguir mostra um exemplo de matriz de teste de migrao concluda.
41
Criando um Plano de Reverso
Reduza o risco de interromper usurios finais em sua organizao estabelecendo um plano de
reverso. Em geral, possvel isolar e resolver quaisquer problemas que ocorram durante cada
fase da migrao. Entretanto, importante analisar possveis riscos e identificar os nveis de
impacto e inatividade do usurio que podem exigir a reverso da migrao. Poder ser
necessrio reverter sua migrao se ocorrer alguma das seguintes situaes:
42
Observao
Os usurios no puderem efetuar logon em suas contas aps a migrao.

Os usurios no puderem acessar recursos aps a migrao.
A migrao do usurio estiver incompleta; por exemplo, as senhas no foram migradas.
A migrao do usurio foi bem-sucedida, mas houve falha na migrao da estao de
trabalho do usurio ou na converso do perfil local.
Se o impacto ou inatividade do usurio atingir um nvel que voc tenha definido como inaceitvel
em sua organizao, voc poder implementar seu plano de reverso e continuar a operar em
seu ambiente de pr-migrao. Como o domnio de origem permanece intacto durante a
reestruturao, voc poder restaurar o ambiente original concluindo algumas etapas principais.
Para reverter para o ambiente de pr-migrao aps a migrao de objetos de contas:
1. Habilite as contas do usurio no domnio de origem (se voc as desativou durante o
processo de migrao).
2. Notifique os usurios para efetuar logoff no domnio de destino.
3. Notifique os usurios para efetuar logon no domnio de origem.
4. Verifique se os usurios podem acessar os recursos.
5. Verifique se os scripts de logon e os perfis de usurios dos usurios funcionam conforme
configurado no domnio de origem.
O processo de reverso de objetos de recursos semelhante ao dos objetos de contas. Para
reverter para o ambiente de pr-migrao aps a migrao de objetos de recursos:
1. Altere a associao de domnio do servidor ou da estao de trabalho para o domnio de
origem.
2. Reinicie o servidor ou a estao de trabalho.
3. Efetue logon como um usurio e verifique se voc pode acessar o recurso.
Se voc tiver de modificar objetos, como servidores de membros ou controladores
de domnio, para migr-los para o domnio de destino, faa backup de todos os
dados antes de fazer as modificaes e executar a migrao.
Gerenciando usurios, grupos e perfis de

usurio
necessrio definir como os objetos que esto sendo migrados sero administrados durante o
processo de restruturao entre florestas. Quando voc estabelece procedimentos
administrativos para objetos de migrao, possvel preservar os objetos tanto no domnio de
origem quanto no de destino. Sendo assim, voc pode retornar ao ambiente de pr-migrao se
o processo de restruturao no obtiver xito.
Planeje a administrao e o gerenciamento dos seguintes tipos de objetos de migrao de conta:
43
Contas de usurio, incluindo identificadores de segurana (SIDs)
Membros do grupo global
Perfis de usurio
Administrando contas de usurio

Durante o processo e migrao, as contas de usurio existiro tanto no domnio de origem
quanto no de destino. Administre as alteraes de contas de usurio no domnio em que o objeto
de usurio esteja ativo. Continue a administrar as alteraes de membros do grupo no domnio
de origem enquanto a migrao est ocorrendo. Use a opo Migrar e mesclar objetos
conflitantes na Ferramenta de Migrao do Active Directory (ADMT) para repetir a migrao de
contas de usurio com a frequncia necessria durante o processo de migrao. Isso garantir
que as alteraes feitas na conta no domnio de origem sejam propagadas para a conta no
domnio de destino. Essa operao mescla a conta existente e a nova conta de forma que a
administrao do objeto possa continuar no domnio de origem enquanto o processo de
migrao est em andamento.
A opo Migrar e mesclar objetos conflitantes aplica estas diretrizes quando uma conta
migrada:
Se voc alterar um atributo no domnio de destino e ele no for usado no domnio de origem,
ele no ser substitudo pelo valor NULO do domnio de origem.
Se voc alterar um atributo no domnio de destino e ele for usado no domnio de origem, ele
ser substitudo pelo valor do domnio de origem.
Se o usurio est associado a grupos, essas associaes so mescladas a partir das
associaes na origem e no destino.
Se esse comportamento no for desejado, voc pode configurar o ADMT para excluir atributos
para que eles no sejam migrados. Assim, os atributos no domnio de destino so mantidos.
Por exemplo, suponha que depois de migrar um usurio voc defina atributos no novo objeto de
usurio no domnio de destino, como um nmero de telefone ou nmero de escritrio. Voc
repete a migrao do usurio usando a opo Migrar e mesclar objetos conflitantes no ADMT
e as novas informaes so mantidas no domnio de destino. Se voc alterou os membros de
grupos relacionados ao usurio no domnio de origem, as alteraes so propagadas para o
domnio de destino quando voc repete a migrao.
Alguns atributos so excludos da migrao. Esses atributos incluem:
Atributos que so sempre excludos pelo sistema
Atributos que esto na lista de excluso de atributos do sistema
Atributos que so configurados pelo administrador para serem excludos
Atributos que so sempre excludos pelo sistema

Alguns atributos so sempre excludos da migrao pelo ADMT e no podem ser configurados
para migrao. Isso protege os atributos de propriedade do sistema. Esses atributos incluem:
Identificador global exclusivo (GUID) do objeto
44
SIDs (Embora os SIDs possam ser adicionados ao histrico de SID do objeto no domnio de
destino.)
LegacyExchangeDN
Lista de excluso de atributos do sistema

Na primeira vez que voc executa a migrao de usurio do ADMT, o ADMT gera uma lista de
excluso de atributos do sistema, que armazenada no seu banco de dados. A lista de excluso
de atributos do sistema contm dois atributos por padro: mail e proxyAddresses. O ADMT
tambm l o esquema no domnio de destino e adiciona lista os atributos que no faam parte
do esquema base. Os atributos nessa lista so excludos das operaes de migrao mesmo se
eles no tiverem sido especificados na lista de excluso de atributos. Um administrador pode
alterar a lista de excluso de atributos do sistema somente por meio do uso de um script. Isso
protege os atributos que so importantes para que os aplicativos baseados em servidor, como o
Microsoft Exchange, funcionem. Se o esquema de domnio de destino for estendido
adicionalmente depois que o ADMT tiver gerado a lista, os administradores precisaro adicionar
manualmente os novos atributos lista, a menos que tenham certeza de que copiar os valores
desses atributos no ir interferir nos aplicativos baseados em servidor.
Lista de excluso de atributos

Os administradores podem definir uma lista de atributos que so excludos de cada migrao.
Isso chamado de lista de excluso de atributos. Por padro, quando voc usa o console do
ADMT, as informaes de estado dos atributos que so configurados para excluso so
armazenadas na interface do usurio e includas na lista de excluso para a prxima migrao.
Os scripts e os atributos de linha de comando no possuem informaes de estado. Por isso,
eles no so armazenados na interface do usurio. Esses atributos precisam ser adicionados
lista de excluso de atributos relacionada a cada operao de migrao, usando o nome do
atributo ou um arquivo de opo.
Administrando grupos globais

Continue a administrar os grupos do domnio de origem durante o processo de migrao. Repita
a migrao dos grupos sempre que necessrio usando a opo Migrar e mesclar objetos
conflitantes no ADMT. Isso garantir que as alteraes realizadas aos membros dos grupos no
domnio de origem sejam propagadas aos grupos no domnio de destino.
Planejando uma migrao de perfil de usurio

Os perfis de usurio armazenam dados e informaes do usurio sobre as configuraes da
rea de trabalho do usurio. Os perfis de usurio podem ser mveis ou locais. O processo de
migrao diferente para os perfis mveis e para os locais.
A converso de perfis um tipo de converso de segurana, e os perfis so convertidos durante
o processo de migrao. Se voc realizar a converso de segurana no modo de adio, os
45
Importante
SIDs tanto nos domnios de destino quanto nos de origem tero acesso ao perfil. Portanto, se
voc tiver que reverter para o ambiente de origem, o SID do domnio de origem poder usar o
perfil. Se voc realizar a converso de traduo de segurana no modo de substituio, ser
necessrio repetir a converso do perfil usando um arquivo de mapeamento de SID (desfazendo
a converso de segurana) para reverter para o ambiente de origem.
Se voc tiver que reverter para a sua configurao original, notifique os usurios de que
as alteraes no perfil realizadas no domnio de destino no so refletidas no domnio de
origem.
Algumas organizaes podem optar por no migrar perfis de usurio. Outras organizaes
podem optar por substituir as estaes de trabalho dos usurios durante o processo de migrao
de contas de usurios e usar uma ferramenta como a Ferramenta de Migrao de Perfil do
Usurio (USMT) para migrar dados e configuraes de usurio aos novos computadores dos
usurios. A tabela a seguir resume os requisitos de migrao para perfis de usurio.
Tipo Descrio Requisitos de migrao
Perfis mveis Os perfis de usurio so Se voc estiver migrando

armazenados de forma perfis mveis que estejam
centralizada nos servidores. Os sendo usados no Windows
perfis ficam disponveis para o Vista ou posterior, prepare-os
usurio, independentemente da para a migrao. Para obter
estao de trabalho que est mais informaes, consulte
sendo usada. Preparao para a migrao
de perfis mveis com
computadores que executam o
Windows Vista e o Windows 7.
Durante a migrao da conta
de usurio, selecione
Converter perfis mveis na
pgina Opes de usurio no
Assistente para Migrao de
Conta de Usurio. Em
seguida, converta os perfis de
usurio local de um lote de
usurios imediatamente
depois de migrar esses
usurios.
Perfis locais Os perfis de usurio ficam Converta perfil locais como

armazenados localmente na uma etapa parte do
estao de trabalho. Quando um processo de migrao de
usurio faz logon em outra conta de usurio. Selecione a
estao de trabalho, um perfil de opo Perfis de usurio na
46
Tipo Descrio Requisitos de migrao
usurio local exclusivo criado. pgina Converter Objetos do

Assistente para Converso de
Segurana. Converta os perfis
de usurio local de um lote de
usurios imediatamente
depois de migrar esses
usurios.
Perfis no gerenciados O mesmo que os perfis locais. Os usurios perdem seus

perfis existentes quando suas
contas de usurio so
migradas.
Atualizao de hardware As informaes de estado do Faa a migrao como uma

usurio ficam armazenadas etapa parte da migrao de
localmente na estao de conta de usurio. Migre os
trabalho. perfis para o novo computador
do usurio usando uma
ferramenta como o USMT.
Preparao para a migrao de perfis mveis com

computadores que executam o Windows Vista e o
Windows 7
O local de um perfil mvel configurado para uma conta de usurio de domnio e especificado
da forma a seguir:
\\host.name.fqdn\ProfileShare\<nomedoperfil>
Normalmente, <nomedoperfil> substitudo por %nomedousurio%. Portanto, o local real de um
perfil mvel para o usurio RoamUserX :
\\host.name.fqdn\ProfileShare\RoamUserX
A pasta do perfil mvel (neste exemplo, RoamUserX) criada no momento do primeiro logon de
RoamUserX e os dados reais do perfil so armazenados nessa pasta.
No Windows Vista, foi feita uma alterao nos perfis que os tornavam incompatveis com as
verses anteriores do Windows. Para diferenciar os novos perfis, uma extenso .V2 foi
adicionada a todos os perfis mveis para usurios em computadores com o Windows Vista e
posterior em execuo.
O local de um perfil mvel para o mesmo usurio RoamUserX de um computador que executa o
Windows Vista ou o Windows 7 :
\\host.name.fqdn\ProfileShare\RoamUserX.V2
Esta verso pode coexistir com um perfil mvel de uma verso anterior do Windows.
47
Somente o ADMT v3.2 distingue os dois nomes diferentes das pastas dos perfis. As verses
anteriores do ADMT s procuram a pasta denominada <nomedoperfil> e no tentam localizar a
existncia de um perfil V2. Portanto, as verses anteriores do ADMT no migram perfis mveis
para computadores com o Windows Vista e o Windows 7 em execuo.
Para migrar uma pasta de perfil mvel usando o ADMT v3.2, a lista controle de acesso padro da
pasta precisa ser modificada. Por padro, quando um usurio faz logon e a pasta e os contedos
do perfil mvel so criados, as pastas <nomedoperfil> ou <nomedoperfil>.V2 recebem as
seguintes ACLs:
SYSTEM Controle Total
nome_do_usurio - Controle Total
Proprietrio = nome_do_usurio
Portanto, somente o proprietrio do perfil e o sistema local em que o compartilhamento reside,
podem acessar a pasta <nomedoperfil> ou <nomedoperfil>.V2. Quando a pasta tem essas
permisses atribudas, o ADMT no pode acessar a pasta para a converso de segurana.
Para configurar as permisses da pasta para permitir que o ADMT v3.2 migre o perfil mvel,
voc pode habilitar uma configurao de Diretiva de Grupo para o domnio. Em Windows
Server 2008 R2, a configurao :
Configurao do computador\Diretivas\Modelos administrativos\Sistema\Perfis de
usurio\Adicionar o grupo de segurana 'Administradores' a perfis mveis de usurios
Se essa configurao for habilitada e propagada antes do primeiro logon do usurio (antes do
perfil mvel ser criado), o diretrio do perfil mvel ter uma permisso adicionada que concede
Controle Total aos membros do grupo Administradores do host do compartilhamento
(host.nome.fqdn neste exemplo).
Aps essa configurao ser habilitada, as migraes podem ser executadas contanto que o
usurio que executa o ADMT v3.2 esteja includo no grupo Administradores do
compartilhamento.
O usurio que executa o ADMT precisa do acesso Controle Total nas pastas de perfis mveis.
Para isso, voc pode experimentar uma das opes a seguir:
1.
2. Crie um script (por exemplo, usando o Windows PowerShell) que execute o seguinte:
a. Seja executado como SYSTEM na mquina de compartilhamento (host.nome.fqdn neste
exemplo)
b. Adicione o grupo de segurana Administradores ao conjunto de ACLs das pastas de
perfis, propagando para todas as subpastas e arquivos.
c. Adicione o grupo de segurana Administradores com Controle Total ao conjunto de ACLs
das pastas de perfis e faa com que a permisso seja herdada em todas as subpastas e
arquivos.
3. Crie um script (por exemplo, usando o Windows PowerShell) que execute o seguinte:
a. Seja executado no contexto de cada usurio mvel (por exemplo, como uma tarefa de
logon).
48
b. Adicione o grupo de segurana Administradores com Controle Total ao conjunto de ACLs
das pastas de perfis e faa com que a permisso seja herdada em todas as subpastas e
arquivos.
Criando um plano de comunicao de

usurio final
Desenvolva um plano para informar todos os usurios afetados sobre a migrao de conta a ser
realizada para garantir que compreendam suas responsabilidades, o impacto da migrao e
quem contatar para obter ajuda e suporte.
Antes de iniciar o processo de migrao de usurios, envie uma notificao a todos os usurios
que esto agendados para a migrao. Como voc geralmente migra usurios em lotes de
aproximadamente 100 usurios por vez, ser til tambm enviar uma notificao final aos
usurios em cada lote dois a trs dias antes do agendamento do lote. Caso a sua organizao
mantenha uma intranet, plublique o agendamento da migrao de contas e as informaes
contidas no correio dos usurios em uma pgina da Web de fcil acesso.
Inclua as informaes a seguir na sua comunicao de usurio final.
Informaes gerais
Alerte os usurios para o fato de que suas contas de usurios esto agendadas para migrao
para o um novo domnio. Direcione os usurios para uma pgina da Web ou para um recurso
interno onde eles possam encontrar informaes adicionais e exibir uma agenda de migrao.
Informe o novo nome do domnio aos usurios. Certifique de inform-los de que as senhas das
contas no sero alteradas. Informe-os de que as contas originais do domnio sero
desabilitadas imediatamente aps a migrao e que as contas desabilitadas sero excludas
depois de um perodo de tempo especfico. Isso no ser necessrio se os usurios fizerem
logon com seus nomes UPN.
Impacto
Verifique se os usurios compreenderam que quando a conta for migrada possvel que no
consigam acessar alguns recursos, como sites, pastas compartilhadas ou recursos no muito
usados pelos indivduos no grupo ou da diviso.
Fornea informaes aos usurios sobre quem contatar para obter assistncia sobre como
reobter acesso aos recursos requeridos.
49
Status do logon durante a migrao
Verifique se os usurios compreenderam que durante o processo de migrao eles no podero
fazer logon no domnio ou acessar o email ou outros recursos. Certifique-se de especificar o
perodo de tempo no qual ficaro sem poder fazer logon.
Etapas pr-migrao
Alerte os usurios sobre as etapas que precisam executar antes que o processo de migrao
seja iniciado. Por exemplo, eles precisam descriptografar os arquivos criptografados por meio do
EFS (Encrypting File System). Se isso no for feito, os arquivos criptografados no podero ser
acessados depois da migrao.
Os usurios precisam verificar se seus computadores esto conectados rede quando a conta
estiver agendada para migrao.
Alteraes esperadas
Descreva outras alteraes que os usurios podem esperar que aconteam depois da migrao,
como as alteraes no uso de cartes inteligentes, na segurana de email ou no sistema de
mensagens instantneas, caso aplicvel.
Agendamento e informaes de suporte

Fornea informaes sobre onde os usurios podem ir para encontrar mais informaes. Por
exemplo, eles podem visitar um site interno onde voc postou informaes sobre a migrao.
Alm disso, fornea informaes sobre quem contatar se um usurio tiver um conflito com a data
agendada para a migrao.
Preparando os domnios de origem e de

destino
Antes de iniciar a migrao das suas contas do domnio de origem para o domnio de destino,
necessrio preparar os domnios de origem e de destino para a migrao. A ilustrao a seguir
mostra as tarefas necessrias para preparar os domnios para o processo de reestruturao de
domnios entre florestas.
50
Instalando o software de criptografia elevada
de 128 bits
O computador em que a Ferramenta de Migrao do Active Directory (ADMT) est instalada
requer uma criptografia elevada de 128 bits. Essa criptografia padro em computadores que
esto executando o Windows 2000 Server Service Pack 3 (SP3) ou o Service Pack 4 (SP4), o
Windows Server 2003, o Windows Server 2008 ou o Windows Server 2008 R2. Se voc planeja
instalar o ADMT em um computador que no oferece suporte criptografia alta de 128 bits por
padro, voc deve instalar o pacote de criptografia alta de 128 bits.
Voc pode baixar o pacote de criptografia do Pacote de Criptografia Elevada do Windows 2000
(http://go.microsoft.com/fwlink/?LinkId=76037) (em ingls).
51
Estabelecendo confianas necessrias para
a sua migrao
Antes de migrar contas e recursos de um domnio de origem para um domnio de destino em
uma floresta diferente do Active Directory, voc deve garantir que as confianas apropriadas
existam entre as florestas. Os relacionamentos de confiana entre as florestas que voc est
reestruturando permite que a Ferramenta de Migrao do Active Directory (ADMT) migre contas
de usurios e servios e tambm que converta perfis de usurios locais dos domnios de origem
em perfis de usurios dos domnios de destino. Alm disso, dependendo de como os
relacionamentos de confiana so configurados, os usurios no domnio de origem podero
acessar recursos no domnio de destino. Os usurios dos domnios de destino tambm podero
acessar os recursos do domnio de origem que ainda no tiverem sido migrados.
Para migrar usurios e grupos globais, estabelea uma relao de confiana unidirecional entre
o domnio de origem e o domnio de destino, para que o domnio de origem confie no domnio de
destino.
Para migrar recursos ou converter perfis locais, siga um destes procedimentos:
Crie uma relao de confiana unidirecional entre o domnio origem e o domnio de destino.
Crie uma relao de confiana bidirecional entre os domnios de origem e de destino.
Para obter mais informaes sobre como criar relaes de confiana, consulte Criando
confianas de floresta e domnio (http://go.microsoft.com/fwlink/?LinkId=77381) (em ingls).
Estabelecendo contas de migrao para a

sua migrao
Para migrar contas e recursos entre florestas, preciso estabelecer contas de migrao e
atribuir as credenciais adequadas a essas contas. A Ferramenta de Migrao do Active Directory
(ADMT) usa as contas de migrao para migrar os objetos identificados por voc. Como o ADMT
s exige um conjunto limitado de credenciais, a criao de contas de migrao separadas o
ajuda a simplificar a administrao. Se as tarefas de migrao para a sua organizao forem
distribudas entre mais de um grupo, til criar uma conta de migrao para cada grupo
envolvido na execuo da migrao.
Para simplificar a administrao, crie uma nica conta no domnio de origem e uma nica conta
no domnio de destino para todos os objetos, com as credenciais necessrias para modificar
objetos, como usurios, contas de servio gerenciado, grupos globais e perfis locais, para serem
migrados por essa conta. Por exemplo, uma conta de migrao que voc use para migrar contas
de usurio junto com o histrico do identificador de segurana (SID), grupos globais junto com o
histrico do SID, computadores e perfis de usurio possui credenciais de administrador local ou
52
administrador de domnio no domnio de origem. A conta de migrao tambm tem permisso
delegada nas unidades organizacionais (UOs) de usurio, de conta de servio gerenciado, de
grupo e de computador no domnio de destino, com o direito estendido de migrar o histrico SID
na UO de usurio. O usurio deve ser um administrador local no computador do domnio de
destino no qual o ADMT est instalado. Uma conta de migrao que voc use para migrar
estaes de trabalho e controladores de domnio deve ter credenciais de administrador local ou
administrador de domnio de origem nas estaes de trabalho ou a conta deve ter credenciais de
administrador de domnio de origem no controlador de domnio, ou ambos.
No domnio de destino, necessrio usar uma conta que tenha permisses delegadas na UO de
computador e na UO de usurio. Convm usar uma conta separada para a migrao de
estaes de trabalho se esse processo de migrao for delegado a administradores que estejam
no mesmo local que as estaes de trabalho.
A tabela a seguir lista as credenciais necessrias nos domnios de origem e de destino para
objetos de migrao diferentes.
Objeto de migrao Credenciais necessrias no Credenciais necessrias no

domnio de origem domnio de destino
Conta/grupo de servio de Permisso para Ler todas Permisses para Criar, excluir e
usurio/gerenciado sem as informaes de gerenciar contas de usurio,
histrico SID usurios delegada na UO Criar, excluir e gerenciar
de usurio ou na UO de grupos e Modificar a
grupo e credencial de participao de um grupo
administrador de domnio. delegadas para a UO de usurio
ou UO de grupo e administrador
local no computador em que o
ADMT est instalado.
Conta/grupo de servio de Permisso para Ler todas Permisso delegada na UO de

usurio/gerenciado com as informaes de usurio ou na UO de grupo,
histrico SID usurios delegada na UO permisso estendida para migrar
de usurio ou na UO de histrico do SID e administrador
grupo e credencial de local no computador no qual o
administrador de domnio. ADMT est instalado.
Computador Administrador de domnio Permisso delegada na UO de

ou administrador no computador e administrador local
domnio de origem e em no computador no qual o ADMT
cada computador est instalado
Observao
Se o computador tiver
uma conta de servio
gerenciado instalada,
voc precisa fornecer
53
credenciais que tenham

permisso para atualizar
o descritor de segurana
da conta de servio
gerenciado no domnio
de destino.
Perfil Administrador local ou Permisso delegada na UO de

administrador de domnio usurio e administrador local no
computador no qual o ADMT est
instalado.
Observao
Voc pode precisar
concluir outras etapas de
preparao caso migre
perfis mveis para
computadores que
executem o
Windows Vista ou o
Windows 7. Para obter
mais informaes,
consulte Preparao para
a migrao de perfis
mveis com
computadores que
executam o Windows
Vista e o Windows 7.
Os procedimentos a seguir fornecem exemplos para a criao de grupos ou contas para migrar
contas e recursos. Os procedimentos variam de acordo com a existncia de uma confiana
unidirecional ou de uma confiana bidirecional. O procedimento para criao de grupos de
migrao quando h uma confiana unidirecional mais complexa do que o procedimento para
quando h uma confiana bidirecional. Isto ocorre porque, com uma confiana unidirecional,
preciso adicionar o grupo de migrao ao grupo Administradores local em estaes de trabalho
locais.
O exemplo de procedimento para criao de grupos de migrao quando h uma confiana
unidirecional envolve a criao de grupos separados para migrao de contas e recursos.
Contudo, voc pode combinar acct_migrators e res_migrators em um grupo, caso no precise
separ-los para delegar conjuntos diferentes de permisses.
54
Para criar uma
um grupo
contade
demigrao
migraode
derecurso
conta
recurso
quando
quando
quando
hhh
uma
uma
uma
confiana
confiana
confiana
unidirecional
unidirecional
bidirecional
nana
qual oos
entre domnio
domnios
de origem
de origem
confia
e deno
destino
domnio de destino
1. No domnio de destino, crie um grupo global chamado acct_migrators.

2. No domnio de destino, adicione o grupo acct_migrators ao grupo Administradores de
Domnio ou delegue a esse grupo a administrao de UOs que so destinos para
migrao de conta.
3. Se estiver migrando histrico do SID e no tenha colocado o grupo acct_migrators no
grupo Administradores de Domnio, conceda ao grupo acct_migrators a permisso
estendida para Migrar histrico do SID no objeto do domnio de destino. Para fazer
isso, siga essas etapas:
a. Inicie Usurios e computadores do Active Directory, clique com o boto direito do
mouse no objeto do domnio e, em seguida, clique em Propriedades.
b. Clique na guia Segurana, depois em Adicionar e selecione acct_migrators.
Se a guia Segurana no aparecer, em Usurios e computadores do Active
Directory, clique em Exibir e, em seguida, em Recursos avanados.
c. Em Permisses para acct_migrators, clique em Permitir para a permisso Migrar
histrico do SID.
4. No domnio de origem, adicione o grupo migradores_acct ao grupo
Builtin\Administradores.
5. Em cada computador no qual voc planeje converter perfis locais, adicione o grupo
acct_migrators ao grupo Administradores local.
1. No domnio de destino, crie um grupo global chamado res_migrators.

2. No domnio de destino, adicione o grupo res_migrators ao grupo Administradores de
Domnio ou delegue a esse grupo a administrao de UOs que so destinos para
migrao de recurso.
3. No domnio de origem, adicione o grupo res_migrators ao grupo Administradores.
4. Em cada computador que voc planeje migrar ou no qual planeje executar converso de
segurana, adicione o grupo res_migrators ao grupo Administradores local.
1. No domnio de origem, crie uma conta chamada res_migrator.

2. No domnio de origem, adicione a conta res_migrators ao grupo Administradores de
Domnio. (O grupo Administradores de Domnio membro do grupo Administradores
local em todos os computadores do domnio por padro. Portanto, no preciso
adicion-lo ao grupo Administradores local em todos os computadores).
3. No domnio de destino, delegue permisses em UOs que so destinos para migrao de
recurso conta res_migrator.
O ADMT tambm inclui funes de administrao de banco de dados que voc pode usar para
atribuir um subconjunto de permisses de banco de dados a usurios que executam tarefas de
55
Observao
migrao especficas. As funes de administrao de banco de dados e as tarefas de migrao

que elas podem executar esto listadas na tabela a seguir.
Funo Tarefa de migrao
Migradores de contas Tarefas de migrao de conta, como migrao

de usurio e grupo.
Migradores de recursos Tarefas de migrao de recurso, como

migraes de computador e converso de
segurana. Os migradores de contas tambm
possuem a funo dos migradores de recursos.
Leitores de dados Consultas no banco de dados. Os migradores

de contas e migradores de recursos tambm
possuem a funo dos leitores de dados.
Os usurios aos quais est atribuda a funo de administrador do sistema do SQL Server
possuem todas as funes de administrao de banco de dados do ADMT. Eles tm credenciais
para fazer o seguinte:
Exibir funes de banco de dados e usurios que possuem essas funes
Adicionar grupos ou usurios a funes
Remover grupos ou usurios de funes
Por padro, a funo de administrador do sistema est atribuda ao grupo Administradores local
e esse grupo pode executar todas as funes de banco de dados do ADMT.
Configurando os domnios de origem e de

destino para a migrao de histrico SID
Voc pode manualmente configurar os domnios de origem e de destino para migrar o histrico
de identificador de segurana (SID) antes de iniciar uma migrao entre florestas, ou ento voc
pode permitir que a Ferramenta de Migrao do Active Directory (ADMT) configure os domnios
automaticamente da primeira vez que ela for executada.
Para configurar domnios de origem e de destino manualmente, execute estes procedimentos:
Crie um grupo local no domnio de origem para suporte de auditoria.
Habilite o suporte as clientes TCP/IP no emulador do controlador de domnio primrio (PDC)
do domnio de origem.
Se voc estiver migrando de um domnio com controladores de domnio que
executam o Windows Server 2003 ou posterior para outro domnio com
56
Para habilitar
criar um ao
grupo
auditoria
suporte
local
aem
clientes
no domnios
domnio
TCP/IP
de
Windows
origem
no emulador
para
Server
suporte
de
2008
PDCR2
de
do
eauditoria
domnio
WindowsdeServer
origem
2008
controladores de domnio que executam o Windows Server 2003 ou posterior, a

entrada do Registro TcpipClientSupport no ter de ser modificada.
Habilite a auditoria de gerenciamento de contas nos domnios de origem e de destino. Para o
Windows Server 2008 R2 e o Windows Server 2008, voc tambm precisa habilitar a
auditoria de acesso do servio de diretrio para migrar usurios com histrico SID entre
florestas.
No domnio de origem, crie um grupo local chamado DomnioDeOrigem$$$, onde

DomnioDeOrigem o nome NetBIOS do seu domnio de origem, por exemplo, Boston$
$$. No adicione membros a esse grupo; caso o faa, a migrao do histrico SID
falhar.
1. No controlador de domnio do domnio de origem que possui as funes de mestre de

operaes (tambm conhecidas como operaes de mestre nico flexveis ou FSMO),
clique em Iniciar e em Executar.
2. No campo Abrir, digite regedit e clique em OK.
Cuidado
A edio incorreta do Registro pode danificar gravemente o sistema. Antes de
alterar o Registro, faa um backup de todos os dados importantes que estiverem
no computador. Voc tambm pode usar a opo de inicializao ltima
configurao vlida se encontrar problemas aps realizar as alteraes.
3. No Editor do Registro, navegue at a seguinte subchave de Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
4. Modifique a entrada do Registro TcpipClientSupport, de tipo de dados REG_DWORD,
configurando o valor como 1.
5. Saia do Editor do Registro e reinicie o computador.
1. Faa logon como um administrador em qualquer controlador de domnio do domnio de

destino.
2. Clique em Iniciar, aponte para Todos os Programas, aponte para Ferramentas
Administrativas e clique em Gerenciamento de Diretiva de Grupo.
3. Navegue at o seguinte n:
Floresta | Domnios | Domnio | Controladores de Domnio | Diretiva de Controladores de
Domnio Padro
4. Clique com o boto direito do mouse em Diretiva de Controladores de Domnio
Padro e clique em Editar.
5. No Editor de Gerenciamento da Diretiva de Grupo, na rvore do console, navegue at o
57
Para seguinte
configurar
n:a estrutura da UO do domnio de destino para administrao
Configurao do Computador | Diretivas | Configuraes do Windows | Configuraes de
Segurana | Diretivas locais | Diretiva de Auditoria
6. No painel de detalhes, clique com o boto direito do mouse em Auditoria de
gerenciamento de contas e, em seguida, clique em Propriedades.
7. Clique em Definir estas configuraes de diretivas e, em seguida, clique em xito e
Falha.
8. Clique em Aplicar e em OK.
9. No painel de detalhes, clique com o boto direito do mouse em Acesso ao servio de
diretrio de auditoria e clique em Propriedades.
10. Clique em Definir as configuraes dessas diretivas e, em seguida, clique em xito.
11. Clique em Aplicar e em OK.
12. Se as alteraes precisarem ser refletidas imediatamente no controlador de domnio,
abra o prompt de comando elevado e digite gpupdate /force.
13. Repita as etapas de 1 a 12 no domnio de origem.
Configurando a Estrutura da UO do Domnio

de Destino para Administrao
A equipe de design do Active Directory cria a estrutura da unidade organizacional (UO) do
domnio de destino. Esta equipe tambm define os grupos que so responsveis pela
administrao de cada UO e a participao de cada grupo. Voc pode usar estas informaes e
o procedimento a seguir para configurar o domnio de destino para administrao.
1. Faa logon como um administrador em qualquer controlador de domnio do domnio de

destino.
2. Inicie Usurios e computadores do Active Directory e crie a estrutura de UO especificada
por sua equipe de design.
3. Crie grupos administrativos e atribua usurios a esses grupos.
4. Delegue a administrao da estrutura da UO a grupos como definido por sua equipe de
design.
58
Instalando o ADMT no domnio de destino
Use qualquer uma das diretrizes a seguri para intalar a Ferramenta de Migrao do Active
Directory (ADMT), dependendo de qual verso voc seteja instalando. A verso 3.1 do ADMT
fornece uma opo para instalar uma instncia do banco de dados do Microsoft SQL Server
Express pr-configurada. A verso v3.2 do ADMT requer que uma instncia do banco de dados
do SQL Server seja instalada previamente. As diretrizes restantes para desanexar, reconfigurar e
remover um arquivo de banco de dados se aplicam a qualquer verso do ADMT.
Instalando o ADMT v3.1
SQL Server
Reconfigurando uma instalao de banco de dados com o Admtdb.exe
Reutilizar um banco de dados existente do ADMT de uma instalao anterior

Esta seo trata dos seguintes problemas para a instalao do ADMT v3.1
Pr-requisitos para a instalao do ADMT v3.1
Instalando o ADMT v3.1 usando o armazenamento de banco de dados padro

Por padro, quando voc instala a Ferramenta de Migrao do Active Directory verso 3.1
(ADMT v3.1), o SQL Server 2005 Express Edition tambm instalado por padro para ser usado
como o repositrio de dados da ferramenta. Como alternativa, voc pode configurar o ADMT v3.1
para usar um banco de dados do SQL Server 2000 com Service Pack 4 (SP4) Standard ou
Enterprise Edition, ou uma instalao do SQL Server 2005 Standard ou Enterprise Edition criada
por voc anteriormente.
Antes de instalar o ADMT v3.1, execute os seguintes pr-requisitos:
Instale o Windows Server 2008.
Remova todas as verses anteriores do ADMT usando Adicionar ou Remover Programas
no Painel de Controle. Se tentar instalar o ADMT v3.1 em um servidor que possua uma
verso anterior do ADMT instalada, voc receber uma mensagem de erro e a instalao
ser interrompida. Se necessrio, voc poder importar o banco de dados da verso anterior
do ADMT (por exemplo, ADMT v2.0 ou ADMT v3.0) para o ADMT v3.1 durante a instalao.
Se no pretender usar a instalao padro do banco de dados local, verifique se outra
instalao de banco de dados do SQL Server 2000 ou do SQL Server 2005 est configurada
com uma instncia do ADMT. Para obter mais informaes sobre como criar uma instncia
59
Para instalar o ADMT usando o armazenamento de banco de dados padro
do ADMT em um banco de dados do SQL Server, consulte Instalando o ADMT usando um

banco de dados SQL pr-configurado.
Instalando o ADMT v3.1 usando o armazenamento de banco de

dados padro
Voc pode usar um armazenamento de banco de dados padro baseado no SQL Server 2005
Express Edition ou um banco de dados SQL pr-configurado para instalar o ADMT. O mtodo de
instalao mais comum e recomendado usar o armazenamento de banco de dados padro,
que o Assistente de Instalao da Ferramenta de Migrao do Active Directory configura
automaticamente.
Dependendo do seu ambiente, baixe o ADMT v3.1 (http://go.microsoft.com/fwlink/?

LinkId=121732) ou o ADMT v3.2 (http://go.microsoft.com/fwlink/?LinkId=186197). Para
obter mais informaes sobre qual verso do ADMT usar, consulte Verses e ambientes
com suporte da Ferramenta de Migrao do Active Directory. No local do download,
clique duas vezes em admtsetup.exe, que abre o assistente de instalao.
Pgina do Assistente Ao
Bem-vindo Instalao da Ferramenta Clique em Avanar.

de migrao do Active Directory
Configurando Componentes A instncia do banco de dados do ADMT

(MS_ADMT) criada no computador local.
Por padro, o SQL Server 2005 Express
Edition instalado localmente; no entanto,
mesmo que seja utilizado pelo ADMT, o
SQL Server 2005 Express Edition ser
desabilitado se voc especificar outra
instncia de banco de dados na pgina
seguinte do assistente.
Seleo de Banco de Dados Especifique a instncia de banco de dados

qual deseja se conectar. A seleo
recomendada Usar o Microsoft SQL
Server Express Edition, que configura o
ADMT v3.1 para usar a instncia de banco
de dados instalada localmente.
Se voc estiver usando vrios consoles do
ADMT v3.1 ou tiver um servidor de banco
de dados dedicado onde deseje centralizar
seu banco de dados do ADMT, selecione a
60
opo Usar um Microsoft SQL Server

existente. Especifique o servidor ao qual
deseja se conectar no formato
Servidor\Instncia.
Configure a instncia do banco de dados
do SQL Server antes de selecionar essa
opo. Embora a instalao do ADMT v3.1
continue mesmo que no seja possvel
entrar em contato com o banco de dados,
voc s poder usar o ADMT para migrar
contas ou recursos quando a instncia de
banco de dados estiver criada e
disponvel.
Importao de Banco de Dados da Embora voc no possa atualizar uma

Ferramenta de Migrao do Active instalao do ADMT v3.0 para o
Directory v3 ADMT v3.1, voc pode importar dados de
um banco de dados do ADMT v3.0 para
um banco de dados do ADMT v3.1.
Se no desejar importar dados de um
banco de dados do ADMT v3.0, selecione
No, no importar dados de um banco
de dados existente (Padro).
Se desejar importar dados do ADMT v3.0
para o novo banco de dados do
ADMT v3.1, selecione Sim, importar
dados do banco de dados do ADMT v3.
Se optar por importar dados, especifique o
caminho para o arquivo de banco de
dados do ADMT v3.0.

Se voc no desejar importar dados de um
de dados do ADMT v2.
61
Observao

dados do ADMT v2.0.
O banco de dados do ADMT v2.0 possui o
nome de arquivo protar.mdb e dever
estar localizado no diretrio anteriormente
usado para a instalao do ADMT v2.0.
Resumo Esta pgina resume as opes

selecionadas. Clique em Concluir para
finalizar a instalao do ADMT v3.1.

O ADMT v3.2 requer uma instncia pr-configurada do SQL Server para o seu armazenamento
de dados subjacente. Voc deve usar o SQL Server Express. Quando voc usa uma das verses
do SQL Server Express a seguir, a instalao do ADMT aplica os seguintes requisitos de service
pack:
O SQL Server 2005 Express deve ser instalado com o Service Pack 3 (SP3) ou posterior.
Se voc usar o SQL Server Express, o console do ADMT dever ser instalado e
executado localmente no servidor que hospeda a instncia do banco de dados do
SQL Server Express.
Como opo, voc pode usar verses completas do SQL Server 2005 ou do SQL Server 2008.
Nesse caso, voc pode instalar e executar o console ADMT em um computador remoto e
executar vrios consoles ADMT em diferentes computadores remotos. Se voc usar uma verso
completa do SQL Server, a instalao do ADMT no impor nenhum requisito de service pack.
O restante desta seo trata dos seguintes problemas de instalao:
Instalar o ADMT v3.2

Antes de instalar o ADMT v3.2, execute as seguintes tarefas de pr-requisito:
No Painel de Controle, use Adicionar ou Remover Programas para remover todas as
verses do ADMT anteriores ao ADMT v3.2.
62
Para instalar o ADMT v3.2
Embora o ADMT v3.2 no permita uma atualizao a partir de uma verso anterior do ADMT,
voc pode reutilizar o banco de dados de uma instalao anterior do ADMT, a menos que o
banco de dados seja do ADMT v2 ou ADMT v1. Para obter mais informaes, consulte
Reutilizar um banco de dados existente do ADMT de uma instalao anterior.
Instale ou atualize um computador servidor (de preferncia um servidor membro) no
ambiente de seu domnio de origem ou de destino conforme necessrio para executar o
Embora voc possa usar o ADMT v3.2 para migrar contas e recursos de ambientes do
Active Directory que tenham um nvel de domnio funcional do Windows Server 2003 ou
posterior, s ser possvel instalar o ADMT v3.2 em um servidor que execute o Windows
Server 2008 R2.
Alm de executar o Windows Server 2008 R2, o computador servidor usado para instalar o
ADMT v3.2 no deve estar instalado com a opo de instalao do Servidor de Ncleo ou
estar executando um controlador de domnio somente leitura (RODC).
Configure uma instalao de banco de dados do SQL Server com uma instncia do ADMT.
Voc pode baixar e instalar o SQL Server Express localmente ou criar uma instncia de
banco de dados para o ADMT com base em um banco de dados do SQL Server existente.
Para obter mais informaes sobre como instalar o SQL Server Express, consulte Instalar o
ADMT v3.2. Para obter mais informaes sobre como criar uma instncia do ADMT em um
banco de dados do SQL Server existente, consulte Instalar o ADMT reconfigurando uma
instalao de banco de dados com Admtdb.exe.

Baixe o SQL Server 2005 Express (http://go.microsoft.com/fwlink/?LinkId=181159) ou crie uma
nova instncia de banco de dados em uma instalao do SQL Server para usar com o
ADMT v3.2. Durante a instalao do SQL Server, selecione Modo de Autenticao do
Windows. Depois de instalar o SQL Server, use o procedimento a seguir para instalar o
ADMT v3.2.
Estar associado ao grupo Administradores, ou equivalente, o requisito mnimo para a
concluso deste procedimento. Revise os detalhes sobre o uso de contas e associaes a
grupos apropriadas em Local e Domnio Padro (http://go.microsoft.com/fwlink/?LinkId=83477).
1. No pacote de download do ADMT, clique duas vezes em admtsetup32.exe.

2. Na pgina de Boas-vindas, verifique se as recomendaes foram seguidas e clique em
Avanar.
3. Na pgina Contrato de Licena, clique em Concordo e em Avanar.
4. Na pgina Seleo de Banco de Dados, digite o servidor\instncia.
O requisito para digitar o nome do servidor tambm se aplica instncia do banco de
dados local. possvel digitar um ponto (.) para indicar o servidor local. Por padro, a
63
instncia do SQL Server Express chamada de SQLEXPRESS.
Por exemplo, para usar uma instncia padro do SQL Server Express no servidor local,
digite .\SQLEXPRESS.
5. Se voc escolher uma instalao do SQL Express e um arquivo de banco de dados
ADMT.mdf no estiver na localizao de dados padro %windir%\ADMT\Data, a pgina
Importao de Banco de Dados ser exibida. Caso contrrio, a Instalao do ADMT
ser automaticamente anexada ao arquivo do banco de dados e a pgina Resumo ser
exibida.
Na pgina Importao de Banco de Dados, se voc no precisar importar dados,
clique em No, no importar dados de um banco de dados existente (Padro). Se
voc precisar importar dados de uma instalao anterior do ADMT, clique em Sim,
importar dados de um banco de dados do ADMT v3.0 ou do ADMT v3.1 e para
navegar at a localizao do arquivo de banco de dados, clique em Procurar.
Antes de importar dados de um banco de dados, voc precisar separar o arquivo do
banco de dados do SQL Server usando os comandos do SQL Server. Para obter mais
informaes, consulte Separar um arquivo de banco de dados de uma verso
anterior do ADMT e do SQL Server.
Quando terminar, clique em Avanar.
6. Na pgina Resumo, examine os resultados da instalao e clique em Concluir.
Separe um arquivo de banco de dados existente

de uma verso anterior do ADMT e do
SQL Server
Se voc utilizar o SQL Server Express, o banco de dados ser separado automaticamente
quando remover o ADMT. O banco de dados do SQL Server Express separado pode ser
reutilizado como parte de outra instalao do ADMT posterior. Neste caso, o ADMT anexado
atomaticamente ao banco de dados existente que voc especificar durante a instalao.
Voc pode separar o arquivo de banco de dados do ADMT de uma instncia completa do SQL
Server caso tenha outro aplicativo que deseje anexar ao mesmo banco de dados. Por exemplo,
caso planeje mudar de uma instalao SQL Server completa para uma SQL Server Express ou
se tiver um arquivo de banco de dados do ADMT de uma instalao anterior que voc tenha
anexado s ferramentas de gerenciamento do SQL Server, ela precisar ser separada daquele
banco de dados antes de poder ser consumida pelo ADMT.
Para separar um banco de dados, voc pode usar o procedimento armazenado do SQL:
sp_detach_db [ @dbname = ] 'dbname'
Para obter mais informaes sobre essa chamada de procedimento armazenado, consulte a
documentao do SQL Server. Para obter mais informaes sobre como usar o SQL Server
Management Studio para separar o banco de dados, consulte Como: Separar um Banco de
Dados (SQL Server Management Studio (http://go.microsoft.com/fwlink/?LinkId=183994). (em
ingls)
64
Reconfigurando uma instalao de banco de
dados com o Admtdb.exe
Se voc tiver problemas com a configurao do banco de dados durante a instalao ou se tiver
especificado o SQL Server Express durante a instalao do ADMT v3.2, mas quiser alternar para
o SQL Server (ou vice-versa) aps a instalao, voc poder usar o Admtdb.exe. A sintaxe da
linha de comando de Admtdb.exe est na tabela a seguir.
Voc pode executar Admtdb.exe de um prompt de comando elevado em qualquer servidor que
possa ser direcionado para o computador servidor que esteja executando o SQL Server, para
criar a instncia do ADMT nesse computador servidor.
Sintaxe Descrio
admtdb create /{s|server}: Instala um novo banco de dados do ADMT ou

"Servidor\instncia" prepara um banco de dados vazio.
O parmetro /server especifica o nome do SQL
Server e a instncia qual se conectar para
criar o banco de dados. Esse parmetro
obrigatrio.
admtdb upgrade /s|server: Servidor\Instncia Atualiza uma verso anterior de um banco de

dados do ADMT v3.0 ou v3.1.
O parmetro /server, que obrigatrio,
especifica o nome do SQL Server e a instncia
qual se conectar para atualizar o banco de
Observao
Antes de atualizar o banco de dados do
ADMT, abra o console do ADMT para
verificar se ele compatvel com o
banco de dados.
admtdb attach [/{a|attach}: "caminho do Anexa um banco de dados do ADMT

banco de dados da v3x" instncia SQL Server Express 2005 ou do
SQL Server Express 2008 local.
O parmetro /attach, que obrigatrio,
especifica o caminho para um arquivo de banco
de dados Admt.mdf separado.
Para consultar a Ajuda para todas as opes de linha de comando do Admtdb.exe, digite
admtdb /? no prompt de comando.
65
Para reutilizar um banco de dados local depois de configurar uma instncia remota de
um banco de dados do SQL Server
Se voc tiver comeado a migrao usando um banco de dados do SQL Server Express local e
tiver configurado uma instncia remota de um banco de dados do SQL Server e precisar voltar a
usar um banco de dados do SQL Server Express local, conclua o procedimento a seguir. Nesse
caso, o arquivo de banco de dados do ADMT j est anexado instncia do SQL Express.
Portanto, no necessrio reanex-lo explicitamente.
Se voc comear a migrao usando o SQL Server e quiser alternar para o SQL Server Express,
consulte Reutilizar um banco de dados do ADMT existente de uma instalao anterior.
1. No computador local, clique em Iniciar, aponte para Ferramentas Administrativas e

clique em Servios.
2. No painel Detalhes, certifique-se de que o servio que hospeda a instncia do
SQL Server Express est sendo executado e que Tipo de Inicializao est configurado
como Automtica. Se voc estiver usando o ADMT v3.1 e tiver uma instalao do ADMT
que instala o SQL Server Express, o nome do servio ser MSSQL$MS_ADMT.
Se o servio no tiver sido iniciado ou se no estiver definido para ser iniciado
automaticamente na inicializao do sistema, clique em Inicializado, clique com o boto
direito do mouse no nome do servio e clique em Propriedades.
3. Na guia Geral, na lista Tipo de Inicializao, clique em Automtico.
4. Em Status do Servio, clique em Iniciar e, em seguida, clique em OK.
5. Feche Servios.
6. No prompt de comando, digite os seguintes comandos:
Observao
O comando admtdb attach s ser necessrio se voc tiver executado
comandos SQL para separar a instncia local do SQL Server Express.
admtdb attach /{s | Server}:Instncia local do SQL Server Express
admt config setdatabase /s:Servidor\Instncia.
Agora possvel usar o banco de dados local.
Reutilizar um banco de dados existente do ADMT

de uma instalao anterior
Se desejar usar um banco de dados existente (separado) de uma instalao anterior do
ADMT v3.0, v3.1 ou v3.2 com a instncia local do SQL Express, voc poder executar o
procedimento a seguir.
66
Observao
Para usar um banco de dados existente (separado) do ADMT com a instncia local do
SQL Server

concluso deste procedimento. Analise os detalhes do uso de contas e associaes de
grupo adequadas em Grupos Padro Locais e do Domnio

clique em Servios.
5. Feche Servios.
admtdb attach /{s | Server}:Instncia local do SQL Server Express /{a |
Attach}:Caminho para o arquivo de banco de dados do ADMT v3.x a ser
anexado"
admt config setdatabase /s: servidor\instncia
Agora voc pode usar o banco de dados do ADMT com a instncia local do SQL Server.
No necessrio executar o assistente de instalao do ADMT novamente. A instalao
do ADMT s pode ser executada uma vez. Voc pode executar qualquer alterao na
configurao do banco de dados usando os comandos admtdb.exe e admt config
setdatabase.
Habilitando a migrao de senhas

A Ferramenta de Migrao do Active Directory (ADMT) usa a verso 3.1 do servio Servidor de
Exportao de Senha (PES v3.1) para ajud-lo a migrar senhas quando voc executar uma
migrao entre florestas. Tanto o ADMT v3.1 quanto o ADMT v3.2 utilizam a verso 3.1 do
Servidor de Exportao de Senha (PES). Baixe o PES v3.1 do Centro de Download da Microsoft.
Para computadores baseados em x86, consulte Servidor de Exportao de Senha verso 3.1
67
Observao
Para criar uma chave de criptografia
(x86) (http://go.microsoft.com/fwlink/?LinkId=147652). Para computadores baseados em x64,

consulte Servidor de Exportao de Senha verso 3.1 (x64) (http://go.microsoft.com/fwlink/?
LinkId=147653). O servio PES pode ser instalado em qualquer controlador de domnio gravvel
no domnio de origem que suporte criptografia de 128 bits.
O servio de PES no pode ser instalado em controladores de domnio somente leitura
(RODCs).
Como o ADMT no verifica todas as configuraes da diretiva de senhas do domnio de destino,
os usurios precisam definir explicitamente suas senhas aps a migrao a menos que os
sinalizadores A senha nunca expira ou Carto inteligente necessrio para logon interativo
estejam definidos.
A instalao do servio de PES no domnio de origem exige uma chave de criptografia. Contudo,
preciso criar a chave de criptografia no computador que est executando o ADMT no domnio
de destino. Ao criar uma chave, salve-a em uma pasta compartilhada em sua rede ou em uma
mdia removvel para que voc possa copi-la para a unidade de disco local do controlador de
domnio de origem onde o servio PES est instalado. Armazene-a em um local seguro que voc
possa reformatar aps a migrao ser concluda.
Voc pode instalar o servio PES aps instalar o ADMT. Os procedimentos a seguir explicam
como instalar e usar o servio PES nos computadores que executam o Windows Server 2008 R2
ou o Windows Server 2008.
Em uma linha de comando, digite o comando a seguir e pressione ENTER:

admt key /option:create /sourcedomain:<DomniodDeOrigem>
/keyfile:<CaminhoDoArquivoDeChaves> /keypassword:{<senha>|*}
Valor Descrio
<DomniodDeOrigem> Especifica o nome do domnio de origem

no qual o servio de PES est sendo
instalado. Pode ser especificado como o
nome do sistema de nome de domnio
(DNS) ou NetBIOS.
<CaminhoDoArquivoDeChaves> Especifica o caminho para o local em

que a chave criptografada est
armazenada.
{<senha>|*} Uma senha, que fornece criptografia de

chave, opcional. Para proteger a
chave compartilhada, digite a senha ou
68
Observao
Para configurar o servio de PES no domnio de origem
Valor Descrio
um asterisco (*) na linha de comando. O

asterisco faz com que seja solicitada
uma senha que no exibida na tela.
Depois de criar a chave de criptografia, configure o servio de PES em um controlador de

domnio do domnio de origem.
O ADMT fornece a opo de executar o servio de PES sob a conta Sistema Local ou usando as
credenciais de um usurio autenticado do domnio de destino. Recomendamos que voc execute
o servio de PES como um usurio autenticado do domnio de destino. Dessa forma, no
preciso adicionar o grupo Todos e o grupo Logon Annimo ao grupo Acesso Compatvel Anterior
ao Windows 2000.
Se voc executar o servio de PES sob a conta Sistema Local, verifique se o grupo
Acesso Compatvel Anterior ao Windows 2000 do domnio de destino contm o grupo
Todos e o grupo Logon Annimo.
1. No controlador de domnio que executa o servio de PES no domnio de origem, insira o

disco da chave de criptografia.
2. Execute Pwdmig.msi. Caso tenha configurado uma senha durante o processo de
gerao da chave no controlador de domnio do domnio de destino, fornea a senha
informada quando a chave foi criada e clique em Avanar.
Pgina do assistente Ao
Bem-vindo ao Assistente para Clique em Avanar.

instalao de DLL de migrao de
senha do ADMT
Arquivo de criptografia Para instalar a biblioteca de vnculo dinmico

(DLL) de migrao de senha do ADMT, ser
preciso especificar um arquivo que contenha
uma chave de criptografia de senha vlida
para este domnio de origem. O arquivo de
chave deve estar localizado em uma unidade
local.
Use o comando admt key para gerar os
arquivos de chave. Para obter mais
informaes, consulte o procedimento
anterior, "Para criar uma chave de
criptografia".
Execute o servio como Especifique a conta sob a qual deseja que o
69
servio de PES seja executado. Voc pode

especificar uma das contas a seguir:
A conta Sistema Local
Uma conta de usurio especificada
Observao
Caso planeje executar o servio
de PES como uma conta de
usurio autenticada, especifique
a conta no formato
domnio\nome_de_usurio.
Resumo Clique em Concluir para concluir a instalao

do servio de PES.
Observao
Para usar a migrao de senha
do ADMT, voc precisar reiniciar
o servidor em que instalou o
servio de PES.
3. Aps a concluso da instalao, reinicie o controlador de domnio.

4. Depois que o controlador de domnio for reiniciado, para iniciar o servio de PES, aponte
para Iniciar, depois para Todos os programas, paraFerramentas administrativas e
clique em Servios.
5. No painel de detalhes, clique com o boto direito em Servio de Servidor de
Exportao de Senha e clique em Iniciar.
Observao
S execute o servio de PES quando migrar senhas. Pare o servio de PES
aps a concluso da migrao de senha.
Inicializando o ADMT executando uma

migrao de teste
Inicie a Ferramenta de Migrao do Active Directory (ADMT) executando uma migrao de teste
de um grupo global e selecione a opo Migrar SIDs de grupo para domnio de destino. Para
migrar o histrico do SID (identificador de segurana), voc precisa realizar as tarefas de
70
Aviso
Para inicializar o ADMT executando uma migrao de testes de um grupo global
preparao conforme descritas em Configurando os domnios de origem e de destino para a

migrao de histrico SID. Se voc no configurou previamente os domnios de origem e de
destino para migrarem o histrico SID, o ADMT o interpelar e fornecer uma opo para que as
seguintes tarefas sejam concludas automaticamente.
Cria um grupo local, domnio_de_origem$$$, no domnio de origem, que usado para
auditoria nas operaes de histrico SID. No adicione membros a esse grupo; caso o faa,
a migrao do histrico SID falhar.
Se o domnio de origem for o Windows 2000 e voc estiver usando o ADMT 3.1, o suporte do
cliente TCP/IP no controlador de domnio principal (PDC) do domnio de origem ser
habilitado definindo o valor da entrada do Registo TcpipClientSupport para 1. Esta entrada
est localizada na seguinte subchave:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
Configurar TcpipClientSupport para 1 habilitar as chamadas de procedimento remoto
(RPCs) no transporte TCP, preservando a segurana do sistema.
Isso no necessrio para domnios com controladores de domnio que executem o
Windows Server 2003 ou posterior.
Habilita as diretivas de auditoria nos domnios de origem e de destino.
O ADMT no habilita automaticamente a auditoria do acesso do servio de diretrio,
que necessrio para migrar o histrico SID para ou de um domnio que tenha
controladores de domnio que executem o Windows Server 2008 ou o Windows
Server 2008 R2.
Use o procedimento a seguir para inicializar o ADMT.
1. No console do ADMT, use o Assistente para Migrao de Conta de Grupo concluindo as

etapas descritas na tabela a seguir. Aceite as configuraes padro quando nenhuma
informao for especificada.
Seleo de Domnio Sob Origem, na lista suspensa Domnio,

digite ou selecione o nome NetBIOS ou
DNS do domnio de origem. Na lista
suspensa Controlador de domnio, digite
ou selecione o nome do controlador de
domnio ou selecione Qualquer
controlador de domnio.
Sob Destino, na lista suspensa Domnio,
DNS do domnio de destino. Na lista
71

controlador de domnio e clique em
Avanar.
Seleo de Grupo Clique em Selecionar grupos do

domnio e em Avanar. Na pgina
Seleo de Grupo, clique em Adicionar
para selecionar os grupos do domnio de
origem a serem migrados, clique em OK
e, em seguida, clique em Avanar.
Ou
Clique em Ler objetos em um arquivo
de incluso e clique em Avanar. Digite
o local do arquivo de incluso e clique em
Avanar.
Seleo de Unidade Organizacional Digite o nome da UO ou clique em

Procurar.
Na caixa de dilogo Procurar Continer,
localize o continer do domnio de destino
para o qual voc deseja mover os grupos
globais e clique em OK.
Opes de Grupo Marque a caixa de seleo Migrar SIDs

de grupo para domnio de destino.
Todas as outras opes devem
permanecer desmarcadas.
Conta de Usurio Digite o nome de usurio, a senha e o

domnio de uma conta que tenha direitos
administrativos no domnio de origem.
Gerenciamento de Conflitos Clique em No migrar o objeto de

origem se for detectado um conflito no
domnio de destino.
2. Quando o assistente for concludo, clique em Exibir Log e verifique se h erros no log
de migrao.
72
Identificando contas de servio para a sua
migrao
Este tpico explica como identificar as contas de servio que a Ferramenta de Migrao do
Active Directory (ADMT) migrar para o domnio de destino. Uma conta de servio consiste em
uma conta de usurio que fornece um contexto de segurana para aplicativos e que concedida
para se fazer logon como um servio.
O ADMT no migra servios que so executados no contexto da conta do Sistema Local porque
eles so migrados quando o computador migrado. No entanto, os servios que so executados
no contexto de uma conta de usurio precisam ser atualizados no computador aps o processo
de migrao de conta ter sido concludo. O ADMT tambm no pode migrar contas Servio Local
ou Servio de Rede porque elas so contas bem conhecidas que sempre existem nos domnios.
Identificando contas de servio

O processo de identificao, migrao e atualizao dos servios que so executados no
contexto de contas de usurio envolvem trs etapas. Primeiramente, o administrador inicia o
ADMT do domnio do Active Directory de destino e executa o Assistente para Migrao de Conta
de Servio. Em seguida, o Assistente para Migrao de Conta de Servio envia um agente a um
computador especificado e identifica (mas no migra) todos os servios do computador que
esto sendo executados no contexto de uma conta de usurio. Depois. o que pode acontecer
posteriormente no processo de migrao, as contas so migradas quando outras contas de
usurio so migradas com o Assistente para Migrao de Conta de Usurio.
O Assistente para Migrao de Conta de Servio l uma lista de servidores definida pelo
administrador em busca de servios configurados para usarem uma conta de domnio para
autenticao. As contas so ento sinalizadas como contas de servio no banco de dados do
ADMT. A senha nunca migrada junto com uma conta de servio. Em vez disso, o ADMT usa
uma representao de texto sem criptografia da senha para configurar os servios depois da
migrao da conta de servio. Uma verso criptografada da senha ento armazenada no
arquivo password.txt na pasta de instalao do ADMT.
O administrador de uma estao de trabalho ou de um servidor pode instalar qualquer servio e
configur-lo com qualquer conta de domnio. Se um usurio mal-intencionado que tenha
privilgios de administrador configurar um servio para autenticar sem uma senha correta (como
uma senha que no precise atender aos requisitos de complexidade), o servio no ser
iniciado. Depois da migrao da conta de servio, o ADMT configura o servio na estao de
trabalho ou no servidor para usar a nova senha e o servio no ser iniciado usando a conta de
usurio no domnio de destino.
Portanto, voc deve incluir no Assistente para Migrao de Conta de Servio somente os
servidores gerenciados por administradores confiveis. No use o assistente para detectar
contas de servio em computadores no gerenciados por administradores confiveis, como
estaes de trabalho.
73
Para identificar contas de servio utilizando o snap-in do ADMT
Distribua agentes a todos os servidores gerenciados por administradores confiveis para garantir
que nenhuma conta de servio seja ignorada. Se voc se esquecer de uma conta de servio que
compartilhe uma conta com um servio que j tenha sido migrado, o ADMT no poder
sincronizar as contas de servio. necessrio alterar manualmente a senha da conta de servio
e redefinir a senha da conta de servio em todos os servidores que estiverem executando esse
servio.
Quando as contas que o Assistente para Migrao de Conta de Servio identifica no banco de
dados do ADMT como executadas no contexto de contas de usurio so migradas para o
domnio de destino, o ADMT concede a cada uma delas o direito de fazer logon como um
servio. Se direitos foram atribudos conta de servio por meio de sua associao em um
grupo, o Assistente para Converso de Segurana atualiza a conta para atribuir esses direitos.
Para obter mais informaes sobre como executar o Assistente para Converso de Segurana,
consulte Fazendo a transio de contas de servio na sua migrao, posteriormente neste guia.
Voc pode identificar contas de servio usando o snap-in do ADMT, a opo de linha de
comando do ADMT ou um script.
1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando
a conta de migrao da conta do ADMT.
2. No snap-in do ADMT, clique em Ao e em Assistente para Migrao de Conta de
Servio.
3. Conclua o Assistente para Migrao de Conta de Servio executando as informaes na
tabela a seguir.

Avanar.
Informaes de Atualizao Clique em Sim, atualizar as

74
informaes.
Opo de Seleo do Computador Clique em Selecionar computadores do

Seleo de Contas de Servio, clique em
Adicionar para selecionar as contas do
domnio de origem a serem migradas,
clique em OK e, em seguida, clique em
Avanar.
Ou
Clique em Ler objetos em um arquivo de
incluso e em Avanar. Digite o local do
arquivo de incluso e clique em Avanar.
Caixa de Dilogo do Agente Em Aes do Agente, selecione

Executar pr-verificao e operao do
agente e clique em Iniciar. Uma
mensagem aparecer no Resumo do
Agente quando as operaes do agente
estiverem concludas. Depois que as
operaes do agente forem concludas,
clique em Fechar.
Informaes de Contas de Servio Selecione as contas de usurio que no

precisem ser marcadas como contas de
servio no banco de dados do ADMT e
clique em Ignorar/Incluir para marcar as
contas com Ignorar.
Concluindo o Assistente para Migrao Revise suas selees e clique em

de Conta de Servio Concluir.
O assistente se conecta aos computadores selecionados e envia um agente para verificar todos
os servios nos computadores remotos. A pgina Informaes de Contas de Servio lista os
servios que esto sendo executados no contexto de uma conta de usurio e o nome dessa
conta de usurio. O ADMT anota em seu banco de dados que essas contas de usurio devem
ser migradas como contas de servio. Se no desejar que uma conta de usurio seja migrada
como uma conta de servio, selecione a conta e clique em Ignorar/Incluir para alterar o status
de Incluir para Ignorar.
Use Atualizar SCM para atualizar o Gerenciador de Controle de Servios com as novas
informaes. A menos que ocorra uma falha quando voc tentar acessar um computador para
atualizar o servio, o boto Atualizar SCM no estar disponvel. Se voc tiver problemas para
atualizar uma conta de servio identificada e migrada, verifique se o computador que est
75
Para identificar contas de servio usando um
a opo
scriptde linha de comando do ADMT
tentando acessar est disponvel e, em seguida, reinicie o Assistente para Migrao de Conta de
Servio.
No assistente, clique em Atualizar SCM para tentar atualizar o servio. Se voc tiver executado
o Assistente para Migrao de Conta de Servio anteriormente e o boto Atualizar SCM no
estiver disponvel, examine os arquivos de log do ADMT para determinar a causa do problema.
Depois que voc corrigir o problema e o agente puder se conectar com xito, o boto Atualizar
SCM ficar disponvel.
2. Na linha de comando, digite o comando a seguir e pressione ENTER:
ADMT SERVICE /N "<nome_do_computador1>" "<nome_do_computador2>" /SD:"
<domnio_de_origem>" /TD:" <domnio_de_destino>"
Onde <nome_do_computador1> e <nome_do_computador2> so os nomes dos computadores

do domnio de origem que executam as contas de servio.
Voc tambm pode incluir parmetros em um arquivo de opo especificado na linha de
comando, da seguinte forma:
ADMT SERVICE /N "<nome_do_computador1>" "<nome_do_computador2>" /O:"
<arquivo_de_opo>.txt"
A tabela a seguir lista os parmetros comuns usados para identificar contas de servio,
juntamente com o parmetros de linha de comando e os equivalentes de arquivo de
opo.
Valores Sintaxe da linha de comando Sintaxe do arquivo de opo
<Domnio de /SD:"domnio_de_origem" SourceDomain="domnio_de_origem"

origem>
<Domnio de /TD:"domnio_de_destino" TargetDomain="domnio_de_destino"

destino>
3. Verifique se h erros nos resultados exibidos na tela.
Crie um script que incorpore comandos e opes do ADMT para identificar contas de
servio usando o exemplo de script a seguir. Copie o script no Bloco de Notas e salve o
arquivo com a extenso de nome de arquivo .wsf na mesma pasta do arquivo
AdmtConstants.vbs.
<Job id="IdentifyingServiceAccounts" >
<Script language="VBScript" src="AdmtConstants.vbs" />
76
<Script language="VBScript" >
Option Explicit
Dim objMigration
Dim objServiceAccountEnumeration
'
'Crie a instncia de objetos de migrao do ADMT.
'
Set objMigration = CreateObject("ADMT.Migration")
Set objServiceAccountEnumeration = _
objMigration.CreateServiceAccountEnumeration
'
'Especifique opes de migrao gerais.
'
objMigration.SourceDomain = "domnio de origem"
'
'Enumere contas de servio em computadores especificados.
'
objServiceAccountEnumeration.Enumerate admtData, _
Array("nome do computador 1" ,"nome do computador 2" )
Set objServiceAccountEnumeration = Nothing
Set objMigration = Nothing
</Script>
</Job>
77
Migrando Contas
O processo de migrao de objetos de conta de um domnio de origem para um domnio de
destino em uma outra floresta do Active Directory envolve em primeiro lugar a migrao de
contas de servio e, em seguida, a migrao de grupos globais. Aps os grupos estarem no
domnio de destino, voc pode migrar usurios de acordo com o processo selecionado por voc,
seja usando o histrico do SID (identificador de segurana) para acesso a recurso ou no.
Quando o processo de migrao de objeto de conta estiver concludo, voc poder instruir
usurios do domnio de origem para fazer logon no domnio de destino. A ilustrao a seguir
mostra o processo de migrao de contas entre domnios em florestas distintas.
Fazendo a transio de contas de servio na

sua migrao
Comece o processo de migrao de objetos com a migrao de contas de servio que so
executadas como contas de usurio do domnio. Para obter informaes sobre como identificar
contas de servio para migrao, consulte Fazendo a transio de contas de servio na sua
78
Para fazer a transio de contas de servio utilizando o snap-in do ADMT
migrao. Este tpico no se aplica a contas do servio gerenciado. As contas de servio

gerenciado podem ser migradas usando o Assistente para Migrao de Conta de Servio
Gerenciado e o Assistente para Migrao de Computadores.
Para fazer a transio de contas de servio, use a Ferramenta de Migrao do Active Directory
(ADMT) para concluir as seguintes tarefas:
Migrar as contas de servio do domnio de origem para o domnio de destino.
Modificar os servios em cada servidor do domnio de origem para que os servios usem a
conta de servio do domnio de destino em vez da do domnio de origem.
Voc pode fazer a transio de contas de servio usando o snap-in do ADMT, a opo de linha
de comando do ADMT ou um script.
2. No snap-in do ADMT, clique em Ao e, em seguida, em Assistente para migrao de
conta de usurio.
3. Conclua o Assistente para migrao de conta de usurio usando as informaes da
tabela a seguir.
Seleo de domnio Sob Origem, na lista suspensa Domnio,

Avanar.
Seleo de usurio Clique em Selecionar usurios do

domnio e em Avanar. Na pgina Seleo
de usurio, clique em Adicionar para
selecionar as contas do domnio de origem
que deseja migrar, clique em OK e, em
79
seguida, clique em Avanar.

Ou
Seleo de unidade organizacional Clique em Procurar.

Em Procurar recipiente, localize o domnio
de origem, selecione o recipiente para as
contas de servio e clique em OK.
Opes de senha Clique em Gerar senhas complexas.
Observao
Ao fazer a transio de contas
de servio usando o Assistente
para migrao de conta de
usurio, uma senha complexa
gerada automaticamente,
independentemente da opo
selecionada nesta pgina do
assistente. Mesmo que a opo
No atualizar senhas para
usurios existentes esteja
selecionada, uma senha
complexa ser gerada.
Opes de transio de conta Clique em Habilitar contas de destino.

Marque a caixa de seleo Migrar SIDs de
usurio para o domnio de destino.
Conta de usurio Digite o nome de usurio, a senha e o

domnio de uma conta de usurio que
possua credenciais administrativas.
Opes de usurio Marque a caixa de seleo Atualizar

direitos de usurio.
Verifique se nenhuma outra configurao
est selecionada, incluindo Migrar grupos
de usurios associados.
Gerenciamento de conflitos Clique em No migrar o objeto de origem

se for detectado um conflito no domnio
de destino.
80
Para fazer a transio de contas de servio usando a opo de linha de comando do
ADMT
Informaes de contas de servio Clique em Migrar todas as contas de

servio e atualizar o SCM para itens
marcados para incluso. Se voc tambm
estiver migrando outras contas de usurio
que no sejam contas de servio, este
assistente o informar de que voc
selecionou algumas contas que esto
marcadas como contas de servio no banco
de dados do ADMT. Por padro, as contas
esto marcadas como Incluir. Para alterar o
status da conta, selecione-a e clique em
Ignorar/Incluir.
Clique em Avanar para migrar as contas.
4. Quando o assistente for concludo, clique em Exibir log e revise o log de migrao
procura de erros.
5. Inicie Usurios e computadores do Active Directory, navegue para a unidade
organizacional (UO) que voc criou para contas de servio e verifique se as contas de
servio existem na UO do domnio de destino.
6. Confirme que cada aplicativo para o qual a conta de servio foi realocada continua
funcionando corretamente.
ADMT USER /N "<nome_de_servidor1>" "<nome_do_servidor2>" /SD:"
<domnio_de_origem>" /TD:" <domnio_de_destino>" /TO:" <UO_de_destino>" /MSS:YES
Onde Nome_do_servidor1 e Nome_do_servidor2 so os nomes dos servidores do

domnio de origem que executam contas de servio. Voc tambm pode incluir
parmetros em um arquivo de opo especificado na linha de comando, desta forma:
ADMT USER /N "<nome_do_servidor1>" "<nome_do_servidor2>" /O:
"<arquivo_de_opo>.txt"
A tabela a seguir lista os parmetros comuns usados para fazer a transio de contas de
usurio, juntamente com o parmetros de linha de comando e os equivalentes de
arquivo de opo.
81
Para fazer a transio de contas de servio usando um script
Parmetros Sintaxe da linha de comando Sintaxe do arquivo de opo

origem>

destino>
Local da <UO de /TO:"UO_de_destino" TargetOU="UO_de_destino"

destino>
Desabilitar contas /DOT:ENABLETARGET (padro) DisableOption=ENABLETARGET (padro)
Migrar senha /PO:COMPLEX (padro) PasswordOption=COMPLEX
Migrar SIDs de /MSS:YES MigrateSIDs=YES

usurio = SIM
Atualizar direitos /UUR:YES UpdateUserRights=YES

de usurio=SIM
Gerenciamento /CO:IGNORE (padro) ConflictOptions=IGNORE (padro)

de conflitos
3. Revise os resultados exibidos na tela procura de erros.

4. Abra Usurios e Computadores do Active Directory e localize a UO da conta de servio
de destino. Verifique se as contas de servio existem na UO do domnio de destino.
Prepare um script que incorpore comandos e opes do ADMT para fazer a transio de
contas de servio usando o exemplo de script a seguir. Copie o script no Bloco de Notas
e salve o arquivo com a extenso de nome de arquivo .wsf na mesma pasta do arquivo
AdmtConstants.vbs.
<Job id=" TransitioningServiceAccountsBetweenForests" >
<Script language=" VBScript" src="AdmtConstants.vbs" />
Option Explicit
Dim objMigration
Dim objUserMigration
'
82
'
Set objMigration = CreateObject("ADMT.Migration" )
Set objUserMigration = objMigration.CreateUserMigration
'
'
objMigration.SourceOu = "continer de origem"
objMigration.TargetDomain = "domnio de destino"
objMigration.TargetOu = "continer de destino"
objMigration.ConflictOptions = admtIgnoreConflicting
'
'Especifique as opes especficas de migrao do usurio.
'
objUserMigration.MigrateSIDs = True
objUserMigration.UpdateUserRights = True
objUserMigration.MigrateServiceAccounts = True
'
'Migrar as contas de servio especificadas.
'
objUserMigration.Migrate admtData, _
Array("nome de conta de servio1", "nome de conta de servio2")
Set objUserMigration = Nothing
</Script>
</Job>
83
Observao Observao
Para migrar grupos globais usando o snap-in da ADMT
Migrando grupos globais

Para preservar a associao de grupos globais, voc deve migrar os grupos globais antes de
migrar os usurios.
No migre grupos globais em horrios de pico de trabalho. O processo de migrao de
grupos globais pode consumir uma grande quantidade de recursos de rede e de
recursos do controlador do domnio de destino.
Para realizar a migrao de grupos globais, siga estas etapas:
1. O administrador seleciona objetos de grupo global no domnio de origem.
2. Um novo objeto de grupo global criado no domnio de destino e um novo identificador de
segurana (SID) primrio criado para o objeto no domnio de destino.
3. Para preservar o acesso aos recursos, a Ferramenta de Migrao do Active Directory
(ADMT) adiciona o SID do grupo global do domnio de origem ao atributo de histrico do SID
do novo grupo global do domnio de destino.
Aps a migrao, eventos so registrados nos domnios de origem e de destino.
Se o processo de migrao de conta de usurio demorar muito tempo para ser realizado,
possvel que voc precise repetir a migrao dos grupos globais do domnio de origem
para o domnio de destino. O objetivo propagar as alteraes da associao feitas no
domnio de origem antes que o processo de migrao seja concludo. Para obter mais
informaes sobre como repetir a migrao de grupos globais, consulte Repetindo a
migrao de todos os grupos globais depois que todos os lotes so migrados,
Voc pode migrar grupos globais usando o snap-in da ADMT, a opo de linha de comando da
ADMT ou um script.
2. Use o Assistente para Migrao de Conta de Grupo, executando as etapas descritas na
tabela a seguir.

84

Avanar.

origem que deseja migrar, clique em OK
Ou
de incluso e em Avanar. Digite o local
do arquivo de incluso e clique em
Avanar.
Seleo de Unidade Organizacional Digite o nome da unidade organizacional

(UO) ou clique em Procurar.
Na caixa de dilogo Procurar Recipiente,
localize o recipiente do domnio de destino
Opes de Grupo Clique em Migrar SIDs de grupo para

domnio de destino.


domnio de destino.
85
Para migrar grupos
3. Quando globais
o assistente for usando a opo
um
concludo, script
clique de linha
em Exibirde comando
Log e reviseda ADMT
o log de migrao
procura de erros.
4. Abra o snap-in Usurios e Computadores do Active Directory e localize a UO de destino.
Verifique se os grupos globais existem na UO do domnio de destino.
2. Na linha de comando, digite o comando ADMT Group com os parmetros apropriados e
pressione ENTER:
ADMT GROUP /N "<nome_do_grupo1>" "<nome_do_grupo2>" /SD:" <domnio_de_origem>"
/TD:" <domnio_de_destino>" /TO:" <UO de destino>" /MSS:YES

ADMT GROUP /N "<nome_do_grupo1>" "<nome_do_grupo2>" /O: "<arquivo_de_opo>.txt"
A tabela a seguir lista os parmetros comuns usados para migrar grupos globais,
juntamente com o parmetro de linha de comando e equivalentes do arquivo de opo.

origem>
Local da <UO de /SO:"UO_de_origem" SourceOU="UO_de_origem"

Origem>

destino>

Destino>

GG
Gerenciamento /CO:IGNORE (padro) ConflictOptions=IGNORE

de conflitos

4. Abra o snap-in Usurios e Computadores do Active Directory e localize a UO de destino.
Verifique se os grupos globais existem na UO do domnio de destino.
Prepare um script que incorpore comandos e opes da ADMT para migrar grupos
globais usando o exemplo de script a seguir. Copie o script no Bloco de Notas e salve o
86
AdmtConstants.vbs.
<Job id=" MigratingGlobalGroupsBetweenForests" >
Option Explicit
Dim objMigration
Dim objGroupMigration
'
'Crie a instncia de objetos de migrao da ADMT.
'
Set objGroupMigration = objMigration.CreateGroupMigration
'
'
'
'Especifique opes especficas de migrao de grupo.
'
objGroupMigration.MigrateSIDs = True
'
'Migre objetos de grupo especificados.
'
87
objGroupMigration.Migrate admtData, Array("nome do grupo1" ,"nome do
grupo2" )
Set objGroupMigration = Nothing
</Script>
</Job>
Migrando contas ao usar o histrico SID

Para migrar contas ao usar o histrico do identificador de segurana (SID), migre primeiro todas
as contas de usurio mas no as habilite no domnio de destino para preencher o domnio
de destino e permitir a migrao de perfis de usurio. Depois que todas as contas de usurio
tiverem sido migradas com xito, inicie a migrao dos usurios em lotes migrando primeiro o
perfil do usurio, depois a estao de trabalho e, em seguida, a conta do usurio. Antes de
migrar todas as contas de usurio, verifique se voc criou contas de teste que possam ser
includas em cada lote para confirmar a migrao do lote.
Ao migrar contas de usurio, voc no poder migrar todas as propriedades de usurio. Por
exemplo, o contedo de Armazenamento Protegido (Pstore) das estaes de trabalho com
Windows NT 4.0, incluindo chaves privadas de Sistema de Arquivos com Criptografia (EFS), no
migrado pela Ferramenta de Migrao do Active Directory (ADMT) quando voc migra contas
de usurio. Para migrar contedos de Pstore, necessrio exportar e importar chaves durante o
processo de migrao.
Em clientes que estejam executando o Windows 2000 Server ou mais recente, os dados so
protegidos pela API de Proteo de Dados (DPAPI) e tambm no so migrados. A DPAPI ajuda
a proteger estes itens:
Credenciais de pgina da Web (por exemplo, senhas)
Credenciais de compartilhamento de arquivo
Chaves privadas associadas ao EFS, a extenses S/MIME e a outros certificados
Dados de programa protegidos por meio do uso da funo CryptProtectData()
Por esse motivo, importante testar migraes de usurio. Use sua conta de migrao de teste
para identificar as propriedades que no foram migradas e atualizar as configuraes de usurio
no domnio de destino conforme necessrio.
Conclua estas etapas para migrar as contas de usurio para o domnio de destino:
88
1. Migre as contas de servio gerenciado. As contas de servio gerenciado devem ser migradas
antes dos computadores.
2. Migre todas as contas de usurio com a conta habilitada no domnio de origem, desabilitada
no domnio de destino, com uma senha complexa selecionada e sem atributos migrados.
3. Converta os perfis de usurio local de um lote de usurios.
4. Migre as estaes de trabalho que correspondem aos lotes de contas de usurio.
5. Antes de migrar o lote de contas de usurio, verifique se a migrao do perfil local e da
estao de trabalho foi realizada com xito para todos os usurios no lote. No migre
nenhuma conta de usurio cuja migrao de perfil ou estao de trabalho tenha falhado. Isso
resultaria na substituio dos perfis existentes ao fazerem logon no domnio de destino.
6. Repita a migrao das contas de usurio em lotes com a conta configurada para expirar no
domnio de origem em sete dias, a conta de destino habilitada, com migrao de senha
selecionada e todos os atributos migrados.
7. Depois de cada lote, repita a migrao de todos os grupos globais para atualizar as
alteraes dos membros dos grupos.
8. Notifique os usurios no lote para fazerem logon no domnio de destino.
9. Depois de migrar todos os usurios, execute uma migrao de grupo global final para
atualizar as alteraes dos membros dos grupos.
A migrao de contas de usurio em lotes ajuda voc a acompanhar as contas que foram
migradas e testar se as etapas de migrao foram realizadas com xito. Se a estrutura da
unidade organizacional (UO) do domnio de destino for a mesma que a estrutura da UO do
domnio de origem, migre os grupos de usurios com base na UO. Se as estruturas de UO forem
diferentes, selecione uma forma alternativa de agrupamento dos usurios com base na estrutura
da sua organizao. Por exemplo, voc poder migrar usurios por unidade de negcios ou por
andar para permitir que recursos de assistncia tcnica sejam consolidados.
Se voc planeja manter a estrutura da sua UO de domnio de origem, migre as UOs junto com os
usurios contidos nelas. Por exemplo, se o seu domnio de origem for um ambiente do
Windows Server 2003 Active Directory que possui uma estrutura de UO funcional e o domnio de
destino no possui uma estrutura de UO, migre as UOs do domnio de origem.
Se voc criou uma nova estrutura de UO no domnio de destino, migre lotes de usurios sem as
UOs. Por exemplo, se o ambiente de origem era um domnio com Windows NT 4.0 que foi
atualizado para um domnio com Windows Server 2003, o domnio de origem poder no conter
uma estrutura de UO; sendo assim, voc poder migrar os usurios sem migrar as UOs.
Para obter mais informaes sobre como criar uma estrutura de UO, consulte Criando unidades
organizacionais para delegao de administrao (http://go.microsoft.com/fwlink/?LinkId=76628)
(em ingls).
At que voc migre todas as contas de usurio e de grupo, continue a administrar os membros
do grupo global no domnio de origem. Para oferecer suporte a uma estratgia de reverso,
sincronize manualmente as alteraes realizadas aos usurios no domnio de destino com as
contas de usurio existentes no domnio de origem. Para obter mais informaes sobre como
89
administrar usurios e grupos durante o processo de restruturao entre florestas, consulte
Gerenciando usurios, grupos e perfis de usurio, anteriormente neste guia.
Se voc estiver migrando UOs ao migrar contas de usurio, migre os grupos que pertencem a
essas UOs para o domnio de UO durante o processo de migrao de conta de usurio. Quando
voc migra grupos globais usando o processo de migrao de grupo global, eles so inseridos
na UO de destino no domnio de destino. Se voc migrar UOs do domnio de origem para o de
destino, selecione a opo para mover os grupos globais para o domnio de destino ao mesmo
tempo. Dessa forma, os grupos so movidos da UO de destino na qual foram inseridos durante a
migrao global inicial para a UO qual pertencem.
A utilizao do ADMT para migrar as contas de usurio preserva os membros dos grupos. Como
os grupos globais podem conter somente membros do domnio no qual o grupo est localizado,
quando os usurios so migrados para um novo domnio, as contas de usurio no domnio de
destino no podem ser membros dos grupos globais no domnio de origem. Como parte do
processo de migrao, o ADMT identifica os grupos globais no domnio de origem ao qual as
contas de usurio pertencem e, em seguida, determina se os grupos globais foram migrados. Se
o ADMT identificar os grupos globais no domnio de destino ao qual os usurios migrados
pertenciam no domnio de origem, a ferramenta adicionar os usurios aos grupos globais
apropriados no domnio de destino.
A utilizao do ADMT para migrar as contas de usurio tambm preserva senhas de usurio.
Depois que as contas de usurio forem migradas e habilitadas no domnio de destino, os
usurios podero fazer logon no domnio de destino usando suas senhas originais. Depois de
fazer logon, os usurios sero solicitados a alterar a senha.
Se o processo de migrao de conta de usurio for realizado com xito, mas o processo de
migrao de senha falhar, o ADMT criar uma nova senha complexa para a conta de usurio no
domnio de destino. Por padro, o ADMT armazena as novas senhas complexas no arquivo
C:\Program Files\Active Directory Migration Tool\Logs\Password.txt.
Se voc tiver uma configurao de Diretiva de Grupo no domnio de destino que no permita
senhas em branco (a configurao de Diretiva de Domnio Padro/Configurao do
Computador/Configuraes de Segurana/Diretivas de Conta/Diretivas de Senha/Tamanho
mnimo da senha definida para qualquer nmero diferente de zero), a migrao de senha ir
falhar para todos os usurios que possurem uma senha em branco. O ADMT gera uma senha
complexa para o usurio e grava um erro no log de erros.
Estabelea um mtodo para notificao de usurios que receberam novas senhas. Por exemplo,
voc pode criar um script para enviar uma mensagem de email aos usurios para notific-los de
suas novas senhas.
A ilustrao a seguir mostra as etapas envolvidas na migrao de contas se voc estiver usando
um histrico de SID para acesso a recursos.
90
Migrando contas de servio gerenciado
Uma conta de servio gerenciado um objeto de conta de domnio que est disponvel no
esquema do Active Directory do Windows Server 2008 R2. Uma conta de servio gerenciado
pode ser instalada em computadores que executam o Windows 7 ou o Windows Server 2008 R2.
Somente o ADMT v3.2 pode migrar contas de servio gerenciado.
O processo para identificar e migrar contas de servio gerenciado usando o ADMT v3.2 envolve
duas etapas:
1. Use o Assistente para Migrao da Conta de Servio Gerenciado ou a ferramenta de linha de
comando admt managedserviceaccount para migrar objetos da conta de servio
gerenciado para o domnio de destino, conforme explicado neste tpico.
2. Use o Assistente para migrao de computadores ou a ferramenta de linha de comando
admt computer para migrar os computadores que hospedam as contas de servio
gerenciado. Para obter mais informaes sobre como migrar computadores como parte de
uma migrao entre florestas, consulte Repetindo a migrao de contas de usurio e
migrando estaes de trablaho em lotes. Para obter mais informaes sobre como migrar
91
Importante
Para migrar contas de servio gerenciado usando o snap-in do ADMT
computadores como parte de uma migrao na mesma floresta, consulte Migrar estaes de
trabalho e servidores membros.
As contas de servio gerenciado que foram migradas na etapa anterior e que foram
originalmente instaladas nos computadores migrados so identificadas durante a migrao
do computador. Aps a migrao do computador ser concluda, as contas de servio
gerenciado so instaladas novamente no computador no domnio de destino (a menos que
voc solicite ignor-las). Se voc tiver executado a converso de segurana nos servidores
membros que possuam recursos que concedam permisses s contas de servio
gerenciado, as contas tero as mesmas permisses para o acesso de recursos no domnio
de destino que possuam no domnio de origem.
Se voc estiver migrando contas de servio gerenciado entre domnios na mesma
floresta, execute a converso de segurana nos servidores membros no domnio de
origem que tenham recursos que concedem permisses para as contas de servio
gerenciado. A converso de segurana normalmente no necessria durante uma
migrao interna na floresta porque um SID acompanha uma conta. Entretanto, as
contas de servio gerenciado que so migradas entre domnios na mesma floresta
so copiadas. Uma nova conta criada no domnio de destino e as propriedades da
conta (excluindo o SID) so copiadas do domnio de origem. Portanto, voc precisa
executar a converso de segurana.
Se os recursos no domnio de origem que concedem permisses a uma conta de
servio gerenciado estiverem hospedados no mesmo computador da conta de
servio gerenciado, voc dever selecionar a converso de segurana nos recursos
apropriados (Arquivos e pastas, Grupos locais e assim por diante) na pgina
Converter Objetos do Assistente para Migrao de Computadores. Se os recursos
estiverem em outros computadores que no estejam sendo migrados, voc precisar
executar o Assistente para Converso de Segurana nesses computadores e na
pgina Opes de Converso de Segurana, selecionar Objetos migrados
anteriormente ou fornecer explicitamente as contas MSA em um arquivo de
mapeamento de SID. Para obter mais informaes sobre como fazer a converso de
segurana, consulte Fazendo a converso de segurana em servidores membros.
2. No snap-in do ADMT, clique em Ao e clique em Assistente para Migrao da Conta
de Servio Gerenciado.
3. Conclua o Assistente para Migrao da Conta de Servio Gerenciado usando as
informaes da tabela a seguir.
92

Avanar.
Opo de Seleo de Conta de Servio Clique em Selecione as contas de

Gerenciado servio gerenciado do domnio para
migrar contas de servio gerenciado do
domnio usando a caixa de dilogo de
seleo de objeto ou um arquivo de
incluso. Essa opo mais indicada se
voc desejar migrar todas as contas de
servio gerenciado do domnio de origem.
Ou
Clique em Fornea os computadores
que podem ser consultados para
quaisquer contas de servio
gerenciado e clique em Avanar. Na
pgina Seleo de Conta de Servio
Gerenciado, clique em Adicionar para
selecionar as contas de computador no
domnio de origem que voc deseja
consultar para as contas de servio
gerenciado, clique em OK e clique em
Avanar. Esta opo ser preferencial se
voc desejar migrar apenas contas de
servio gerenciado instaladas em
computadores especficos. Cada
computador fornecido pode ter vrias
contas de servio gerenciado instaladas.
Voc pode escolher uma combinao
dessas opes movendo-se para frente e
93
para trs no assistente. Por exemplo, voc

pode fornecer os computadores a serem
consultados e adicionar as contas de
servio gerenciado que esto instaladas
nesses computadores lista de contas a
serem migradas. Em seguida, voc pode
clicar em Voltar no assistente para
retornar para esta pgina e selecionar as
contas de servio gerenciado adicionais
no domnio ou em um arquivo de incluso.

Gerenciado servio gerenciado do domnio e clique
Essa pgina exibida somente se voc em Avanar. Na pgina Seleo de
tiver selecionado as contas de servio Conta de Servio Gerenciado, clique em
gerenciado no domnio. Adicionar para selecionar as contas no
migrar, clique em OK e clique em
Avanar.
Ou
Avanar.
Seleo de Unidade Organizacional Clique em Procurar para especificar um

local para as contas migradas e clique em
Avanar.
Opes de Contas de Servio Marque a caixa de seleo Atualizar

Gerenciado direitos da conta
Marque a caixa de seleo Corrigir
participaes de usurios em grupos.
Se a conta estiver sendo migrada para
uma floresta diferente, marque a caixa de
seleo Migrar SIDs de contas para o
domnio de destino. Esta opo no est
disponvel para uma migrao interna na
floresta.
Clique em Avanar. Digite o nome de
usurio, senha e domnio de uma conta
que tenha credenciais administrativas no
domnio de origem e clique em Avanar.
94
Para migrar contas de servio gerenciado usando a opo de linha de comando do
ADMT

de Conta de Servio Gerenciado Concluir.
de migrao.
5. Inicie Usurios e Computadores do Active Directory e verifique se as contas de servidor
gerenciado existem na UO apropriada no domnio de destino.
ADMT MANAGEDSERVICEACCOUNT /N "<nome_da_conta de servio gerenciado1>"
"<nome_da_conta de servio gerenciado2>" /IF:NO /SD:"<domnio_de_origem>"
/TD:"<domnio_de_destino>" /UUR:YES /FGM:YES /MSS:YES
Onde <nome_da_conta1 do servio gerenciado> e <nome_da_conta2 do servio

gerenciado> so os nomes das contas de servio gerenciado no domnio de origem.

"<nome_da_conta de servio gerenciadot2>" /O:"<arquivo_de_opo>.txt"
A tabela seguinte lista os parmetros comuns que so usados para a migrao de

contas de servio gerenciado, junto com os equivalentes de parmetro de linha de
comando e arquivo de opo.
Valores Sintaxe da linha de Sintaxe do arquivo de opo

comando
Migrao interflorestal /IF:No Intraforest=No
<Domnio de origem> / SourceDomain="domnio_de_origem

SD:"domnio_de_origem" "
<Domnio de destino> / TargetDomain="domnio_de_destin

TD:"domnio_de_destino" o"
Atualizar direitos da /UUR:Yes UpdateUserRights=Yes

conta
Atualize a /FGM:Yes FixGroupMembership=Yes
95
comando
participao de
grupos de contas
Migrar SIDs de conta /MSS:Yes MigrateSIDs=Yes
Observao
Voc
pode
migrar
SIDs para
contas de
servio
gerenciad
o
somente
entre
florestas.
Se voc
usar esse
parmetro
durante
uma
migrao
entre
florestas,
um erro
ser
retornado.
Para contas de servio gerenciado que so hospedadas em computadores membros no domnio

de origem, voc pode incluir o computador membro quando realizar a migrao de computador e
a conta de servio gerenciado ser instalada no computador membro no domnio de destino
depois que o computador for migrado.

96
Observao Importante
Para migrar o lote atual de usurios usando o snap-in do ADMT
Inicie o processo de migrao de conta de usurio migrando todos os usurios. Isto o ajuda a
converter perfis locais e garantir que usurios continuem tendo o acesso adequado a recursos
aps a migrao.
Contas internas (como Administradores, Usurios e Usurios Avanados) no podem ser
objetos de migrao da Ferramenta de Migrao do Active Directory (ADMT). Como os
identificadores de segurana (SIDs) de contas internas so idnticos em todos os
domnios, a migrao dessas contas para um domnio de destino resulta em SIDs
duplicados em um nico domnio. Cada SID de um domnio deve ser exclusivo. Contas
conhecidas (como Administradores de Domnio e Usurios de Domnio) tambm no
podem ser objetos de migrao da ADMT.
O processo de migrao de conta de usurio da ADMT inclui as seguintes etapas:
1. O ADMT l os atributos dos objetos do usurio de origem.
2. O ADMT cria um novo objeto de usurio no domnio de destino e um novo SID primrio para
a nova conta de usurio.
3. O ADMT adiciona o SID original da conta de usurio ao atributo de histrico do SID da nova
conta de usurio.
4. O ADMT migra a senha da conta de usurio.
5. Se o ADMT identificar os grupos globais no domnio de destino ao qual os usurios migrados
Durante a migrao, eventos de auditoria so registrados nos domnios de origem e de destino.
Voc pode migrar contas de usurio usando o snap-in do ADMT, a opo de linha de comando
do ADMT ou um script. Se voc estiver migrando contas de usurio que tm a garantia do
mecanismo de autenticao habilitada, use um arquivo de incluso. No arquivo de incluso,
especifique os nomes principais de usurrios (UPNs) originais do domnio de origem como os
UPNs de destino para que voc possa manter o funcionamento da garantia do mecanismo de
autenticao. Para obter mais informaes sobre como usar um arquivo de incluso, consulte
Usar um arquivo de incluso.
Ao comear uma migrao de usurio com o histrico do SID a partir de uma linha de
comando ou a partir de um script, voc dever executar a migrao em um controlador
de domnio no domnio de destino.
2. Use o Assistente para Migrao de Conta de Usurio, executando as etapas descritas na
tabela a seguir.
97

Avanar.

Seleo de Usurio, clique em Adicionar
para selecionar os usurios do domnio de
origem que deseja migrar no lote atual,
Avanar.
Ou
Seleo de unidade organizacional Verifique se a ADMT lista a UO de destino

correta. Se a lista no estiver correta,
digite a UO correta ou clique em
Procurar.
localize o domnio de destino e a UO e
clique em OK.
Opes de senha Clique em No atualizar senhas de

usurios existentes.
Clique em Gerar senhas complexas.
Opes de transio de conta Em Estado da Conta de Destino:, clique

em Desabilitar Contas de Destino.
Em Opes de Desabilitao de Conta
de Origem:, clique em Dias at que a
98
conta de origem expire: e digite os

nmeros de dias durante os quais voc
deseja manter a conta de origem.
Geralmente, o valor sete usado.
Marque a caixa de seleo Migrar SIDs
de usurio para o domnio de destino.

tenha credenciais administrativas no
domnio de origem.
Opes de usurio Marque a caixa de seleo Converter

perfis mveis.
Desmarque a caixa de seleo Atualizar
direitos de usurio.
Desmarque a caixa de seleo Migrar
grupos de usurios associados.
membros do grupo de usurios.
Excluso da propriedade do objeto Desmarque a caixa de seleo Excluir

propriedades de objeto especficas da
migrao.
Gerenciamento de conflitos Clique em No migrar o objeto de

domnio de destino.
As caixas de seleo Antes de mesclar,
remover direitos do usurio de contas
de destino existentes e Mover objetos
mesclados para Unidade
Organizacional de destino especificada
devem estar desmarcadas.
de migrao.
4. Inicie Usurios e computadores do Active Directory e verifique se as contas de usurio
esto na UO adequada do domnio de destino.
99
Para migrar contas de usurio utilizando a opo de linha de comando da ADMT
1. Em um controlador de domnio no domnio de destino no qual o ADMT est instalado,

faa logon usando a conta de migrao da conta do ADMT.
Importante
Ao comear uma migrao de usurio com histrico do SID na linha de
comando, voc dever executar o comando em um controlador do domnio de
destino.
2. Na linha de comando, digite o comando ADMT User com os parmetros apropriados e
pressione ENTER.
ADMT USER /N "<nome_do_usurio1>" "<nome_do_usurio2>" /SD:" <domnio_de_origem>"
/TD:" <domnio_de_destino>" /TO:"<UO_de_destino>" /MSS:YES /TRP:YES /UUR:NO

ADMT USER /N "<nome_do_usurio1>" "<nome_do_usurio2>" /O
A tabela a seguir lista os parmetros comuns usados para migrar contas de usurio,
juntamente com os parmetros de linha de comando e os equivalentes de arquivo de
opo.

origem>

destino>

destino>
Migrar SIDs /MSS:YES MigrateSIDs=YES
Desabilitar opo /DOT:DISABLETARGET DISABLEOPTION=DISABLETARGET
Expirao de /SEP:7 SOURCEEXPIRATION=7

origem

de conflitos
Converter perfil /TRP:YES (padro) TranslateRoamingProfile=YES

mvel
Atualizar direitos /UUR:NO UpdateUserRights=NO

de usurio
Opes de senha /PO:COMPLEX PasswordOption=COMPLEX
100
Para migrar contas de usurio utilizando um script

4. Abra Usurios e computadores do Active Directory e localize a UO de destino. Verifique
se os usurios existem na UO de destino.
Prepare um script que incorpore comandos e opes da ADMT para migrar usurios
utilizando o exemplo de script a seguir. Copie o script no Bloco de Notas e salve o
AdmtConstants.vbs.
Em seu script, especifique os nomes dos recipientes de origem e de destino no formato
cannico relativo. Por exemplo, se o recipiente for uma UO filha chamada Sales e sua
UO pai for chamada West, especifique West/Sales como nome do recipiente. Para obter
mais informaes, consulte TemplateScripts.vbs na pasta de instalao do ADMT.
<Job id=" MigratingAllUserAccountsBetweenForests" >
Option Explicit
Dim objMigration
'
'
'
'
101
objMigration.PasswordOption = admtComplexPassword
'
'
objUserMigration.TranslateRoamingProfile = True
objUserMigration.UpdateUserRights = False
objUserMigration.FixGroupMembership = True
objUserMigration.MigrateServiceAccounts = False
'
'Migre os objetos de usurio especificados.
'
objUserMigration.Migrate admtData, Array("nome de usurio1" , "nome de

usurio2" )
</Script>
</Job>
Repetindo a migrao de contas de usurio e

migrando estaes de trablaho em lotes
102
Observao
Para converter perfis de usurio local usando o snap-in do ADMT
Repetir a migrao de contas de usurio e estaes de trabalho em lotes ajuda voc a

acompanhar o processo de migrao. Em cada lote de usurios, primeiro converta os perfis de
usurio local e, em seguida, migre as estaes de trabalho. Verifique se a migrao do perfil e da
estao de trabalho foi realizada com xito e, em seguida, migre as contas de usurio. Repita a
migrao de grupos globais depois de cada lote. Para obter mais informaes, consulte
Repetindo a migrao de todos os grupos globais depois que todos os lotes so migrados,
Convertendo perfis de usurios locais

A Ferramenta de Migrao do Active Directory (ADMT) converte perfis para objetos de migrao
de computador suportados. Para obter uma lista de quais sistemas operacionais so suportados
por objetos de migrao de computador para diferentes verses do ADMT, consulte Verses e
ambientes com suporte da Ferramenta de Migrao do Active Directory.
Os perfis de usurio ficam armazenados localmente na estao de trabalho. Quando um usurio
faz logon em outra estao de trabalho, ele precisa criar um novo perfil de usurio local
exclusivo. Converta os perfis de usurio local do primeiro lote de usurios imediatamente depois
de migrar todas as contas de usurio.
Os perfis locais so convertidos no modo de substituio pois, se voc executar a converso de
perfis no modo de adio, alguns aspectos da instalao do software que utilizem a implantao
do software de Diretiva de Grupo podero no funcionar. Qualquer aplicativo que acompanhe o
Windows Installer verso 2.0 (que est includo nas estaes de trabalho que executam o
Windows 2000 Server Service Pack 3 (SP3) ou Service Pack 4 (SP4) e o Windows XP Service
Pack 1 (SP1) ou Service Pack 2 (SP2), bem como em vrios pacotes de software comuns)
poder no funcionar depois que o perfil for convertido. Por exemplo, os arquivos executveis do
aplicativo podero no ser removidos depois que o ltimo usurio remover o aplicativo. Quando
o Assistente para Converso de Segurana da ADMT estiver convertendo perfis locais no modo
de substituio, ele reverter para o modo de adio se houver um perfil bloqueado. Isso poder
resultar em uma converso de perfil bem-sucedida. No entanto, talvez as instalaes de
aplicativo no funcionem depois que o perfil for convertido.
Na noite anterior notificao que informa que os usurios devem fazer logon usando
suas novas contas no domnio de destino, converta os perfis de usurio local. A
converso dos perfis na noite anterior garante que o novo perfil de usurio refletir as
configuraes de usurio mais recentes.
Voc pode converter os perfis de usurio local usando o snap-in da ADMT, a opo de linha de
comando da ADMT ou um script.
1. Para cada estao de trabalho no domnio de origem que voc migrar, adicione a conta
de migrao de recurso do ADMT ao grupo Administradores local.
103
3. Use o Assistente para Converso de Segurana executando as etapas descritas na
tabela a seguir.
Opes de Converso de Segurana Clique em Objetos migrados

anteriormente.

Avanar.

Seleo do Computador, clique em
Adicionar para selecionar os
computadores do domnio de origem dos
quais voc deseja converter a segurana,
Avanar.
Ou
Converter Objetos Clique em Perfis de Usurio.
Opes de converso de segurana Clique em Substituir.
Caixa de Dilogo do Agente ADMT Selecione Executar pr-verificao e

operao do agente e clique em Iniciar.
4. Verifique se h erros nos resultados exibidos na tela. Aps a concluso do assistente,

clique em Exibir Log de Migrao para visualizar a lista de computadores, o status de
104
Para concluso
converter eperfis de usurio
o caminho para olocal usando
arquivo de logade
opo
cadade linha de comando
computador. dofor
Se um erro ADMT
reportado para um computador, voc precisar consultar o arquivo de log desse
computador para analisar se h problemas com grupos locais. O arquivo de log para
cada computador nomeado MigrationTaskID.log e fica armazenado na pasta
Windows\ADMT\Logs\Agents.
2. Na linha de comando, digite o comando ADMT Security com os parmetros apropriados e
pressione ENTER.
ADMT SECURITY /N "<nome_do_computador1>" "<nome_do_computador2>" /SD:"
<domnio_de_origem>" /TD:" <domnio_de_destino>" /TO:" <UO_de_destino>"
/TOT:REPLACE /TUP:YES

ADMT SECURITY /N "<nome_do_computador1>" "<nome_do_computador2>" /O
opo.

origem>

destino>
Opes de /TOT:REPLACE TranslateOption=REPLACE

converso de
segurana
Modificar /TUP:YES TranslateUserProfiles=YES

segurana de
perfil de usurio
local

concluso e o caminho para o arquivo de log de cada computador. Se um erro for
reportado em um computador, voc precisar verificar se h problemas com grupos
locais no arquivo de log desse computador. O arquivo de log para cada computador
nomeado MigrationTaskID.log e fica armazenado na pasta Windows\ADMT\Logs\Agents.
105
Para converter perfis de usurio local usando um script
Prepare um script que incorpore comandos e opes da ADMT para converter perfis de
usurio local usando o exemplo de script a seguir. Copie o script no Bloco de Notas e
salve o arquivo com a extenso de nome de arquivo .wsf na mesma pasta do arquivo
AdmtConstants.vbs.
<Job id=" TranslatingLocalProfilesBetweenForests" >
Option Explicit
Dim objMigration
Dim objSecurityTranslation
'
'
Set objSecurityTranslation = objMigration.CreateSecurityTranslation
'
'
objMigration.TargetOu = "Computadores"
'
'Especifique opes especficas de converso de segurana.
'
objSecurityTranslation.TranslationOption = admtTranslateReplace
objSecurityTranslation.TranslateUserProfiles = True
106
Observao
' Para migrar estaes de trabalho usando o snap-in da ADMT
'Realize a converso de segurana em objetos de computador especificados.
'
objSecurityTranslation.Translate admtData, _
Set objSecurityTranslation = Nothing
</Script>
</Job>
Migrando estaes de trabalho em lotes

Depois de migrar um lote de perfis de usurio local, migre o lote correspondente de estaes de
trabalho de usurio. Quando voc migra uma estao de trabalho de um domnio para outro, o
banco de dados do SAM (Gerenciador de Contas de Segurana) migrado juntamente com o
computador. As contas pertencentes ao banco de dados do SAM local (como grupos locais) que
so usadas para permitir o acesso aos recursos sempre so movidas com o computador.
Portanto, elas no precisam ser migradas.
Se uma estao de trabalho tiver contas de servio gerenciado instaladas e essas contas
tiverem sido migradas anteriormente, o ADMT oferecer uma opo para reinstalar a conta de
servio gerenciado no computador migrado e para atualizar o Gerenciador de Controle de
Servios. Para que o ADMT possa executar essa operao, a conta que executa a migrao do
computador precisa de permisses para modificar o descritor de segurana da conta de servio
gerenciado migrada.
Use um valor baixo para o parmetro RestartDelay para reiniciar as estaes de trabalho
imediatamente depois de associ-las ao domnio de destino ou assim que possvel. Os
recursos que no so reiniciados aps a migrao ficam em um estado indeterminado.
Voc pode migrar estaes de trabalho e servidores membros usando o snap-in do ADMT, a
opo de linha de comando do ADMT ou um script.
1. No computador do domnio de destino em que voc instalou o ADMT, faa logon usando
a conta de migrao de recurso do ADMT.
2. Use o Assistente para Migrao de Computador executando as etapas descritas na
tabela a seguir.
107

Avanar.
Seleo do Computador Clique em Selecionar computadores do

computadores do domnio de origem que
deseja migrar, clique em OK e, em
Ou
Avanar.
Informaes sobre conta de servio Selecione qualquer conta de servio

gerenciado (aparecer se o computador gerenciado que no tenha sido instalada
tiver uma conta de servio gerenciada no computador migrado no domnio de
instalada) destino e clique em Ignorar/Incluir para
marcar as contas como Ignorar.
Seleo de Unidade Organizacional Clique em Procurar.

localize o recipiente Computadores do
domnio de destino ou a UO apropriada e
clique em OK.
Converter Objetos Marque a caixa de seleo Grupos

locais.
Marque a caixa de seleo Direitos do
108
Para migrar estaes de trabalho usando a opo de linha de comando da ADMT
usurio.
Opes de converso de segurana Clique em Adicionar.
Opes de Computador Na caixa Minutos at que os

computadores sejam reiniciados aps
a concluso do assistente, aceite o valor
padro de 5 minutos ou digite outro valor.
Excluso da Propriedade do Objeto Para excluir determinadas propriedades

de objeto da migrao, marque a caixa de
seleo Excluir propriedades de objeto
especficas da migrao, selecione as
propriedades de objeto a serem excludas
e mova essas propriedades para
Propriedades Excludas; em seguida,
clique em Avanar.

domnio de destino.


4. Abra Usurios e Computadores do Active Directory e verifique se as estaes de
trabalho esto na UO apropriada do domnio de destino.
1. No computador do domnio de destino em que voc instalou a ADMT, faa logon usando
a conta de migrao de recurso da ADMT.
2. Na linha de comando, digite o comando ADMT Computer com os parmetros
apropriados e pressione ENTER.
/SD:"<domnio_de_origem>" /TD:"<domnio_de_destino>" /TO:"<UO_de_destino>" [/M:
<nome da conta de servio gerenciado 1> <nome da conta de servio gerenciado
109
2>] [/UALLMSA:Yes] /RDL:5

ADMT COMPUTER /N "<nome_do_computador1>" "<nome_do_computador2>" /O:"
A tabela a seguir lista os parmetros comuns usados na migrao de estao de

trabalho, juntamente com o parmetro de linha de comando e equivalentes do arquivo de
opo.
Parmetros Sintaxe da linha de Sintaxe do arquivo de opo

comando
<Domnio de origem> / SourceDomain="domnio_de_origem"

SD:"domnio_de_origem"

Origem>
<Domnio de destino> / TargetDomain="domnio_de_destino"

TD:"domnio_de_destino
"
Atualizar todas as /UALLMSA: YES UpdateAllManagedServiceAccounts=Y

contas de servio es
gerenciado
Atualize contas de /M nome 1 nome 2 UPDATEMSANAME=nome 1 nome 2

servio gerenciado
especficas
Observao
O
parmetro
/M tem
prioridade
sobre o
parmetro
/UALLMS
A.

Destino>
Atraso de /RDL:5 RestartDelay=5

reinicializao
(minutos)
110
Para migrar estaes de trabalho usando um script

comando
Opo de converso /TOT:ADD TranslationOption=ADD

de segurana
Converter direitos de /TUR:YES TranslateUserRights=YES

usurio
Converter grupos /TLG:YES TranslateLocalGroups=YES

locais
3. Verifique se h erros nos resultados exibidos na tela. O log de migrao lista

computadores, status de concluso e o caminho para o arquivo de log de cada
computador. Se um erro for reportado para um computador, voc precisar consultar o
arquivo de log desse computador para analisar se h problemas com grupos locais. O
arquivo de log para cada computador nomeado MigrationTaskID.log e fica armazenado
na pasta Windows\ADMT\Logs\Agents.
4. Abra Usurios e Computadores do Active Directory e localize a UO de destino. Verifique
se as estaes de trabalho e os servidores membros encontram-se na UO de destino.
Prepare um script que incorpore comandos e opes do ADMT para migrar estaes de
trabalho usando o exemplo de script a seguir: Copie o script no Bloco de Notas e salve o
AdmtConstants.vbs.
<Job id="MigratingWorkstationsBwtweenForest" >
Option Explicit
Dim objMigration
Dim objComputerMigration
'
'
111
Set objComputerMigration = objMigration.CreateComputerMigration
'
'
objMigration.SourceOu = "Computadores"
'
'Especifique as opes especficas de migrao do computador.
'
objComputerMigration.RestartDelay = 1
objComputerMigration.TranslationOption = admtTranslateAdd
objComputerMigration.TranslateLocalGroups = True
objComputerMigration.TranslateUserRights = True
'
'Migre objetos de computador em objetos de computador especificados.
'
objComputerMigration.Migrate admtData, _
Set objComputerMigration = Nothing
</Script>
</Job>
112
Importante
Para migrar o lote atual de contas de usurio usando o snap-in do ADMT
Repetindo a migrao de contas de usurio em
lotes
Depois de verificar o xito da migrao do perfil e da estao de trabalho do usurio local do
lote, migre as contas de usurio desse lote. Voc pode migrar contas de usurio em lotes usando
o snap-in da ADMT, a opo de linha de comando da ADMT ou um script.
especifique os nomes principais de usurios (UPNs) originais do domnio de origem como os
UPNs de destino para manter o funcionamento da garantia do mecanismo de autenticao. Para
obter mais informaes sobre como usar um arquivo de incluso, consulte Usar um arquivo de
incluso.
Ao comear uma migrao de usurio com o histrico de seus identificadores de
segurana (SID) a partir de uma linha de comando ou de um script, voc dever
executar a migrao em um controlador de domnio no domnio de destino.
2. Conclua o Assistente para Migrao de Conta de Usurio executando as etapas
descritas na tabela a seguir.

Avanar.
Seleo de Usurio Clique em Selecionar usurios do

113

Avanar.
Ou
Seleo de Unidade Organizacional Verifique se o ADMT lista a UO de destino

Procurar.
clique em OK.
Opes de Senha Clique em Migrar Senhas.

Em Controlador de domnio de origem
de migrao de senha:, digite o nome do
servidor de exportao de senha ou aceite
o valor padro.
Opes de Transio de Conta Em Estado da Conta de Destino:, clique

em Ativar contas de destino.
Em Opes de Desativao de Conta de
Origem:, clique em Dias at que a conta
de origem expire: e digite os nmeros de
dias durante os quais voc deseja manter
a conta de origem. Geralmente, o valor
sete usado.

Opes de Usurio Marque a caixa de seleo Converter

perfis mveis.
Marque a caixa de seleo Atualizar
direitos de usurio.
114
Para migrar o lote atual de usurios usando a opo de linha de comando do ADMT

Excluso da Propriedade do Objeto Desmarque a caixa de seleo Excluir

migrao.
Gerenciamento de Conflitos Marque a caixa de seleo Migrar e

mesclar objetos conflitantes.
Desmarque a caixa de seleo Antes de
mesclar, remover direitos do usurio de
contas de destino existentes.
Desmarque a caixa de seleo Mover
objetos mesclados para Unidade
Organizacional de destino especificada.
3. Quando o assistente for concludo, clique em Exibir Log e revise o log de migrao
procura de erros.
4. Abra Usurios e Computadores do Active Directory e verifique se as contas de usurio
esto na UO apropriada do domnio de destino.
pressione ENTER.
/TD:" <domnio_de_destino>" /TO:" <UO_de_destino>" /MSS:YES /TRP:YES /UUR:YES

opo.
115
Para migrar o lote atual de contas de usurio usando um script

origem>

Origem>

destino>

Destino>
Gerenciamento /CO:REPLACE ConflictOptions=REPLACE

de conflitos

mvel

de usurio
Opes de senha /PO:COPY /PS:<nome do PasswordOption=COPY

servidor PES> PasswordServer=:<nome do servidor
PES>
Expirao de /SEP:7 SourceExpiration=7

origem

Prepare um script que incorpore comandos e opes do ADMT para migrar usurios
AdmtConstants.vbs.
<Job id="MigratingUserAccountsInBatchesBetweenForests" >
Option Explicit
116
Dim objMigration
'
'
'
'
objMigration.PasswordOption = admtCopyPassword
objMigration.PasswordServer = "nome do servidor do exportao de senha"
objMigration.ConflictOptions = admtReplaceConflicting
'
'
objUserMigration.SourceExpiration = 7
'
117
Importante
' Para repetir a migrao dos grupos globais usando o snap-in do ADMT

usurio2" )
</Script>
</Job>
Repetindo a migrao de todos os grupos globais

depois da migrao da conta de usurio
Uma migrao muito grande de contas de usurio poder demorar um longo tempo para ser
concluda. Por esse motivo, talvez voc precise repetir a migrao de grupos globais do domnio
de origem para o domnio de destino depois de migrar os lotes de usurios, para que as
alteraes feitas nos membros de grupos do domnio de origem sejam refletidas aps a
migrao inicial de grupos globais. Para obter mais informaes sobre como repetir a migrao
de grupos globais e saber quais procedimentos devem ser seguidos, consulte Repetindo a
migrao de todos os grupos globais depois que todos os lotes so migrados, posteriormente
neste guia.
Repetindo a migrao de todos os grupos

globais depois que todos os lotes so
migrados
Depois que todos os lotes tiverem sido migrados, execute uma migrao de grupo global final
para garantir que quaisquer alteraes posteriores feitas na associao do grupo global no
domnio de origem sejam refletidas no domnio de destino. Voc pode repetir a migrao dos
grupos globais usando o snap-in da Ferramenta de Migrao do Active Directory (ADMT), a
Ao comear uma migrao de grupo usurio com o histrico do SID a partir de uma linha
de comando ou a partir de um script, voc dever executar a migrao em um
controlador de domnio no domnio de destino.
118
tabela a seguir.

Avanar.

Ou
Avanar.

Opes de Grupo Clique em Atualizar direitos de usurio.

Confirme que a opo Copiar membros
do grupo no est selecionada.
Confirme que a opo Atualizar objetos
119
Para repetir
Pgina ado
migrao
assistentedos grupos globais usando
Aoa opo de linha de comando do
ADMT
migrados anteriormente no est
selecionada.
Clique em Corrigir participao de
grupo.
Clique em Migrar SIDs de grupo para
domnio de destino.


migrao.

mesclar objetos conflitantes (todas as
outras opes devem permanecer
desmarcadas).
procura de erros.
se os grupos globais existem na UO do domnio de destino.
1. Em um controlador de domnio no domnio de destino no qual o ADMT est instalado,

faa logon usando a conta de migrao da conta do ADMT.
Importante
Ao comear uma migrao de grupo global com histrico de SID na linha de
comando, voc dever executar a migrao em um controlador do domnio no
domnio de destino.
pressione ENTER.
/TD:" <domnio_de_destino>" /TO:" <OU de destino>" /MSS:YES /CO:REPLACE

120
Para repetir a migrao dos grupos globais usando um script

origem>

Origem>

destino>

Destino>

GG

de conflitos

Prepare um script que incorpore comandos e opes da ADMT para migrar grupos
AdmtConstants.vbs.
<Job id=" RemigratingGlobalGroupsBetweenForests" >
Option Explicit
Dim objMigration
'
'
121
'
'
'
'
'
'

grupo2" )
</Script>
</Job>
Migrando contas sem usar o histrico SID

122
Se voc no estiver usando um histrico de identificador de segurana (SID) para acessar
recursos porque a filtragem do SID ocorre entre as suas florestas, seu processo de migrao
envolver a execuo das etapas a seguir. Primeiro, migre todas as contas de usurio mas as
habilite no domnio de destino para preencher o domnio de destino e permitir a migrao dos
perfis de usurio. Em seguida, execute a converso de segurana em todos os recursos
acessados pelos usurios pelas florestas. A prxima etapa migrar os usurios em lotes
migrando primeiro o perfil do usurio, depois a estao de trabalha e, em seguida, a conta de
usurio. Por fim, repita a migrao dos grupos globais para aplicar as alteraes realizadas aos
grupos globais no domnio de origem e converta a segurana no modo de excluso.
Ainda ser importante migrar o histrico SID, embora as contas de usurio no utilizem o
histrico SID para acesso a recursos. Isso garante que as operaes, como Arquivos Offline,
continuem a funcionar dentro da floresta. Migrar o histrico SID no apresenta riscos de
segurana porque a filtragem de SID ocorre entre as florestas de origem e de destino. Antes de
migrar todas as contas de usurio, verifique se voc criou contas de teste que possam ser
usadas para verificar o xito de cada lote.
Conclua estas etapas para migrar as contas de usurio para o domnio de destino:
1. Migre as contas de servio gerenciado. As contas de servio gerenciado devem ser migradas
antes dos computadores.
2. Migre todos os usurios. Use a opo Corrigir participao em grupos de usurios para
que a Ferramenta de Migrao do Active Directory (ADMT) identifique os grupos globais no
domnio de destino aos quais o usurio pertencia no domnio de origem e para adicionar o
usurio ao grupo global apropriado no domnio de destino. Para essa migrao inicial, deixe
a conta de usurio habilitada no domnio de origem e desabilitada no domnio de destino.
3. Converta a segurana no modo de adio para arquivos, compartilhamentos, impressoras,
grupos locais e grupos locais de domnio.
4. Converta os perfis de usurio local de um lote de usurios.
5. Migre as estaes de trabalho que correspondem aos lotes de contas de usurio.
6. Antes de migrar o lote de contas de usurio, verifique se a migrao do perfil local e da
estao de trabalho foi realizada com xito para todos os usurios no lote. No migre
nenhuma conta de usurio cuja migrao de perfil ou estao de trabalho tenha falhado, pois
isso far com que os usurios substituam seus perfis existentes quando fizerem logon no
domnio de destino.
7. Repita a migrao das contas de usurio em lotes pequenos com as contas no domnio de
origem configuradas para expirar em sete dias, as contas de destino habilitadas, com
migrao de senha selecionada e todos os atributos migrados.
8. Depois de cada lote, repita a migrao de todos os grupos globais para atualizar as
alteraes dos membros dos grupos.
9. Depois de migrar todos os usurios, execute uma migrao de grupo global final para
atualizar as alteraes dos membros dos grupos.
10. Converta a segurana no modo de excluso para arquivos, compartilhamentos, impressoras,
grupos locais e grupos locais de domnio.
123
11. Notifique os usurios no lote para fazerem logon no domnio de destino.
At que voc migre todas as contas de usurio e de grupo, continue a administrar os membros
do grupo global no domnio de origem.
A ilustrao a seguir mostra as etapas envolvidas na migrao de contas que no esto usando
um histrico de SID para acessar recursos.

duas etapas:
124
Importante

125

Avanar.

Ou
126


Avanar.
Ou
Avanar.

Avanar.

floresta.
127
Para migrar
Pgina contas de servio gerenciado usando
do assistente a opo de linha de comando do
Ao
ADMT

de migrao.




comando



conta

participao de
grupos de contas
128
comando
Observao
Voc
pode
migrar
SIDs para
contas de
servio
gerenciad
o
somente
entre
florestas.
Se voc
usar esse
parmetro
durante
uma
migrao
entre
florestas,
um erro
ser
retornado.


Inicie o processo de migrao de conta de usurio migrando todos os usurios. Depois, converta
a segurana em todos os arquivos, impressoras, pastas compartilhadas, grupos locais e grupos
locais de domnio. Isso permite que os usurios continuem a acessar os recursos
apropriadamente aps a migrao.
129
Observao
Para migrar contas de usurio utilizando o snap-in do ADMT
Contas internas (como de Administradores, Usurios e Usurios Avanados) no podem

ser objetos de migrao da Ferramenta de Migrao do Active Directory (ADMT). Como
os identificadores de segurana (SIDs) da conta interna so idnticos em todos os
domnios, a migrao dessas contas para um domnio de destino resulta em SIDs
duplicados em um nico domnio. Cada SID de um domnio deve ser exclusivo. Contas
conhecidas (como Adminitradores de Domnio e Usurios do Domnio) tambm no
podem ser objetos de migrao da ADMT.
O processo de migrao de conta de usurio da ADMT inclui as seguintes etapas:
1. O ADMT l os atributos dos objetos do usurio de origem.
2. O ADMT cria um novo objeto de usurio no domnio de destino e um novo SID primrio para
a nova conta de usurio.
3. O ADMT adiciona o SID original da conta de usurio ao atributo de histrico do SID da nova
conta de usurio.
4. O ADMT migra a senha da conta de usurio.
5. Se o ADMT identificar os grupos globais no domnio de destino ao qual os usurios migrados
Durante a migrao, eventos de auditoria so registrados nos domnios de origem e de destino.
incluso.
2. Use o Assistente para Migrao de Conta de Usurio, executando as etapas descritas na
tabela a seguir.

130

Avanar.

origem a serem migrados no lote atual,
Avanar.
Ou
No computador do domnio de destino em
que o ADMT est instalado, faa logon
usando a conta de migrao da conta do
ADMT.
Seleo de Unidade Organizacional Verifique se o ADMT lista a unidade

organizacional (UO) de destino correta. Se
a lista no estiver correta, digite a UO
correta ou clique em Procurar.
clique em OK.
Opes de Senha Clique em No atualizar senhas de

usurios existentes.
Clique em Gerar senhas complexas.

em Desativar Contas de Destino.
de origem expire: e digite os nmeros de
a conta de origem. Geralmente, o valor 7
usado.
131
Para migrar contas de usurio utilizando a opo de linha de comando da ADMT

tenha credenciais administrativas no
domnio de origem.

perfis mveis.
direitos de usurio.
Selecione Corrigir participao em
grupos de usurios.

migrao.
Gerenciamento de Conflitos Marque a caixa de seleo No migrar o

objeto de origem se for detectado um
conflito no domnio de destino.
As caixas de seleo Antes de mesclar,
remover direitos do usurio de contas
de destino existentes e Mover objetos
mesclados para a Unidade
Organizacional de destino especificada
devem estar desmarcadas.
procura de erros.
pressione ENTER:
132
Para /TD:"
migrar<domnio_de_destino>"
contas de usurio utilizando um script
/TO:" <UO_de_destino>" /MSS:YES /TRP:YES /UUR:YES

comando desta forma:
opo.

origem>

Origem>

destino>

Destino>

de conflitos

mvel

de usurio
Opes de senha /PO:COMPLEX (padro) PasswordOption=COMPLEX

Prepare um script que incorpore comandos e opes do ADMT para migrar usurios
AdmtConstants.vbs.
<Job id=" MigratingAllUserAccountsBetweenForests" >
133
Option Explicit
Dim objMigration
'
'
'
'
objMigration.PasswordOption = admtComplexPassword
'
'
134
Para converter segurana no modo de adio em objetos usando o snap-in do ADMT
'
'

usurio2" )
</Script>
</Job>
Convertendo a segurana no modo de

adio
Converta segurana em servidores para adicionar identificadores de segurana (SID) das contas
de usurio e contas de grupo do domnio de destino s ACLs (listas de controle de acesso) dos
recursos. Depois que objetos so migrados para o domnio de destino, eles contm as entradas
de ACL dos domnios de origem e de destino. Use o Assistente para converso de segurana da
Ferramenta de Migrao do Active Directory (ADMT) para adicionar os SIDs do domnio de
destino dos objetos migrados. Execute o Assistente para converso de segurana em todos os
arquivos, compartilhamentos, impressoras, grupos locais e pelo menos um controlador de
domnio (para converter segurana em grupos locais compartilhados).
Voc pode converter segurana no modo de adio em objetos usando o snap-in do ADMT, a
2. Use o Assistente para converso de segurana executando as etapas descritas na
tabela a seguir.
Opes de converso de segurana Clique em Objetos migrados

anteriormente.
135

Avanar.

computadores dos quais voc deseja
converter a segurana, clique em OK e,
em seguida, clique em Avanar.
Ou
Converter objetos Desmarque a caixa de seleo Perfis de

usurio.
Marque todas as outras caixas de seleo.
Caixa de dilogo do Agente ADMT Selecione Executar pr-verificao e


clique em Exibir log de migrao para visualizar a lista de computadores, o status de
136
Para converter segurana no modo de adio em objetos usando um
a opo
scriptde linha de
comando do ADMT
2. Na linha de comando, digite o comando ADMT Security com os parmetros adequados e
pressione ENTER:
<domnio_de_origem>" /TD:" <domnio_de_destino>" /TO:" <UO_de_destino>" /TOT:Add

comando, desta forma:
opo.

origem>

destino>
Opes de /TOT:Add TranslateOption=ADD

converso de
segurana

Prepare um script que incorpore comandos e opes do ADMT para converter segurana
no modo de adio em objetos usando o exemplo de script a seguir. Copie o script no
Bloco de Notas e salve o arquivo com a extenso de nome de arquivo .wsf na mesma
pasta do arquivo AdmtConstants.vbs.
<Job id=" TranslatingSecurityInAddModeOnObjectsBetweenForests" >
137
Option Explicit
Dim objMigration
'
'
'
'
'
'
objSecurityTranslation.TranslationOption = admtTranslateAdd
objSecurityTranslation.TranslateFilesAndFolders = True
objSecurityTranslation.TranslateLocalGroups = True
objSecurityTranslation.TranslatePrinters = True
objSecurityTranslation.TranslateRegistry = True
objSecurityTranslation.TranslateShares = True
objSecurityTranslation.TranslateUserProfiles = False
objSecurityTranslation.TranslateUserRights = True
138
'
'
</Script>
</Job>
Repetindo a migrao de contas de usurio e

migrando estaes de trabalho em lotes
Repetir a migrao de contas de usurio e estaes de trabalho em lotes ajuda voc a
acompanhar o processo de migrao. Em cada lote de usurios, primeiro converta os perfis de
usurio local e, em seguida, migre as estaes de trabalho. Verifique se a migrao do perfil e da
estao de trabalho foi realizada com xito e, em seguida, migre as contas de usurio. Repita a
migrao de grupos globais depois de cada lote. Para obter mais informaes, consulte
Repetindo a migrao de todos os grupos globais depois que todos os lotes so migrados,
Convertendo perfis de usurios locais

A Ferramenta de Migrao do Active Directory (ADMT) converte perfis para objetos de migrao
de computador suportados. Para obter uma lista de quais sistemas operacionais so suportados
por objetos de migrao de computador para diferentes verses do ADMT, consulte Verses e
ambientes com suporte da Ferramenta de Migrao do Active Directory.
Os perfis locais so convertidos no modo de substituio pois, se voc executar a converso de
perfis no modo de adio, a instalao do software por meio da implantao do software de
Diretiva de Grupo poder no funcionar. Qualquer aplicativo que acompanhe o Windows Installer
verso 2.0 (que usado nas estaes de trabalho que esto executando o
Windows 2000 Server Service Pack 3 (SP3) ou Service Pack 4 (SP4), o Windows XP Service
Pack 1 (SP1) ou Service Pack 2 (SP2) e em vrios pacotes de software comuns) poder no
139
Observao
Para converter perfis de usurio local usando o snap-in da ADMT
funcionar depois que o perfil for convertido. Quando o Assistente para Converso de Segurana
da ADMT estiver convertendo perfis locais no modo de substituio, ele reverter para o modo
de adio se houver um perfil bloqueado. Isso poder resultar em uma converso de perfil bem-
sucedida. No entanto, talvez as instalaes de aplicativo no funcionem depois que o perfil for
convertido.
Antes de iniciar a converso do perfil de usurio local, aguarde um tempo suficiente para que as
estaes de trabalho sejam reiniciadas depois de mov-las para o domnio de destino. Aguarde o
fator de tempo de espera da ADMT (cinco minutos por padro) mais o tempo necessrio para um
ciclo de reincio das estaes de trabalho.
Na noite anterior notificao que informa que os usurios devem fazer logon usando
suas novas contas no domnio de destino, converta os perfis de usurio local. A
converso dos perfis na noite anterior garante que o novo perfil de usurio refletir as
configuraes de usurio mais recentes.
Voc pode converter os perfis de usurio local usando o snap-in da ADMT, a opo de linha de
1. Para cada estao de trabalho no domnio de origem que voc estiver migrando,
adicione a conta de migrao de recurso do ADMT ao grupo Administradores local.
tabela a seguir.

anteriormente.

140
Para converter perfis de usurio local usando a opo de linha de comando da ADMT

Avanar.

computadores do domnio de origem dos
quais voc deseja converter a segurana,
Avanar.
Ou


pressione ENTER:
/TOT:REPLACE /TUP:YES

141
Para converter perfis de usurio local usando um script
opo.

origem>

destino>
Opes de /TOT:REPLACE TranslateOption=REPLACE

converso de
segurana

segurana de
perfil de usurio
local

relatado para um computador, voc precisar consultar o arquivo de log desse
Prepare um script que incorpore comandos e opes da ADMT para converter perfis de
usurio local usando o exemplo de script a seguir. Copie o script no Bloco de Notas e
AdmtConstants.vbs.
<Job id=" TranslatingLocalProfilesBetweenForests" >
Option Explicit
Dim objMigration
142
'
'
'
'
'
'
'
'
</Script>
</Job>
143
Observao
Para migrar estaes de trabalho usando o snap-in da ADMT
Migrando estaes de trabalho em lotes
Depois de migrar um lote de perfis de usurio local, migre o lote correspondente de estaes de
trabalho de usurio. Quando voc migra uma estao de trabalho de um domnio para outro, o
banco de dados do SAM (Gerenciador de Contas de Segurana) migrado juntamente com o
computador. As contas localizadas no banco de dados do SAM local (como grupos locais) que
so usadas para permitir o acesso aos recursos sempre so movidas com o computador.
Portanto, elas no precisam ser migradas.
gerenciado migrada.
Para reiniciar as estaes de trabalho imediatamente depois de associ-las ao domnio
de destino, ou assim que possvel, use um valor baixo para o parmetro RestartDelay da
ADMT. Os recursos que no so reiniciados aps a migrao ficam em um estado
indeterminado.
Voc pode migrar estaes de trabalho usando o snap-in da ADMT, a opo de linha de
2. Use o Assistente para Migrao de Computadores seguindo as etapas descritas na
tabela a seguir.

144
Avanar.

Ou
Avanar.

tiver uma conta de servio gerenciada no computador migrado no domnio de

domnio de destino ou a unidade
organizacional (UO) apropriada e clique
em OK.

locais.
usurio.

computadores sejam reiniciados aps
a concluso do assistente, aceite o valor

145
Para migrar estaes de trabalho usando a opo de linha de comando da ADMT
e mova essas propriedades para a caixa

clique em Avanar.

domnio de destino.
Caixa de dilogo Agente da ADMT Selecione Executar pr-verificao e


2. Na linha de comando, digite o comando ADMT Computer com os parmetros apropriados e
pressione ENTER.


opo.

comando
<Domnio de origem> SD:"domnio_de_origem" SourceDomain="domnio_de_origem"
146
comando

Origem>

"

contas de servio es
gerenciado
Atualizar contas de /M:nome 1 nome UPDATEMSANAME=nome 1 nome 2

servio gerenciado 2
especficas
Observao
O
parmetro
/M tem
prioridade
sobre o
parmetro
/UALLMS
A.

Destino>

reinicializao
(minutos)

de segurana

usurio

locais

computador. Se um erro for relatado para um computador, voc precisar consultar o
147
Para migrar estaes de trabalho usando um script
se as estaes de trabalho existem na UO de destino.
Prepare um script que incorpore comandos e opes da ADMT para migrar estaes de
trabalho usando o exemplo de script a seguir. Copie o script no Bloco de Notas e salve o
AdmtConstants.vbs.
<Job id="MigratingWorkstationsBwtweenForest" >
Option Explicit
Dim objMigration
'
'
'
'
'
148
Para repetir a migrao do lote atual de contas de usurio usando o snap-in da ADMT
'
'
'
</Script>
Repetindo a migrao de contas de usurio em

lotes
Depois de verificar o xito da migrao de perfis e estaes de trabalho do usurio local do lote
do usurio, migre as contas de usurio desse lote.
Voc pode migrar contas de usurio em lotes usando o snap-in da ADMT, a opo de linha de
comando da ADMT ou um script. Se voc estiver migrando contas de usurio que tm a garantia
do mecanismo de autenticao habilitada, use um arquivo de incluso. No arquivo de incluso,
incluso.
2. Use o Assistente para Migrao de Contas do Usurio, executando as etapas descritas
149
na tabela a seguir.

Avanar.

Avanar.
Ou
Seleo de Unidade Organizacional Verifique se a ADMT lista a UO de destino

Procurar.
clique em OK.
Opes de Senha Clique em Migrar Senhas.

Em Controlador de domnio de origem
de migrao de senha:, digite o nome do
servidor de exportao de senha ou aceite
150
o valor padro.

em Ativar contas de destino.
de origem expire: e digite o nmero de
a conta de origem. Geralmente, o valor 7
usado.


perfis mveis.
direitos de usurio.
Marque a caixa de seleo Migrar grupos
de usurios associados.

migrao.
Gerenciamento de Conflitos Clique em Migrar e mesclar objetos

conflitantes.
Desmarque a caixa de seleo Antes de
mesclar, remover direitos do usurio de
contas de destino existentes.
Desmarque a caixa de seleo Mover
objetos mesclados para Unidade
Organizacional de destino especificada.
procura de erros.
151
Para repetir a migrao do lote atual de usurios usando a opo de linha de comando
da ADMT
pressione ENTER:
/TD:" <domnio_de_destino>" /TO:" <UO_de_destino>" /MSS:YES /TRP:YES /UUR:YES

opo.

origem>

Origem>

destino>

Destino>

de conflitos

mvel

de usurio
Opes de senha /PO:COPY /PS:<nome do PasswordOption=COPY

servidor PES> PasswordServer=:<nome do servidor
PES>
Expirao de /SEP:30 SourceExpiration=30

origem
152
Para repetir a migrao do lote atual de contas de usurio usando um script
Prepare um script que incorpore comandos e opes da ADMT para migrar usurios
AdmtConstants.vbs.
<Job id="MigratingUserAccountsInBatchesBetweenForests" >
Option Explicit
Dim objMigration
'
'
'
'
objMigration.PasswordOption = admtCopyPassword
objMigration.PasswordServer = "nome do servidor do exportao de senha"
'
153
'
objUserMigration.SourceExpiration = 7
objUserMigration.UpdateUserRights = False
'
'

usurio2" )
</Script>
</Job>
Repetindo a migrao de todos os grupos globais

depois da migrao da conta de usurio
Uma migrao muito grande de contas de usurio poder demorar um longo tempo para ser
concluda. Por essa razo, talvez voc tenha de repetir a migrao de grupos globais do domnio
de origem para o de destino depois de migrar cada lote de usurios. O objetivo refletir as
alteraes feitas na associao do grupo do domnio de origem aps a migrao do grupo global
inicial. Para obter mais informaes sobre como repetir a migrao de grupos globais e saber
quais procedimentos devem ser seguidos, consulte Repetindo a migrao de todos os grupos
globais depois que todos os lotes so migrados, posteriormente neste guia.
154
Para repetir a migrao dos grupos globais usando o snap-in do ADMT
Repetindo a migrao de todos os grupos

globais depois que todos os lotes so
migrados
Depois que todos os lotes tiverem sido migrados, execute uma migrao de grupo global final
para garantir que quaisquer alteraes posteriores feitas na associao do grupo global no
domnio de origem sejam refletidas no domnio de destino.
Voc pode repetir a migrao dos grupos globais usando o snap-in da Ferramenta de Migrao
do Active Directory (ADMT), a opo de linha de comando do ADMT ou um script.
tabela a seguir.

Avanar.
Seleo de grupo Clique em Selecionar grupos do

Seleo de grupo, clique em Adicionar
155
Ou
Avanar.
Seleo de unidade organizacional Digite o nome da unidade organizacional

Na caixa de dilogo Procurar recipiente,
Opes de grupo Marque a caixa de seleo Atualizar

direitos de usurio.
Confirme que a caixa de seleo Copiar
membros do grupo no est marcada.
Confirme que a caixa de seleo
Atualizar objetos migrados
anteriormente no est marcada.
participao de grupo.

Excluso da propriedade do objeto Desmarque a caixa de seleo Excluir

migrao.
Gerenciamento de conflitos Marque a caixa de seleo Migrar e

mesclar objetos conflitantes (todas as
outras opes devem permanecer
desmarcadas).
3. Quando o assistente for concludo, clique em Exibir log e revise o log de migrao
procura de erros.
156
Para repetir a migrao dos grupos globais usando um
a opo
scriptde linha de comando do
ADMT
pressione ENTER:
/TD:" <domnio_de_destino>" /TO:" <OU de destino>" /MSS:YES /CO:REPLACE


origem>

origem>

destino>

destino>

GG

de conflitos

Prepare um script que incorpore comandos e opes do ADMT para migrar grupos
AdmtConstants.vbs.
<Job id=" RemigratingGlobalGroupsBetweenForests" >
157
Option Explicit
Dim objMigration
'
'
'
'
'
'
'
'
158
Para converter
grupo2" a
) segurana no modo de excluso em objetos usando o snap-in do
ADMT
</Script>
</Job>
Convertendo segurana no modo de

remoo
Converta a segurana em objetos para remover os identificadores de segurana (SIDs) das
contas no domnio de origem das listas de controle de acesso (ACLs) dos objetos migrados.
Faa isso somente depois que todas as contas de origem estiverem desabilitadas. Execute o
Assistente para Converso de Segurana em todos os arquivos, pastas compartilhadas,
impressoras e grupos locais; e em pelo menos um controlador de domnio (para converter a
segurana em grupos locais compartilhados).
Quando voc converter a segurana no modo de excluso, os SIDs no domnio de origem
referentes ao usurio no estaro mais presentes ou disponveis se a conta de usurio de
destino tiver sido migrada com xito e os SIDs tiverem sido adicionados l. Esse processo
permite a limpeza administrativa e garante que os usurios utilizem suas "novas" contas de
domnio de destino e parem de usar as "antigas" contas de domnio de origem.
Voc pode converter a segurana no modo de excluso em objetos usando o snap-in da
Ferramenta de Migrao do Active Directory (ADMT), a opo de linha de comando do ADMT ou
um script.
tabela a seguir.

anteriormente.

159
Para converter a segurana no modo de excluso em objetos usando a linha de
comando do ADMT

Avanar.

Ou
Converter Objetos Desmarque a caixa de seleo Perfis de

Usurio.
Marque todas as outras caixas de seleo.
Opes de converso de segurana Clique em Remover.
2. Na linha de comando, digite o comando ADMT Security com os parmetros apropriados
e pressione ENTER:
/TOT:Remove
160
Para Voc
converter a segurana
tambm noparmetros
pode incluir modo de excluso em objetos
em um arquivo usando
de opo um script
especificado na linha de
opo.

origem>

destino>
Opes de /TOT:Remove TranslateOption=REMOVE

converso de
segurana

Prepare um script que incorpore comandos e opes do ADMT para converter a

segurana no modo de excluso em objetos usando o exemplo de script a seguir. Copie
o script no Bloco de Notas e salve o arquivo com a extenso de nome de arquivo .wsf na
mesma pasta do arquivo AdmtConstants.vbs.
<Job id=" TranslatingSecurityInRemoveModeOnObjectsBetweenForests" >
Option Explicit
Dim objMigration
'
161
'
'
'
'
'
objSecurityTranslation.TranslationOption = admtTranslateRemove
'
'
162
</Script>
</Job>
Migrando Recursos
O processo de migrao de recursos entre domnios do Active Directory de florestas diferentes
envolve a concluso da migrao do seguinte:
Contas de estao de trabalho e servidores membros
Grupos de domnio local e grupos locais compartilhados
Controladores de domnio
Aps migrar com xito todos os objetos de recurso para o domnio de destino, voc poder
descomissionar o domnio de origem.
A ilustrao a seguir mostra o processo de migrao de objetos de recurso entre domnios do
Active Directory de florestas diferentes.
163
Observao
Para migrar estaes de trabalho e servidores membros usando o snap-in do ADMT
Migrando estaes de trabalho e servidores

membros
Migre as estaes de trabalho restantes que voc no migrou durante o processo de migrao
de conta de usurio, juntamente com servidores membros, em pequenos lotes de at 100
computadores. A migrao de servidores membros e contas de estao de trabalho um
processo simples. As estaes de trabalho e os servidores membros tm seus prprios bancos
de dados de conta do Gerenciador de Contas de Segurana (SAM). Quando voc migra uma
estao de trabalho de um domnio para outro, o banco de dados do SAM migrado juntamente
com o computador. As contas pertencentes ao banco de dados do SAM local (como grupos
locais) que so usadas para permitir o acesso aos recursos sempre so movidas com o
computador. Portanto, elas no precisam ser migradas.
tiverem sido migradas anteriormente, a Ferramenta de Migrao do Active Directory (ADMT)
oferecer uma opo para reinstalar a conta de servio gerenciado no computador migrado e
para atualizar o Gerenciador de Controle de Servios. Para que o ADMT possa executar essa
operao, a conta que executa a migrao do computador precisa de permisses para modificar
o descritor de segurana da conta de servio gerenciado migrada.
Como a migrao exige a reinicializao de servidores membros e de estaes de trabalho,
importante agendar a migrao para um horrio em que o servidor no esteja atendendo a
solicitaes.
Reinicie as estaes de trabalho imediatamente depois de inclu-las no domnio de
destino, selecionando um nmero baixo (como 1) para o parmetro RestartDelay. Os
recursos que no so reiniciados aps a migrao ficam em um estado indeterminado.
Voc pode migrar estaes de trabalho e servidores membros usando o snap-in da Ferramenta
de Migrao do Active Directory (ADMT), a opo de linha de comando do ADMT ou um script.
2. Use o Assistente para Migrao de Conta de Computador executando as etapas

164
Avanar.

Ou
Avanar.

tiver uma conta de servio gerenciado no computador migrado no domnio de

domnio de destino ou a unidade
organizacional (UO) apropriada e clique
em OK.
Opes de Converso de Segurana Marque a caixa de seleo Grupos

locais.
usurio.
Converter Objetos Clique em Adicionar.
Opes de Computador Em Minutos at que os computadores
165
Para migrar estaes de trabalho e servidores membros usando a opo de linha de
comando do ADMT
sejam reiniciados aps a concluso do

assistente, aceite o valor padro de 5
minutos ou digite outro valor.

clique em Avanar.

domnio de destino.


pressione ENTER.
166

opo.

comando
<Domnio de origem> SD:"domnio_de_origem" SourceDomain="domnio_de_origem"

Origem>

"
Atualizar contas de /UALLMSA: YES UpdateAllManagedServiceAccounts=Y

servio gerenciado es
Atualizar contas de /M nome 1 nome 2 UPDATEMSANAME=nome 1 nome 2

servio gerenciado
especficas
Observao
O
parmetro
/M tem
prioridade
sobre o
parmetro
/UALLMS
A.

Destino>

reinicializao
(minutos)

de segurana
167
Para migrar estaes de trabalho e servidores membros usando um script

comando

usurio

locais

se as estaes de trabalho existem na UO de destino.
Prepare um script que incorpore comandos e opes do ADMT para migrar estaes de
trabalho e servidores membros usando o exemplo de script a seguir. Copie o script no
<Job id="MigratingWorkstationsMemberServersBetweenForests" >
Option Explicit
Dim objMigration
'
'
168
'
'
'
'
'
'
</Script>
</Job>
169
Para migrar grupos locais de domnio e compartilhados usando o snap-in do ADMT
Migrando grupos locais compartilhados e de

domnio
Grupos locais compartilhados so grupos locais dos domnios do Windows NT 4.0 e do
Active Directory que podem ser usados nas listas de controle de acesso (ACLs) de controladores
de domnio. Quando um domnio configurado para operar no modo nativo do Windows 2000 ou
no nvel funcional de domnio do Windows Server 2003, os grupos locais compartilhados so
automaticamente alterados para grupos locais de domnio. Em seguida, esses grupos podem ser
usados nas ACLs de servidores membros e estaes de trabalho. Se grupos locais de domnio
ou grupos locais compartilhados forem usados nas ACLs de controladores de domnio ou
servidores membros, voc precisar migr-los para o domnio de destino antes que o servidor
seja migrado.
No necessrio alterar as ACLs como parte do processo de migrao. As ACLs continuam
fazendo referncia aos grupos locais de domnio ou aos grupos locais compartilhados no
domnio de origem. Como os grupos locais de domnio ou os grupos locais compartilhados
podem ser migrados para o domnio de destino por meio do histrico do identificador de
segurana (SID), os usurios mantm o acesso aos recursos. O ADMT mantm os membros do
grupo local durante a migrao.
Voc pode migrar grupos locais de domnio ou compartilhados usando o snap-in da Ferramenta
de Migrao do Active Directory (ADMT) ou um script.
tabela a seguir.

170

Avanar.

Ou
Avanar.

Opes de Grupo Marque a caixa de seleo Migrar SIDs



migrao.

mesclar objetos conflitantes. (Todas as
outras opes so desmarcadas.)
3. Quando a execuo do assistente for concluda, clique em Exibir Log. Verifique se h

erros no log da migrao.
4. Abra Usurios e Computadores do Active Directory, localize a unidade organizacional
(UO) de destino e verifique se os grupos locais compartilhados existem na UO do
171
Para domnio
migrar grupos locais de domnio e compartilhados usando um script
de destino.
Prepare um script que incorpore comandos e opes do ADMT para migrar grupos locais
de domnio e compartilhados usando o exemplo de script a seguir. Copie o script no
<Job id=" MigratingDomainAndSharedLocalGroupsBetweenForests" >
Option Explicit
Dim objMigration
'
'
'
'
'
'
172
'
'
objGroupMigration.Migrate admtData, _
Array("nome de grupo local1" ,"nome de grupo local2" )
</Script>
</Job>
Migrando controladores de domnio

No Active Directory ou nos Servios de Domnio do Active Directory (AD DS), voc pode migrar
controladores de domnio entre domnios. Para fazer isso, execute as seguintes aes:
Remova o Active Directory ou o AD DS do controlador de domnio.
Migre o controlador de domnio como um servidor membro para o domnio de destino.
Reinstale o Active Directory ou o AD DS.
Se o servidor estiver executando o Windows 2000 Server, no ser possvel instalar o Active
Directory ou o AD DS no domnio de destino se o domnio de destino j estiver no nvel funcional
do Windows Server 2003. Neste caso, ser preciso atualizar o servidor para o
Windows Server 2003 antes de instalar o Active Directory ou o AD DS.
As mesmas etapas so necessrias para migrar um RODC conforme necessrio para
controlador de domnio gravvel.
Executando a migrao
Aps migrar todas as contas e recursos do domnio de origem para o domnio de destino,
execute as tarefas a seguir para concluir o processo de reestruturao:
Transfira a administrao de contas de usurio e contas de grupo do domnio de origem para
o domnio de destino.
173
Verifique se pelo menos dois controladores de domnio continuam operando no domnio de
origem at a concluso do processo de migrao de recursos.
Faa backup dos dois controladores de domnio do domnio de origem.
Aps concluir estas etapas, voc poder converter segurana nos servidores membros do
domnio de destino e descomissionar o domnio de origem. A ilustrao a seguir mostra o
processo de concluso da migrao de domnios do Active Directory entre florestas.
Fazendo a converso de segurana em

servidores membros
Converta a segurana em servidores membros para limpar as listas de controle de acesso
(ACLs) dos recursos. Depois que os objetos forem migrados para o domnio de destino, os
recursos contero as entradas de ACL dos objetos de domnio da origem. Se voc estiver
usando o histrico do identificador de segurana (SID) para fornecer acesso aos recursos
durante a migrao, os SIDs do domnio de origem permanecero nas ACLs para que os
usurios possam acessar os recursos enquanto a migrao estiver em andamento. Depois que a
migrao for concluda, os SIDs do domnio de origem no sero mais necessrios. Use o
Assistente para Converso de Segurana na Ferramenta de Migrao do Active Directory
(ADMT) para substituir os SIDs do domnio de origem pelos SIDs do domnio de destino.
174
Para converter a segurana em servidores membros usando o snap-in da ADMT
Voc no precisa executar esse procedimento se no estiver usando o histrico SID para
acessar o recurso, pois voc j dever ter executado a converso de segurana no modo de
excluso depois da migrao de usurios.
Voc pode converter a segurana em servidores membros usando o snap-in do ADMT, a opo
de linha de comando do ADMT ou um script.
tabela a seguir.

anteriormente.

Avanar.

Ou
175
Para converter a segurana em servidores membros usando a opo de linha de
comando da ADMT
Converter Objetos Desmarque a caixa de seleo Perfis de

Usurio.
Selecione todas as outras opes.
pressione ENTER:
<domnio_de_origem>" /TD:" <nome_de_destino>" /TO:" <UO_de_destino>" /TOT:Replace

opo.

origem>

destino>
Opes de /TOT:Replace TranslateOption=REPLACE

converso de
segurana

176
Para nomeado
converterMigrationTaskID.log
a segurana em servidores membros
e fica armazenado nausando um script
pasta Windows\ADMT\Logs\Agents.
Prepare um script que incorpore comandos e opes do ADMT para converter a

segurana em servidores membros usando o exemplo de script a seguir. Copie o script
no Bloco de Notas e salve o arquivo com a extenso de nome de arquivo .wsf na mesma
<Job id=" TranslatingSecurityOnMemberServersBetweenForests" >
Option Explicit
Dim objMigration
'
'
'
'
'
'
177
Para descomissionar o domnio de origem
'
'
</Script>
</Job>
Descomissionando o domnio de origem

Aps concluir a migrao das contas e recursos de seu domnio de origem, descomissione o
domnio de origem. Certifique-se de reter um backup completo do estado do sistema de um
controlador de domnio para que voc possa colocar o domnio online novamente a qualquer
momento.
1. Remova todos os relacionamentos de confiana entre o domnio de origem e o domnio

de destino.
2. Adapte quaisquer controladores de domnio restantes no domnio de origem que voc
no tenha migrado para o domnio de destino.
3. Desabilite todas as contas que voc criou durante o processo de migrao, incluindo as
contas s quais voc atribuiu permisses administrativas.
Observao
Ao descomissionar o domnio de origem, grupos locais compartilhados e grupos
178
locais que voc no converteu usando o Assistente para converso de
segurana exibem os membros do grupo como "conta desconhecida". Isto
ocorre porque os nomes de membros do domnio de origem no so resolvidos.
Contudo, essas participaes em grupos ainda existem e isto no afeta os
usurios. No exclua entradas de "conta desconhecida" porque isto desabilita o
acesso que facilitado pelo histrico do identificador de segurana (SID).
Execute o Assistente para converso de segurana para remover essas
entradas.
Reestruturao dos Domnios do Active

Directory Entre Florestas
A reduo do nmero de domnios do Active Directory de sua floresta, por sua vez, reduz ou
simplifica o seguinte:
Exigncias administrativas de sua organizao
Trfego de replicao
Administrao de usurios e grupos
Implementao da Diretiva de Grupo
Caso os usurios sejam frequentemente reatribudos a locais que so parte de domnios
diferentes, voc tambm poder migrar objetos entre domnios regularmente. O processo de
reestruturao de domnios do Active Directory dentro de uma floresta diferente do processo de
reestruturao de domnios do Active Directory entre florestas. Este processo exige um
planejamento e teste cuidadoso.
Lista de verificao: Executando uma

migrao entre florestas
A reduo do nmero de domnios do Active Directory na sua floresta simplifica as tarefas a
seguir ou reduz o tempo necessrio para conclu-las:
Gerenciando as exigncias administrativas de sua organizao
Controlando o trfego de replicao
Administrando usurios e grupos
Implementando uma Diretiva de Grupo
179
Se reatribuir usurios com frequncia a domnios diferentes, voc poder tambm migrar objetos
entre domnios regularmente. A reestruturao de domnios do Active Directory dentro de uma
floresta diferente da migrao entre florestas e requer planejamento e testes cuidadosos.
Tarefa Referncia
Revise as instrues de instalao da Ferramenta de Instalando o ADMT no domnio de

Migrao do Active Directory (ADMT). destino
Para migrar computadores que estejam executando Para obter mais informaes sobre
Windows Server 2008, Windows Server 2003, como fazer essa alterao usando a
Windows Vista (sem o Service Pack 1 (SP1)), Diretiva de Grupo, consulte Problemas
Windows XP e Microsoft Windows 2000 (usando o conhecidos relacionados instalao e
ADMT 3.1) para um domnio de destino com remoo de AD DS
controladores de domnio executando Windows (http://go.microsoft.com/fwlink/?
Server 2008 R2 ou Windows Server 2008, primeiro LinkId=119321). (em ingls)
defina a chave de Registro a seguir nos controladores
de domnio de destino:
Observao
Esta chave de Registro no precisa ser definida
para migrar computadores que executem o
Windows Vista SP1, o Windows 7 ou o
Caminho do Registro:
HKLM\System\CurrentControlSet\Services\Netlogon
\Parameters
Valor do Registro: AllowNT4Crypto
Tipo: REG_DWORD
Dados: 1
Observao
Essa configurao do Registro corresponde
configurao Permitir algoritmos de
criptografia compatveis com
Windows NT 4.0 da Diretiva de Grupo.
Para tarefas de migrao que usem a implantao de Para obter mais informaes, consulte
agente e o Firewall do Windows, habilite a exceo Habilitar ou Desabilitar a Exceo
Compartilhamento de Arquivo e Impressora. Isso pode Compartilhamento de Arquivo e
incluir migrao nas seguintes situaes: Impressora
Migrao de computadores estaes de trabalho e (http://go.microsoft.com/fwlink/?
servidores membro que estejam em execuo no LinkID=119315). (em ingls)
Windows Server 2008 R2, Windows Server 2008,
Windows 7 ou no Windows Vista.
180
Tarefa Referncia
Migrao de configuraes de segurana ou

execuo de converso de segurana
Prepare-se para reestruturar os domnios do Instalando o ADMT no domnio de

Active Directory dentro de uma floresta. Essa tarefa destino
possui as seguintes subtarefas: Preparando-se para reestruturar os
Avaliar a nova estrutura de domnios do domnios do Active Directory dentro de
Active Directory. uma floresta
Atribuir funes e localizaes dos objetos de
domnio.
Planejar a migrao de grupos e textos.
Criar um plano de reverso e um plano de
comunicao para usurios.
Criar grupos de contas de migrao.
Instalar o ADMT.
Planejar as contas de servio de transio.
Faa a migrao de grupos globais e universais usando Migrar grupos

o Assistente para Migrao de Conta de Grupo ou a
Faa a migrao de contas de servio usando o Migrar contas de servio

Assistente para Migrao de Conta de Servio ou as
ferramentas de linha de comando do ADMT, como o
admt service para identificar as contas de servio no
domnio de origem e admt user para migrar as contas
de servios que voc especificar.
Faa a migrao de contas de servio gerenciado Migrando contas de servio gerenciado

usando o Assistente para Migrao de Conta de
Servio Gerenciada ou a ferramenta de linha de
comando admt managedserviceaccount.
Faa a migrao de contas de usurios usando o Migrar contas de usurio

Assistente para Migrao de Conta de Usurio ou a
ferramenta de linha de comando admt user.
Faa a converso dos perfis de usurios locais usando Converter perfis de usurios locais
o Assistente para Converso de Segurana ou a
ferramenta de linha de comando admt security.
Faa a migrao de computadores de estao de Migrar estaes de trabalho e

trabalho e de servidores membros usando o Assistente servidores membros
para Migrao de Computadores ou a ferramenta da
181
Tarefa Referncia
linha de comando admt computer.
Faa a migrao de grupos locais de domnio usando o Migrar grupos locais de domnio
Assistente para Migrao de Conta de Grupo ou a
Execute as tarefas de ps-migrao. Essa tarefa possui Examinar logs da migrao

as seguintes subtarefas: procura de erros
Verifique se h erros nos logs de migrao. Verificar os tipos de grupos
Verificar os tipos de grupos. Fazer a converso de segurana
Faa a converso de segurana em servidores em servidores membros
membros. Descomissionar o domnio de
Encerre os domnios de origem. origem
Viso geral da reestruturao de domnios

do Active Directory dentro de uma floresta
O design mais eficiente do Active Directory com o menor nmero possvel de domnios. Ao
minimizar o nmero de domnios na sua floresta, voc pode reduzir os custos e aumentar a
eficincia da sua organizao.
possvel que voc tenha que reestruturar os domnios na sua floresta se, por exemplo, sua
organizao fechar um escritrio regional e o domnio regional no for mais necessrio. Para
simplificar a estrutura lgica do Active Directory, possvel que voc tenha que reestruturar
tambm os domnios da sua floresta nestes casos:
Se voc tiver atualizado a infraestrutura da sua rede.
Se voc tiver aumentado a largura de banda da rede e a capacidade de replicao.
O processo de reestruturao dos domnios do Active Directory em uma floresta similar ao
processo de migrao de contas entre domnios. Quando voc migra contas e recursos entre
domnios, voc migra objetos do domnio de origem para o domnio de destino sem
descomissionar o domnio de origem. Quando voc reestrutura os domnios do Active Directory,
voc elimina o domnio de origem da floresta depois de concluir a migrao de todos os objetos
de domnio.
Antes de comear o processo de reestruturar os domnios do Active Directory em uma floresta,
certifique-se de que os domnios de origem e de destino estejam operando no nvel funcional de
domnio mnimo exigido para a verso do ADMT que voc est usando. Se voc estiver usando
o ADMT v.31, o nvel funcional mnimo de domnio ser o Windows 2000 nativo. Se voc estiver
usando o ADMT v3.2, o nvel funcional mnimo de domnio ser o Windows Server 2003.
182
Depois de atualizar o processo de reestruturao dos domnios do Active Directory em uma
floresta, voc pode descomissionar o domnio de origem para ajudar a reduzir o excedente e
simplificar a administrao no nvel funcional do domnio na sua organizao.
Reestruturando domnios do Active Directory

dentro de uma floresta usando o ADMT
v3.1
Para manter o acesso de usurios a recursos durante o processo de reestruturao de domnios,
preciso executar as etapas de migrao em uma ordem especfica. A ilustrao a seguir mostra
o processo de reestruturao de domnios do Active Directory em uma floresta.
Informaes gerais sobre a reestruturao

de domnios do Active Directory dentro de
uma floresta
A reestruturao dos domnios do Active Directory dentro de uma floresta envolve a migrao de
contas e recursos dos domnios de origem para os domnios de destino. Ao contrrio do
processo de reestruturao dos domnios do Active Directory entre florestas, quando voc
reestrutura domnios em uma floresta, os objetos migrados deixam de existir no domnio de
origem.
183
Observao
Na migrao intraflorestal, as contas de computador so tratadas de forma diferente das

contas do usurio e do grupo. Para facilitar a reverso, uma nova conta do computador
criada no domnio de destino e a conta do computador de origem permanece habilitada
no domnio de origem aps a migrao.
Alm disso, migrar contas de usurios, recursos e grupos exige considerao especial quando
voc reestrutura os domnios do Active Directory dentro de uma floresta, devido s regras de
reteno que se aplicam aos grupos do Active Directory. Por essas razes, o desafio ao
reestruturar domnios do Active Directory em uma floresta garantir que os usurios tenham
acesso contnuo aos recursos durante o processo de migrao.
Conjuntos fechados e conjuntos abertos

Quando voc reestrutura os domnios do Active Directory dentro de uma floresta, deve se
preocupar com dois tipos de conjuntos fechados:
Usurios e grupos
Recursos e grupos locais
Usurios e grupos
O primeiro tipo de conjunto fechado inclui o seguinte:
Contas de usurios
Todos os grupos globais aos quais os usurios pertencem
Todos os outros membros dos grupos globais
Os grupos globais so limitados a membros do domnio em que o grupo global existe. Portanto,
se voc migrar uma conta de usurio para um novo domnio, mas no migrar os grupos globais
aos quais o usurio pertence, o usurio no ser mais um membro vlido desses grupos globais
e no poder acessar recursos baseados na associao desses grupos globais. Portanto,
quando voc estiver movendo contas entre domnios em uma floresta, ser necessrio mover
conjuntos fechados de modo que os usurios mantenham o acesso a esses recursos.
Embora as contas internas (como Administradores, Usurios e Usurios Avanados) e contas
conhecidas (como Administradores do Domnio e Usurios do Domnio) no possam ser objetos
de migrao da ADMT (Ferramenta de Migrao do Active Directory), migrar esses grupos em
conjuntos fechados no um problema comum. Us-las em ACLs (listas de controle de acesso)
ou associao em grupos locais do domnio no uma maneira eficiente de atribuir permisses
de recursos.
Quando voc migra usurios, a ADMT torna o usurio um membro do grupo de usurios do
domnio no domnio de destino. Entretanto, ela no mantm as permisses de outros grupos
internos (como Operadores do Servidor e Operadores de Backup) ou de grupos conhecidos
(como Administradores do Domnio). Se voc tiver usado grupos internos ou conhecidos para
atribuir permisses de recursos, dever reatribuir essas permisses a um novo grupo local de
184
Observao
domnio antes de comear a migrao. Reatribuir permisses inclui a execuo das seguintes
etapas:
1. Criar um novo grupo local de domnio no domnio de origem.
2. Criar um novo grupo global no domnio de origem que contenha usurios que precisam
acessar o recurso.
3. Adicionar o novo grupo global ao grupo local do domnio.
4. Execute a converso de segurana usando um arquivo de mapeamento do SID (identificador
de segurana) que mapeia o grupo conhecido para o novo grupo local de domnio (criado na
primeira etapa) em todos os recursos que atribuem permisses usando grupos conhecidos.
Para obter informaes sobre como executar uma converso de segurana usando um
arquivo de mapeamento do SID, consulte Converter segurana usando um arquivo de
mapeamento de SID, posteriormente neste guia.
Em ambientes de domnio pequenos que tenham poucos grupos globais, voc pode ser capaz
de identificar conjuntos fechados de usurios e grupos. Se voc puder identificar conjuntos
fechados, poder migrar usurios e grupos ao mesmo tempo. Em um ambiente de domnio
grande, um usurio poder pertencer a vrios grupos globais. Portanto, difcil identificar e
migrar apenas conjuntos fechados de usurios e grupos. Por essa razo, melhor migrar grupos
antes de migrar contas de usurios.
Por exemplo, o Usurio 1 pertence aos grupos globais Global A e Global B e um membro do
Domnio 1. Se um administrador mover o Usurio 1 e Global A para o Domnio 2 na mesma
floresta, essas contas deixaro de existir no Domnio 1. Elas existiro apenas no Domnio 2 na
mesma floresta. O grupo Global B permanece no Domnio 1. Isso cria um conjunto aberto ou um
conjunto que inclui usurios e grupos em mais de um domnio. Como os grupos globais podem
conter apenas membros do domnio em que o grupo global existe, a associao do Usurio 1 no
Global B no mais vlida e o Usurio 1 no pode mais acessar recursos com base na
associao no Global B. Portanto, melhor migrar os dois grupos globais antes de migrar o
Usurio 1.
Se voc estiver migrando um conjunto aberto de objetos em um ambiente em que o nvel
funcional do domnio de origem e do domnio de destino seja o Windows 2000 nativo ou superior,
a ADMT transformar o grupo global em um grupo universal para que ele possa conter usurios
de outros domnios e manter a associao de grupos. Quando o conjunto se torna um conjunto
fechado, a ADMT altera o grupo novamente para um grupo global. O benefcio desse processo
que a ADMT garante que todos os problemas do conjunto fechado esto resolvidos. Entretanto,
a replicao do catlogo global aumentada enquanto os grupos esto nos grupos universais
porque a associao copiada para o catlogo global.
Se o nvel funcional do domnio de origem for Windows 2000 misto, a ADMT no poder
transformar o grupo global em um grupo universal porque os grupos universais no
podem existir nesse nvel funcional. Mesmo se o domnio de destino estiver no modo
nativo, entretanto, os usurios em domnios de modo misto no poderiam obter os SIDs
de grupos universais nesses tokens de acesso, se os grupos forem provenientes de fora
do domnio. Portanto, a ADMT cria uma cpia do grupo global no domnio de destino e
185
adiciona todos os usurios migrados na cpia desse grupo. Esse grupo tem um novo
SID e nenhum histrico do SID. Esse mtodo no mantm o acesso aos recursos, a
menos que voc execute o Assistente de Converso de Segurana da ADMT em modo
Adicionar para atualizar permisses, o que atrasa e complica o processo de migrao.
Por essa razo, no recomendamos reestruturar domnios que estejam em
funcionamento no nvel funcional de domnio misto do Windows 2000 ou no nvel
funcional de domnio provisrio do Windows Server 2003.
Recursos e grupos locais

O segundo tipo de conjunto fechado de recursos e grupos locais. Na maioria dos casos, os
recursos tm permisses designadas para grupos locais de computador ou grupos locais de
domnio. Como os grupos locais de computador so migrados quando voc migra o computador,
esses grupos so um conjunto fechado natural. Entretanto, os grupos locais de domnio podem
ser usados em vrios computadores para atribuir permisses.
Nesse caso, voc pode migrar todos os computadores que usam o grupo local de domnio ao
mesmo tempo que o grupo local de domnio migrado para o domnio de destino ou voc pode
alterar manualmente o grupo local de domnio para um grupo universal e, em seguida, migrar o
grupo universal. Alterar o grupo local de domnio para um grupo universal um processo manual
porque a ADMT no executa essa tarefa automaticamente. Embora essa alterao possa
aumentar o tamanho do seu catlogo global, por um perodo de tempo limitado, ela uma
maneira eficiente de migrar recursos e grupos locais de domnio como um conjunto fechado.
Histrico do SID
O histrico do SID ajuda a manter o acesso do usurio a recursos durante o processo de
reestruturao dos domnios do Active Directory. Quando voc migra um objeto para outro
domnio, atribudo ao objeto um novo SID. Como voc atribui permisses a objetos com base
nos SIDs, quando o SID alterado, o usurio fecha o acesso a esse recurso at que voc possa
reatribuir permisses. Quando voc usa a ADMT para migrar objetos entre domnios na mesma
floresta, o histrico do SID mantido automaticamente. Dessa maneira, o SID do domnio de
origem se mantm como um atributo do objeto depois que ele for migrado para o domnio de
destino.
Por exemplo, uma organizao que esteja reestruturando seus domnios do Active Directory
move grupos universais e globais de um domnio de origem para o domnio de destino antes de
mover as contas dos usurios. Como essa uma migrao dentro de uma floresta e o nvel
funcional do domnio de origem o Windows 2000 nativo, esses grupos deixam de existir no
domnio de origem e passam a existir apenas no domnio de destino. Como o histrico do SID
dos usurios e grupos migrado, os usurios continuam a ter acesso aos recursos do domnio
de origem com base na associao em um grupo que existe no domnio de destino.
Atribuindo acesso de recurso a grupos

A maneira mais eficiente de atribuir permisses a recursos executar as seguintes aes:
186
1. Atribuir usurios a grupos globais
2. Colocar grupos globais dentro de grupos locais de domnio
3. Atribuir permisses a grupos locais de domnio
Atribuir permisses a recursos dessa maneira simplifica o processo de migrao.
Preparando-se para reestruturar os domnios

do Active Directory dentro de uma floresta
Ao preparar-se cuidadosamente antes de reestruturar os domnios do Active Directory, voc
pode reduzir o efeito da migrao dos objetos dos domnios de origem para os de destino nos
usurios. A ilustrao a seguir mostra as etapas envolvidas na preparao da reestruturao de
domnios do Active Directory entre uma floresta.
187
Avaliar a nova estrutura de florestas do
Active Directory
Avalie a estrutura de domnio de sua floresta existente do Active Directory e identifique os
domnios que deseja reestruturar consolidando-os com outros domnios. Tambm ser
necessrio:
Identificar os domnios de origem dos quais voc ir migrar objetos.
Identificar e avaliar a estrutura da unidade organizacional (UO) do domnio de destino em
que ir colocar esses objetos.
Identificar os domnios de origem

Os domnios de origem so os domnios dos quais voc deseja migrar objetos e que planeja
descomissionar. Ao reestruturar domnios do Active Directory, melhor migrar o menor nmero
possvel de objetos. Ao selecionar domnios de origem, identifique os domnios que possuem
menos objetos para migrar.
Identificar e avaliar a estrutura da UO do domnio

de destino
Identifique as UOs do domnio de origem das quais voc precisa no domnio de destino e
determine se precisa criar novas UOs no domnio de destino.
Se estiver usando a Ferramenta de Migrao do Active Directory (ADMT) no modo de linha de
comando ou script, voc poder migrar a estrutura da UO ao migrar usurios, grupos ou
computadores. As UOs so sempre copiadas entre os domnios e no so excludas no domnio
de origem. Para migrar uma UO com xito, preciso especificar uma UO de origem e uma UO
de destino no ADMT e a UO de destino deve existir. Todos os objetos da UO de origem e todas
as UOs subordinadas so migradas para a UO de destino. A UO de origem especificada no
migrada.
Para obter mais informaes sobre como criar uma estrutura de UO, consulte Criando unidades
organizacionais para delegao de administrao (http://go.microsoft.com/fwlink/?LinkID=76628)
(em ingls).
Atribuir funes e localizaes dos objetos

de domnio
188
Crie uma tabela de atribuio de objetos que liste as funes e os locais de todos os objetos que
voc est migrando. Crie uma tabela para objetos de conta, como usurios, grupos e contas de
servio, e uma tabela para objetos de recursos, como estaes de trabalho, perfis e
controladores de domnio. Em suas tabelas, liste os locais de origem e de destino para todos os
objetos a serem migrados.
Antes de criar sua tabela de atribuio de objetos de contas, determine se as estruturas da UO
(unidade organizacional) dos domnios de origem e de destino so as mesmas. Se no forem as
mesmas, voc dever identificar a UO de origem e de destino em suas tabelas de atribuio de
objetos.
Para obter uma planilha para ajud-lo a criar uma tabela de atribuio de objetos de contas,
consulte "Tabela de Atribuio de Objetos do Usurio e do Grupo" (DSSREER_1.doc) no
download Job_Aids_Designing_and_Deploying_Directory_and_Security_Services de Auxlio de
Trabalho para Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/?
LinkId=14384) (em ingls).
A ilustrao a seguir mostra um exemplo de uma tabela de atribuio de objetos para usurios e
grupos.
Para criar uma tabela de atribuio de objetos de recursos, identifique a UO de origem e de

destino de cada objeto e anote o local fsico e a funo no domnio de destino. Para obter uma
planilha para ajud-lo a criar uma tabela de atribuio de objetos de recursos, consulte Tabela de
189
Atribuio de Objetos de Recursos (DSSREER_2.doc) no download
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services de Auxlio de Trabalho
para Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/?LinkId=14384) (em
ingls).
A ilustrao a seguir mostra um exemplo de uma tabela de atribuio de objetos de recursos.
Planejar a migrao de grupos

A menos que consiga identificar conjuntos fechados ao reestruturar domnios do Active Directory
em uma floresta, voc deve migrar grupos e usurios separadamente. Isto garante que os
usurios continuem tendo acesso a recursos necessrios.
A tabela a seguir lista cada tipo de grupo e a localizao fsica do grupo.
Tipo de grupo Local
Grupo global Active Directory
190
Tipo de grupo Local
Grupo universal Active Directory
Grupo de domnio local Active Directory
Grupo de computador local Banco de dados do computador local
Cada tipo de grupo migrado de forma diferente com base na localizao fsica do grupo e suas
regras para participao de grupo. Voc pode migrar grupos universais e grupos globais usando
a Ferramenta de Migrao do Active Directory (ADMT). Voc pode transform-los em grupos
universais durante a migrao se no estiver migrando conjuntos fechados. Voc pode atualizar
a participao de grupos de computador local usando o Assistente para converso de
segurana.
Cada tipo de grupo tem regras de participao diferentes, e cada tipo de grupo serve a um
objetivo diferente. Isto afeta a ordem em que os grupos so migrados do domnio de origem para
o de destino. A tabela a seguir resume os grupos e suas regras de participao.
Tipo de grupo Regras e participao
Grupos universais Grupos universais podem conter membros de

qualquer domnio da floresta e podem replicar
participao de grupo para o catlogo global.
Portanto, voc pode us-los para grupos
administrativos. Ao reestruturar domnios, migre
grupos universais primeiro.
Grupos globais Grupos globais s podem incluir membros do

domnio ao qual eles pertencem. O ADMT
altera automaticamente o grupo global no
domnio de origem para um grupo universal
quando ele migrado para o domnio de
destino se o nvel funcional de ambos os
domnios for Windows 2000 nativo ou superior.
O ADMT altera automaticamente grupos
universais de volta para grupos globais depois
que todos os membros do grupo so migrados
para o domnio de destino.
Grupos de domnio local Grupos de domnio local podem conter usurios

de qualquer domnio. Eles so usados para
atribuir permisses a recursos. Ao reestruturar
domnios, voc deve migrar grupos de domnio
local quando migrar os recursos aos quais eles
fornecem acesso, ou alterar o tipo de grupo
para grupo universal. Isto minimiza a
191
Tipo de grupo Regras e participao
interrupo do acesso de usurios a recursos.

O ADMT no converte automaticamente grupos
de domnio local em grupos universais como
faz para grupos globais.
Planejar migraes de teste

A Ferramenta de Migrao do Active Directory (ADMT) no inclui uma opo de migrao de
teste. Desenvolva um plano que ajude voc a testar sistematicamente os objetos depois de
migr-los para o novo ambiente e que permita a voc identificar e corrigir quaisquer problemas
que possam ocorrer. Realizar testes para verificar se a migrao foi bem-sucedida ajuda a
garantir que os usurios migrados do domnio de origem para o domnio de destino possam fazer
logon, acessar recursos baseados em uma associao de grupo e acessar recursos baseados
em credenciais de usurio. A realizao de testes tambm ajuda a garantir que os usurios
possam acessar os recursos que voc migrou.
Depois de concluir os testes, voc poder continuar migrando pequenos grupos piloto e, em
seguida, aumentar gradualmente o tamanho de cada lote de objetos de migrao no seu
ambiente de produo.
Use o seguinte processo para testar a migrao do objeto de conta e de objetos de recurso:
1. Crie um usurio de teste no domnio de origem. Inclua esse usurio de teste em suas
migraes.
2. Associe esse usurio aos grupos globais apropriados para permitir acesso aos recursos.
3. Faa logon no domnio de origem como o usurio de teste e verifique se consegue acessar
os recursos de modo apropriado.
4. Depois de migrar a conta de usurio, converta o perfil de usurio e migre a estao de
trabalho do usurio, faa logon no domnio de destino como o usurio de teste e verifique se
o usurio manteve as funcionalidades e os acessos necessrios. Por exemplo, voc pode
realizar um teste para verificar se:
O usurio consegue fazer logon com xito.
O usurio tem acesso a todos os recursos apropriados (como compartilhamentos de
arquivos e impressoras), acesso a servios (como envio de mensagens) e acesso a
aplicativos de linha de negcios (LOB). especialmente importante testar o acesso a
aplicativos desenvolvidos internamente que acessam servidores de bancos de dados.
O perfil de usurio foi convertido com xito e o usurio mantm as configuraes da rea
de trabalho, a aparncia da rea de trabalho, os atalhos e o acesso pasta Meus
Documentos. Alm disso, verifique se os aplicativos so exibidos no menu Iniciar e se
podem ser iniciados por esse menu.
192
Quando voc migra contas de usurio, voc no pode migrar todas as propriedades de
usurio. Para obter mais informaes sobre as propriedades de usurio que no podem
ser migradas, consulte Migrar contas de usurio, posteriormente neste guia.
Depois de migrar recursos, faa logon como usurio de teste no domnio de destino e verifique
se consegue acessar os recursos de modo apropriado.
Se ocorrer falha em alguma etapa do processo de teste, identifique a origem do problema e
determine se voc pode corrigi-lo antes que o objeto precise ficar acessvel no domnio de
destino. Se voc no conseguir corrigir o problema antes que o acesso ao objeto seja
necessrio, reverta para sua configurao original para garantir o acesso ao usurio ou ao objeto
de recurso. Para obter mais informaes sobre como criar um plano de reverso, consulte
Criando um Plano de Reverso, posteriormente neste guia.
Como parte do plano de teste, crie uma matriz de teste de migrao. Preencha uma matriz de
teste para cada etapa concluda no processo de migrao. Por exemplo, se voc migrar 10 lotes
de usurios, preencha a matriz de teste 10 vezes, uma para cada lote migrado. Se voc migrar
10 servidores membros, preencha uma matriz de teste para cada um dos 10 servidores.
Para obter uma planilha que ajudar voc a criar uma matriz de teste, consulte Matriz de teste de
migrao (DSSREER_3.doc) no download
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services de Auxlio de Trabalho
para Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/?LinkId=14384) (em
ingls).
A ilustrao a seguir mostra um exemplo de matriz de teste de migrao concluda.
193
Criar um plano de reverso
Depois do processo de migrao, voc no poder reverter as alteraoes feitas nos domnios
do Active Directory na sua floresta. Como as contas so movidas e no copiadas entre domnios
na restruturao de domnios, as alteraes no so reversveis. Se houver alguma alterao de
plano durante o processo de migrao, a nica forma de retornar as contas para o seu domnio
de origem repetindo a migrao de contas. Crie um plano de reverso caso voc tenha de
194
Observao
repetir a migrao de contas aps o incio da restruturao de seus domnios. Para criar um
plano de reverso, selecione o mtodo que voc usa para repetir a migrao de contas.
Para garantir uma reverso bem-sucedida de uma migrao entre florestas, no tente
excluir os objetos no domnio de destino e, em seguida, restaur-los no domnio de
origem. No ser possvel recuperar os objetos do domnio de origem porque eles so
automaticamente excludos pelo proxy de movimentao entre domnios aps tentativa
de restaurao.
Voc pode utilizar a Ferramenta de Migrao do Active Directory (ADTM) para repetir migraes
de contas do domnio de destino para o de origem. Nesse caso, o domnio de destino original se
torna o novo domnio de origem, e o domnio de origem original, o novo domnio de destino. Siga
as mesmas etapas no assistente que voc utilizou anteriormente para migrar contas. Se voc
repetir a migrao de contas, os objetos que foram migrados para o domnio de destino e em
seguida remigrados para o domnio de origem, tero novos identificadores de segurana (SIDs).
Contudo, eles tero o SID original no seu histrico de SID. Portanto, no sero idnticos s
contas antes da migrao, mas tero a mesma funcionalidade.
Se voc deseja reverter a migrao da conta, deve enumerar os servios novamente e ento
repetir a migrao das contas de servio revertendo os domnios de destino e de origem.
Se voc usa scripts para executar a migrao original, o mtodo mais rpido para reverter as
alteraes usando scripts para repetir migraes. Simplesmente reverta os objetos usados
para os domnios de destino e de origem no script para repetir a migrao de objetos.
Aps a criao de um plano de reverso, faa um teste para identificar e corrigir qualquer
problema antes de iniciar a restruturao dos domnios do Active Directory.
Criar um plano de comunicao de usurio

final
Desenvolva um plano para informar todos os usurios afetados sobre a migrao de conta a ser
realizada para garantir que compreendam suas responsabilidades, o impacto da migrao e
quem contatar para obter ajuda e suporte.
Antes de iniciar o processo de migrao de usurios, envie uma notificao a todos os usurios
que esto agendados para a migrao. Como voc geralmente migra usurios em lotes de
aproximadamente 100 usurios por vez, ser til tambm enviar uma notificao final aos
usurios em cada lote dois a trs dias antes do agendamento do lote. Caso sua organizao
mantenha uma intranet, publique a agenda de migrao de conta e as informaes relacionadas
no correio do usurio e uma pgina da Web acessvel.
Inclua as informaes a seguir na sua comunicao de usurio final.
195
Informaes gerais
Alerte os usurios para o fato de que suas contas de usurios esto agendadas para migrao
para o um novo domnio. Direcione os usurios para uma pgina da Web ou para um recurso
interno onde eles possam encontrar informaes adicionais e exibir uma agenda de migrao.
Informe o novo nome do domnio aos usurios. Certifique de inform-los de que as senhas das
contas no sero alteradas. Informe-os de que as contas originais do domnio sero
desabilitadas imediatamente aps a migrao e que as contas desabilitadas sero excludas
depois de um perodo de tempo especfico. Isso no ser necessrio se os usurios fizerem
logon com seus nomes UPN.
Impacto
Verifique se os usurios compreenderam que quando a conta for migrada possvel que no
consigam acessar alguns recursos, como sites, pastas compartilhadas ou recursos no muito
usados pelos indivduos no grupo ou da diviso.
Fornea informaes aos usurios sobre quem contatar para obter assistncia sobre como
reobter acesso aos recursos requeridos.
Status do logon durante a migrao

Verifique se os usurios compreenderam que durante o processo de migrao eles no podero
fazer logon no domnio ou acessar o email ou outros recursos. Certifique-se de especificar o
perodo de tempo no qual ficaro sem poder fazer logon.
Etapas pr-migrao
Alerte os usurios sobre as etapas que precisam executar antes que o processo de migrao
seja iniciado. Por exemplo, eles precisam descriptografar os arquivos criptografados por meio do
EFS (Encrypting File System). Se isso no for feito, os arquivos criptografados no podero ser
acessados depois da migrao.
Os usurios precisam verificar se seus computadores esto conectados rede quando a conta
estiver agendada para migrao.
Alteraes esperadas
Descreva outras alteraes que os usurios podem esperar que aconteam depois da migrao,
como as alteraes no uso de cartes inteligentes, na segurana de email ou no sistema de
mensagens instantneas, caso aplicvel.
Agendamento e informaes de suporte

Fornea informaes sobre onde os usurios podem ir para encontrar mais informaes. Por
exemplo, eles podem visitar um site interno onde voc postou informaes sobre a migrao.
196
Alm disso, fornea informaes sobre quem contatar se um usurio tiver um conflito com a data
agendada para a migrao.
Criar grupos de contas de migrao

Para migrar contas e recursos dentro de uma floresta, voc pode criar um grupo de migrao de
conta e um grupo de migrao de recursos com as credenciais adequadas. preciso, ento,
adicionar as contas que iro executar as migraes da Ferramenta de Migrao do Active
Directory (ADMT) aos grupos de migrao de conta e migrao de recurso, como adequado.
Como o ADMT s exige um conjunto limitado de permisses, a criao de grupos de migrao
separados possibilita simplificar a administrao por meio da criao de grupos, atribuindo as
permisses adequadas e, em seguida, adicionando os administradores necessrios a esses
grupos. Se as tarefas de migrao da sua organizao forem distribudas entre mais de um
grupo administrativo, crie grupos de migrao separados para cada grupo administrativo que
executa a migrao.
Atribua as permisses necessrias para modificar objetos, como usurios, grupos globais e
perfis locais, de acordo com a tabela a seguir. O usurio que est executando o ADMT deve ser
um administrador no computador em que o ADMT est instalado.
No domnio de destino, use um grupo com controle delegado da unidade organizacional (UO) do
computador e a UO de usurio. Convm usar um grupo separado para a migrao de estaes
de trabalho se esse processo de migrao for delegado a administradores que estejam no
mesmo local que as estaes de trabalho.
Use as informaes da tabela a seguir para determinar as credenciais necessrias para a sua
migrao.

Conta/grupo de servio de Administrador local, Permisses para Criar, excluir e

usurio/gerenciado administrador de domnio e gerenciar contas de usurio,
permisso para Ler todas Criar, excluir e gerenciar
Observao
as informaes de grupos e Modificar a
As contas de servio usurios delegada para a participao de um grupo
gerenciado no UO de origem delegadas para a UO de usurio
preservam o histrico ou UO de grupo e administrador
do identificador de local no computador em que o
segurana (SID) em ADMT est instalado.
uma migrao interna
na floresta.
Computador Administrador de domnio ou Permisso delegada na UO de

direitos delegados de excluir computador e administrador local
197
os objetos da UO de origem no computador no qual o ADMT

e membro do grupo est instalado
Administradores em cada
Observao
computador
Se o computador tiver
uma conta de servio
gerenciado instalada,
use uma conta que
tenha permisso para
atualizar o descritor de
segurana da conta de
servio gerenciado no
domnio de destino.
Perfil Administrador local ou Permisso para Criar, excluir e

administrador de domnio; gerenciar contas de usurio
para perfis mveis, delegada para a UO do
Administrador do computador e administrador local
computador que hospeda a no computador em que o ADMT
pasta compartilhada de est instalado
perfis mveis
Observao
Voc pode precisar
concluir outras etapas de
preparao caso migre
perfis mveis para
computadores que
executem o
Windows Vista ou o
Windows 7. Para obter
mais informaes,
consulte Preparao
para a migrao de
perfis mveis com
computadores que
executam o Windows
Vista e o Windows 7.
O ADMT tambm inclui funes de administrao de banco de dados que voc pode usar para
atribuir um subconjunto de permisses de banco de dados a usurios que executam tarefas de
migrao especficas. As funes de administrao de banco de dados e as tarefas de migrao
que elas podem executar esto listadas na tabela a seguir.
198
Funo Tarefa de migrao
Migradores de contas Tarefas de migrao de conta, como migrao

de usurio e grupo
Migradores de recursos Tarefas de migrao de recurso, como

migrao de computador e converso de
segurana; migradores de contas tambm
possuem a funo de migradores de recursos
Leitores de dados Consultas no banco de dados; os migradores

de contas e migradores de recursos tambm
possuem a funo dos leitores de dados.
Os usurios aos quais est atribuda a funo de administrador do sistema do SQL Server
possuem todas as funes de administrao de banco de dados do ADMT. Eles tm permisses
para:
Exibir funes de banco de dados e usurios que possuem essas funes.
Adicionar grupos ou usurios a funes.
Remover grupos ou usurios de funes.
Por padro, a funo de administrador do sistema est atribuda ao grupo Administradores local.
Este grupo pode executar todas as funes de banco de dados do ADMT.
Instalando o ADMT no domnio de destino

Use qualquer uma das diretrizes a seguri para intalar a Ferramenta de Migrao do Active
Directory (ADMT), dependendo de qual verso voc seteja instalando. A verso 3.1 do ADMT
fornece uma opo para instalar uma instncia do banco de dados do Microsoft SQL Server
Express pr-configurada. A verso v3.2 do ADMT requer que uma instncia do banco de dados
do SQL Server seja instalada previamente. As diretrizes restantes para desanexar, reconfigurar e
remover um arquivo de banco de dados se aplicam a qualquer verso do ADMT.
SQL Server
Reconfigurando uma instalao de banco de dados com o Admtdb.exe
Reutilizar um banco de dados existente do ADMT de uma instalao anterior

Esta seo trata dos seguintes problemas para a instalao do ADMT v3.1
199
Para instalar o ADMT usando o armazenamento de banco de dados padro

Instalando o ADMT v3.1 usando o armazenamento de banco de dados padro

Por padro, quando voc instala a Ferramenta de Migrao do Active Directory verso 3.1
(ADMT v3.1), o SQL Server 2005 Express Edition tambm instalado por padro para ser usado
como o repositrio de dados da ferramenta. Como alternativa, voc pode configurar o ADMT v3.1
para usar um banco de dados do SQL Server 2000 com Service Pack 4 (SP4) Standard ou
Enterprise Edition, ou uma instalao do SQL Server 2005 Standard ou Enterprise Edition criada
por voc anteriormente.
Antes de instalar o ADMT v3.1, execute os seguintes pr-requisitos:
Instale o Windows Server 2008.
Remova todas as verses anteriores do ADMT usando Adicionar ou Remover Programas
no Painel de Controle. Se tentar instalar o ADMT v3.1 em um servidor que possua uma
verso anterior do ADMT instalada, voc receber uma mensagem de erro e a instalao
ser interrompida. Se necessrio, voc poder importar o banco de dados da verso anterior
do ADMT (por exemplo, ADMT v2.0 ou ADMT v3.0) para o ADMT v3.1 durante a instalao.
Se no pretender usar a instalao padro do banco de dados local, verifique se outra
instalao de banco de dados do SQL Server 2000 ou do SQL Server 2005 est configurada
com uma instncia do ADMT. Para obter mais informaes sobre como criar uma instncia
do ADMT em um banco de dados do SQL Server, consulte Instalando o ADMT usando um
banco de dados SQL pr-configurado.
Instalando o ADMT v3.1 usando o armazenamento de banco de

dados padro
Voc pode usar um armazenamento de banco de dados padro baseado no SQL Server 2005
Express Edition ou um banco de dados SQL pr-configurado para instalar o ADMT. O mtodo de
instalao mais comum e recomendado usar o armazenamento de banco de dados padro,
que o Assistente de Instalao da Ferramenta de Migrao do Active Directory configura
automaticamente.
Dependendo do seu ambiente, baixe o ADMT v3.1 (http://go.microsoft.com/fwlink/?

LinkId=121732) ou o ADMT v3.2 (http://go.microsoft.com/fwlink/?LinkId=186197). Para
obter mais informaes sobre qual verso do ADMT usar, consulte Verses e ambientes
com suporte da Ferramenta de Migrao do Active Directory. No local do download,
clique duas vezes em admtsetup.exe, que abre o assistente de instalao.
Bem-vindo Instalao da Ferramenta Clique em Avanar.

200
de migrao do Active Directory
Configurando Componentes A instncia do banco de dados do ADMT

(MS_ADMT) criada no computador local.
Por padro, o SQL Server 2005 Express
Edition instalado localmente; no entanto,
mesmo que seja utilizado pelo ADMT, o
SQL Server 2005 Express Edition ser
desabilitado se voc especificar outra
instncia de banco de dados na pgina
seguinte do assistente.
Seleo de Banco de Dados Especifique a instncia de banco de dados

qual deseja se conectar. A seleo
recomendada Usar o Microsoft SQL
Server Express Edition, que configura o
ADMT v3.1 para usar a instncia de banco
de dados instalada localmente.
Se voc estiver usando vrios consoles do
ADMT v3.1 ou tiver um servidor de banco
de dados dedicado onde deseje centralizar
seu banco de dados do ADMT, selecione a
opo Usar um Microsoft SQL Server
existente. Especifique o servidor ao qual
deseja se conectar no formato
Servidor\Instncia.
Configure a instncia do banco de dados
do SQL Server antes de selecionar essa
opo. Embora a instalao do ADMT v3.1
continue mesmo que no seja possvel
entrar em contato com o banco de dados,
voc s poder usar o ADMT para migrar
contas ou recursos quando a instncia de
banco de dados estiver criada e
disponvel.

Se no desejar importar dados de um
201

de dados existente (Padro).
dados do ADMT v3.0.

Se voc no desejar importar dados de um
de dados do ADMT v2.
dados do ADMT v2.0.
O banco de dados do ADMT v2.0 possui o
nome de arquivo protar.mdb e dever
estar localizado no diretrio anteriormente
usado para a instalao do ADMT v2.0.
Resumo Esta pgina resume as opes

selecionadas. Clique em Concluir para
finalizar a instalao do ADMT v3.1.

O ADMT v3.2 requer uma instncia pr-configurada do SQL Server para o seu armazenamento
de dados subjacente. Voc deve usar o SQL Server Express. Quando voc usa uma das verses
do SQL Server Express a seguir, a instalao do ADMT aplica os seguintes requisitos de service
pack:
202
Observao
Se voc usar o SQL Server Express, o console do ADMT dever ser instalado e
executado localmente no servidor que hospeda a instncia do banco de dados do
SQL Server Express.
Como opo, voc pode usar verses completas do SQL Server 2005 ou do SQL Server 2008.
Nesse caso, voc pode instalar e executar o console ADMT em um computador remoto e
executar vrios consoles ADMT em diferentes computadores remotos. Se voc usar uma verso
completa do SQL Server, a instalao do ADMT no impor nenhum requisito de service pack.
O restante desta seo trata dos seguintes problemas de instalao:

Antes de instalar o ADMT v3.2, execute as seguintes tarefas de pr-requisito:
No Painel de Controle, use Adicionar ou Remover Programas para remover todas as
verses do ADMT anteriores ao ADMT v3.2.
Embora o ADMT v3.2 no permita uma atualizao a partir de uma verso anterior do ADMT,
voc pode reutilizar o banco de dados de uma instalao anterior do ADMT, a menos que o
banco de dados seja do ADMT v2 ou ADMT v1. Para obter mais informaes, consulte
Reutilizar um banco de dados existente do ADMT de uma instalao anterior.
Instale ou atualize um computador servidor (de preferncia um servidor membro) no
ambiente de seu domnio de origem ou de destino conforme necessrio para executar o
Embora voc possa usar o ADMT v3.2 para migrar contas e recursos de ambientes do
Active Directory que tenham um nvel de domnio funcional do Windows Server 2003 ou
posterior, s ser possvel instalar o ADMT v3.2 em um servidor que execute o Windows
Server 2008 R2.
Alm de executar o Windows Server 2008 R2, o computador servidor usado para instalar o
ADMT v3.2 no deve estar instalado com a opo de instalao do Servidor de Ncleo ou
estar executando um controlador de domnio somente leitura (RODC).
Configure uma instalao de banco de dados do SQL Server com uma instncia do ADMT.
Voc pode baixar e instalar o SQL Server Express localmente ou criar uma instncia de
banco de dados para o ADMT com base em um banco de dados do SQL Server existente.
Para obter mais informaes sobre como instalar o SQL Server Express, consulte Instalar o
ADMT v3.2. Para obter mais informaes sobre como criar uma instncia do ADMT em um
banco de dados do SQL Server existente, consulte Instalar o ADMT reconfigurando uma
instalao de banco de dados com Admtdb.exe.
203
Para instalar o ADMT v3.2
Baixe o SQL Server 2005 Express (http://go.microsoft.com/fwlink/?LinkId=181159) ou crie uma
nova instncia de banco de dados em uma instalao do SQL Server para usar com o
ADMT v3.2. Durante a instalao do SQL Server, selecione Modo de Autenticao do
Windows. Depois de instalar o SQL Server, use o procedimento a seguir para instalar o
ADMT v3.2.
1. No pacote de download do ADMT, clique duas vezes em admtsetup32.exe.

2. Na pgina de Boas-vindas, verifique se as recomendaes foram seguidas e clique em
Avanar.
3. Na pgina Contrato de Licena, clique em Concordo e em Avanar.
4. Na pgina Seleo de Banco de Dados, digite o servidor\instncia.
O requisito para digitar o nome do servidor tambm se aplica instncia do banco de
dados local. possvel digitar um ponto (.) para indicar o servidor local. Por padro, a
instncia do SQL Server Express chamada de SQLEXPRESS.
Por exemplo, para usar uma instncia padro do SQL Server Express no servidor local,
digite .\SQLEXPRESS.
5. Se voc escolher uma instalao do SQL Express e um arquivo de banco de dados
ADMT.mdf no estiver na localizao de dados padro %windir%\ADMT\Data, a pgina
Importao de Banco de Dados ser exibida. Caso contrrio, a Instalao do ADMT
ser automaticamente anexada ao arquivo do banco de dados e a pgina Resumo ser
exibida.
Na pgina Importao de Banco de Dados, se voc no precisar importar dados,
clique em No, no importar dados de um banco de dados existente (Padro). Se
voc precisar importar dados de uma instalao anterior do ADMT, clique em Sim,
importar dados de um banco de dados do ADMT v3.0 ou do ADMT v3.1 e para
navegar at a localizao do arquivo de banco de dados, clique em Procurar.
Antes de importar dados de um banco de dados, voc precisar separar o arquivo do
banco de dados do SQL Server usando os comandos do SQL Server. Para obter mais
informaes, consulte Separar um arquivo de banco de dados de uma verso
anterior do ADMT e do SQL Server.
Quando terminar, clique em Avanar.
6. Na pgina Resumo, examine os resultados da instalao e clique em Concluir.
204
Separe um arquivo de banco de dados existente
de uma verso anterior do ADMT e do
SQL Server
Se voc utilizar o SQL Server Express, o banco de dados ser separado automaticamente
quando remover o ADMT. O banco de dados do SQL Server Express separado pode ser
reutilizado como parte de outra instalao do ADMT posterior. Neste caso, o ADMT anexado
atomaticamente ao banco de dados existente que voc especificar durante a instalao.
Voc pode separar o arquivo de banco de dados do ADMT de uma instncia completa do SQL
Server caso tenha outro aplicativo que deseje anexar ao mesmo banco de dados. Por exemplo,
caso planeje mudar de uma instalao SQL Server completa para uma SQL Server Express ou
se tiver um arquivo de banco de dados do ADMT de uma instalao anterior que voc tenha
anexado s ferramentas de gerenciamento do SQL Server, ela precisar ser separada daquele
banco de dados antes de poder ser consumida pelo ADMT.
Para separar um banco de dados, voc pode usar o procedimento armazenado do SQL:
sp_detach_db [ @dbname = ] 'dbname'
Para obter mais informaes sobre essa chamada de procedimento armazenado, consulte a
documentao do SQL Server. Para obter mais informaes sobre como usar o SQL Server
Management Studio para separar o banco de dados, consulte Como: Separar um Banco de
Dados (SQL Server Management Studio (http://go.microsoft.com/fwlink/?LinkId=183994). (em
ingls)
Reconfigurando uma instalao de banco de

dados com o Admtdb.exe
Se voc tiver problemas com a configurao do banco de dados durante a instalao ou se tiver
especificado o SQL Server Express durante a instalao do ADMT v3.2, mas quiser alternar para
o SQL Server (ou vice-versa) aps a instalao, voc poder usar o Admtdb.exe. A sintaxe da
linha de comando de Admtdb.exe est na tabela a seguir.
Voc pode executar Admtdb.exe de um prompt de comando elevado em qualquer servidor que
possa ser direcionado para o computador servidor que esteja executando o SQL Server, para
criar a instncia do ADMT nesse computador servidor.
Sintaxe Descrio
admtdb create /{s|server}: Instala um novo banco de dados do ADMT ou

"Servidor\instncia" prepara um banco de dados vazio.
O parmetro /server especifica o nome do SQL
Server e a instncia qual se conectar para
criar o banco de dados. Esse parmetro
obrigatrio.
205
Para reutilizar um banco de dados local depois
Sintaxe de configurar uma instncia remota de
Descrio
um banco de dados do SQL Server
admtdb upgrade /s|server: Servidor\Instncia Atualiza uma verso anterior de um banco de

O parmetro /server, que obrigatrio,
especifica o nome do SQL Server e a instncia
qual se conectar para atualizar o banco de
Observao
Antes de atualizar o banco de dados do
ADMT, abra o console do ADMT para
verificar se ele compatvel com o
banco de dados.
admtdb attach [/{a|attach}: "caminho do Anexa um banco de dados do ADMT

banco de dados da v3x" instncia SQL Server Express 2005 ou do
SQL Server Express 2008 local.
O parmetro /attach, que obrigatrio,
especifica o caminho para um arquivo de banco
de dados Admt.mdf separado.
Para consultar a Ajuda para todas as opes de linha de comando do Admtdb.exe, digite
admtdb /? no prompt de comando.
Se voc tiver comeado a migrao usando um banco de dados do SQL Server Express local e
tiver configurado uma instncia remota de um banco de dados do SQL Server e precisar voltar a
usar um banco de dados do SQL Server Express local, conclua o procedimento a seguir. Nesse
caso, o arquivo de banco de dados do ADMT j est anexado instncia do SQL Express.
Portanto, no necessrio reanex-lo explicitamente.
Se voc comear a migrao usando o SQL Server e quiser alternar para o SQL Server Express,
consulte Reutilizar um banco de dados do ADMT existente de uma instalao anterior.

clique em Servios.
206
Observao
Para usar
automaticamente um banco do
na inicializao desistema,
dados existente
clique em(separado) doclique
Inicializado, ADMTcom
com a instncia local do
o boto
SQLnoServer
direito do mouse nome do servio e clique em Propriedades.
5. Feche Servios.
Observao
O comando admtdb attach s ser necessrio se voc tiver executado
comandos SQL para separar a instncia local do SQL Server Express.
admtdb attach /{s | Server}:Instncia local do SQL Server Express
admt config setdatabase /s:Servidor\Instncia.
Agora possvel usar o banco de dados local.
Reutilizar um banco de dados existente do ADMT

de uma instalao anterior
Se desejar usar um banco de dados existente (separado) de uma instalao anterior do
ADMT v3.0, v3.1 ou v3.2 com a instncia local do SQL Express, voc poder executar o
procedimento a seguir.
concluso deste procedimento. Analise os detalhes do uso de contas e associaes de
grupo adequadas em Grupos Padro Locais e do Domnio

clique em Servios.
5. Feche Servios.
admtdb attach /{s | Server}:Instncia local do SQL Server Express /{a |
Attach}:Caminho para o arquivo de banco de dados do ADMT v3.x a ser
207
anexado"
admt config setdatabase /s: servidor\instncia
Agora voc pode usar o banco de dados do ADMT com a instncia local do SQL Server.
No necessrio executar o assistente de instalao do ADMT novamente. A instalao
do ADMT s pode ser executada uma vez. Voc pode executar qualquer alterao na
configurao do banco de dados usando os comandos admtdb.exe e admt config
setdatabase.
Planejar a transio de contas de servio

A maioria dos servios executada dentro do contexto da conta Sistema Local.
Consequentemente, eles no precisam de nenhuma manuteno quando so migrados para
outro domnio. No entanto, alguns servios so executados no contexto de uma conta de usurio
e no em uma conta Sistema Local.
A transio de contas de servio refere-se ao processo de servios de identificao, migrao e
atualizao executados no contexto de contas de usurio. Esse processo tem trs etapas.
Primeiramente, o administrador inicia a Ferramenta de Migrao do Active Directory (ADMT)
usando o controlador de domnio de destino do Active Directory e executa o Assistente para
Migrao de Conta de Servio. Em seguida, o Assistente para Migrao de Conta de Servio
envia um agente a um computador especificado e identifica (mas no migra) todos os servios
do computador que esto sendo executados no contexto de uma conta de usurio. A terceira
etapa, que pode ocorrer posteriormente no processo de migrao, migrar as contas quando
outras contas de usurio forem migradas com o Assistente para Migrao de Conta de Usurio.
O Assistente para Migrao de Conta de Servio verifica todos os servios de um computador
para identificar servios que estejam sendo executados no contexto de uma conta de usurio.
Voc poder criar uma falha de segurana durante a migrao de contas de servio se algum
que no seja um administrador de servio entrar em uma conta com permisses administrativas
no domnio de origem mas usar uma senha invlida em seu computador para iniciar o servio.
Como a senha no est correta, o servio no ser iniciado antes da migrao da conta, mas
funcionar depois da migrao pois o ADMT redefinir a senha da conta de servio e configurar
todos os servios que esto usando essa conta de servio com a nova senha.
Para eliminar esse possvel problema de segurana, importante incluir no Assistente para
Migrao de Conta de Servio somente os servidores gerenciados por administradores
confiveis. No use o Assistente para Migrao de Conta de Servio para detectar contas de
servio em computadores que no sejam gerenciados por administradores confiveis, como
estaes de trabalho.
Se voc no identificar e fizer a transio de um computador confivel que, por esse motivo,
ficar sem a atualizao da conta de servio, voc precisar definir manualmente a nova senha
criada pelo ADMT. Para fazer isso, obtenha a senha no arquivo Password.txt e digite
208
Para executar o Assistente para Migrao de Conta de Servio
manualmente as informaes de conta e senha para o servio no computador em que a

transio no foi feita.
Quando as contas que o Assistente para Migrao de Conta de Servio identifica no banco de
dados do ADMT como executadas no contexto de contas de usurio so migradas para o
domnio de destino, o ADMT concede a cada uma delas o direito de fazer logon como um
servio.
1. No ADMT, inicie o Assistente para Migrao de Conta de Servio.

2. Use o assistente executando as etapas descritas na tabela a seguir.

Quando voc executa uma migrao
dentro da floresta, o controlador de
domnio que possui a funo de mestre de
operaes de ID relativa (RID) sempre
usado como controlador de domnio de
origem, independentemente da opo que
voc selecionar.
Avanar.
Informaes de Atualizao Clique em Sim, atualizar as informaes.

209

Avanar.
Ou
Caixa de Dilogo do Agente Em Aes do Agente, selecione Executar

pr-verificao e operao do agente e
clique em Iniciar. Uma mensagem
aparecer no Resumo do Agente quando
as operaes do agente estiverem
concludas. Depois que as operaes do
agente forem concludas, clique em
Fechar.
Informaes de Contas de Servio Selecione as contas de usurio que no

precisem ser marcadas como contas de
servio no banco de dados do ADMT e
clique em Ignorar/Incluir para marcar as
contas com Ignorar.
O assistente se conecta aos computadores selecionados e envia um agente para

verificar todos os servios nos computadores remotos. A pgina Informaes de Contas
de Servio lista os servios que esto sendo executados no contexto de uma conta de
usurio e o nome dessa conta de usurio. O ADMT anota em seu banco de dados que
essas contas de usurio devem ser migradas como contas de servio. Se no desejar
que uma conta de usurio seja migrada como uma conta de servio, selecione a conta e
clique em Ignorar/Incluir para alterar o status de Incluir para Ignorar.
3. Use Atualizar SCM para atualizar o Gerenciador de Controle de Servios com as novas
informaes. A menos que ocorra uma falha quando voc tentar acessar um computador
para atualizar o servio, o boto Atualizar SCM no estar disponvel. Se voc tiver
problemas para atualizar uma conta de servio identificada e migrada, verifique se o
computador que est tentando acessar est disponvel e, em seguida, reinicie o
Assistente para Migrao de Conta de Servio. No assistente, clique em Atualizar SCM
para tentar atualizar o servio. Se voc tiver executado o Assistente para Migrao de
Conta de Servio anteriormente e o boto Atualizar SCM no estiver disponvel,
examine os arquivos de log do ADMT para determinar a causa do problema. Depois que
voc corrigir o problema e o agente puder se conectar com xito, o boto Atualizar SCM
ficar disponvel.
210
Para identificar contas de servio usando um
a opo
scriptde linha de comando do ADMT
ADMT SERVICE /N "<nome_do_computador1>" "<nome_do_computador2>"
/SD:"<domnio_de_origem>" /TD:" <domnio_de_destino>"
Onde <nome_do_computador1> e <nome_do_computador2> so os nomes dos

computadores do domnio de origem que executam as contas de servio.
ADMT SERVICE /N "<nome_do_computador1>" "<nome_do_computador2>" /O:"
A tabela a seguir lista os parmetros comuns usados para identificar contas de servio,
juntamente com o parmetros de linha de comando e os equivalentes de arquivo de
opo.

origem>

destino>
Crie um script que incorpore comandos e opes do ADMT para identificar contas de
servio usando o exemplo de script a seguir. Copie o script no Bloco de Notas e salve o
AdmtConstants.vbs.
<Job id="IdentifyingServiceAccounts" >
Option Explicit
Dim objMigration
Dim objServiceAccountEnumeration
'
211
'
Set objServiceAccountEnumeration = _
objMigration.CreateServiceAccountEnumeration
'
'
'
'Enumere contas de servio em computadores especificados.
'
objServiceAccountEnumeration.Enumerate admtData, _
Set objServiceAccountEnumeration = Nothing
</Script>
</Job>
Exemplo: Preparando para Reestruturar os

Domnios do Active Directory
A Contoso Corporation atualizou o hardware para aumentar a largura de banda da rede e a
quantidade de trfego de replicao aceito. Consequentemente, a empresa est consolidando
seu domnio Africa dentro do domnio EMEA.
O domnio Africa o domnio de origem e o domnio EMEA o domnio de destino da migrao.
A organizao precisa migrar um total de 1.800 usurios do domnio Africa para o domnio
212
EMEA. Alm das contas de usurio, a organizao tambm precisa migrar recursos, como
estaes de trabalho, servidores e grupos.
Como a Contoso Corporation uma organizao de grande porte com vrios grupos globais, os
conjuntos fechados so difceis de identificar. Sendo assim, a empresa decidiu migrar os grupos
globais como grupos universais. A empresa pode fazer isso porque a infraestrutura da
corporao pode lidar com a replicao adicional dos grupos universais e porque tanto o domnio
Africa quanto o EMEA esto operando no nivel funcional nativo do Windows 2000. A empresa
criou estruturas idnticas de unidade organizacional (UO) nos domnios Africa e EMEA. Sendo
assim, no necessrio criar uma nova estrutura de UO ou migrar UOs.
A Contoso Corporation criou uma lista de computadores que executam contas de servio para
que ela possa usar o Assistente para Migrao de Conta de Servio para identificar os servios
executados no contexto das contas de usurio. A empresa est mais preocupada com um
conjunto de contas que acessam o banco de dados do SQL Server. O acesso a esse banco de
dados uma parte importante do negcio.
A empresa decidiu usar a Ferramenta de Migrao do Active Directory (ADMT) como a
ferramenta de migrao e usar os assistentes. A empresa instala o ADMT e cria dois grupos e
migrao de conta a serem usados para o processo de migrao. A empresa atribui permisses
de alto nvel ao primeiro grupo e, em seguida, adiciona os membros apropriados da equipe de
implantao ao grupo. A equipe de implantao centralizada usar essa conta para migrar
usurios. A empresa atribui permisses de estao de trabalho e de recurso local ao segundo
grupo. A equipe de implantao usar o segundo grupo para migrar os recursos nos locais
remotos.
Migrando objetos de domnio entre os

A reestruturao dos domnios do Active Directory em uma floresta envolve a migrao de
objetos de domnio em uma ordem especfica para garantir a manuteno do acesso dos
usurios aos recursos. A ilustrao a seguir mostra o processo de migrao de objetos de
domnio entre os domnios do Active Directory.
213
Migrar grupos
Para proteger seu sistema contra o problema de conjuntos abertos ao reestruturar os domnios
do Active Directory dentro de uma floresta, migre os grupos antes de migrar as contas de usurio
associadas a esses grupos. Se voc migrar grupos simultaneamente com os usurios, pode ser
que os grupos aninhados no sejam migrados, o que cria um conjunto aberto.
Alm disso, siga estas diretrizes para migrar grupos:
Migre grupos universais primeiro, em seguida, os grupos globais.
Migre os grupos locais quando migrar os recursos (controladores de domnio e servidores
membros) nos quais so usados para atribuir permisses.
Voc pode optar por migrar grupos locais de computador ao migrar o computador
posteriormente no processo de reestruturao.
214
Observao
Para migrar grupos universais usando o snap-in do ADMT
Migrar grupos universais

Migre grupos universais do domnio de origem para o domnio de destino sem migrar os usurios
associados a esses grupos ao mesmo tempo. Migrar grupos universais sem os usurios ajuda a
proteger contra o problema de conjuntos abertos. O histrico de identificador de segurana (SID)
permite que membros do grupo continuem a ter acesso aos recursos com base nos membros de
grupos universais. Quando voc migra grupos universais para o domnio de destino, eles deixam
de existir no domnio de origem.
Se voc estiver migrando um pequeno nmero de grupos universais, voc poder migr-
los ao mesmo tempo em que voc migra grupos globais.
Voc pode migrar grupos universais usando o snap-in da Ferramenta de Migrao do
Active Directory (ADMT), a opo de linha de comando do ADMT ou um script.
No computador do domnio de destino em que o ADMT est instalado, faa logon usando
Use o Assistente para Migrao de Conta de Grupo, executando as etapas descritas na
tabela a seguir.

operaes de ID relativa (RID) (tambm
conhecido como mestre de operaes
nico flexvel ou FSMO) sempre usado
como o controlador de domnio de origem,
independentemente da opo que voc
selecionar.
215
Para migrar grupos universais usando a opo de linha de comando do ADMT

Avanar.
Opo de Seleo de Grupo Clique em Selecionar grupos do

origem a serem migrados, clique em OK e,
Ou

universais e clique em OK.
Opes de Grupo As caixas de seleo Migrar SIDs de

grupo para domnio de destino e
Corrigir Participao em Grupo esto
marcadas e aparecem esmaecidas.
Gerenciamento de Conflitos Selecione No migrar o objeto de

domnio de destino.
Observao
Ao comear uma migrao de grupo com a migrao sIDHistory na linha de
comando, o comando precisa ser executado em um controlador do domnio de
destino.
216
Para migrar
2. Em umagrupos
linha deuniversais
comando, usando um scriptADMT
digite o comando Group com os parmetros apropriados
e pressione ENTER:
ADMT GROUP /N "<nome_do_grupo1>" "<nome_do_grupo2>" /IF:YES /SD:"

A tabela a seguir lista os parmetros necessrios para migrar grupos universais, os

parmetros de linha de comando e os equivalentes do arquivo de opo. Para obter uma
lista completa de parmetros disponveis, consulte a Ajuda do ADMT v3.1.
Entre florestas /IF:YES IntraForest=YES

destino>

Destino>

de conflitos

4. Abra Usurios e Computadores do Active Directory e localize a UO do domnio de
destino. Verifique se os grupos universais existem na UO do domnio de destino.
Use o exemplo a seguir para preparar um script que incorpore comandos e opes do
ADMT para migrar grupos dentro de uma floresta. Copie o script no Bloco de Notas e
AdmtConstants.vbs.
Observao
Ao comear uma migrao de grupo com a migrao sIDHistory por um script, o
script precisar ser executado em um controlador do domnio de destino.
<Job id="MigratingGroupsWithinForest" >
Option Explicit
Dim objMigration
217
'
'
'
'
objMigration.IntraForest = True
'
'

grupo2" )
</Script>
</Job>
218
Migrar grupos globais
Migre grupos globais, sem membros, do domnio de origem para o domnio de destino para
proteger contra o problema de conjuntos abertos. (Para obter mais informaes sobre conjuntos
abertos, consulte Informaes gerais sobre a reestruturao de domnios do Active Directory
dentro de uma floresta, anteriormente neste guia). Depois que os grupos globais forem migrados
para o domnio de destino, eles deixaro de existir no domnio de origem se o domnio de origem
tiver um nvel funcional no modo nativo do Windows 2000 ou superior.
Como os grupos globais contm apenas membros de seus prprios domnios, voc no pode
migr-los de um domnio para outro. A ADMT (Ferramenta de Migrao do Active Directory)
altera os grupos globais para grupos universais quando eles so migrados. O grupo universal no
domnio de destino mantm o histrico do SID (identificador de segurana) do grupo global no
domnio de origem, o que possibilita aos usurios continuar a acessar os recursos no domnio de
origem depois que os grupos globais forem migrados. A ADMT altera os grupos universais
novamente para os grupos globais depois que todos os membros do grupo global forem
migrados do domnio de origem para o domnio de destino.
Voc no precisa incluir grupos globais internos e conhecidos em sua migrao, pois esses
grupos j existem no domnio de destino. Se voc selecionar um grupo interno ou um grupo
global conhecido para migrao, a ADMT no o migrar. Em vez disso, a ADMT criar uma
observao no log e continuar a migrar outros grupos globais.
O procedimento para uso do Assistente de Migrao de Conta do Grupo para migrar grupos
globais o mesmo que para migrar grupos universais. Para obter mais informaes sobre o
procedimento para migrar grupos globais e grupos universais, consulte Migrar grupos universais,
anteriormente neste guia.
Depois de concluir o processo de migrao do grupo global, use Usurios e Computadores do
Active Directory para verificar se os grupos globais foram migrados com xito. Verifique se os
grupos globais deixaram de existir no domnio de origem e se os grupos aparecem no domnio
de destino na unidade organizacional (UO) especificada durante o processo de migrao. Os
grupos globais sero listados como grupos universais no domnio de destino se ainda tiverem
membros no domnio de origem. Para visualizar uma lista de membros do grupo universal, clique
com o boto direito do mouse no grupo, clique em Propriedades e, em seguida, clique na guia
Membros. Os membros originais do grupo global so listados. Observe, entretanto, que as
contas dos usurios ainda no foram migradas.
Se voc estiver migrando contas de usurios durante a migrao intraflorestal, mas no estiver
migrando os grupos globais do domnio de origem dos quais as contas dos usurios so
membros, a ADMT atualizar, de qualquer forma, os grupos globais do domnio de origem. A
ADMT remove as contas de usurios migradas da associao do grupo global no domnio de
origem, pois o grupo global pode incluir apenas membros do domnio de origem. Como
resultado, possvel que os usurios no continuem a acessar os recursos no domnio de
origem aps a migrao, pois no haver mais membros nesses grupos.
219
Para migrar grupos globais usando o snap-in da ADMT
Voc pode migrar grupos globais usando o snap-in da ADMT, a opo de linha de comando da
ADMT ou um script.
tabela a seguir.

intraflorestal, o controlador de domnio que
possui a funo de mestre de operaes
de ID relativa (RID) (tambm conhecido
como mestre de operaes nico flexvel
ou FSMO) sempre usado como
controlador de domnio de origem,
selecionar.
Avanar.

origem que deseja migrar, clique em OK e,
Ou
220
Para migrar grupos globais usando a opo de linha de comando da ADMT

Seleo de Unidade Organizacional Digite o nome da UO ou clique em

Procurar.

Gerenciamento de Conflitos Selecione No migrar o objeto de

domnio de destino.
3. Depois que o assistente for executado, clique em Exibir Log e revise o log de migrao
procura de erros.
destino. Verifique se os grupos globais existem na UO do domnio de destino.
Observao
Ao comear uma migrao de grupo com a migrao sIDHistory na linha de
destino.
2. Em uma linha de comando, digite o comando ADMT Group com os parmetros apropriados
e pressione ENTER:
<domnio_de_origem>" /TD:" <domnio_de_destino>" /TO:" <UO de destino>"

221
Para ADMT
migrar grupos
GROUP globais usando um"<nome_do_grupo2>"
/N "<nome_do_grupo1>" script /O: "<arquivo_de_opo>.txt"
A tabela a seguir lista os parmetros necessrios para migrar grupos globais, os

parmetros de linha de comando e os equivalentes do arquivo de opo.

destino>

Destino>

de conflitos

4. Abra Usurios e computadores do Active Directory e localize a UO do domnio de
destino. Verifique se os grupos globais existem na UO do domnio de destino.
1. Use um script que incorpore comandos e opes da ADMT para migrar grupos
universais. Para obter mais informaes sobre como migrar grupos universais, consulte
Migrar grupos universais, anteriormente neste guia.
Observao
Ao comear uma migrao de grupo com a migrao sIDHistory por um script,
voc dever executar o script em um controlador do domnio de destino.
2. Depois de concluir a migrao do grupo global usando um script, visualize o log de
migrao. O arquivo migration.log armazenado na pasta em que voc instalou a ADMT,
geralmente Windows\ADMT\Logs.
Observao
Como os grupos universais so replicados para o catlogo global, converter
grupos globais para grupos universais pode afetar o trfego de replicao.
Quando a floresta estiver funcionando no nvel funcional do
Windows Server 2003 ou Windows Server 2008, esse impacto ser reduzido,
pois apenas as alteraes na associao do grupo universal sero replicadas.
Entretanto, se a floresta no estiver funcionando no nvel funcional do
Windows Server 2003 ou Windows Server 2008, a associao do grupo inteiro
ser replicada sempre que a associao do grupo universal for alterada.
222
Para migrar contas de servio utilizando o snap-in do ADMT
Migrar contas de servio

Migre as contas de servio que voc identificou anteriormente no processo de reestruturao
entre florestas usando o Assistente para Migrao de Conta de Servio. Este assistente marcou
as contas como contas de servio no banco de dados da Ferramenta de Migrao do Active
Directory (ADMT). Para obter mais informaes sobre o uso do ADMT para identificar contas de
servio que esto sendo executadas no contexto de uma conta de usurio, consulte Planejar a
transio de contas de servio, anteriormente neste guia.
Voc pode migrar contas de servio usando o snap-in do ADMT, a opo de linha de comando
do ADMT ou um script.
Use o Assistente para Migrao de Conta de Usurio, executando as etapas descritas na
tabela a seguir.

como controlador de domnio de origem,
selecionar.
223

Avanar.

Seleo de usurio, clique em Adicionar
para selecionar as contas do domnio de
origem que deseja migrar, clique em OK e,
Ou
Seleo de unidade organizacional Digite o nome da unidade organizacional

para o qual voc deseja mover as contas e
clique em OK.
Opes de usurio Marque a caixa de seleo Atualizar

direitos de usurio.
Verifique se nenhuma outra configurao
est selecionada, incluindo a opo
Migrar grupos de usurios associados.
Uma caixa de aviso ser exibida
informando que se os grupos globais aos
quais as contas de usurio pertencem no
forem migrados tambm, os usurios
perdero acesso aos recursos. Selecione
OK para continuar com a migrao.
Gerenciamento de conflitos Selecione No migrar o objeto de

domnio de destino.
Informaes de contas de servio Clique em Migrar todas as contas de

servio e atualizar o SCM para itens
marcados para incluso. O assistente
apresenta uma lista das contas de servio
que voc est migrando (se estiver
migrando contas que no sejam contas de
servio, elas sero migradas, mas no
224
Para migrar contas de servio usando a opo de linha de comando do ADMT
estaro listadas). Por padro, as contas

esto marcadas como Incluir. Para alterar
o status da conta, selecione-a e clique em
Ignorar/Incluir.
Clique em Avanar para migrar as contas.
Uma caixa de dilogo Progresso da migrao o informa o status da migrao. Durante

este perodo de tempo, o ADMT move as contas para o domnio de destino, gera uma
nova senha para as contas, atribui s contas o direito de fazer logon como um servio e
fornece essas novas informaes aos servios que utilizam as contas. Quando o status
estiver listado como Concludo na caixa de dilogo Progresso da migrao, voc
poder continuar com o restante da migrao entre florestas.
Antes da concluso da migrao das contas de servio, os usurios podem perceber
interrupes ao usarem os servios. Isto ocorre porque, at o servio ser reiniciado, ele
ainda usa a conta que foi migrada. Para quaisquer servios que usem credenciais
continuamente, como servios de pesquisa, reinicie manualmente os servios para
garantir resultados ideais.
ADMT USER /N "<nome_do_servidor1>" "<nome_do_servidor2>" /IF:YES /SD:"
<domnio_de_origem>" /TD:" <nome_de_destino>" /TO:" <UO_de_destino>" /MSA:YES
Onde <Nome_do_servidor1> e <Nome_do_servidor2> so os nomes dos servidores do

domnio de origem que executam contas de servio. Voc tambm pode incluir
parmetros em um arquivo de opo especificado na linha de comando, desta forma:
ADMT USER /N "<nome_do_servidor1>" "<nome_do_servidor2>" /O:
A tabela a seguir lista os parmetros necessrios para migrar contas de servio, a

sintaxe de linha de comando e os equivalentes do arquivo de opo.

destino>
Local da <UO /TO:"UO_de_destino" TargetOU="UO_de_destino"
225
Para migrar contas de servio utilizando um script
de Destino>
Migrar contas /MSA:YES MigrateServiceAccounts=YES

de servio
Atualizar /UUR:YES UpdateUserRights=YES

direitos de
usurio
Ignorar contas /CO:IGNORE (padro) ConflictOptions=IGNORE (padro)

conflitantes

destino. Verifique se as contas de servio existem na UO do domnio de destino.
Use a lista a seguir para preparar um script que incorpore comandos e opes do ADMT
para migrar contas de servio. Copie o script no Bloco de Notas e salve o arquivo com a
extenso de nome de arquivo .wsf na mesma pasta do arquivo AdmtConstants.vbs.
<Job id=" MigratingServiceAccountsWithinForest" >
Option Explicit
Dim objMigration
'
'
'
226
'
'
'
objUserMigration.MigrateServiceAccounts = True
'
'Migrar as contas de servio especificadas.
'
objUserMigration.Migrate admtData, _
Array("nome de conta de servio1", "nome de conta de servio2")
</Script>
</Job>

227
Importante
duas etapas:
228

Avanar.

Ou
229


Avanar.
Ou
Avanar.

Avanar.

230
Para migrar contas de servio gerenciado usando a opo de linha de comando do
ADMT

floresta.

de migrao.



231
comando



conta

participao de
grupos de contas
Observao
Voc
pode
migrar
SIDs para
contas de
servio
gerenciad
o
somente
entre
florestas.
Se voc
usar esse
parmetro
durante
uma
migrao
entre
florestas,
um erro
ser
retornado.

232
Migrar contas de usurio

Os domnios podem incluir um grande nmero de contas de usurio. Para que a migrao de
contas de usurio seja gerencivel, use uma tcnica chamada transio em fases, em que voc
insere suas contas de usurio em lotes menores e migra cada um deles individualmente. Voc
pode agrupar os usurios conforme a sua preferncia.
Quando voc migra contas de usurio, voc no pode migrar todas as propriedades de usurio.
Por exemplo, os dados que esto protegidos pela API de Proteo de Dados (DPAPI) no so
migrados. A DPAPI ajuda a proteger estes itens:
Credenciais de pgina da Web (por exemplo, senhas)
Credenciais de compartilhamento de arquivo
Chaves privadas associadas ao EFS, a extenses S/MIME e a outros certificados
Dados de programa protegidos por meio do uso da funo CryptProtectData()
Por esse motivo, importante testar migraes de usurio. Use sua conta de migrao de teste
para identificar as propriedades que no foram migradas e atualizar as configuraes de usurio
no domnio de destino conforme necessrio.
Se voc estiver usando objetos de Diretiva de Grupo para gerenciar a instalao de softwares,
lembre-se de que alguns arquivos do Windows Installer precisam de acesso origem original em
algumas operaes, como reparo e desinstalao. O administrador precisa reatribuir permisses
ao ponto de distribuio do software para fornecer acesso a qualquer conta.
Para manter o acesso de distribuio de software, execute estas tarefas:
1. Migre usurios utilizando a Ferramenta de Migrao do Active Directory (ADMT).
2. Execute o Assistente para Converso de Segurana no ponto de distribuio de software.
Migrando UOs e subrvores de UOs

Para copiar unidades organizacionais (UOs) e subrvores de UOs para seu domnio de destino,
voc pode usar a linha de comando ou a opo de script e substituir os parmetros apropriados.
necessrio especificar uma UO de origem e uma UO de destino, e a UO de destino precisa
existir. Todos os objetos na UO de origem e todas as UOs subordinadas so migradas para a UO
de destino, mas a UO de origem em si no migrada.
Se voc estiver usando a opo de linha de comando para migrar as suas contas, grupos ou
computadores, e tambm quiser migrar UOs, modifique a linha de comando de forma a usar a
233
Para migrar contas de usurio utilizando o snap-in do ADMT
opo /D. Em vez de usar a opo /N (/IncludeName), necessrio usar a opo /D

(/IncludeDomain) com RECURSE e MAINTAIN desta forma:
ADMT /D:RECURSE+MAINTAIN /O "<arquivo_de_opo.txt>"
Se voc estiver migrando contas, grupos ou computadores usando a opo de scripts e tambm
quiser migrar UOs, modifique seu script de forma a usar a opo admtDomain. Em vez de usar
a opo admtData ou admtFile, necessrio usar a opo admtDomain com admtRecurse e
admtMaintainHierarchy desta forma:
objUserMigration.Migrate admtDomain + admtRecurse + admtMaintainHierarchy
Migrar contas
Voc pode migrar cada lote de contas de usurios usando o snap-in Ferramenta de Migrao do
Active Directory (ADMT), a opo de linha de comando ADMT ou um script. Se voc estiver
migrando contas de usurio que tm a garantia do mecanismo de autenticao habilitada, use
um arquivo de incluso. No arquivo de incluso, especifique os nomes principais de usurrios
(UPNs) originais do domnio de origem como os UPNs de destino para manter o funcionamento
da garantia do mecanismo de autenticao Para obter mais informaes sobre como usar um
arquivo de incluso, consulte Usar um arquivo de incluso.
Use o Assistente para Migrao de Conta de Usurio, executando as etapas descritas na
tabela a seguir.

234

selecionar.
Avanar.

Avanar.
Ou
Seleo de Unidade Organizacional Verifique se o ADMT lista a unidade

organizacional (UO) de destino correta. Se
a lista no estiver correta, digite a UO
correta ou clique em Procurar.
clique em OK.

perfis mveis.
direitos de usurio.
exibida uma caixa de aviso informando
que se os grupos globais aos quais as
contas de usurio pertencem no forem
migrados tambm, os usurios perdero
acesso aos recursos. Clique em OK para
235
Para migrar contas de usurio utilizando a opo de linha de comando do ADMT
continuar com a migrao.

domnio de destino.
Depois que voc clicar em Concluir no Assistente para Migrao de Conta de Usurio, a
caixa de dilogo Progresso da Migrao ser exibida. Quando o status mudar para
Concludo, exiba o log da migrao para verificar se ocorreram erros no processo de
migrao. Na caixa de dilogo Progresso da Migrao, clique em Fechar.
As contas de usurio migradas s podero fazer logon no domnio de destino e sero
solicitadas a alterar a senha na primeira vez que fizerem logon nesse domnio.
Observao
Ao comear uma migrao de usurio com a migrao sIDHistory na linha de
destino.
2. Em uma linha de comando, digite o comando ADMT User com os parmetros apropriados,
por exemplo:
ADMT USER /N "<nome_do_usurio1>" "<nome_do_usurio2>" /IF:YES /SD:"
/TRP:YES /UUR:YES

ADMT USER /N "<nome_do_usurio1>" "<nome_do_usurio2>" /O "<arquivo_de_opo>.txt"
A tabela a seguir lista os parmetros necessrios para migrar contas de usurio, os

parmetros de linha de comando e os equivalentes do arquivo de opo.
Dentro da floresta /IF:YES IntraForest=YES

origem>

Origem>
236
Para migrar contas de usurio utilizando um script

destino>

Destino>

de conflitos

mvel

de usurio

destino. Verifique se os usurios existem na UO do domnio de destino.
Observao
Ao comear uma migrao de usurio com a migrao sIDHistory por um script,
voc dever executar o script em um controlador do domnio de destino.
ADMT para migrar contas de usurio dentro de uma floresta. Copie o script no Bloco de
Notas e salve o arquivo com a extenso de nome de arquivo .wsf na mesma pasta do
arquivo AdmtConstants.vbs.
<Job id=" MigratingUserAccountsWithinForest" >
Option Explicit
Dim objMigration
'
237
'
'
'
'
'
'
'

usurio2" )
</Script>
238
Cuidado
</Job>Para converter perfis de usurio local usando o snap-in da ADMT
Converter perfis de usurios locais

Converta os perfis de usurios locais depois de migrar as contas de usurio. Para minimizar
interrupes nos usurios, converta os perfis de usurio local imediatamente aps migrar um lote
de usurios. Caso seu domnio de origem inclua apenas uma pequeno nmero de clientes pr-
Active Directory, migre-os como um grupo e, em seguida, converta os perfis de usurio antes de
migrar o prximo lote de usurios.
Em geral, nenhuma ao necessria para converter um perfil local em clientes entre domnios
da mesma floresta porque o GUID do usurio permanece o mesmo. O perfil local pode usar o
mapeamento SID-para-GUID que ele preserva no Registro para reatribuir o perfil do usurio e
reassoci-lo ao novo identificador de segurana (SID).
Se voc estiver migrando a conta de usurio para um domnio dentro da floresta e o caminho
para o perfil local for diferente, o perfil de usurio ser modificado e a nova pasta do perfil ser
criada no servidor com as listas de controle de acesso (ACLs) corretas. O administrador precisa
verificar se o usurio tem acesso pasta do perfil.
Voc pode converter os perfis de usurio local usando o snap-in da Ferramenta de Migrao do
Active Directory (ADMT), a opo de linha de comando do ADMT ou um script.
Verifique se a converso do perfil do usurio realizada com xito para todos os
usurios antes de permitir que o usurio faa logon. Se a converso de perfil falhar para
um usurio, ele no poder efetuar logon no domnio de destino. Nesse caso, reverta
manualmente a conta do usurio desabilitando-a no domnio de destino e habilitando-a
no domnio de origem.
2. No snap-in da Ferramenta de Migrao do Active Directory (ADMT), clique em Ao e
em Assistente para Converso de Segurana.
3. Conclua o Assistente para Converso de Segurana executando as informaes na
tabela a seguir.

anteriormente.

239
Para converter perfis de usurio local usando a opo de linha de comando da ADMT

selecionar.
Avanar.

computadores do domnio de origem com
os perfis a serem migrados, clique em OK
Ou
240
Para a
converter
conta de perfis de usurio
migrao da conta local usando um script
do ADMT.
2. Na linha de comando, digite o comando ADMT Security com os comandos apropriados e
pressione ENTER.
<domnio_de_origem>" /TD:" <domnio_de_destino>" /TOT:REPLACE /TUP:YES

ADMT SECURITY /N "<nome_de_computador1>" "<nome_de_computador2>" /O
"arquivo_de_opo.txt "
A tabela a seguir lista os parmetros necessrios para converter perfis de usurio local,
os parmetros de linha de comando e os equivalentes do arquivo de opo.
Dentro da /IF:YES IntraForest=YES

floresta

origem>

destino>
<Domnio de /TOT:REPLACE TranslateOption=REPLACE

destino>

segurana de
perfil de usurio
local
3. Verifique se h erros nos resultados exibidos no log de migrao.
ADMT para converter perfis de usurio local. Copie o script no Bloco de Notas e salve o
AdmtConstants.vbs.
<Job id=" TranslatingLocalProfilesWithinForest" >
Option Explicit
241
Dim objMigration
'
'Crie a instncia de objetos de migrao da ADMT.
'
'
'
'
'
'
'
242
Observao
</Script>
</Job>
Migrar estaes de trabalho e servidores

membros
Migre estaes de trabalho e servidores membros do domnio de origem para o domnio de
destino. Quando voc migra computadores, as alteraes no entram em vigor at que o
computador seja reiniciado. Reinicie os computadores que esto sendo migrados o quanto antes
para concluir o processo de migrao.
Reinicie as estaes de trabalho e os servidores membros imediatamente depois de
inclu-los no domnio de destino, selecionando um nmero baixo para o parmetro
RestartDelay. Os recursos que no so reiniciados aps a migrao ficam em um estado
indeterminado.
Firewalls, como o Firewall do Windows no Windows XP Service Pack 2 (SP 2), podem impedir
que a migrao de conta de computador com a Ferramenta de Migrao do Active Directory
(ADMT) seja concluda. Teste a migrao do seu computador por completo em um ambiente de
laboratrio para descobrir problemas potenciais antes de realizar a migrao no ambiente de
produo. Para obter mais informaes sobre como configurar o Firewall do Windows, consulte
'Alguns programas parecem parar de funcionar depois de instalar o Windows XP Service Pack 2'
(http://go.microsoft.com/fwlink/?LinkId=76705) (em ingls) e 'Viso geral do servio e requisitos
de porta de rede para o Windows Server System' (http://go.microsoft.com/fwlink/?LinkId=58432)
(em ingls).
As contas de computador so tratadas de forma diferente das contas de usurio e de grupo
durante migraes entre domnios em uma floresta do Active Directory. Onde as contas de
usurios e de grupos no domnio de origem so excludas durante a migrao interna na floresta,
as contas de computadores so deixadas habilitadas no domnio de origem e uma nova conta de
computador criada no domnio de destino.
Isso permite que voc reverta a migrao do computador, caso necessrio. Depois que a
migrao for concluda e seus testes verificarem que o computador est funcionando como
esperado, voc poder excluir com segurana a conta de computador no domnio de origem.
gerenciado migrada.
243
Para migrar estaes de trabalho e servidores membros usando o snap-in do ADMT
Voc pode migrar estaes de trabalho e servidores membros usando o snap-in do ADMT, a
1. No computador no domnio de destino onde o ADMT est instalado, faa logon usando
uma conta de usurio associada ao grupo de migrao de recursos do ADMT.
2. Use o Assistente para Migrao de Conta de Computador executando as etapas

selecionar.
Avanar.

244
Ou

tiver uma conta de servio gerenciado no computador migrado no domnio de

clique na unidade organizacional (UO) do
domnio de destino para a qual os
computadores esto sendo migrados e,
em seguida, clique em OK.

locais.
usurio.
Opes de Converso de Segurana Clique em Substituir.

Quando voc executa uma migrao entre
florestas, o ADMT migra o histrico de
identificador de segurana (SID) e exclui o
objeto de origem. Portanto, quando voc
realiza uma migrao dentro da floresta, o
ADMT s permite a converso de
segurana no modo de substituio.

computadores sejam reiniciados aps a
concluso do assistente, aceite o valor
Excluso da Propriedade do Objeto Para excluir determinadas propriedades de

objeto da migrao, marque a caixa de
clique em Avanar.
245
Para migrar estaes de trabalho e servidores membros usando a opo de linha de
comando do ADMT

domnio de destino.


clique em Exibir log para visualizar a lista de computadores, o status de concluso e o
caminho para o arquivo de log de cada computador. Se um erro for reportado em um
computador, voc precisar verificar se h problemas com grupos locais no arquivo de
log desse computador. O arquivo de log para cada computador nomeado
MigrationTaskID.log e fica armazenado na pasta Windows\ADMT\Logs\Agents.
1. No computador no domnio de destino onde o ADMT est instalado, faa logon usando
uma conta de usurio associada ao grupo de migrao de recursos do ADMT.
pressione ENTER.
ADMT COMPUTER /N "<nome_do_computador1>" "<nome_do_computador2>" /IF:YES
"nome da conta de servio gerenciado 1 nome da conta de servio gerenciado 2]
[/UALLMSA:Yes] /RDL:1

A tabela a seguir lista os parmetros necessrios para a migrao de estaes de

trabalho e de servidores membros, os parmetros de linha de comando e os
equivalentes do arquivo de opo.

comando
Dentro da floresta /IF:YES IntraForest=YES
<Domnio de origem> / SourceDomain="domnio_de_origem"

SD:"domnio_de_origem"
246
comando
"
Atualize contas de /M:nome da conta de UpdateMSAName= nome da conta de

servio gerenciado servio gerenciado servio gerenciado
especficas
Observao
O
parmetro
/M tem
prioridade
sobre o
parmetro
/UALLMS
A.

contas de servio es
gerenciado
Atualizar contas de /M nome 1 nome 2 UPDATEMSANAME=nome 1 nome 2

servio gerenciado
especficas
Observao
O
parmetro
/M tem
prioridade
sobre o
parmetro
/UALLMS
A.

Destino>

reinicializao
(minutos)
Gerenciamento de /CO:IGNORE (padro) ConflictOptions=IGNORE

conflitos
247
Para migrar estaes de trabalho e servidores membros usando um script

comando
Opes de converso /TOT:ADD TranslationOption=YES

de segurana

usurio

locais

destino. Verifique se as estaes de trabalho e os servidores membros encontram-se na
UO de domnio de destino.
ADMT para migrar estaes de trabalho e servidores membros dentro de uma floresta.
Copie o script no Bloco de Notas e salve o arquivo com a extenso de nome de
arquivo .wsf na mesma pasta do arquivo AdmtConstants.vbs.
<Job id=" MigratingWorkstationsMemberServersWithinForest" >
Option Explicit
Dim objMigration
'
'
248
'
'
'
'
'
'
Array("nome do computador 1" ,"nome do computador 2")
</Script>
</Job>
249
Para migrar grupos locais de domnio usando o snap-in do ADMT
Migrar grupos locais de domnio

Migre os grupos locais de domnio existentes no domnio do Active Directory. Voc pode migrar
grupos locais de domnio usando o snap-in da Ferramenta de Migrao do Active Directory
(ADMT), a opo de linha de comando do ADMT ou um script.
Use o Assistente para Migrao de Conta de Grupo, executando as etapas descritas na
tabela a seguir.

selecionar.
Avanar.
250
Para migrar grupos locais de domnio usando a opo de linha de comando do ADMT

origem a serem migrados, clique em OK e,
Ou

Em Procurar Continer, localize a UO no
domnio de destino para a qual os grupos
locais de domnio esto migrando e clique
em OK.

Conflitos de nomes Clique em Ignorar contas conflitantes e

no migrar.
2. Em uma linha de comando, digite o comando ADMT Group com os parmetros apropriados
e pressione ENTER:

A tabela a seguir lista os parmetros necessrios para migrar grupos locais de domnio,
os parmetros de linha de comando e os equivalentes do arquivo de opo. Para obter
251
Para uma
migrar grupos
lista locais
completa de domniodisponveis,
de parmetros usando umconsulte
script a Ajuda do ADMT v3.1.

destino>

Destino>

de conflitos

destino. Verifique se os grupos locais de domnio existem na UO do domnio de destino.
Use um script que incorpore os comandos e opes do ADMT para a migrao de

grupos locais de domnio. Voc pode usar o mesmo script usado para migrar grupos
universais. Para obter mais informaes sobre como migrar grupos universais, consulte
Migrar grupos universais, anteriormente neste guia.
Exemplo: Reestruturando os Domnios do

Active Directory
A Contoso Corporation deseja migra os objetos do domnio frica para o domnio EMEA. Para
minimizar o impacto sobre os usurios e reduzir o tempo que o trfego de rede ser afetado, a
Contoso decidiu concluir a migrao dos objetos do domnio no menor tempo possvel. Durante a
migrao, todos os grupos globais que so migrados se transformam em grupos universais at
que cada usurio pertencente ao grupo seja migrado para o domnio de destino. Como a floresta
inclui domnios sendo executados no nvel funcional do Windows Server 2003, somente as
alteraes de associaes incrementais nos grupos universais sero reaplicadas ao catlogo
global.
Os administradores da Contoso instalaram um amplo laboratrio de testes para testar o processo
de migrao antes de prosseguir. Eles determinaram atravs de testes de procedimentos que
poderiam concluir o processo de migrao em duas semanas. Os grupos globais e universais
sero migrados na segunda e na tera-feira da primeira semana. As contas de servio sero
migradas e os servios atualizados na quarta-feira. Quinta, sexta e sbado esto reservados
252
para a migrao de contas de usurio. Os servidores sero migrados no domingo da primeira
semana. A segunda semana est reservada para a migrao dos servidores e das estaes de
trabalho. Os grupos de domnio local sero migrados no final da segunda semana.
Executando tarefas ps-migrao

Depois de concluir todas as tarefas de migrao necessrias para reestruturar seus domnios do
Active Directory em uma floresta, necessrio verificar se a migrao ocorreu conforme
planejado e executar algumas tarefas de migrao ps-migrao. A ilustrao a seguir mostra o
processo para concluir as tarefas ps-migrao.
Examinar logs da migrao procura de

erros
A Ferramenta de Migrao do Active Directory (ADMT) mantm um log detalhado de todas as
aes que voc executa ao migrar recursos entre domnios do Active Directory. Erros que
ocorrem durante o processo de migrao so registrados no log de migrao, apesar de no
produzirem uma mensagem de aviso no ADMT. Examinar o log de migrao depois de uma
migrao uma boa maneira de verificar se todas as tarefas foram concludas com xito. Devido
253
Observao
importncia de concluir as etapas da migrao em uma ordem especfica, melhor verificar o

log de migrao depois de cada etapa, para que voc possa descobrir quaisquer falhas a tempo
de corrigi-las.
Arquivos de log so criados na pasta Windows\ADMT\Logs no computador em que o
ADMT est instalado.
Acessando arquivos de log do ADMT

O ADMT registra em log todas as tarefas de migrao e armazena os logs no banco de dados
do ADMT. Os logs das ltimas 20 tarefas de migrao esto armazenados no computador local.
Voc pode exibir informaes de log armazenadas no banco de dados do ADMT por meio do
snap-in do ADMT ou voc pode usar o comando admt task para recuperar e armazenar essas
informaes em um local especfico.
Ao executar migraes entre florestas, voc pode optar por registrar em log os atributos de cada
objeto de usurio, grupo e computador que migrado. Isto chamado registro detalhado e voc
o faz por meio do comando admt config logging.
Para obter mais informaes e exemplos de comandos relacionados ao acesso a arquivos de log
do ADMT, pesquise "admt config logging" ou "admt task" na Ajuda do ADMT.
Verificar os tipos de grupos

A Ferramenta de Migrao do Active Directory (ADMT) altera grupos globais para grupos
universais quando voc os migra do domnio de origem para o domnio de destino. A alterao
ocorre automaticamente porque grupos globais s podem conter membros de seu prprio
domnio. Portanto, eles no podem continuar a ser grupos globais quando so migrados para
outro domnio at que os membros do grupo sejam migrados. O ADMT altera os grupos
universais de volta para grupos globais quando o ltimo membro do grupo migrado para o
domnio de destino. Como grupos universais replicam sua participao para o catlogo global,
importante verificar se os grupos universais foram corretamente alterados de volta para grupos
globais.
Use o snap-in Usurios e computadores do Active Directory para verificar se os grupos
universais foram migrados com xito. Caso tenha alterado grupos locais de domnio para grupos
universais manualmente, verifique se os alternou de volta para grupos locais de domnio quando
todos os recursos tiverem sido migrados.
254
Importante
Para converter a segurana em servidores membros usando o snap-in da ADMT
Fazer a converso de segurana em

servidores membros
Converta a segurana em servidores membros para limpar as listas de controle de acesso
(ACLs) de recursos. Depois que os objetos forem migrados para o domnio de destino, os
recursos contero as entradas de ACL dos objetos de domnio da origem. Embora o histrico do
SID (identificador de segurana) fornea acesso a recursos durante a migrao, a Lista de
Controle de Acesso (ACL) deve ser limpa aps a migrao para que ela contenha o novo SID
primrio dos grupos migrados. Use o Assistente para converso de segurana no ADMT para
substituir os SIDs de domnio de origem pelos SIDs de domnio de destino.
Se voc migrou contas de servio gerenciado entre domnios na mesma floresta,
execute a converso de segurana nos servidores membros no domnio de origem que
tenham recursos que concedem permisses para as contas de servio gerenciado. As
contas de servio gerenciado que so migradas entre domnios na mesma floresta so
copiadas. Uma nova conta criada no domnio de destino e as propriedades da conta
(excluindo o SID) so copiadas do domnio de origem. Portanto, voc precisa executar a
converso de segurana. Para ober mais informaes, consulte Migrando contas de
servio gerenciado.
Use o Assistente para Converso de Segurana executando as etapas descritas na
tabela a seguir.

anteriormente.
Se voc planeja usar o arquivo de
mapeamento do SID, clique em Outros
objetos especificados em um arquivo, e
em seguida fornea o localizao do
arquivo de mapeamento do SID que voc
criou.

255
Para converter a segurana em servidores membros usando a opo de linha de
comando da ADMT

selecionar.
Avanar.

Avanar.
- ou -
Converter Objetos Clique em Arquivos e pastas,

Compartilhamentos, Impressoras,
Direitos do usurio e Registro.
256
Para a
converter
conta de amigrao
segurana em servidores
da conta do ADMT. membros usando um script
ADMT Security /N "<nome_do_computador1>" "<nome_do_computador2>" /SD:"
<domnio_de_origem>" /TD:" <domnio_de_destino>"
Onde <nome_do_computador1> e <nome_do_computador2> so os nomes do computadores

para os quais voc deseja converter a segurana.
ADMT Security /N "<nome_do_computador1>" "<nome_do_computador2>" /O:"
A tabela a seguir lista os parmetros comuns usados para fazer a converso de

segurana em servidores membros, juntamente com o parmetro de linha de comando e
os equivalentes de arquivo de opo.

origem>

destino>
ADMT para fazer a converso de segurana em servidores membros. Copie o script no
<Job id=" TranslatingSecurityOnMemberServersWithinForest" >
Option Explicit
Dim objMigration
'
'
257
'
'
'
'
'
'
258
</Script>
</Job>
Converter segurana usando um arquivo de

mapeamento de SID
Se voc precisar converter a segurana de forma que as permisses concedidas conta ou
grupo de origem sejam agora concedidas conta ou grupo de destino, use um arquivo de
mapeamento de identificador de segurana (SID) para associar as duas contas. O arquivo de
mapeamento SID um arquivo CSV formatado que lista pares de contas, no formato de nome
de conta do Windows NT (domnio/nome) ou no formato SID. A conta esquerda a conta de
origem e a conta direita a conta de destino. A converso de segurana da Ferramenta de
Migrao do Active Directory (ADMT) converte a segurana da conta de origem para a conta de
destino.
Voc pode fazer referncia ao arquivo de mapeamento SID no Assistente para Converso de
Segurana ou usando a linha de comando. A opo /SMF para que a linha de comando
completa seja similar a esta:
ADMT SECURITY /N "<nome_do_computador>" /SMF:"<caminho_arquivo_de_mapeamento_de_sid>"
Descomissionar o domnio de origem

Depois de migrar todos os objetos do domnio de origem para o domnio de destino, incluindo
todos os computadores e servidores membros, somente os controladores de domnio
permanecero no domnio de origem. Para descomissionar o domnio de origem, execute o
Assistente para instalao do Active Directory para remover o Active Directory ou os Servios de
Domnio Active Directory (AD DS) dos controladores de domnio do domnio de origem.
Migre os controladores de domnio do domnio de origem para o domnio de destino como
servidores membros. Se necessrio, dependendo da nova funo planejada para os servidores
do domnio de destino, use o Assistente para instalao do Active Directory para instalar o Active
Directory ou o AD DS nos servidores membros para retorn-los ao status de controlador de
domnio no domnio de destino. Execute converso de segurana em controladores de domnio,
caso recursos residam no computador que ser usado como o novo controlador de domnio.
259
Exemplo: Executando tarefas ps-migrao
A equipe de ps-migrao da empresa Contoso inicia as tarefas de ps-migrao durante a
primeira semana da migrao. Os membros da equipe examinam o log de migrao aps a
concluso do primeiro grupo de migraes no primeiro dia. Eles analisam o log de migrao e
definem a ao necessria para migrar contas nas quais encontrem erros. Dessa forma, a
equipe de migrao pode continuar a migrao sem interrupo.
Durante a segunda semana do processo de migrao, a equipe de implantao verifica se os
grupos globais retornaram do status de grupo universal ao de grupo global aps a concluso da
migrao de usurios. Aps a migrao dos servidores membros, a equipe de implantao
executa o Assistente para converso de segurana para remover os identificadores de
segurana (SIDs) do domnio de origem das ACLs (listas de controle de acesso) dos servidores
membros. Finalmente, os membros da equipe de implantao descomissionam o domnio frica
no fim da segunda semana removendo o Active Directory ou o AD DS dos controladores de
domnio do domnio frica. Eles, ento, migram os controladores de domnio para o domnio
EMEA como servidores membros.
Apndice: Procedimentos Avanados

Veja a seguir procedimentos avanados que voc pode usar para executar diversas tarefas que
so teis ao reestruturar domnios usando a Ferramenta de Migrao do Active Directory
(ADMT).
Configurar um controlador de domnio preferencial
Renomear objetos durante a migrao
Usar um arquivo de incluso
Usar um arquivo de opo
Configurar um controlador de domnio

preferencial
A Ferramenta de Migrao do Active Directory (ADMT) permite que voc opte por selecionar o
controlador de domnio de origem e de destino a ser usado para uma migrao em vez de deixar
que o localizador de controladores de domnio os selecione.
A pgina Seleo de Domnio, que todos os assistentes do ADMT contm, agora fornece uma
forma de selecionar controladores de domnio de origem e de destino explcitos. Somente um
controle de domnio gravvel pode ser selecionado como controlador de domnio preferido.
260
Observao
Para configurar um controlador de domnio preferencial no domnio de destino
origem
Voc tambm pode selecionar Qualquer controlador de domnio na lista suspensa. Se voc
especificar um controlador de domnio, esse controlador de domnio ser usado quando
disponvel. Se voc selecionar Qualquer controlador de domnio, o ADMT procurar um
controlador de domnio preferencial. Se um controlador de domnio preferencial no tiver sido
configurado, o ADMT usar o Localizador de controladores de domnio para localizar um
controlador de domnio no domnio especificado.
Voc pode tambm especificar um controlador de domnio preferido usando a opo de linha de
comando admt config. Voc deve configurar os controladores de domnio de origem e de
destino de forma independente. Depois que voc configurar um controlador de domnio
preferencial, o ADMT determina sua validade e disponibilidade e usa-o automaticamente sempre
que voc executar o ADMT.
Quando voc executa uma migrao dentro da floresta, o controlador de domnio que
possui a funo de mestre de operaes de ID relativa (RID) (tambm conhecido como
mestre de operaes nico flexvel ou FSMO) sempre usado por padro. Se voc
selecionar um controlador de domnio diferente do mestre RID como o controlador de
domnio preferencial, o ADMT substituir sua seleo e sempre usar o mestre RID.
Em um prompt de comando, digite o comando a seguir e pressione ENTER:

admt config setdomaincontroller /Domain:<NomeDoDomnio>
/sdc:<ControladorDoDomnioDeOrigem>
Valor Descrio
NomeDoDomnio Especifica o nome de um domnio do Active

Directory.
ControladorDoDomnioDeOrigem Especifica o nome do computador de um

controlador de domnio no domnio de origem.

admt config setdomaincontroller /Domain:<NomeDoDomnio>
/tdc:<ControladorDoDomnioDeDestino>
Valor Descrio

Directory.
ControladorDoDomnioDeDestino Especifica o nome do computador de um

controlador de domnio no domnio de destino.
261
Para renomear
limparcontroladores
exibir controladores
objeto usando
de
dedomnio
domnio
um arquivo
preferenciais
preferenciais
de incluso
configurados
em m domnio especfico
Voc tambm pode limpar o controlador de domnio preferencial configurado no domnio de

origem ou de destino.

admt config cleardomaincontrollers /Domain:<NomeDoDomnio>
Valor Descrio

Directory.
Voc tambm pode exibir os controladores de domnio preferenciais configurados no domnio de

origem ou de destino.

admt config getdomaincontrollers
Renomear objetos durante a migrao

Na Ferramenta de migrao do Active Directory (ADMT), voc pode usar um arquivo de incluso
para renomear objetos do domnio de origem de forma que recebam um novo nome aps a
migrao para o domnio de destino.
Para obter mais informaes sobre como usar um arquivo de incluso durante uma migrao,
consulte Usar um arquivo de incluso.
Use o formato a seguir em um arquivo de incluso para renomear objetos de computador, de
usurio ou de grupo durante uma migrao.
Use SourceName, TargetRDN, TargetSAM e TargetUPN como cabealhos de colunas

na parte superior do arquivo de incluso. SourceName o nome da conta de origem e
deve ser listado como o cabealho da primeira coluna.
Observao
Se o nome UPN de destino de um usurio exigir que voc especifique um nome
de domnio diferente do nome UPN do domnio de destino, use esse formato
para garantir que o nome de usurio seja preservado e no alterado pelo ADMT
durante a migrao.
262
Importante
necessrio especificar o nome da conta como um nome de usurio, nome diferenciado
relativo ou nome cannico. Se voc especificar o nome de conta como um nome
diferenciado relativo, tambm ser necessrio especificar a unidade organizacional (UO)
de origem.
Os cabealhos de coluna TargetRDN, TargetSAM e TargetUPN so opcionais e voc
pode list-los em qualquer ordem.
Observao
O ttulo de coluna TargetUPN s relevante durante as migraes de contas de
usurio porque as contas de grupo e de computador no possuem um nome
UPN.
Estes itens so exemplos de arquivos de incluso vlidos em que a opo de renomeao

usada:
SourceName,TargetSam
abc,def
Essa entrada de arquivo de incluso altera o nome de conta de TargetSam do usurio "abc"
para "def". O TargetRDN e o TargetUPN, que voc no especificou no arquivo de incluso, no
so alterados depois da migrao.
SourceName,TargetRDN,TargetUPN
abc,CN=def,def@contoso.com
Essa entrada de arquivo de incluso altera o TargetRDN do usurio abc para CN=def e o
TargetUPN para def@contoso.com. O TargetSAM do usurio abc no alterado como resultado
da migrao.
necessrio especificar o CN= antes de usar um valor de RDN.
Usar um arquivo de incluso

Quando voc migra um nmero grande de usurios, grupos ou computadores, mais eficiente
usar um arquivo de incluso. Um arquivo de incluso um arquivo de texto no qual voc lista os
objetos de usurio, grupo e computador que deseja migrar, com cada objeto em uma linha
separada. Voc pode listar usurios, grupos e computadores juntos em um arquivo ou ento criar
um arquivo separado para cada tipo de objeto.
Depois de criar o arquivo (ou arquivos) de incluso, especifique o nome do arquivo durante a
migrao. A Ferramenta de Migrao do Active Directory (ADMT) acessa o arquivo para localizar
as informaes apropriadas.
Para especificar um arquivo de incluso

Usando um assistente do ADMT
263
Para especificar um arquivo de incluso usando
de um assistente
a linha dedo
comando
ADMT
Usando a linha de comando
Na:
pgina Opo de Seleo do Computador do Assistente para Migrao de
Computadores
pgina Opo de Seleo de Usurio do Assistente para Migrao de Conta de
Usurio
pgina Opo de Seleo de Grupo do Assistente para Migrao de Conta de
Grupo
Clique em Ler objetos em um arquivo de incluso. Quando o prompt aparecer,
especifique o local do arquivo de incluso.

admt computer /sd:<DomnioDeOrigem> /td:<DomnioDeDestino>
/F:<NomeDoArquivoDeIncluso>
Observao
Para obter a sintaxe de linha de comando referente migrao de usurios e
grupos, procure "admt user" e "admt group" na Ajuda do ADMT verso 3.1 (v3.1).
As informaes a seguir descrevem os campos de um arquivo de incluso e fornecem exemplos

de cada campo:
Campo SourceName
O campo SourceName especifica o nome do objeto de origem. Voc pode especificar um nome
de conta ou um nome diferenciado relativo. Se voc especificar apenas nomes de origem, ser
opcional definir um cabealho na primeira linha do arquivo.
O exemplo a seguir inclui uma linha de cabealho indicando o campo NomeDeOrigem e um
nome de objeto de origem que especificado em vrios formatos. A segunda linha especifica um
nome de conta. A terceira linha especifica o nome de uma conta no formato de nome de conta do
Windows NT 4.0. A quarta linha especifica um nome distinto relativo.
SourceName
name
domnio\nome
CN=name
Campo TargetName
Voc pode usar o campo NomeDeDestino para especificar um nome de base a ser usado para
gerar um nome distinto relativo, um nome de conta de destino do Gerente de Contas de
Segurana (SAM) e um nome UPN de destino. O campo NomeDeDestino no pode ser
combinado com outros campos de nome de destino discutidos abaixo.
264
Observao Observao Observao
O UPN de destino gerado apenas para objetos de usurio e apenas um prefixo UPN
gerado. Um sufixo de nome UPN anexado usando um algoritmo que depende se o
sufixo de nome UPN est definido para a unidade organizacional (UO) de destino ou
para a floresta de destino. Se o objeto for um computador, a conta de SAM de destino
incluir um sufixo "$".
Dado o exemplo a seguir, o nome distinto relativo de destino, o nome de conta de SAM de
destino e o nome UPN de destino gerado so "CN=nome_novo", "nome_novo" e "nome_novo",
respectivamente.
SourceName,TargetName
oldname, newname
Campos RDNDeDestino, SAMDeDestino e UPNDeDestino
Voc pode usar os campos TargetRDN, TargetSAM e TargetUPN para especificar os diferentes
nomes de destino independentemente entre si. Voc pode especificar qualquer combinao
desses campos em qualquer ordem. O RDNDeDestino especifica o nome distinto relativo do
objeto.
O SAMDeDestino especifica o nome da conta de SAM de destino do objeto. Observe que para
computadores, o nome precisa incluir o sufixo "$" para que seja um nome de conta de SAM
vlido para um computador.
O parmetro UPNDeDestino especifica o nome UPN do objeto. Voc pode especificar apenas o
prefixo UPN ou um nome UPN completo (prefixo@sufixo). Se o nome que voc especificar
contiver os caracteres " "ou ",", ser necessrio incluir o nome entre aspas duplas ("). Alm
disso, um caractere "," precisa ser precedido de um caractere de escape "\". Caso contrrio, a
operao ir falhar e o ADMT registr um erro de sintaxe invlida no arquivo de log.
SourceName,TargetRDN
oldname, CN=newname
SourceName,TargetRDN,TargetSAM
oldname, "CN=New RDN", newsamname
SourceName,TargetRDN,TargetSAM,TargetUPN
nome_antigo, "CN=ltimo, primeiro", nome_de_sam_novo, nome_de_upn_novo
SourceName,TargetSAM,TargetUPN,TargetRDN
Use este formato quando estiver renomeando objetos de usurio, por exemplo, para
acomodar a especificao de um domnio de destino de um domnio diferente do nome
UPN de destino. Para obter mais informaes, consulte o Renomear objetos durante a
migrao.
nome_antigo, nome_de_sam_novo, nome_de_upn_novo@domnio_de_destino.com,
"CN=Nome Novo"
Voc tambm pode renomear objetos durante a migrao usando um arquivo de
incluso. Para obter mais informaes sobre como usar um arquivo de incluso, consulte
Renomear objetos durante a migrao.
265
Usar um arquivo de opo
Voc pode usar os arquivos de opo para especificar um ou mais parmetros para tarefas de
migrao. Um arquivo de opo elimina a necessidade de fornecer parmetros cada vez que
voc executa uma tarefa usando a linha de comando.
Voc tem duas opes para criar um arquivo de opo. Voc pode:
Criar um nico arquivo de opo que contm sees para cada tipo de tarefa de migrao.
Criar arquivos de opo separados com configuraes exclusivas para cada tipo de tarefa de
migrao.
A seo Migrao no arquivo de opo especifica os parmetros que se aplicam a todas as
tarefas. As sees subsequentes especificam os parmetros especficos das tarefas.
Use o arquivo de opo a seguir como uma referncia para personalizar o arquivo de opo para
a sua migrao.
[Migration]
IntraForest=No
SourceDomain=NomeDoDomnioDeOrigem
SourceOu=CaminhoDaUODeOrigem
TargetDomain=NomeDoDomnioDeDestino
TargetOu=CaminhoDaUODeDestino
PasswordOption=Complex
PasswordServer=""
PasswordFile=""
ConflictOptions=Ignore
UserPropertiesToExclude=""
InetOrgPersonPropertiesToExclude=""
GroupPropertiesToExclude=""
ComputerPropertiesToExclude=""
[User]
DisableOption=EnableTarget
SourceExpiration=None
MigrateSIDs=Yes
TranslateRoamingProfile=No
UpdateUserRights=No
MigrateGroups=No
UpdatePreviouslyMigratedObjects=No
FixGroupMembership=Yes
266
Observao
MigrateServiceAccounts=No
UpdateGroupRights=No
[Group]
MigrateSIDs=Yes
UpdatePreviouslyMigratedObjects=No
FixGroupMembership=Yes
UpdateGroupRights=No
MigrateMembers=No
DisableOption=EnableTarget
SourceExpiration=None
TranslateRoamingProfile=No
MigrateServiceAccounts=No
[Security]
TranslationOption=Add
TranslateFilesAndFolders=No
TranslateLocalGroups=No
TranslatePrinters=No
TranslateRegistry=No
TranslateShares=No
TranslateUserProfiles=No
TranslateUserRights=No
SidMappingFile=ArquivoDeMapeamentoSID
As opes podem ser comentadas adicionando um ponto e vrgula no incio de uma linha.
Quando um parmetro no for especificado, a configurao padro ser usada.
Soluo de problemas da ADMT

Para solucionar problemas no processo de migrao, siga estas recomendaes:
Solucionando problemas de instalao do ADMT
Solucionando problemas de migrao de usurios
Solucionando problemas de migrao de grupos
Solucionando problemas de migrao de conta de servio
Solucionando problemas de migrao de conta de servio gerenciado
Solucionando problemas de migrao de computadores
267
Solucionando problemas de migrao de senhas
Solucionando problemas de converso de segurana
Solucionando problemas de migrao entre florestas
Solucionando problemas do arquivo de log da ADMT
Solucionando problemas de linha de comando do ADMT
Solucionando problemas de operaes de agente
Solucionando problemas de instalao do

ADMT
Este tpico descreve problemas conhecidos relacionados instalao da Ferramenta de
Migrao do Active Directory.
O ADMT falha ao iniciar aps a instalao bem sucedida e a verso do banco de dados a
0.0
Em situaes onde a instalao do ADMT pode localizar a instncia do banco de dados do SQL
Server Express Edition, mas incapaz de criar o banco de dados do ADMT por causa do acesso
negado ou de qualquer outra razo, a instalao do ADMT pode ser bem sucedida mas a pgina
Concluir indica a Verso do banco de dados: 0.0. A verso do banco de dados tambm pode
ser obtida do arquivo de log em %dirwin%\ADMT\Logs\admtsetup.log.
Nessa situao, voc pode ver o erro a seguir quando tenta iniciar o ADMT:
No possvel verificar se h aes com falha Falha de logon de usurio. O usurio no
est associado a uma conexo confivel do SQL Server.
Para resolver este erro:
1. Desinstale o ADMT.
2. Certifique-se de que o usurio tenha acesso de gravao na instncia especificada e possa
criar bancos de dados.
Ao grupo de contas de servio do SQL Server Express Edition que criado durante a
instalao do SQL Server so concedidas permissses para a pasta do banco de dados do
ADMT. O usurio que estiver instalando o ADMT precisa ser adicionado ao grupo de contas
de servio. Porm, se a conta que estiver sendo usada para instalar o ADMT for a mesma
usada para instalar o SQL Server Express Edition, ela ser adicionada a esse grupo como
parte da instalao do SQL Server.
Para o SQL Server 2005 Express Edition, o grupo de contas de servio
SQLServer2005MSSQLUser$nome da mquina$nome da instncia.
Para o SQL Server 2008 Express Edition, o grupo de contas de servio
SQLServerMSSQLUser$nome da mquina$nome da instncia.
3. Reinstale o ADMT.
268
Observao
Se voc observar esse comportamento com a verso completa do SQL Server, assegure
que a conta que esteja instalando o ADMT tenha permisses de criar e se conectar ao
banco de dados na instncia do SQL Server.
Solucionando problemas de migrao de

usurios
Este tpico descreve problemas conhecidos relacionados migrao de usurios com a
Ferramenta de Migrao do Active Directory.
Caracteres especiais so substitudos quando nomes de conta so migrados
O ADMT substitui os seguintes caracteres por um caractere sublinhado _ no nome UPN e no
nome de conta do Gerenciador de Contas de Segurana (SAM) de verses anteriores ao
Windows 2000:
"*+,/:;<=>?[\]|
O caractere ponto . ser substitudo por um caractere sublinhado _ se for o ltimo caractere
do nome.
Os membros dos grupos das contas de destino so atualizados depois das migraes de
usurio subsequentes
Quando voc migra um usurio que j foi migrado anteriormente, a opo Migrar grupos de
usurios associados do Assistente para Migrao de Conta de Usurio atualiza os membros do
grupo da conta migrada. Nas migraes de usurio subsequentes, todos os novos grupos dos
quais a conta de usurio de origem fizer parte sero associados aos membros do grupo do
usurio da conta de destino.
Exemplo: Bruno um usurio do domnio HB-ACCT-WC. Ele um membro do grupo HB-ACCT-
WC\Escritores e foi migrado junto com o grupo Escritores para o domnio de destino hay-buv.tld
(nome NetBIOS HAY-BUV). Depois da primeira migrao, Bruno ser membro de HAY-
BUV\Escritores. Bruno tambm ser adicionado aos seguintes grupos do domnio de origem
depois da primeira migrao:
1. HB-ACCT-WC\Bruno ser adicionado ao grupo HB-ACCT-WC\Editores.
2. HAY-BUV\Bruno ser adicionado a HAY-BUV\EditoresTcnicos.
Quando for migrado novamente para corrigir suas contas de grupo, HAY-BUV\Bruno ser
membro de HAY-BUV\Escritores, HAY-BUV\Editores e HAY-BUV\EditoresTcnicos.
Para redefinir a conta para somente os grupos do usurio de origem, exclua a conta de destino
e, em seguida, repita a migrao da conta de origem.
Tambm possvel repetir a migrao de grupos usando a opo Remover membros
existentes.
269
As permisses de um usurio migrado de um domnio do Active Directory so redefinidas
para os valores padro durante a migrao
Quando voc migra um usurio de um domnio do Active Directory para outro, o Assistente para
Migrao de Conta de Usurio cria um novo descritor de segurana em objetos de usurio
migrados usando as configuraes do domnio de destino. A guia Segurana s ficar visvel se
voc selecionar Exibir\Recursos Avanados.
Isso ocorre por design, pois o domnio de destino, e no o de origem, determina as
configuraes de segurana da conta de usurio migrada.
Uma mensagem de erro invlida ser exibida durante uma correo de grupo de usurios
se uma conta de usurio for excluda
Depois de uma migrao, se voc excluir uma conta de usurio do domnio de destino e um
grupo que continha a conta de usurio no domnio de origem (como membro de outro grupo) for
migrado entre os mesmos domnios, o ADMT registrar a seguinte mensagem de erro invlida:
No possvel adicionar <conta> a <grupo>, porque <conta> no foi migrado para o
domnio de destino.
Se voc receber essa mensagem de erro, repita a migrao da conta de usurio para o domnio
de destino.
A excluso da propriedade useraccountcontrol ignorada
A propriedade de usurio userAccountControl sempre copiada quando voc migra de
domnios do Windows NT 4.0. Mesmo que voc decida excluir essa propriedade na pgina do
assistente Excluso da Propriedade do Objeto, a excluso ser ignorada e a propriedade ser
migrada.
No entanto, quando voc migrar de domnios do Active Directory, a excluso dessa propriedade
ser honrada e ela no ser copiada durante a migrao do usurio.
A opo Remover direitos de usurio existentes no funcionou
Causa: se o modelo Diretiva de Grupo associado a um usurio cujos direitos esto sendo
removidos contiver o nome no qualificado para domnio do usurio (por exemplo, se contiver
User1 em vez de DomainA\User1), ocorrer falha na operao de remoo.
Soluo: corrija a entrada do nome do usurio no modelo de Diretiva de Grupo.
Voc recebe o seguinte erro ao tentar migrar usurios com histrico de SID
No possvel migrar usurios. A configurao a seguir, necessria para o histrico SID, no foi
executada. A auditoria no foi ativada no domnio de destino. Erro no especificado
(0x80004005)
Esse erro pode ocorrer porque algumas subcategorias da Diretoria de Auditoria do Servio de
Diretrio no so habilitadas por padro no Windows Server 2008 e no Windows Server 2008
R2. Todas as subcategorias devem ser habilitadas para migrar usurios com seus histricos SID.
Para obter mais informaes sobre como habilit-las, consulte Configurando os domnios de
origem e de destino para a migrao de histrico SID.
270
grupos
Este tpico descreve problemas conhecidos relacionados migrao de grupos com a
O grupo local contm tanto as contas de origem quanto de destino quando a conta
migrada depois de voc migrar o grupo local
Quando voc migra um membro de um grupo local anteriormente migrado, a conta de origem
desse membro no removida quando o membro de destino adicionado. Se o membro for
migrado antes da migrao do grupo local, apenas o membro da conta de destino ser
adicionado.
Isso ocorre por design e se aplica apenas a migraes entre florestas.
A lista de membros do grupo no atualizada para um grupo que inclui um grupo migrado
de outro domnio
Se voc migrar um grupo, quaisquer grupos de outro domnio que o incluem como membro ainda
faro referncia a ele no domnio de origem. Quando voc executa uma migrao entre florestas,
os membros do grupo mantm o cesso aos recursos porque o histrico de identificador de
segurana (SID) migrado automaticamente. Quando voc executa uma migrao entre
florestas, os membros do grupo precisam ser corrigidos a menos que histrico SID seja migrado.
Usar o assistente para migrao de grupos para migrar usurios pertencentes a grupos
aninhados
Se Migrar grupos de usurios associados estiver selecionado, o Assistente para Migrao de
Conta de Usurio migrar apenas os grupos dos quais o usurios for membro direto. Ele no
migrar grupos dos quais o usurio membro por meio do aninhamento de grupos.
Quando voc migra grupos usando o Assistente para Migrao de Conta de Grupo, se Copiar
membros do grupo estiver selecionado, o assistente migrar repetidamente todos os usurios e
grupos que sejam membros desse grupo, inclusive grupos que sejam membros atravs de
aninhamento de grupo.
Quando o domnio de origem funcionar com Windows 2000 ou Windows Server 2003, com
aninhamento de grupos, para preservar a participao do grupo obtida atravs desse
aninhamento, recomenda-se migrar os objetos afetados usando o Assistente para Migrao de
Conta de Grupo.

conta de servio
271
Para adicionar uma exceo do Windows Firewall para o Gerenciamento Remoto de
Servios
Este tpico descreve problemas conhecidos relacionados migrao de contas de servio com a
Voc precisa ter os direitos apropriados para atualizar uma conta de servio em um
computador remoto ao migrar uma conta
A conta de usurio que est executando o ADMT deve ter direitos de Logon local em todos os
computadores remotos para os quais a ferramenta envie um agente. Isso tambm se aplica a
qualquer computador remoto cujo gerenciador de controle de servio (SCM) ser modificado
durante a migrao de uma conta de servio com o Assistente para Migrao de Conta de
Usurio. Se voc no tiver direitos para alterar o SCM, ainda assim a conta de servio ser
migrada para o domnio de destino, mas o servio no computador remoto no ser atualizado
para usar a conta do domnio de destino. Para atualizar o servio no computador remoto,
execute o Assistente para Migrao de Conta de Servio e selecione No, usar as informaes
coletadas anteriormente na pgina Informaes de Atualizao. Nem sempre a falta de
acesso do usurio sinalizada como um erro na pgina Progresso da Migrao, portanto,
bom verificar possveis erros no arquivo de log da migrao aps migrar contas de servio.
Os servios precisam ser identificados em todos os computadores antes que as contas de
servio sejam migradas
Se voc identificar os servios nos servidores usando o Assistente para Migrao de Conta de
Servio depois que a migrao tiver ocorrido, a configurao desses servios com a conta
migrada e as informaes de senha falharo. Para configurar esses servios, ser necessrio
reexecutar a migrao de usurio.
A migrao de conta de servio no Windows Server 2008 e no Windows Vista demora mais
que o esperado
Se voc estiver executando uma migrao de conta de servio em um computador que esteja
executando o Windows Server 2008 ou o Windows Vista e est demorando muito mais tempo
que o esperado, voc poder aumentar o desempenho habilitando uma exceo do
Windows Firewall para o Gerenciamento Remoto de Servios no computador que est sendo
usado. Para obter mais informaes, consulte o procedimento a seguir.
1. Abra o Painel de Controle (Modo de exibio Clssico) e, em seguida, abra Windows

Firewall.
2. Clique na guia Excees.
3. Verifique se a caixa de seleo Gerenciamento Remoto de Servios est marcada.
4. Clique em OK.
272
Segurana

conta de servio gerenciado
Este tpico descreve problemas conhecidos relacionados migrao de contas de servio
gerenciado com a Ferramenta de Migrao do Active Directory (ADMT). Somente o ADMT v3.2
pode migrar contas de servio gerenciado.
Voc pode precisar revogar alteraes no descritor de segurana de uma conta de servio
gerenciado se o Assistente para Migrao de Computadores apresentar erro
Se voc migrar um computador que tenha contas de servio gerenciado instaladas e tiver
migrado essas contas, o ADMT instalar as contas de servio gerenciado no computador depois
que ele for migrado para o domnio de destino. Antes de o ADMT instalar uma conta de servio
gerenciado, ele altera o descritor de segurana da conta para conceder permisses para o
computador de destino para redefinir a senha e modificar o atributo userAccountControl. A
alterao no descritor de segurana necessria para instalar as contas de servio gerenciado.
Embora o computador tenha permisses elevadas, um servio de rede no computador
agora pode ter a capacidade de desabilitar uma conta de servio gerenciada. Portanto,
ele pode iniciar um ataque de negao de servio nos servios executados no contexto
de segurana da conta de servio gerenciado. O invasor tambm pode usar as
credenciais da conta de servio gerenciado para acessar outros dados.
Para reduzir esse risco, o ADMT registra as alteraes nos descritores de segurana das contas
de servio migradas para referncia. Se o Assistente para Migrao de Computadores falhar,
verifique o arquivo de log do computador migrado. Para cada conta de servio gerenciado,
verifique se a permisso foi revogada. Caso no tenha sido, revogue essas alteraes
manualmente nos Servios de Domnio Active Directory (AD DS) pra evitar que os computadores
de destino recebam permisses elevadas para redefinir senhas e habilitar e desabilitar as contas
de servio gerenciado.
As alteraes nos descritores de segurana so registradas no arquivo de log da migrao do
computador que chamado de Migration<TaskID>.log. O arquivo de log fica localizado na pasta
%windir%\ADMT\Logs no computador que executa o ADMT. As mensagens do log e suas
descries so listadas na tabela a seguir.
Mensagem do log A mensagem registrada quando
O descritor de segurana da conta de servio O ADMT modificou com xito o descritor de

gerenciado '%1' permite que o computador '%2' segurana de uma conta de servio
redefina sua senha e modifique o atributo gerenciada.
userAccountControl.
O descritor de segurana da conta de servio O ADMT restaurou com sucesso o descritor de

gerenciado '%1' foi restaurado. segurana de uma conta de servio
gerenciada.
273
Para revogar
Mensagem do log alteraes no descritor de segurana de uma
A mensagem conta dequando
registrada servios

gerenciado
No possvel modificar o descritor de O ADMT no modificou o descritor de
segurana da conta de servio gerenciado segurana de uma conta de servio
'%1', hr=%2!lx!. A instalao subsequente gerenciada.
dessa conta de servio gerenciado no
computador '%3' falhar.
No possvel restaurar o descritor de O ADMT no restaurou o descritor de

segurana da conta de servio gerenciado segurana de uma conta de servio
'%1', hr=%2!lx!. gerenciado.
Para revogar manualmente as alteraes no descritor de segurana, conclua o procedimento a

seguir.
1. Abra Usurios e Computadores do Active Directory. Para abrir Usurios e

Computadores do Active Directory, clique em Iniciar, clique em Painel de Controle ,
clique duas vezes em Ferramentas Administrativas e, em seguida, clique duas vezes
em Usurios e Computadores do Active Directory.
2. Clique em Exibir e em Recursos Avanados.
3. Navegue at o continer onde est a conta de servio gerenciado, clique com o boto
direito do mouse na conta e em Propriedades.
Por padro, as contas de servio gerenciado so criadas no continer Contas de
Servio Gerenciado.
4. Clique na guia Segurana e na entrada de controle de acesso do objeto do computador.
5. Para Redefinir senha, marque a caixa de seleo Permitir.
6. Clique em Avanado.
7. Clique na entrada de controle de acesso do objeto do computador, clique em Editar e
para Gravar userAccountCntrol, desmarque a caixa de seleo Permitir.
8. Clique duas vezes em OK, clique em Aplicar e em OK novamente para fechar a caixa
de seleo Propriedades.

computadores
Este tpico descreve problemas conhecidos relacionados migrao de computadores com a
Ferramenta de Migrao do Active Directory (ADMT).
274
Observao
A migrao entre florestas de computadores no desativa a conta do computador no

domnio de origem
Aps uma migrao entre florestas de computadores, a conta do computador migrado no
domnio de origem no desabilitada nem excluda. Isso ocorre por design.
Para desabilitar ou excluir as contas de computadores migrados no domnio de origem, escreva
um script ADSI simples.
A conta de computador ser criada mesmo se a migrao falhar
Se a migrao do computador falhar devido a um erro relacionado ao agente, a conta do
computador criada para o computador no domnio de destino no ser excluda.
Se voc selecionar Migrar e mesclar objetos conflitantes na pgina Gerenciamento
de Conflitos do Assistente para Migrao de Conta de Computador, voc no precisar
excluir a conta de computador criada no domnio de destino antes de tentar migrar o
computador novamente.
Migrar computadores antes de grupos em uma migrao entre florestas
Quando voc executa uma migrao entre florestas, se houver computadores que so membros
de grupos (diferentes do grupo Computadores do Domnio), necessrio migrar esses
computadores antes de migrar os grupos aos quais eles pertencem. Essa uma condio para
migraes entre florestas e evita que esses computadores percam sua participao do grupo.
Falha intermitente do servio de agente remoto do ADMT
Se ocorrer uma falha durante a implantao do servio de agente remoto do ADMT em um
computador como parte de uma migrao de computador, converso de segurana ou
identificao de conta de servio ou relatrio de referncia de conta, possvel que o agente
tenha falhado ao parar ou desinstalar-se. Se isso ocorrer, voc receber a mensagem Agente j
em execuo com cada implantao de agente subsequente at que o processo de agente do
ADMT seja fechado ou o computador seja reiniciado.
Pode haver falha na migrao de computador se j existir uma conta de computador com
o mesmo nome NetBios no domnio de destino
Quando voc faz migraes constantes de um computador entre dois domnios, o envio de
agente pode falhar se uma conta de computador com o mesmo nome NetBIOS que o
computador que est sendo migrado do domnio de origem j existir no domnio de destino.
O ADMT no pode alterar a afiliao de domnio de um determinado computador. Essa
falha fez com que o computador perdesse a afiliao com qualquer domnio.
Causa: Isso pode ser causado por uma configurao de ambiente de migrao incorreta ou
alguma falha nos computadores de origem ou de destino.
Soluo: Associe o computador a um domnio e crie a conta de computador no domnio
conforme descrito nos procedimentos a seguir.
Para ingressar em um domnio, insira as credenciais de uma conta com permisses
administrativas no domnio ao qual o computador deva ingressar. Reinicie o computador para
concluir o ingresso do computador no domnio.
275
Para alterar a associao de domnio de um computador que esteja executando o
Windows Vista,
2000 (para
o Windows
o ADMT7,v3.1)
o Windows
ou o Windows
Server 2008
Server
ou 2003
o Windows Server 2008
R2
1. Faa logon no computador que esteja usando uma conta com credenciais de
administrador local.
2. Na rea de trabalho, clique com o boto direito do mouse em Meu Computador e, em
seguida, clique em Propriedades.
3. Na guia Nome do Computador, clique em Alterar.
4. Em Alteraes no Nome do Computador, selecione Domnio: e digite o nome do
domnio ao qual o computador ingressar. Clique em OK e quando for solicitado que
voc reinicie o computador, clique em OK novamente.
1. Faa logon no computador que esteja usando uma conta com credenciais de
administrador local.
2. Clique em Iniciar, clique com o boto direito do mouse em Computador e clique em
Propriedades.
3. Clique em Alterar configuraes.
4. Na guia Nome do Computador, clique em Alterar.
5. Em Alteraes no nome do computador, selecione Domnio: e digite o nome do
domnio ao qual voc deseja que o computador ingresse. Clique em OK e quando for
solicitado que voc reinicie o computador, clique em OK novamente.

senhas
Este tpico descreve um problema relacionado migrao de senhas com a Ferramenta de
Migrao do Active Directory.
As senhas migradas podem no estar em conformidade com a diretiva de senha do
domnio de destino
A migrao de senhas no ADMT ignora as verificaes de diretiva de senha. Se uma diretiva de
senha for definida, ela s ser imposta quando a senha for alterada. Por esse motivo, o ADMT
sempre solicita que os usurios migrados alterem suas senhas na prxima vez que fizerem
logon.
Depois de uma migrao entre florestas, os usurios no conseguem fazer logon no novo
domnio.
276
Para remover
ativar a capacidade
o sinalizador
deOalterar
Usurio
a senha
Deve do
alterar
usurio
a Senha
Causa: quando voc executa uma migrao entre florestas, o ADMT sempre define a opo O
Usurio Deve Alterar a Senha para usurios migrados. Se a opo O Usurio No Pode
Alterar a Senha estiver definida na conta de usurio, a conta de destino s poder fazer logon
quando uma ou ambas as opes forem alteradas.
Soluo: altere as opes usando um dos seguintes procedimentos:
1. Em Usurios e Computadores do Active Directory, no menu Exibir, clique em Recursos

Avanados.
2. Clique com o boto direito do mouse no usurio e, em seguida, clique em Propriedades.
3. Na guia Segurana, ative a permisso Alterar Senha para Todos e para o usurio.
Em Usurios e Computadores do Active Directory, clique com o boto direito do mouse

no usurio e, em seguida, clique em Redefinir Senha.
Depois de uma migrao dentro da floresta, os usurios no conseguem fazer logon no

novo domnio.
Causa: as senhas das contas de usurio usadas no domnio antigo podem violar as restries
de senha do novo domnio.
Em uma migrao dentro da floresta, as senhas das contas de usurio do domnio de origem so
migradas para o domnio de destino. Se as contas de usurio do domnio de origem possurem
senhas que violam as restries de senha (como o tamanho mnimo) no domnio de destino, os
usurios migrados afetados no podero fazer logon at que as senhas tenham sido
configuradas para um valor que atenda diretiva da senha do domnio de destino.
Se os usurios tentarem usar as senhas invlidas, suas novas contas de usurio podero ser
bloqueadas. Se voc tiver selecionado a opo Desativar contas de destino no Assistente para
Migrao de Conta de Usurio, as novas contas de usurio sero desabilitadas. Como resultado,
os usurios migrados talvez no consigam fazer logon at que suas contas tenham sido
desbloqueadas ou marcadas como habilitadas.
Soluo: redefina as senhas das contas de usurio com um valor que atenda diretiva de
senha do novo domnio e habilite as contas de usurio caso elas tenham sido desabilitadas
devido a falhas consecutivas de senha.
Usurios migrados recebem uma mensagem de erro indicando que o nome ou a senha do
usurio esto incorretos.
Causa: os usurios migrados no podem fazer logon devido diretiva de senha, mesmo que as
diretivas de senha paream estar desabilitadas.
Durante uma migrao, alguns administradores podem optar por desabilitar as diretivas de
senha no domnio de destino. Se eles tentarem fazer isso desativando a diretiva de tamanho
mnimo de senha sem definir a diretiva como zero, os usurios no conseguiro fazer logon, pois
uma diretiva de senha ainda estar em vigor.
277
Soluo: defina a diretiva de tamanho mnimo de senha como zero. Depois que a diretiva de
comprimento zero entrar em vigor, a diretiva de tamanho mnimo de senha poder ser
desativada.
Solucionando problemas de converso de

segurana
Este tpico descreve um problema conhecido relacionado converso de segurana usando a
A converso de segurana no afeta o perfil do Outlook
Quando voc seleciona Perfis de Usurio na pgina Converter Objetos do Assistente para
Converso de Segurana, a segurana no convertida nos perfis do Microsoft Office Outlook.
Para corrigir os perfis do Outlook das contas migradas, use o Assistente para Migrao do
Exchange Server. O Assistente para Migrao do Exchange Server fornecido e instalado com o
Exchange Server comeando com o Exchange Server 2003.
A converso de segurana nas chaves de registro nativas no est disponvel quando
voc estiver executando em verses de 64 bits anteriores ao Windows Vista
Esse um problema conhecido que ocorre devido s inconsistncias em como o subsistema
WoW64 (Windows em Windows de 64 bits) trata o redirecionamento de registros de forma
diferente no Windows Vista e verses anteriores do sistema operacional Microsoft Windows.
Esse problema no afeta a execuo da converso de segurana em locais de registro nativo
para verses de 64 bits do Windows Server 2008 ou do Windows Vista.
Aps a migrao, novas contas de usurio do domnio de destino no podem acessar
recursos, embora as contas do domnio de origem tenham permisses.
Causa: As configuraes necessrias para executar a ADMT no foram estabelecidas
corretamente.
A maioria dos problemas de migrao causada por um ambiente de migrao configurado
incorretamente.
Soluo: Abra o arquivo de log de migrao e localize a conta que voc migrou com o histrico
do SID (identificador de segurana). Se o histrico do SID tiver sido adicionado conta, voc
dever ver uma entrada semelhante seguinte:
2005-10-06 18:28:50-SID para NomeDaContaDoUsurio adicionado ao histrico do SID de
NomeDaContaDoUsurio
Se voc receber uma mensagem de erro, ser praticamente certo que no configurou o
ambiente corretamente e dever rever os tpicos de configurao antes de repetir a migrao.
A migrao do histrico do SID no est funcionando.
Causa: Vrias condies devem ser atendidas para que a migrao do histrico do SID
funcione.
278
Observao
Soluo: Configure o ambiente de migrao corretamente antes de executar a ADMT e revise

os tpicos de configurao antes de prosseguir com a migrao.
Quando voc migra um objeto de segurana previamente migrado para um novo
domnio, os critrios para a migrao do histrico do SID devem estar corretos nos trs
domnios.
Por exemplo, digamos que voc tenha os trs seguintes domnios: DomnioA, DomnioB e
DomnioC. O Usurio1 no DomnioA (DomnioA\Usurio1) migrado para o DomnioB como
DomnioB\Usurio1 e o histrico do SID convertido. Agora o DomnioB\Usurio1 tem o SID
primrio para DomnioB\Usurio1 e o valor do histrico do SID para DomnioA\Usurio1. Se um
administrador desejar migrar o DomnioB\Usurio1 para o DomnioC\Usurio1 e preservar todos
os SIDs do DomnioB\Usurio1, as definies de configurao apropriadas devero estar
corretas para permitir a migrao do DomnioA para o DomnioC e do DomnioB para o
DomnioC. Se o DomnioA tiver sido encerrado ou se a configurao correta no puder ser
atendida entre o DomnioA e o DomnioC, a ADMT migrar o SID do DomnioB\Usurio1 para o
DomnioC\Usurio1 e registrar o fato de que no pde migrar o SID do DomnioA\Usurio1.
Caso o DomnioA no exista, a ADMT gravar uma mensagem de erro no log, mas a migrao
ainda ser bem-sucedida. Voc pode ignorar essa mensagem de erro.
Aps a migrao, novas contas de usurio do domnio de destino no podem acessar
recursos, embora as contas do domnio de origem tenham permisses.
Causa: As configuraes necessrias para executar a ADMT no foram estabelecidas
corretamente.
A maioria dos problemas de migrao causada por um ambiente de migrao configurado
incorretamente.
Soluo: Abra o arquivo de log de migrao e localize a conta migrada com o histrico do SID.
Se o histrico do SID tiver sido adicionado conta, voc dever ver uma entrada semelhante
seguinte:
2005-10-06 18:28:50-SID para NomeDaContaDoUsurio adicionado ao histrico do SID de
NomeDaContaDoUsurio
Se voc receber uma mensagem de erro, ser praticamente certo que no configurou o
ambiente corretamente e dever rever os tpicos de configurao antes de repetir a migrao.
Estou recebendo o seguinte erro: "A Lixeira em C:\ est danificada ou invlida. Voc
deseja esvaziar a Lixeira dessa unidade?"
Causa: Isso ocorre por design. Por motivos de segurana, cada usurio que se conecta a um
computador Windows 2000 ou Windows Server 2003 recebe sua prpria Lixeira especfica do
usurio. A ACL (lista de controle de acesso) de cada instncia da Lixeira pode conter apenas um
SID especfico de usurio. Quando voc migra um perfil de usurio com a opo Adicionar, o
SID do usurio do domnio de origem adicionado ao histrico do SID da Lixeira. Isso coloca
dois SIDs especficos de usurio na ACL da Lixeira. Esse problema no ocorrer se voc migrar
os perfis com a opo Substituir.
279
Importante
Soluo: Na mensagem de erro, clique em Sim e a Lixeira ser esvaziada sem nenhum
problema. Se voc clicar em No, o erro continuar a aparecer at que voc esvazie a Lixeira.
Os usurios de domnios que no so confiveis no podem acessar compartilhamentos
DFS (Sistema de Arquivos Distribudos) nos domnios do Active Directory.
Causa: Isso ocorre por design.
Soluo: Se voc planeja usar compartilhamentos DFS em seu domnio, migre os
computadores que pertencem aos usurios que acessam compartilhamentos DFS primeiro ou
migre os computadores e usurios na mesma sesso de migrao.
Solucionando problemas de migrao entre

florestas
Este tpico descreve problemas conhecidos para migraes internas na floresta usando a
Os direitos de usurio e grupo de todo o domnio no so migrados para o domnio de
destino
Ao marcar Direitos de usurio nos Assistentes para Migrao de Conta de Usurio e de Grupo,
voc s migra os direitos locais no controlador do domnio de origem. Direitos de todo o domnio
no so migrados.
Migrao de grupos globais e domnios de origem de modo composto
Quando os grupos globais forem migrados entre um domnio de origem de modo composto e um
domnio de destino de modo nativo e no estiverem vazios, o ADMT criar cpias dos grupos
globais no domnio de destino e no adicionar o identificador de segurana (SID) do grupo
global do domnio de origem ao atributo de histrico do SID. Isso ocorre por design.
Nesse caso, o ADMT no consegue converter o grupo global para um grupo universal porque
domnios em modo composto no reconhecem grupos universais e no conseguem adicion-los
ao smbolo de acesso do usurio. Portanto, os usurios podem perder o acesso a recursos.
altamente recomendvel migrar usurios e grupos apenas entre domnios do modo
nativo.
Grupos globais so copiados sem histrico do SID para migraes entre florestas se no
forem migrados com membros do grupo e o domnio de origem estiver no modo
composto.
Quando voc migra um grupo global em um domnio no modo composto para uma migrao
entre florestas usando o Assistente para Migrao de Conta de Grupos, se voc no selecionar a
opo Copiar membros do grupo, esse grupo global ser copiado, e no migrado, sem histrico
do SID em vez de ser movido. Esse comportamento resultado das regras de participao do
grupo global.
280
Importante
Se, em vez de copiar, o ADMT mover o grupo global, seus membros ficam "rfos" de grupo e
perdem o acesso a qualquer recurso concedido aos membros do grupo, pois os grupos globais
no podem conter membros de outros domnios.
Quando os membros desse grupo global so migrados posteriormente, a participao no grupo
restaurada. Contudo, como o histrico do SID no migrado com o grupo, preciso executar o
Assistente para converso de segurana para atualizar as ACLs (listas de controle de acesso),
assim como voc faria em uma migrao entre florestas sem histrico do SID.
altamente recomendvel migrar usurios e grupos apenas entre domnios do modo
nativo.
A tabela de objetos migrados no sincroniza
Se o administrador do domnio de destino excluir um grupo migrado depois da migrao, as
entradas desse grupo no so removidas da tabela de objetos migrados. Se um grupo no
domnio de destino com o mesmo nome do grupo excludo for migrado do domnio de origem,
pode ocorrer um erro. Esse erro ocorre apenas se os usurios forem migrados com o grupo. A
mensagem de erro a seguinte:
ERR2:7422 Falha ao mover o objeto <RDN_de_objeto>, hr=80070057 O parmetro est incorreto.
Solucionando problemas do arquivo de log

da ADMT
Esta seo descreve um problema conhecido relacionado aos arquivos de log da Ferramenta de
Migrao do Active Directory (ADMT).
No consigo encontrar os arquivos de log do ADMT.
Soluo: Todos os arquivos de log do ADMT esto armazenados no banco de dados do ADMT.
No entanto, os ltimos 20 logs de migrao tambm esto armazenados na pasta Logs da pasta
ADMT do computador em que o ADMT foi instalado. Voc pode acessar todos os logs do ADMT
no banco de dados usando o comando admt task em uma linha de comando.
No consigo ler as entradas do log de eventos do agente ADMT.
Causa: Voc no est em um computador no qual o ADMT tenha sido instalado.
Soluo: O agente pode gravar entradas de log de eventos no computador em que est sendo
executado. No entanto, o software do agente removido quando a tarefa so agente concluda.
Voc pode exibir as entradas do log de eventos no computador no qual o agente foi enviado
executando o Visualizador de Eventos no computador em que o ADMT foi instalado.
Preciso de mais informaes dos logs do ADMT.
Causa: Configurao de nvel de log incorreta.
Por padro, o ADMT grava informaes de resumos nos arquivos de log. Voc pode aumentar o
nvel de detalhes alterando a entrada do Registro que controla o nvel de log.
281
Soluo: No computador em que o ADMT foi instalado, configure o valor da chave do Registro
HKEY_LOCAL_MACHINE\Software\Microsoft\ADMT\TranslationLogLevel como 7.
Voc pode usar o modo de registro extenso para diagnstico de problemas e soluo de
problemas. O modo de registro extenso pode gerar arquivos de log muito grandes,
principalmente quando o computador de destino tem um grande nmero de arquivos ou outros
objetos cujas listas de controle de acesso (ACLs) devem ser atualizadas. Como os logs de
agentes so gravados em uma pasta especificada pela varivel de ambiente %TEMP%, o
volume para o qual essa varivel de ambiente aponta deve ter amplo espao em disco. Quando
voc acessa usando o modo de registro extenso, pode ser necessrio alterar o valor da varivel
de ambiente %TEMP% antes de enviar um agente.
Os relatrios gerados no esto aparecendo no ADMT.
Causa: Quando o ADMT gera relatrios, ele no atualiza o console automaticamente.
Soluo: Para exibir os relatrios, feche e reabra o ADMT.
Executando vrias instncias do ADMT em diversos idiomas
Quando voc executa vrias instncias do ADMT onde elas utilizam idiomas distintos, os
arquivos de log so gerados no idioma em que a instncia est sendo executada. Isso no afeta
a funcionalidade do ADMT de nenhuma maneira. No entanto, recomenda-se usar um idioma
unificado ao executar vrias instncias do ADMT.
Solucionando problemas de linha de

comando do ADMT
Observe que a ferramenta de linha de comando usa o componente de script e, portanto,
problemas de script tambm so aplicveis a ela.
Parmetros de linha de comando duplicados anulam quaisquer ocorrncias anteriores
Se um parmetro de linha de comando for especificado mais de uma vez, o ltimo valor
prevalece sobre os outros. Isso ocorre por design.
Os caracteres estendidos no so exibidos pela interface de linha de comando
A interface de linha de comando do ADMT no converte Unicode. Portanto, caracteres
estendidos como o alemo "umlaut" no so exibidos corretamente.
A opo para habilitar a conta de origem no est desabilitada em migraes entre
florestas
Quando voc executa migraes entre florestas, contas so movidas e no copiadas entre
domnios. A conta de origem removida como parte da movimentao. No entanto, h uma
opo para habilitar uma conta de origem disponvel na interface de linha de comando do ADMT.
Quando essa opo for usada, voc receber este aviso:
WRN1: 7362: <object_name> - No foi possvel ativar a conta de origem. Parmetro
incorreto
282
Solucionando problemas de operaes de
agente
Estou recebendo uma mensagem de erro informando que a Ferramenta de Migrao do
Active Directory (ADMT) no pde verificar a auditoria e o TcpipClientSupport nos
domnios.
Causa: o agente foi distribudo com credenciais invlidas ou o ambiente de migrao no est
configurado corretamente.
Soluo: um agente distribudo para um computador remoto que usa as credenciais da conta
utilizada para executar o ADMT. Depois de instalado no computador remoto, o agente
executado na conta do Sistema Local. As credenciais fornecidas ao assistente antes que o
agente seja distribudo para o computador remoto so usadas para regravar resultados em um
compartilhamento criado no computador em que o ADMT est sendo executado. O agente deve
ter o direito de efetuar logon localmente no computador remoto e, caso esse agente seja usado
para fazer a migrao de computadores, ele deve possuir direitos administrativos no domnio de
origem e ser um administrador local em todas as estaes de trabalho.
Para verificar se voc possui as credenciais corretas, crie confianas para que os domnios de
origem e de destino confiem um no outro. Adicione o grupo Admins. do Domnio do domnio de
destino (destino\Admins. do Domnio) ao grupo interno Administradores do domnio de origem
(origem\Administradores). Faa logon usando a conta destino\Admins. do Domnio e, quando
solicitado, fornea um conjunto de credenciais para a conta origem\Administradores. Essa
operao permite que voc tenha permisses administrativas nos domnios de origem e de
destino.
Falha de operaes de distribuio de agente com erros de conflito de credenciais
Causa: voc possui uma conexo ativa, como uma impressora ou uma unidade mapeada, com o
computador em que um agente est sendo instalado. A operao de distribuio apresenta falha
porque as credenciais da instalao do agente entram em conflito com o conjunto de credenciais
existente.
Soluo: remova todas as conexes ativas entre o computador que est executando o ADMT e
o computador para o qual o agente est sendo distribudo.
Quando tento visualizar os resultados de uma operao de agente remoto, recebo a
seguinte mensagem de erro: "No possvel abrir o arquivo \\NomeDoComputador\
(%SystemRoot%)$\temp\dctlog.txt."
Causa: o compartilhamento administrativo padro do volume de sistema do computador para o
qual o agente foi distribudo no est habilitado.
Como o compartilhamento padro no est habilitado, o ADMT no pode ler o arquivo de log.
Soluo: habilite novamente o compartilhamento padro do volume de sistema.
Ao gerar relatrios, recebo a mensagem de erro 3107 do IDispatch
283
Causa: esse erro pode ocorrer quando o monitor de agente fechado antes que todos os
agentes tenham terminado de gravar os resultados de volta para o banco de dados de relatrio
do ADMT.
Soluo: para evitar esse problema, aguarde at que todos os agentes tenham concludo suas
tarefas antes de fechar o monitor de agente.
Preciso saber quais so as portas e os protocolos usados pelo ADMT para estabelecer a
comunicao do console com os controladores de domnio e os agentes ADMT em
execuo nas estaes de trabalho
Causa: quando executar o ADMT em ambientes com firewall, talvez voc precise criar excees
de porta de firewall para oferecer suporte a trfego relacionado ao ADMT na sua rede.
Soluo: o console do ADMT usa a porta 389 do protocolo LDAP para se comunicar com
controladores de domnio e uma Chamada de Procedimento Remoto (RPC) para se comunicar
com agentes ADMT. Para a comunicao RPC, qualquer porta RPC disponvel no intervalo entre
1024 e 5000 pode ser usada. Para obter mais informaes, consulte o artigo 836429 na Base de
Dados de Conhecimento Microsoft (http://go.microsoft.com/fwlink/?LinkId=122010) (em ingls)
Por que os arquivos gerados pelo ADMT para a implantao de agente nos so
removidos depois de usados?
Os arquivos gerados nos computadores clientes em que o servio do agente ADMT foi
executado para a converso de segurana de grupos locais so armazenados em %windir
%\onepointdomainagent.:
Os arquivos armazenados nesse local podero ser mantidos aps a reinicializao:
Se o ADMT ainda estiver instalado no computador.
Se, depois que remover o ADMT do computador, voc no realizar uma limpeza no Registro
para remover as entradas do caminho HKLM\Software\Microsoft\ADMT.
Se voc reinicializar o computador sem aguardar que os processos do agente ADMT sejam
encerrados ou concludos. Para verificar se os processos do ADMT foram encerrados, use o
Gerenciador de Tarefas para confirmar que os arquivos ADMTAgnt.exe e
DctAgentServices.exe no esto mais listados na guia Processos. Se um desses processos
estiver listado, use o Gerenciador de Tarefas para encerr-lo antes de executar uma
operao de reinicializao.
Recursos adicionais
Esses recursos contm informaes adicionais, ferramentas e auxlios de trabalho relacionados
a este guia.
Informaes relacionadas
Criando e implantando servios de diretrio e de segurana (http://go.microsoft.com/fwlink/?
LinkId=76005) (em ingls)
284
Ferramentas relacionadas
Artigo 295758 na Base de Dados de Conhecimento Microsoft
(http://go.microsoft.com/fwlink/?LinkId=77553) (em ingls)
Auxlios de trabalho relacionados

O download Job_Aids_Designing_and_Deploying_Directory_and_Security_Services do
Auxlio de Trabalho para o Windows Server 2003 Deployment Kit
(http://go.microsoft.com/fwlink/?LinkId=14384) (em ingls)
Esse pacote inclui planilhas e scripts de exemplo que voc pode personalizar para a sua
prpria migrao.
285

ADMTmigguide

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

ADMTmigguide

Uploaded by

Copyright:

Available Formats

Guia do ADMT: migrando e reestruturando

domnios do Active Directory

Verses e ambientes com suporte da Ferramenta de Migrao do Active Directory....................19

Prticas recomendadas para a migrao do Active Directory.......................................................23

Prticas recomendadas para o uso da Ferramenta de Migrao do Active Directory..................23

Prticas recomendadas para a execuo de migraes de contas de usurio e de grupo..........24

Prticas recomendadas para executar migraes de computadores...........................................25

Prticas recomendadas para reverter uma migrao...................................................................26

Reestruturao dos Domnios do Active Directory Entre Florestas..............................................27

Lista de verificao: Executando uma migrao entre florestas...................................................27

Processo de reestruturao de domnios do Active Directory entre florestas...............................31

Informaes bsicas sobre a reestruturao de domnios do Active Directory entre florestas.....32

Planejando reestruturar domnios do Active Directory entre florestas..........................................34

Determinando seu processo de migrao de contas....................................................................35

Usando o histrico SID para preservar o acesso a recursos........................................................37

Atribuindo funes e localizaes de objetos...............................................................................39

Desenvolvendo um plano de testes para a sua migrao............................................................41

Criando um Plano de Reverso.................................................................................................... 43

Gerenciando usurios, grupos e perfis de usurio.......................................................................44

Criando um plano de comunicao de usurio final.....................................................................50

Preparando os domnios de origem e de destino.........................................................................51

Instalando o software de criptografia elevada de 128 bits............................................................52

Estabelecendo confianas necessrias para a sua migrao......................................................53

Estabelecendo contas de migrao para a sua migrao............................................................53

Configurando os domnios de origem e de destino para a migrao de histrico SID..................57

Configurando a Estrutura da UO do Domnio de Destino para Administrao..............................59

Instalando o ADMT no domnio de destino...................................................................................60

Habilitando a migrao de senhas................................................................................................69

Inicializando o ADMT executando uma migrao de teste...........................................................72

Identificando contas de servio para a sua migrao...................................................................74

Fazendo a transio de contas de servio na sua migrao........................................................80

Migrando grupos globais............................................................................................................... 85

Migrando contas ao usar o histrico SID......................................................................................90

Migrando contas de servio gerenciado.......................................................................................93

Migrando todas as contas de usurio...........................................................................................98

Repetindo a migrao de contas de usurio e migrando estaes de trablaho em lotes...........104

Migrando contas sem usar o histrico SID.................................................................................125

Migrando contas de servio gerenciado.....................................................................................126

Migrando todas as contas de usurio.........................................................................................132

Convertendo a segurana no modo de adio...........................................................................138

Repetindo a migrao de contas de usurio e migrando estaes de trabalho em lotes...........142

Convertendo segurana no modo de remoo...........................................................................162

Migrando Recursos..................................................................................................................... 166

Migrando estaes de trabalho e servidores membros..............................................................167

Migrando controladores de domnio...........................................................................................176

Executando a migrao.............................................................................................................. 177

Fazendo a converso de segurana em servidores membros...................................................178

Descomissionando o domnio de origem....................................................................................182

Reestruturao dos Domnios do Active Directory Entre Florestas............................................183

Lista de verificao: Executando uma migrao entre florestas.................................................183

Viso geral da reestruturao de domnios do Active Directory dentro de uma floresta.............186

Informaes gerais sobre a reestruturao de domnios do Active Directory dentro de uma

Preparando-se para reestruturar os domnios do Active Directory dentro de uma floresta.........191

Avaliar a nova estrutura de florestas do Active Directory............................................................192

Atribuir funes e localizaes dos objetos de domnio..............................................................193

Planejar a migrao de grupos................................................................................................... 195

Planejar migraes de teste....................................................................................................... 197

Criar um plano de reverso........................................................................................................ 199

Criar um plano de comunicao de usurio final........................................................................200

Criar grupos de contas de migrao...........................................................................................202

Planejar a transio de contas de servio..................................................................................213

Exemplo: Preparando para Reestruturar os Domnios do Active Directory.................................218

Migrando objetos de domnio entre os domnios do Active Directory.........................................219