Professional Documents
Culture Documents
Microsoft Corporation Publicado em: Junho de 2010 Autor: Justin Hall Editores: Jim Becker, Margery Spears
Resumo
Este guia explica como usar a Ferramenta de Migrao do Active Directory verso 3.1 (ADMT v3.1) ou ADMT v3.2 para migrar usurios, grupos, contas de servio gerenciadas e computadores entre domnios do Active Directory de florestas diferentes (migrao entre florestas) ou entre domnios do Active Directory da mesma floresta (migrao dentro da floresta). Ele tambm mostra como usar o ADMT para realizar uma converso de segurana entre florestas diferentes do Active Directory.
As informaes contidas neste documento, incluindo URLs e outras referncias a sites da Internet, esto sujeitas a alteraes sem aviso prvio. A menos que haja observao em contrrio, os exemplos de empresas, organizaes, produtos, nomes de domnio, endereos de email, logotipos, pessoas, lugares e eventos aqui representados so fictcios e nenhuma associao com qualquer empresa, organizao, produto, nome de domnio, endereo de email, logotipo, pessoa, lugar ou evento real intencional ou implcita. A conformidade com todas as leis de direitos autorais aplicveis responsabilidade do usurio. Sem limitao dos direitos autorais, nenhuma parte deste documento pode ser reproduzida, armazenada ou introduzida em um sistema de recuperao nem transmitida sob qualquer forma, por qualquer meio (eletrnico, mecnico, fotocpia, gravao, etc.) ou para qualquer finalidade, sem a permisso por escrito da Microsoft Corporation. A Microsoft pode ter patentes ou requisies para a obteno de patentes, marcas comerciais, direitos autorais ou outros direitos de propriedade intelectual que abranjam o contedo deste documento. A posse deste documento no lhe confere nenhum direito sobre as patentes, as marcas comerciais, os direitos autorais ou outros direitos de propriedade intelectual citados, salvo aqueles expressamente mencionados em um contrato de licena, por escrito, da Microsoft. 2010 Microsoft Corporation. Todos os direitos reservados. Active Directory, Microsoft, Windows e Windows Server so marcas registradas ou comerciais da Microsoft Corporation nos Estados Unidos e/ou em outros pases. Os nomes de empresas e produtos reais aqui mencionados podem ser marcas comerciais de seus respectivos proprietrios.
Contedo
Guia do ADMT: migrando e reestruturando domnios do Active Directory.................................... 9 Reestruturao dos Domnios do Active Directory Entre Florestas ..........................................10 Reestruturao dos Domnios do Active Directory Entre Florestas ..........................................10 Termos e definies ...............................................................................................................11 Ferramenta de Migrao do Active Directory ..........................................................................12 Usando um arquivo de incluso ..........................................................................................14 Campo SourceName .......................................................................................................15 Campo TargetName ........................................................................................................15 Campos TargetRDN, TargetSAM e TargetUPN................................................................16 Renomeando objetos .......................................................................................................16 Usando um arquivo de excluso ......................................................................................17 Usando scripts ....................................................................................................................17 Verses e ambientes com suporte da Ferramenta de Migrao do Active Directory ...................19 Suporte para recursos do Windows Server .............................................................................22 Prticas recomendadas para a migrao do Active Directory .....................................................23 Prticas recomendadas para o uso da Ferramenta de Migrao do Active Directory ..................23 Prticas recomendadas para a execuo de migraes de contas de usurio e de grupo ..........24 Prticas recomendadas para executar migraes de computadores ..........................................25 Prticas recomendadas para reverter uma migrao .................................................................26 Reestruturao dos Domnios do Active Directory Entre Florestas .............................................27 Lista de verificao: Executando uma migrao entre florestas..................................................27 Viso geral da reestruturao de domnios do Active Directory entre florestas (Guia de Migrao da ADMT v3.1) .......................................................................................................................31 Processo de reestruturao de domnios do Active Directory entre florestas ..............................31 Informaes bsicas sobre a reestruturao de domnios do Active Directory entre florestas .....32 Processo de migrao de conta .............................................................................................33 Processo de migrao de recurso ..........................................................................................34 Planejando reestruturar domnios do Active Directory entre florestas .........................................34 Determinando seu processo de migrao de contas ..................................................................35 Usando o histrico SID para preservar o acesso a recursos ......................................................37
Usando filtragem de SID durante a migrao de contas de usurios ..........................................38 Atribuindo funes e localizaes de objetos .............................................................................39 Desenvolvendo um plano de testes para a sua migrao ...........................................................41 Criando um Plano de Reverso .................................................................................................43 Gerenciando usurios, grupos e perfis de usurio......................................................................44 Administrando contas de usurio ............................................................................................45 Atributos que so sempre excludos pelo sistema ...............................................................46 Lista de excluso de atributos do sistema ...........................................................................46 Lista de excluso de atributos .............................................................................................46 Administrando grupos globais.................................................................................................46 Planejando uma migrao de perfil de usurio .......................................................................47 Preparao para a migrao de perfis mveis com computadores que executam o Windows Vista e o Windows 7 ........................................................................................................48 Criando um plano de comunicao de usurio final ...................................................................50 Informaes gerais .................................................................................................................50 Impacto ..................................................................................................................................51 Status do logon durante a migrao .......................................................................................51 Etapas pr-migrao ..............................................................................................................51 Alteraes esperadas .............................................................................................................51 Agendamento e informaes de suporte.................................................................................51 Preparando os domnios de origem e de destino .......................................................................51 Instalando o software de criptografia elevada de 128 bits...........................................................52 Estabelecendo confianas necessrias para a sua migrao .....................................................53 Estabelecendo contas de migrao para a sua migrao ...........................................................53 Configurando os domnios de origem e de destino para a migrao de histrico SID .................57 Configurando a Estrutura da UO do Domnio de Destino para Administrao.............................59 Instalando o ADMT no domnio de destino.................................................................................60 Instalando o ADMT v3.1 .........................................................................................................60 Pr-requisitos para a instalao do ADMT v3.1 ...................................................................60 Instalando o ADMT v3.1 usando o armazenamento de banco de dados padro ..................61 Instalando o ADMT v3.2 .........................................................................................................63 Pr-requisitos para a instalao do ADMT v3.2 ...................................................................64 Instalar o ADMT v3.2 ..........................................................................................................64 Separe um arquivo de banco de dados existente de uma verso anterior do ADMT e do SQL Server .........................................................................................................................65
Reconfigurando uma instalao de banco de dados com o Admtdb.exe .................................66 Reutilizar um banco de dados existente do ADMT de uma instalao anterior ........................68 Habilitando a migrao de senhas .............................................................................................69 Inicializando o ADMT executando uma migrao de teste..........................................................72 Identificando contas de servio para a sua migrao .................................................................74 Identificando contas de servio...............................................................................................74 Migrando Contas .......................................................................................................................79 Fazendo a transio de contas de servio na sua migrao .......................................................80 Migrando grupos globais............................................................................................................85 Migrando contas ao usar o histrico SID ....................................................................................90 Migrando contas de servio gerenciado .....................................................................................93 Migrando todas as contas de usurio.........................................................................................98 Repetindo a migrao de contas de usurio e migrando estaes de trablaho em lotes...........104 Convertendo perfis de usurios locais ..................................................................................105 Migrando estaes de trabalho em lotes...............................................................................109 Repetindo a migrao de contas de usurio em lotes ...........................................................115 Repetindo a migrao de todos os grupos globais depois da migrao da conta de usurio .120 Repetindo a migrao de todos os grupos globais depois que todos os lotes so migrados .....120 Migrando contas sem usar o histrico SID ...............................................................................125 Migrando contas de servio gerenciado ...................................................................................126 Migrando todas as contas de usurio.......................................................................................132 Convertendo a segurana no modo de adio .........................................................................138 Repetindo a migrao de contas de usurio e migrando estaes de trabalho em lotes...........142 Convertendo perfis de usurios locais ..................................................................................142 Migrando estaes de trabalho em lotes...............................................................................146 Repetindo a migrao de contas de usurio em lotes ...........................................................152 Repetindo a migrao de todos os grupos globais depois da migrao da conta de usurio .157 Repetindo a migrao de todos os grupos globais depois que todos os lotes so migrados .....158 Convertendo segurana no modo de remoo.........................................................................162 Migrando Recursos .................................................................................................................166
Migrando estaes de trabalho e servidores membros.............................................................167 Migrando grupos locais compartilhados e de domnio ..............................................................173 Migrando controladores de domnio .........................................................................................176 Executando a migrao ...........................................................................................................177 Fazendo a converso de segurana em servidores membros ..................................................178 Descomissionando o domnio de origem..................................................................................182 Reestruturao dos Domnios do Active Directory Entre Florestas ...........................................183 Lista de verificao: Executando uma migrao entre florestas................................................183 Viso geral da reestruturao de domnios do Active Directory dentro de uma floresta ............186 Reestruturando domnios do Active Directory dentro de uma floresta usando o ADMT v3.1 .....187 Informaes gerais sobre a reestruturao de domnios do Active Directory dentro de uma floresta .................................................................................................................................187 Conjuntos fechados e conjuntos abertos ..............................................................................188 Usurios e grupos .............................................................................................................188 Recursos e grupos locais ..................................................................................................190 Histrico do SID ...................................................................................................................190 Atribuindo acesso de recurso a grupos .................................................................................191 Preparando-se para reestruturar os domnios do Active Directory dentro de uma floresta ........191 Avaliar a nova estrutura de florestas do Active Directory ..........................................................192 Identificar os domnios de origem .........................................................................................193 Identificar e avaliar a estrutura da UO do domnio de destino ...............................................193 Atribuir funes e localizaes dos objetos de domnio ............................................................193 Planejar a migrao de grupos ................................................................................................195 Planejar migraes de teste.....................................................................................................197 Criar um plano de reverso .....................................................................................................199 Criar um plano de comunicao de usurio final ......................................................................200 Informaes gerais ...............................................................................................................201 Impacto ................................................................................................................................201 Status do logon durante a migrao .....................................................................................201 Etapas pr-migrao ............................................................................................................201 Alteraes esperadas ...........................................................................................................201 Agendamento e informaes de suporte...............................................................................202
Criar grupos de contas de migrao ........................................................................................202 Instalando o ADMT no domnio de destino...............................................................................204 Instalando o ADMT v3.1 .......................................................................................................205 Pr-requisitos para a instalao do ADMT v3.1 .................................................................205 Instalando o ADMT v3.1 usando o armazenamento de banco de dados padro ................205 Instalando o ADMT v3.2 .......................................................................................................208 Pr-requisitos para a instalao do ADMT v3.2 .................................................................208 Instalar o ADMT v3.2 ........................................................................................................209 Separe um arquivo de banco de dados existente de uma verso anterior do ADMT e do SQL Server .......................................................................................................................210 Reconfigurando uma instalao de banco de dados com o Admtdb.exe ...............................210 Reutilizar um banco de dados existente do ADMT de uma instalao anterior ......................212 Planejar a transio de contas de servio ................................................................................213 Exemplo: Preparando para Reestruturar os Domnios do Active Directory ...............................218 Migrando objetos de domnio entre os domnios do Active Directory ........................................219 Migrar grupos ..........................................................................................................................219 Migrar grupos universais..........................................................................................................220 Migrar grupos globais ..............................................................................................................224 Migrar contas de servio..........................................................................................................228 Migrando contas de servio gerenciado ...................................................................................233 Migrar contas de usurio .........................................................................................................238 Migrando UOs e subrvores de UOs .......................................................................................238 Migrar contas...........................................................................................................................239 Converter perfis de usurios locais ..........................................................................................244 Migrar estaes de trabalho e servidores membros .................................................................248 Migrar grupos locais de domnio ..............................................................................................255 Exemplo: Reestruturando os Domnios do Active Directory ......................................................257 Executando tarefas ps-migrao............................................................................................258 Examinar logs da migrao procura de erros ........................................................................258 Acessando arquivos de log do ADMT ...................................................................................259 Verificar os tipos de grupos .....................................................................................................259
Fazer a converso de segurana em servidores membros.......................................................260 Converter segurana usando um arquivo de mapeamento de SID ...........................................264 Descomissionar o domnio de origem ......................................................................................264 Exemplo: Executando tarefas ps-migrao ............................................................................265 Apndice: Procedimentos Avanados ......................................................................................265 Configurar um controlador de domnio preferencial ..................................................................266 Renomear objetos durante a migrao ....................................................................................268 Usar um arquivo de incluso....................................................................................................269 Para especificar um arquivo de incluso ...............................................................................269 Usar um arquivo de opo .......................................................................................................271 Soluo de problemas da ADMT .............................................................................................273 Solucionando problemas de instalao do ADMT ....................................................................274 Solucionando problemas de migrao de usurios ..................................................................275 Solucionando problemas de migrao de grupos .....................................................................276 Solucionando problemas de migrao de conta de servio ......................................................277 Solucionando problemas de migrao de conta de servio gerenciado ....................................279 Solucionando problemas de migrao de computadores .........................................................281 Solucionando problemas de migrao de senhas ....................................................................282 Solucionando problemas de converso de segurana..............................................................284 Solucionando problemas de migrao entre florestas ..............................................................286 Solucionando problemas do arquivo de log da ADMT ..............................................................287 Solucionando problemas de linha de comando do ADMT.........................................................288 Solucionando problemas de operaes de agente ...................................................................289 Recursos adicionais ................................................................................................................291 Informaes relacionadas.....................................................................................................291 Ferramentas relacionadas ....................................................................................................291 Auxlios de trabalho relacionados .........................................................................................291
A reestruturao envolve a migrao de recursos entre domnios do Active Directory na mesma floresta ou em florestas diferentes. Depois de implantar o Active Directory ou o AD DS, voc pode decidir reduzir ainda mais a complexidade do seu ambiente reestruturando domnios entre florestas ou reestruturando domnios dentro de uma nica floresta. Voc pode usar a Ferramenta de Migrao do Active Directory (ADMT) para realizar migraes de objetos e converso de segurana conforme necessrio para que os usurios possam manter o acesso a recursos de rede durante o processo de migrao. Para obter mais informaes sobre as diferentes verses do ADMT que esto disponveis, quando usar cada verso e como obt-las, consulte Verses e ambientes com suporte da Ferramenta de Migrao do Active Directory. Neste guia y y y y y y Prticas recomendadas para a migrao do Active Directory Reestruturao dos Domnios do Active Directory Entre Florestas Reestruturao dos Domnios do Active Directory Entre Florestas Apndice: Procedimentos Avanados Soluo de problemas da ADMT Recursos adicionais
As sees a seguir explicam os principais cenrios de migrao usando a ADMT. Depois que voc determinar o cenrio apropriado para o seu ambiente, siga as etapas a seguir neste guia para esse cenrio.
Preservao do objeto
Os objetos so clonados em vez de migrados. O objeto original permanece no local de origem para manter o acesso aos recursos dos usurios.
Considerao de migrao
objetos da conta de servio gerenciado e do computador copiados e as contas originais permanecem habilitados no domnio de origem. Manuteno do histrico do SID (identificador de segurana) A manuteno do histrico do SID opcional. O histrico SID necessrio para as contas de usurio, de grupo e do computador, mas no para as contas de servio gerenciado. As senhas so sempre mantidas. Os perfis locais so migrados automaticamente porque o GUID (identificador global exclusivo) preservado.
A reteno de senha opcional. Voc deve utilizar ferramentas como a ADMT para migrar perfis locais.
Conjuntos fechados
Voc no tem de migrar contas em conjuntos Voc deve migrar fechados. Para obter mais informaes, contas em conjuntos fechados. consulte Informaes gerais para reestruturao dos domnios do Active Directory dentro de uma floresta (http://go.microsoft.com/fwlink/?LinkId=122123). (em ingls)
Termos e definies
Os termos a seguir se aplicam ao processo de reestruturao dos domnios do Active Directory. Migrao O processo de mover ou copiar um objeto de um domnio de origem para um domnio de destino, preservando ou modificando caractersticas do objeto para torn-lo acessvel no novo domnio.
11
Reestruturao do domnio Um processo de migrao que envolve a alterao da estrutura do domnio de uma floresta. Uma reestruturao de domnio pode envolver a consolidao ou a adio de domnios e pode ocorrer entre florestas ou em uma floresta. Objetos de migrao Objetos de domnio que so movidos do domnio de origem para o domnio de destino durante o processo de migrao. Os objetos de migrao podem ser contas de usurio, contas de servio, grupos ou computadores. Domnio de origem O domnio do qual os objetos so movidos durante uma migrao. Quando ocorre uma reestruturao de domnios do Active Directory entre florestas, o domnio de origem um domnio do Active Directory em uma floresta diferente do domnio de destino. Domnio de destino O domnio para o qual os objetos so movidos durante uma migrao. Contas internas Grupos de segurana padro que possuem conjuntos comuns de direitos e permisses. Voc pode usar contas internas para conceder permisses para contas ou grupos designados como membros desses grupos. Os SIDs (identificadores de segurana) de contas internas so idnticos em todos os domnios. Portanto, as contas internas no podem ser objetos de migrao.
12
[User] ;DisableOption=EnableTarget ;SourceExpiration=None ;MigrateSIDs=Yes ;TranslateRoamingProfile=No ;UpdateUserRights=No ;MigrateGroups=No ;UpdatePreviouslyMigratedObjects=No ;FixGroupMembership=Yes ;MigrateServiceAccounts=No ;UpdateGroupRights=No
[Group] ;MigrateSIDs=Yes ;UpdatePreviouslyMigratedObjects=No ;FixGroupMembership=Yes ;UpdateGroupRights=No ;MigrateMembers=No ;DisableOption=EnableTarget ;SourceExpiration=None ;TranslateRoamingProfile=No ;MigrateServiceAccounts=No
13
Quando voc executa a ADMT na linha de comando, no precisar incluir uma opo em seu comando se desejar aceitar o valor padro. Neste guia, entretanto, so fornecidas tabelas que listam parmetros e valores possveis para referncia. As tabelas listam o equivalente linha de comando de cada opo mostrada no procedimento do console da ADMT correspondente, incluindo as opes nas quais voc aceita o valor padro. Voc pode copiar a referncia do arquivo de opo no Bloco de Notas e salv-la usando uma extenso de nome de arquivo .txt. Como um exemplo, para migrar um pequeno nmero de computadores, voc pode digitar cada nome de computador na linha de comando, usando a opo /N e, em seguida, listar outras opes de migrao dentro de um arquivo de opo, como a seguir:
ADMT COMPUTER /N "<nome_do_computador1>" "<nome_do_computador2>" /O:"<arquivo_de_opo>.txt"
Em que <nome_do_computador1> e <nome_do_computador2> so os nomes dos computadores do domnio de origem que voc est migrando neste lote.
Para especificar os nomes de usurios, grupos ou computadores, use uma das seguintes convenes: y O nome da conta do SAM (Gerenciador de Contas de Segurana). Para especificar um nome de computador nesse formato, voc deve anexar um smbolo de cifro ($) no nome do computador. Por exemplo, para especificar um computador com o nome Workstation01, use Workstation01$. 14
y
O nome diferenciado relativo (tambm conhecido como RDN), por exemplo, cn= Workstation01. Se voc especificar a conta como um nome diferenciado relativo, dever especificar a UO (unidade organizacional) de origem. O nome cannico. Voc pode especificar o nome cannico como nome de domnio DNS/caminho_da_uo/nome_do_objeto ou caminho_da_uo/nome_do_objeto, por exemplo, Asia.trccorp.treyresearch.net/Computers/Workstation01 ou Computers/Workstation01.
y
As seguintes sees descrevem os campos de um arquivo de incluso e fornecem exemplos para cada campo:
Campo SourceName
O campo SourceName especifica o nome do objeto de origem. Voc pode especificar um nome de conta ou um nome diferenciado relativo. Se voc especificar apenas nomes de origem, ser opcional definir um cabealho na primeira linha do arquivo. O exemplo a seguir ilustra uma linha de cabealho que especifica o campo SourceName. O exemplo mostra tambm um nome de objeto de origem que especificado em vrios formatos. A segunda linha especifica um nome de conta. A terceira linha especifica um nome diferenciado relativo. SourceName name CN=name
Campo TargetName
Voc pode usar o campo TargetName para especificar um nome base que usado para gerar um nome diferenciado relativo de destino, um nome de conta do SAM de destino e um UPN (nome principal de usurio) de destino. O campo TargetName no pode ser combinado com outros campos de nome de destino que so descritos nesta seo. Observao O UPN de destino gerado apenas para objetos de usurio e apenas um prefixo UPN gerado. Um sufixo UPN anexado usando um algoritmo que depende se um sufixo UPN est definido para a UO de destino ou a floresta de destino. Se o objeto for um computador, a conta de SAM de destino incluir um sufixo "$". O exemplo de entrada a seguir gera o nome diferenciado relativo de destino, o nome da conta do SAM de destino e o UPN de destino como "CN=newname", "newname" e "newname", respectivamente. SourceName,TargetName oldname, newname
15
Renomeando objetos
Use o seguinte formato em um arquivo de incluso para renomear objetos de computador, usurio ou grupo durante a migrao: y Use SourceName, TargetRDN, TargetSAM e TargetUPN como cabealhos de colunas na parte superior do arquivo de incluso. SourceName o nome da conta de origem e deve ser listado como o cabealho da primeira coluna. Os cabealhos de coluna TargetRDN, TargetSAM e TargetUPN so opcionais e voc pode list-los em qualquer ordem. necessrio especificar o nome da conta como um nome de usurio, nome diferenciado relativo ou nome cannico. Se voc especificar o nome da conta como um nome diferenciado relativo, dever especificar tambm a UO de origem.
y
Estes itens so exemplos de arquivos de incluso vlidos em que a opo de renomeao usada: SourceName,TargetSAM abc,def
16
Essa entrada do arquivo de incluso altera o nome da conta TargetSAM do usurio "abc" para "def." O TargetRDN e o TargetUPN, que no so especificados nesse arquivo de incluso, no so alterados como resultado da migrao. SourceName,TargetRDN,TargetUPN abc,CN=def,def@contoso.com Essa entrada do arquivo de incluso altera o TargetRDN do usurio abc para CN=def e o TargetUPN para def@contoso.com. O TargetSAM do usurio abc no alterado como resultado da migrao. Importante Voc deve especificar CN= antes de usar um valor RDN.
Depois, especifique o nome do arquivo de excluso quando executar o comando admt. Por exemplo:
admt managedserviceaccount /ef:exclude file name
Como opo, voc pode especificar contas especficas usando o parmetro /en:
admt managedserviceaccount /en:conta de servio gerenciado 1 conta de servio gerenciado 2
Usando scripts
Os scripts de amostra que so fornecidos neste guia referem-se s constantes simblicas que so definidas em um arquivo chamado AdmtConstants.vbs. A listagem a seguir mostra o arquivo VBScript (Microsoft Visual Basic Scripting Edition) de constantes da ADMT. As constantes so fornecidas tambm na pasta de instalao da ADMT, no arquivo TemplateScript.vbs, no diretrio %systemroot%\WINDOWS\ADMT. Para usar os scripts de amostra deste guia, copie o arquivo VBScript de constantes da ADMT no Bloco de Notas e salve-o como AdmtConstants.vbs. Certifique-se de salv-lo na mesma pasta em que voc planeja salvar os scripts de amostra que so fornecidos neste guia.
Option Explicit
'----------------------------------------------------------------------------
17
= &H0001 = &H0002
' Observe que a constante a seguir no pode ser especificada sozinha. ' Ela deve ser especificada junto com admtComplexPassword ou admtCopyPassword. Const admtDoNotUpdatePasswordsForExisting = &H0010
Const admtIgnoreConflicting Const admtMergeConflicting Const admtRemoveExistingUserRights Const admtRemoveExistingMembers Const admtMoveMergedAccounts
= &H0000 = &H0001
Const admtNoExpiration = -1
18
Const admtReportMigratedAccounts
= 0
Const admtNone Const admtData Const admtFile Const admtDomain Const admtRecurse
= 0 = 1 = 2 = 3 = &H0100 = &H0000
Const admtFlattenHierarchy
ADMT v3.0
Windo
Domnios
Migra 19
verso do ADMT
(http://go.microsoft.com/f wlink/?LinkID=68791)
ws de origem de destino mnimo Windows 2000 nativo. Server podem 2003 conter controladore s de domnio que executem o Windows N T, o Windows 2000 Server ou o Windows Server 2003. Nenhum nvel funcional de domnio mnimo exigido para um domnio de origem. Windo ws Server 2008 Domnios de origem podem conter controladore s de domnio que executam o Windows 2000 Server, Windows Server 2003 ou o Windows O nvel funcional de domnio de destino mnimo Windows 2000 nativo. Se o domnio de destino tiver controladores de domnio que executem o Windows Server 2008 R2, use o ADMT v3.2. Observao H problemas conhecidos ao usar o ADMT v3.1 para migrar objetos para um domnio que tenha
computador es que executam o Windows 2000 Profes sional, o Windows X P, o Windows N T 4, o Windows 20 00 Server e o Windows Server 2003.
Migra computador es que executam o Windows 2000 Profes sional, o Windows X P, o Windows Vi sta, o Windows 20 00 Server, o Windows Server 2003 20
verso do ADMT
Server 2008 . Nenhum nvel funcional de domnio mnimo exigido para um domnio de origem, mas o ADMT v3.1 no pode ser usado para migrar objetos de domnios do Windows NT 4. ADMT v3.2 (http://go.microsoft.com/f wlink/?LinkId=186197) Windo ws Server 2008 R2
controladores de domnio do Windows Server 2008 R2. Para obter mais informaes, consulte o artigo 976659 da Base de Dados de Conhecimento Microsoft (http://go.microsoft.co m/fwlink/?LinkId=1822 90).
O nvel O nvel funcional de domnio funcional de de destino mnimo domnio de Windows Server 2003. origem mnimo Windows Se rver 2003.
Migra computador es que executam o Windows X P, o Windows Vi sta, o Windows 7, o Windows Server 2003, o Windows Server 2008 eo Windows Server 2008 R2.
21
Pode ser migrado usando o Assistente para Migrao da Conta de Servio Gerenciado ou o comando admt managedserviceaccount. Contas de usurio que esto habilitadas para a Garantia de Mecanismo de Autenticao precisam ser migradas usando um arquivo de incluso Importante O Nome do Usurio Principal (UPN) alterado quando um usurio migrado, o que impede o funcionamento da Garantia do Mecanismo de Autenticao. Para contornar esse problema, voc precisa manter um registro das UPNs das contas de usurio que esto habilitadas para Garantia de Mecanismo de Autenticao e migr-las usando um arquivo de incluso. Em um arquivo de incluso, voc pode especificar as targetUPNs para que esses usurios sejam migrados. Assim voc pode substituir as UPNs nesse domnio de destino pela UPNS original do domnio de origem. Para obter mais informaes sobre como usar um arquivo de incluso, consulte Usar um arquivo de incluso.
Nenhum impacto 22
Recurso
y
y y y
23
usurios finais de que eles precisaro descriptografar quaisquer arquivos criptografados ou perdero o acesso a esses arquivos. y Garanta que o horrio do sistema esteja sincronizado em cada domnio do qual objetos sejam migrados. A autenticao Kerberos falha se o horrio estiver diferente.
y y y
y
24
Tipo de perfil
Diretrizes de converso
Perfis mveis
Selecione a opo Converter perfis mveis na pgina Opes do Usurio no Assistente para Migrao de Conta de Usurio. Em seguida, converta os perfis de usurio local de um lote de usurios imediatamente depois de migrar esses usurios. Converta perfil locais como uma etapa parte do processo de migrao de conta de usurio. Selecione Perfis de usurio na pgina Converter Objetos do Assistente para Converso de Segurana. Converta os perfis de usurio local de um lote de usurios imediatamente depois de migrar esses usurios. Os usurios perdem seus perfis existentes quando suas contas de usurio so migradas.
Perfis locais
Perfis no gerenciados
Importante importante verificar se a converso do perfil local foi realizada com xito antes que os usurios faam logon no domnio de destino. Se os usurios fizerem logon no domnio de destino usando suas novas contas de destino e seus perfis no tiverem sido convertidos com xito, eles precisaro migrar novamente do domnio de origem para o domnio de destino. Para obter mais informaes sobre as etapas a serem seguidas se uma converso de perfil local falhar, consulte Solucionando problemas de converso de segurana.
25
y
Verifique se as estaes de trabalho e os servidores membros foram reiniciados imediatamente aps voc associ-los ao domnio de destino. A Ferramenta de Migrao do Active Directory (ADMT) automatiza a reinicializao de estaes de trabalho e servidores membros, mas voc deve utilizar a opo Minutos at que os computadores sejam reinicializados aps a concluso do assistente do Assistente para Migrao de Computadores para selecionar o perodo de tempo decorrido at que o computador seja reiniciado. Os computadores que no forem reiniciados aps a migrao ficaro em um estado indeterminado. Comunique aos usurios finais que seus computadores devero estar conectados rede no horrio agendado para migrao.
y
y
y
26
origem se torne o domnio de destino e, com o ADMT v3.1, o nvel funcional do domnio de destino dever estar pelo menos no nvel do Windows 2000 nativo.
Nesta seo y y y y y y y y
y y
Para migrar um domnio piloto para seu ambiente de produo Para mesclar sua floresta do Active Directory com a floresta de outra organizao e consolidar as suas infraestruturas de tecnologia de informao (TI)
Referncia
Tarefa
Leia as instrues de pr-instalao da Ferramenta de Migrao do Active Directory (ADMT). Para migrar computadores que estejam executando o Windows Server 2008, o Windows Server 2003, o Windows Vista (sem o Service Pack 1), o Windows XP e o Microsoft Windows 2000 (usando o ADMT 3.1) para um domnio de destino com controladores de domnio que estejam executando o Windows Server 2008 R2 ou o Windows Server 2008, defina primeiro a seguinte chave do Registro nos controladores de domnio de destino: Observao Esta chave de Registro no precisa ser definida para migrar computadores que executem o Windows Server 2008 R2, o Windows 7 ou o Windows Vista SP1. Caminho do Registro: HKLM\System\CurrentControlSet\Services\Netlogon \Parameters Valor do Registro: AllowNT4Crypto Tipo: REG_DWORD Dados: 1 Observao Essa configurao do Registro corresponde configurao Permitir algoritmos de criptografia compatveis com Windows NT 4.0 da Diretiva de Grupo. Para tarefas de migrao que usem a implantao de agente e o Firewall do Windows, habilite a exceo Compartilhamento de Arquivo e Impressora. Isso pode incluir migrao nas seguintes situaes: y Migrao de computadores de estao de trabalho e de servidores membros que estejam executando o Windows Server 2008 R2, o Windows
Instalando o ADMT no domnio de destino Para obter mais informaes sobre como fazer essa alterao usando a Diretiva de Grupo, consulte Problemas conhecidos relacionados instalao e remoo de AD DS (http://go.microsoft.com/fwlink/?LinkId= 119321).
Para obter mais informaes sobre como fazer essa alterao no Firewall do Windows, consulte Habilitar ou desabilitar a exceo de compartilhamento de arquivos e impressoras (http://go.microsoft.com/fwlink/?LinkID= 28
Tarefa
Referncia
Server 2008, o Windows Server 2003, o Windows 7, o Windows Vista ou o Windows XP. y Migrao de configuraes de segurana ou execuo de converso de segurana
119315).
Prepare-se para reestruturar os domnios do Active Directory dentro de uma floresta. Essa tarefa possui as seguintes subtarefas: y y y y y y Determine o processo de migrao da sua conta. Atribua localizaes e funes de objeto. Desenvolva um plano de testes para sua migrao. Crie um plano de reverso. Gerencie usurios, grupos e perfis de usurios. Crie um plano de comunicao de usurio.
Instalando o ADMT no domnio de destino Planejando reestruturar domnios do Active Directory entre florestas
Prepare os domnios de origem e destino. Essa tarefa possui as seguintes subtarefas: y y y y Instale o software de criptografia de 128 bits. Estabelea confianas necessrias para a migrao. Estabelea contas de migrao para a sua migrao. Configure o domnios de origem e destino para a migrao do histrico do identificador de segurana (SID). Configure a estrutura de unidade organizacional (UO) do domnio de destino. Instale o ADMT no domnio de destino. Especifique contas de servio para a sua migrao.
Instalando o ADMT no domnio de destino Planejando reestruturar domnios do Active Directory entre florestas
y y y
Especifique e transfira contas de servio usando o Fazendo a transio de contas de servio na sua migrao Assistente para Migrao de Conta de Servio ou as ferramentas de linha de comando do ADMT. Voc pode usar a ferramenta de linha de comando admt service para especificar contas de servio no domnio de origem. Voc pode usar a ferramenta de linha de comando admt user para transferir as suas contas de servio especificadas. Migre grupos globais usando o Assistente para Migrao de Conta de Grupo ou a ferramenta de linha Migrando grupos globais 29
Tarefa
Referncia
de comando admt group. Migre contas de servio gerenciado, contas de usurio e contas de estao de trabalho com seus histricos SID em lotes. Voc pode usar o Assistente para Migrao de Conta de Usurio ou a ferramenta de linha de comando admt user para migrar contas de usurio. Voc pode usar o Assistente para Migrao de Conta de Servio Gerenciado ou a ferramenta de linha de comando admt managedserviceaccount para migrar contas de servio gerenciado. Migre recursos, como servidores membros e grupos de domnio local. Voc pode usar o Assistente para Migrao de Conta de Computador ou a ferramenta de linha de comando admt computer para migrar contas de computador. Voc pode usar o Assistente para Migrao de Conta de Grupo ou a ferramenta de linha de comando admt group para migrar grupos. Converta segurana nos servidores para adicionar os SIDs das contas de usurio e de grupo no domnio de destino s contas de listas de controle de acesso (ACLs) de todos os recursos. Voc pode usar o Assistente para converso de segurana ou a ferramenta de linha de comando admt security. Migrando contas ao usar o histrico SID Migrando contas de servio gerenciado Migrando todas as contas de usurio
Repita migraes de contas de usurio, computadores Repetindo a migrao de contas de de estao de trabalho e servidores membros, incluindo usurio e migrando estaes de trablaho em lotes a converso de perfis de usurios locais para objetos de usurio e de computador migrados anteriormente. Faa a migrao de grupos locais de domnio usando o Assistente para Migrao de Conta de Grupo ou a ferramenta de linha de comando admt group. Migre controladores de domnio. Concluir tarefas ps-migrao. Essa tarefa possui as seguintes subtarefas: y y Faa a converso de segurana em servidores membros. Encerre os domnios de origem. Migrando grupos locais compartilhados e de domnio Migrando controladores de domnio Fazendo a converso de segurana em servidores membros Descomissionando o domnio de origem
30
Viso geral da reestruturao de domnios do Active Directory entre florestas (Guia de Migrao da ADMT v3.1)
Aplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2 Ao reestruturar domnios entre florestas, voc pode reduzir o nmero de domnios em sua organizao, o que ajuda a reduzir a complexidade administrativa e os custos de sobrecarga associados do ambiente do Active Directory. A reestruturao de domnios envolve copiar contas e recursos de um domnio de origem para um domnio de destino em outra floresta do Active Directory. Se voc estiver usando a verso 3.1 da Ferramenta de Migrao do Active Directory (ADMT), o domnio de destino dever estar pelo menos em um nvel funcional nativo do Windows 2000. Se voc estiver usando a verso 3.2 do ADMT, os domnios de origem e de destino devero estar pelo menos em um nvel funcional do Windows Server 2003. Se sua organizao tiver sido fundida a outra organizao ou infraestrutura de tecnologia da informao (TI), voc poder reestruturar domnios para consolidar contas e recursos entre as duas infraestruturas. Nesta seo y y Processo de reestruturao de domnios do Active Directory entre florestas Informaes bsicas sobre a reestruturao de domnios do Active Directory entre florestas
31
32
y
Se o caminho do redirecionamento de pasta for o mesmo no novo ambiente, os usurios no podero acessar a pasta redirecionada porque o redirecionamento de pasta ir verificar a propriedade da pasta redirecionada e falhar. Ser preciso, ento, converter segurana na pasta redirecionada no servidor.
Se estiver usando a Diretiva de Grupo para gerenciar instalao de software e o pacote Windows Installer exigir acesso origem original para operaes como reparo e remoo, ser preciso converter segurana no ponto de distribuio do software aps migrar usurios para garantir que a instalao do software continue funcionando corretamente no domnio de destino.
A migrao de estaes de trabalho e servidores membros um processo simples. Os grupos locais que voc cria para atribuir permisses a usurios esto localizados no banco de dados do Gerenciador de Contas de Segurana (SAM) e so movidos quando voc move o servidor. No preciso reconfigurar ACLs (listas de controle de acesso) para que os usurios possam acessar recursos aps a migrao. Para migrar controladores de domnio entre domnio, remova os Servios de Domnio Active Directory (AD DS) do controlador de domnio, migre-o como servidor membro para o domnio de destino e reinstale o AD DS.
34
Para se preparar para o processo de reestruturao, a equipe de implantao do Active Directory precisa obter as informaes de design necessrias com a equipe de design do Active Directory. A ilustrao a seguir mostra as etapas envolvidas no planejamento da reestruturao de domnios do Active Directory entre florestas.
35
os usurios acessem recursos do domnio de origem por meio de suas credenciais do histrico do SID. y Se tiver uma confiana de floresta, remova a filtragem do SID na confiana de floresta. (Voc tambm pode substituir a confiana de floresta criando uma confiana externa para que o domnio que mantm os recursos confie no domnio de destino e, em seguida, removendo a filtragem do SID na confiana externa). Se no tiver uma confiana de floresta, estabelea confianas externas entre os domnios de origem e de destino. Voc precisa remover a filtragem do SID nas confianas externas se o controlador de domnio que foi usado para criar a confiana que est executando Windows Server 2008 R2, Windows Server 2008 ou o Windows Server 2003. Se voc estiver usando o ADMT v3.1, o controlador de domnio que usado para criar a confiana que pode estar executando o Windows 2000 Service Pack 4 (SP4) ou posterior.
y
Para obter mais informaes sobre o processo, consulte Migrando contas ao usar o histrico SID, posteriormente neste guia. y Migre todos os usurios, grupos e recursos para o domnio de destino em uma etapa. Para obter mais informaes sobre o processo, consulte Migrando contas ao usar o histrico SID, posteriormente neste guia. Migre contas de usurio sem usar o histrico do SID para acessar recursos, mas converta a segurana para todos os recursos antes do processo de migrao para garantir o acesso a recursos. Para obter mais informaes sobre a migrao de contas sem usar o histrico do SID, consulte Migrando contas sem usar o histrico SID, posteriormente neste guia.
y
Para determinar o melhor processo de migrao para a sua organizao, preciso antes determinar se possvel desabilitar a filtragem do SID e migrar contas ao usar o histrico do SID para acessar recursos. possvel faz-lo com segurana se os administradores do domnio de origem confiarem completamente nos administradores do domnio de destino. Voc pode desabilitar a filtragem do SID se uma das seguintes condies se aplicar: y y Os administradores do domnio confiante so os administradores do domnio confivel. Os administradores do domnio confiante confiam nos administradores do domnio confivel e esto certos de terem protegido o domnio adequadamente.
Ao desabilitar a filtragem do SID, voc remove o limite de segurana entre florestas, que fornece isolamento de dados e de servio entre as florestas. Por exemplo, um administrador do domnio de destino com direitos de administrador de servio ou um indivduo com acesso fsico a um controlador de domnio pode modificar o histrico do SID de uma conta para incluir o SID de um administrador de domnio do domnio de origem. Quando a conta de usurio para a qual o histrico do SID foi modificado fizer logon no domnio de destino, ela apresenta credenciais de administrador de domnio vlidas para, e pode obter acesso a recursos do domnio de origem. Por esse motivo, se voc no confiar nos administradores do domnio de destino ou no acreditar que os controladores de domnio do domnio de destino so fisicamente seguros, habilite a filtragem do SID entre seus domnios de origem e de destino e migre contas de usurio sem usar o histrico do SID para acessar recursos. 36
A ilustrao a seguir mostra o processo de deciso envolvido na determinao do processo de migrao adequado para a sua organizao.
destino, tanto o novo SID quanto o SID original do atributo de histrico SID so adicionados ao token de acesso do usurio. Esses SIDs determinam os membros do grupo local do usurio. Os SIDs dos grupos aos quais o usurio est associado so adicionados ao token de acesso, junto com o histrico SID dos grupos. Os recursos dentro dos domnios de origem e de destino resolvem suas listas de controle de acesso (ACLs) dos SIDs e verificam correspondncias entre suas ACLs e o token de acesso ao conceder ou negar acesso. Se o SID ou o histrico SID corresponderem, o acesso ao recurso concedido ou negado, de acordo com o acesso especificado na ACL. Se o recurso estiver no domnio de origem e voc no tiver executado a converso de segurana, ele usar o histrico SID da conta do usurio para conceder acesso. Voc tambm pode preservar o SID original dos grupos globais e dos grupos universais no histrico SID desses grupos no domnio de destino. Como os membros de grupo local baseiamse nos SIDs, quando voc migra o SID para o histrico SID do grupo global ou do grupo universal no domnio de destino, os membros de grupo local do grupo global ou do grupo universal so preservados automaticamente. O histrico SID usado para isto: y y y y Acesso ao perfil de usurio mvel Acesso de autoridade de certificao Acesso instalao de softwares Acesso a recursos
Se voc no estiver usando o histrico SID para acessar recursos, voc ainda assim ter que migrar o histrico SID para facilitar o acesso a esses itens.
38
executando o Windows 2000 Service Pack 4 (SP4) ou posterior. Isso evita ataques de segurana potenciais por administrador em uma floresta diferente. Como a filtragem de SID no se aplica autenticao dentro de um domnio, tambm ser possvel permitir acesso aos recursos por meio do histrico de SID, se o recurso e a conta estiverem no mesmo domnio. Para permitir que usurios ou grupos acessem um recurso usando um histrico de SID, a floresta em que o recurso est localizado deve confiar na floresta em que a conta est localizada. Para obter mais informaes sobre ataques baseados no histrico de SID e sobre a filtragem de SID, consulte Definindo configuraes da filtragem de SID (http://go.microsoft.com/fwlink/?LinkId=73446) (em ingls).
39
Para criar uma tabela de atribuio de objetos de recursos, identifique a UO de origem e de destino de cada objeto e anote o local fsico e a funo no domnio de destino. Para obter uma planilha que ajudar voc a criar uma tabela de atribuio de objetos de recursos, consulte "Resource Object Assignment Table" (Tabela de atribuio de objetos de recursos) (DSSREER_2.doc) no download Job_Aids_Designing_and_Deploying_Directory_and_Security_Services do Auxlio de Trabalho para o Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink?LinkId=14384) (em ingls). A ilustrao a seguir mostra um exemplo de uma tabela de atribuio de objetos de recursos.
40
Use o seguinte processo para testar a migrao do objeto de conta e de objetos de recurso: 1. Crie um usurio de teste no domnio de origem. Inclua esse usurio de teste em suas migraes. 2. Associe esse usurio aos grupos globais apropriados para permitir acesso aos recursos. 3. Faa logon no domnio de origem como o usurio de teste e verifique se consegue acessar os recursos de modo apropriado. 4. Depois de migrar a conta de usurio, converta o perfil de usurio e migre a estao de trabalho do usurio, faa logon no domnio de destino como o usurio de teste e verifique se o usurio manteve as funcionalidades e os acessos necessrios. Por exemplo, voc pode realizar um teste para verificar se: y y O usurio consegue fazer logon com xito. O usurio tem acesso a todos os recursos apropriados (como compartilhamentos de arquivos e impressoras), acesso a servios (como envio de mensagens) e acesso a aplicativos de linha de negcios (LOB). especialmente importante testar o acesso a aplicativos desenvolvidos internamente que acessam servidores de bancos de dados. O perfil de usurio foi convertido com xito e o usurio mantm as configuraes da rea de trabalho, a aparncia da rea de trabalho, os atalhos e o acesso pasta Meus Documentos. Alm disso, verifique se os aplicativos so exibidos no menu Iniciar e se podem ser iniciados por esse menu. Ao migrar contas de usurio, voc no poder migrar todas as propriedades de usurio. Para obter mais informaes sobre as propriedades de usurio que no podem ser migradas, consulte Migrar contas de usurio, posteriormente neste guia. Depois de migrar recursos, faa logon como usurio de teste no domnio de destino e verifique se consegue acessar os recursos de modo apropriado. Se ocorrer falha em alguma etapa do processo de teste, identifique a origem do problema e determine se voc pode corrigi-lo antes que o objeto precise ficar acessvel no domnio de destino. Se voc no conseguir corrigir o problema antes que o acesso ao objeto seja necessrio, reverta para sua configurao original para garantir o acesso ao usurio ou ao objeto de recurso. Para obter mais informaes sobre como criar um plano de reverso, consulte Criando um Plano de Reverso, posteriormente neste guia. Como parte do plano de teste, crie uma matriz de teste de migrao. Preencha uma matriz de teste para cada etapa concluda no processo de migrao. Por exemplo, se voc migrar 10 lotes de usurios, preencha a matriz de teste 10 vezes, uma para cada lote migrado. Se voc migrar 10 servidores membros, preencha uma matriz de teste para cada um dos 10 servidores. Para obter uma planilha que ajudar voc a criar uma matriz de teste, consulte "Migration Test Matrix" (Matriz de teste de migrao) (DSSREER_3.doc) no download Job_Aids_Designing_and_Deploying_Directory_and_Security_Services do Auxlio de Trabalho para o Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink?LinkId=14384) (em ingls). A ilustrao a seguir mostra um exemplo de matriz de teste de migrao concluda. 42
y
43
impacto e inatividade do usurio que podem exigir a reverso da migrao. Poder ser necessrio reverter sua migrao se ocorrer alguma das seguintes situaes: y y y y Os usurios no puderem efetuar logon em suas contas aps a migrao. Os usurios no puderem acessar recursos aps a migrao. A migrao do usurio estiver incompleta; por exemplo, as senhas no foram migradas. A migrao do usurio foi bem-sucedida, mas houve falha na migrao da estao de trabalho do usurio ou na converso do perfil local.
Se o impacto ou inatividade do usurio atingir um nvel que voc tenha definido como inaceitvel em sua organizao, voc poder implementar seu plano de reverso e continuar a operar em seu ambiente de pr-migrao. Como o domnio de origem permanece intacto durante a reestruturao, voc poder restaurar o ambiente original concluindo algumas etapas principais. Para reverter para o ambiente de pr-migrao aps a migrao de objetos de contas: 1. Habilite as contas do usurio no domnio de origem (se voc as desativou durante o processo de migrao). 2. Notifique os usurios para efetuar logoff no domnio de destino. 3. Notifique os usurios para efetuar logon no domnio de origem. 4. Verifique se os usurios podem acessar os recursos. 5. Verifique se os scripts de logon e os perfis de usurios dos usurios funcionam conforme configurado no domnio de origem. O processo de reverso de objetos de recursos semelhante ao dos objetos de contas. Para reverter para o ambiente de pr-migrao aps a migrao de objetos de recursos: 1. Altere a associao de domnio do servidor ou da estao de trabalho para o domnio de origem. 2. Reinicie o servidor ou a estao de trabalho. 3. Efetue logon como um usurio e verifique se voc pode acessar o recurso. Observao Se voc tiver de modificar objetos, como servidores de membros ou controladores de domnio, para migr-los para o domnio de destino, faa backup de todos os dados antes de fazer as modificaes e executar a migrao.
origem quanto no de destino. Sendo assim, voc pode retornar ao ambiente de pr-migrao se o processo de restruturao no obtiver xito. Planeje a administrao e o gerenciamento dos seguintes tipos de objetos de migrao de conta: y y y Contas de usurio, incluindo identificadores de segurana (SIDs) Membros do grupo global Perfis de usurio
Se esse comportamento no for desejado, voc pode configurar o ADMT para excluir atributos para que eles no sejam migrados. Assim, os atributos no domnio de destino so mantidos. Por exemplo, suponha que depois de migrar um usurio voc defina atributos no novo objeto de usurio no domnio de destino, como um nmero de telefone ou nmero de escritrio. Voc repete a migrao do usurio usando a opo Migrar e mesclar objetos conflitantes no ADMT e as novas informaes so mantidas no domnio de destino. Se voc alterou os membros de grupos relacionados ao usurio no domnio de origem, as alteraes so propagadas para o domnio de destino quando voc repete a migrao. Alguns atributos so excludos da migrao. Esses atributos incluem: y y y Atributos que so sempre excludos pelo sistema Atributos que esto na lista de excluso de atributos do sistema Atributos que so configurados pelo administrador para serem excludos
45
46
Perfis mveis
Os perfis de usurio so armazenados de forma centralizada nos servidores. Os perfis ficam disponveis para o usurio, independentemente da estao de trabalho que est sendo usada.
Se voc estiver migrando perfis mveis que estejam sendo usados no Windows Vista ou posterior, prepare-os para a migrao. Para obter mais informaes, consulte Preparao para a migrao de perfis mveis com computadores que executam o Windows Vista e o Windows 7. Durante a migrao da conta de usurio, selecione Converter perfis mveis na pgina Opes de usurio no Assistente para Migrao de Conta de Usurio. Em seguida, converta os perfis de 47
Tipo
Descrio
Requisitos de migrao
usurio local de um lote de usurios imediatamente depois de migrar esses usurios. Perfis locais Os perfis de usurio ficam armazenados localmente na estao de trabalho. Quando um usurio faz logon em outra estao de trabalho, um perfil de usurio local exclusivo criado. Converta perfil locais como uma etapa parte do processo de migrao de conta de usurio. Selecione a opo Perfis de usurio na pgina Converter Objetos do Assistente para Converso de Segurana. Converta os perfis de usurio local de um lote de usurios imediatamente depois de migrar esses usurios. Os usurios perdem seus perfis existentes quando suas contas de usurio so migradas. Faa a migrao como uma etapa parte da migrao de conta de usurio. Migre os perfis para o novo computador do usurio usando uma ferramenta como o USMT.
Perfis no gerenciados
Atualizao de hardware
Preparao para a migrao de perfis mveis com computadores que executam o Windows Vista e o Windows 7
O local de um perfil mvel configurado para uma conta de usurio de domnio e especificado da forma a seguir: \\host.name.fqdn\ProfileShare\<nomedoperfil> Normalmente, <nomedoperfil> substitudo por %nomedousurio%. Portanto, o local real de um perfil mvel para o usurio RoamUserX : \\host.name.fqdn\ProfileShare\RoamUserX A pasta do perfil mvel (neste exemplo, RoamUserX) criada no momento do primeiro logon de RoamUserX e os dados reais do perfil so armazenados nessa pasta. 48
No Windows Vista, foi feita uma alterao nos perfis que os tornavam incompatveis com as verses anteriores do Windows. Para diferenciar os novos perfis, uma extenso .V2 foi adicionada a todos os perfis mveis para usurios em computadores com o Windows Vista e posterior em execuo. O local de um perfil mvel para o mesmo usurio RoamUserX de um computador que executa o Windows Vista ou o Windows 7 : \\host.name.fqdn\ProfileShare\RoamUserX.V2 Esta verso pode coexistir com um perfil mvel de uma verso anterior do Windows. Somente o ADMT v3.2 distingue os dois nomes diferentes das pastas dos perfis. As verses anteriores do ADMT s procuram a pasta denominada <nomedoperfil> e no tentam localizar a existncia de um perfil V2. Portanto, as verses anteriores do ADMT no migram perfis mveis para computadores com o Windows Vista e o Windows 7 em execuo. Para migrar uma pasta de perfil mvel usando o ADMT v3.2, a lista controle de acesso padro da pasta precisa ser modificada. Por padro, quando um usurio faz logon e a pasta e os contedos do perfil mvel so criados, as pastas <nomedoperfil> ou <nomedoperfil>.V2 recebem as seguintes ACLs: y y y SYSTEM Controle Total nome_do_usurio - Controle Total Proprietrio = nome_do_usurio
Portanto, somente o proprietrio do perfil e o sistema local em que o compartilhamento reside, podem acessar a pasta <nomedoperfil> ou <nomedoperfil>.V2. Quando a pasta tem essas permisses atribudas, o ADMT no pode acessar a pasta para a converso de segurana. Para configurar as permisses da pasta para permitir que o ADMT v3.2 migre o perfil mvel, voc pode habilitar uma configurao de Diretiva de Grupo para o domnio. Em Windows Server 2008 R2, a configurao : Configurao do computador\Diretivas\Modelos administrativos\Sistema\Perfis de usurio\Adicionar o grupo de segurana 'Administradores' a perfis mveis de usurios Se essa configurao for habilitada e propagada antes do primeiro logon do usurio (antes do perfil mvel ser criado), o diretrio do perfil mvel ter uma permisso adicionada que concede Controle Total aos membros do grupo Administradores do host do compartilhamento (host.nome.fqdn neste exemplo). Aps essa configurao ser habilitada, as migraes podem ser executadas contanto que o usurio que executa o ADMT v3.2 esteja includo no grupo Administradores do compartilhamento. O usurio que executa o ADMT precisa do acesso Controle Total nas pastas de perfis mveis. Para isso, voc pode experimentar uma das opes a seguir: 1. 2. Crie um script (por exemplo, usando o Windows PowerShell) que execute o seguinte: a. Seja executado como SYSTEM na mquina de compartilhamento (host.nome.fqdn neste exemplo) 49
b. Adicione o grupo de segurana Administradores ao conjunto de ACLs das pastas de perfis, propagando para todas as subpastas e arquivos. c. Adicione o grupo de segurana Administradores com Controle Total ao conjunto de ACLs das pastas de perfis e faa com que a permisso seja herdada em todas as subpastas e arquivos.
3. Crie um script (por exemplo, usando o Windows PowerShell) que execute o seguinte: a. Seja executado no contexto de cada usurio mvel (por exemplo, como uma tarefa de logon). b. Adicione o grupo de segurana Administradores com Controle Total ao conjunto de ACLs das pastas de perfis e faa com que a permisso seja herdada em todas as subpastas e arquivos.
Informaes gerais
Alerte os usurios para o fato de que suas contas de usurios esto agendadas para migrao para o um novo domnio. Direcione os usurios para uma pgina da Web ou para um recurso interno onde eles possam encontrar informaes adicionais e exibir uma agenda de migrao. Informe o novo nome do domnio aos usurios. Certifique de inform-los de que as senhas das contas no sero alteradas. Informe-os de que as contas originais do domnio sero desabilitadas imediatamente aps a migrao e que as contas desabilitadas sero excludas depois de um perodo de tempo especfico. Isso no ser necessrio se os usurios fizerem logon com seus nomes UPN.
50
Impacto
Verifique se os usurios compreenderam que quando a conta for migrada possvel que no consigam acessar alguns recursos, como sites, pastas compartilhadas ou recursos no muito usados pelos indivduos no grupo ou da diviso. Fornea informaes aos usurios sobre quem contatar para obter assistncia sobre como reobter acesso aos recursos requeridos.
Etapas pr-migrao
Alerte os usurios sobre as etapas que precisam executar antes que o processo de migrao seja iniciado. Por exemplo, eles precisam descriptografar os arquivos criptografados por meio do EFS (Encrypting File System). Se isso no for feito, os arquivos criptografados no podero ser acessados depois da migrao. Os usurios precisam verificar se seus computadores esto conectados rede quando a conta estiver agendada para migrao.
Alteraes esperadas
Descreva outras alteraes que os usurios podem esperar que aconteam depois da migrao, como as alteraes no uso de cartes inteligentes, na segurana de email ou no sistema de mensagens instantneas, caso aplicvel.
51
Antes de iniciar a migrao das suas contas do domnio de origem para o domnio de destino, necessrio preparar os domnios de origem e de destino para a migrao. A ilustrao a seguir mostra as tarefas necessrias para preparar os domnios para o processo de reestruturao de domnios entre florestas.
Voc pode baixar o pacote de criptografia do Pacote de Criptografia Elevada do Windows 2000 (http://go.microsoft.com/fwlink/?LinkId=76037) (em ingls).
Para obter mais informaes sobre como criar relaes de confiana, consulte Criando confianas de floresta e domnio (http://go.microsoft.com/fwlink/?LinkId=77381) (em ingls).
objetos, como usurios, contas de servio gerenciado, grupos globais e perfis locais, para serem migrados por essa conta. Por exemplo, uma conta de migrao que voc use para migrar contas de usurio junto com o histrico do identificador de segurana (SID), grupos globais junto com o histrico do SID, computadores e perfis de usurio possui credenciais de administrador local ou administrador de domnio no domnio de origem. A conta de migrao tambm tem permisso delegada nas unidades organizacionais (UOs) de usurio, de conta de servio gerenciado, de grupo e de computador no domnio de destino, com o direito estendido de migrar o histrico SID na UO de usurio. O usurio deve ser um administrador local no computador do domnio de destino no qual o ADMT est instalado. Uma conta de migrao que voc use para migrar estaes de trabalho e controladores de domnio deve ter credenciais de administrador local ou administrador de domnio de origem nas estaes de trabalho ou a conta deve ter credenciais de administrador de domnio de origem no controlador de domnio, ou ambos. No domnio de destino, necessrio usar uma conta que tenha permisses delegadas na UO de computador e na UO de usurio. Convm usar uma conta separada para a migrao de estaes de trabalho se esse processo de migrao for delegado a administradores que estejam no mesmo local que as estaes de trabalho. A tabela a seguir lista as credenciais necessrias nos domnios de origem e de destino para objetos de migrao diferentes.
Objeto de migrao Credenciais necessrias no domnio de origem Credenciais necessrias no domnio de destino
Permisso para Ler todas as informaes de usurios delegada na UO de usurio ou na UO de grupo e credencial de administrador de domnio.
Permisses para Criar, excluir e gerenciar contas de usurio, Criar, excluir e gerenciar grupos e Modificar a participao de um grupo delegadas para a UO de usurio ou UO de grupo e administrador local no computador em que o ADMT est instalado. Permisso delegada na UO de usurio ou na UO de grupo, permisso estendida para migrar histrico do SID e administrador local no computador no qual o ADMT est instalado. Permisso delegada na UO de computador e administrador local no computador no qual o ADMT est instalado
Permisso para Ler todas as informaes de usurios delegada na UO de usurio ou na UO de grupo e credencial de administrador de domnio. Administrador de domnio ou administrador no domnio de origem e em cada computador
Computador
54
Objeto de migrao
Observao Se o computador tiver uma conta de servio gerenciado instalada, voc precisa fornecer credenciais que tenham permisso para atualizar o descritor de segurana da conta de servio gerenciado no domnio de destino. Perfil Administrador local ou administrador de domnio Permisso delegada na UO de usurio e administrador local no computador no qual o ADMT est instalado. Observao Voc pode precisar concluir outras etapas de preparao caso migre perfis mveis para computadores que executem o Windows Vista ou o Windows 7. Para obter mais informaes, consulte Preparao para a migrao de perfis mveis com computadores que executam o Windows Vista e o Windows 7. Os procedimentos a seguir fornecem exemplos para a criao de grupos ou contas para migrar contas e recursos. Os procedimentos variam de acordo com a existncia de uma confiana unidirecional ou de uma confiana bidirecional. O procedimento para criao de grupos de migrao quando h uma confiana unidirecional mais complexa do que o procedimento para quando h uma confiana bidirecional. Isto ocorre porque, com uma confiana unidirecional, preciso adicionar o grupo de migrao ao grupo Administradores local em estaes de trabalho locais. 55
O exemplo de procedimento para criao de grupos de migrao quando h uma confiana unidirecional envolve a criao de grupos separados para migrao de contas e recursos. Contudo, voc pode combinar acct_migrators e res_migrators em um grupo, caso no precise separ-los para delegar conjuntos diferentes de permisses. Para criar um grupo de migrao de conta quando h uma confiana unidirecional na qual o domnio de origem confia no domnio de destino 1. No domnio de destino, crie um grupo global chamado acct_migrators. 2. No domnio de destino, adicione o grupo acct_migrators ao grupo Administradores de Domnio ou delegue a esse grupo a administrao de UOs que so destinos para migrao de conta. 3. Se estiver migrando histrico do SID e no tenha colocado o grupo acct_migrators no grupo Administradores de Domnio, conceda ao grupo acct_migrators a permisso estendida para Migrar histrico do SID no objeto do domnio de destino. Para fazer isso, siga essas etapas: a. Inicie Usurios e computadores do Active Directory, clique com o boto direito do mouse no objeto do domnio e, em seguida, clique em Propriedades. b. Clique na guia Segurana, depois em Adicionar e selecione acct_migrators. Se a guia Segurana no aparecer, em Usurios e computadores do Active Directory, clique em Exibir e, em seguida, em Recursos avanados. c. Em Permisses para acct_migrators, clique em Permitir para a permisso Migrar histrico do SID.
4. No domnio de origem, adicione o grupo migradores_acct ao grupo Builtin\Administradores. 5. Em cada computador no qual voc planeje converter perfis locais, adicione o grupo acct_migrators ao grupo Administradores local. Para criar um grupo de migrao de recurso quando h uma confiana unidirecional na qual o domnio de origem confia no domnio de destino 1. No domnio de destino, crie um grupo global chamado res_migrators. 2. No domnio de destino, adicione o grupo res_migrators ao grupo Administradores de Domnio ou delegue a esse grupo a administrao de UOs que so destinos para migrao de recurso. 3. No domnio de origem, adicione o grupo res_migrators ao grupo Administradores. 4. Em cada computador que voc planeje migrar ou no qual planeje executar converso de segurana, adicione o grupo res_migrators ao grupo Administradores local. Para criar uma conta de migrao de recurso quando h uma confiana bidirecional entre os domnios de origem e de destino 1. No domnio de origem, crie uma conta chamada res_migrator. 56
2. No domnio de origem, adicione a conta res_migrators ao grupo Administradores de Domnio. (O grupo Administradores de Domnio membro do grupo Administradores local em todos os computadores do domnio por padro. Portanto, no preciso adicion-lo ao grupo Administradores local em todos os computadores). 3. No domnio de destino, delegue permisses em UOs que so destinos para migrao de recurso conta res_migrator. O ADMT tambm inclui funes de administrao de banco de dados que voc pode usar para atribuir um subconjunto de permisses de banco de dados a usurios que executam tarefas de migrao especficas. As funes de administrao de banco de dados e as tarefas de migrao que elas podem executar esto listadas na tabela a seguir.
Funo Tarefa de migrao
Tarefas de migrao de conta, como migrao de usurio e grupo. Tarefas de migrao de recurso, como migraes de computador e converso de segurana. Os migradores de contas tambm possuem a funo dos migradores de recursos. Consultas no banco de dados. Os migradores de contas e migradores de recursos tambm possuem a funo dos leitores de dados.
Leitores de dados
Os usurios aos quais est atribuda a funo de administrador do sistema do SQL Server possuem todas as funes de administrao de banco de dados do ADMT. Eles tm credenciais para fazer o seguinte: y y y Exibir funes de banco de dados e usurios que possuem essas funes Adicionar grupos ou usurios a funes Remover grupos ou usurios de funes
Por padro, a funo de administrador do sistema est atribuda ao grupo Administradores local e esse grupo pode executar todas as funes de banco de dados do ADMT.
pode permitir que a Ferramenta de Migrao do Active Directory (ADMT) configure os domnios automaticamente da primeira vez que ela for executada. Para configurar domnios de origem e de destino manualmente, execute estes procedimentos: y y Crie um grupo local no domnio de origem para suporte de auditoria. Habilite o suporte as clientes TCP/IP no emulador do controlador de domnio primrio (PDC) do domnio de origem. Observao Se voc estiver migrando de um domnio com controladores de domnio que executam o Windows Server 2003 ou posterior para outro domnio com controladores de domnio que executam o Windows Server 2003 ou posterior, a entrada do Registro TcpipClientSupport no ter de ser modificada. y Habilite a auditoria de gerenciamento de contas nos domnios de origem e de destino. Para o Windows Server 2008 R2 e o Windows Server 2008, voc tambm precisa habilitar a auditoria de acesso do servio de diretrio para migrar usurios com histrico SID entre florestas. Para criar um grupo local no domnio de origem para suporte de auditoria y No domnio de origem, crie um grupo local chamado DomnioDeOrigem$$$, onde DomnioDeOrigem o nome NetBIOS do seu domnio de origem, por exemplo, Boston$$$. No adicione membros a esse grupo; caso o faa, a migrao do histrico SID falhar.
Para habilitar o suporte a clientes TCP/IP no emulador de PDC do domnio de origem 1. No controlador de domnio do domnio de origem que possui as funes de mestre de operaes (tambm conhecidas como operaes de mestre nico flexveis ou FSMO), clique em Iniciar e em Executar. 2. No campo Abrir, digite regedit e clique em OK. Cuidado A edio incorreta do Registro pode danificar gravemente o sistema. Antes de alterar o Registro, faa um backup de todos os dados importantes que estiverem no computador. Voc tambm pode usar a opo de inicializao ltima configurao vlida se encontrar problemas aps realizar as alteraes. 3. No Editor do Registro, navegue at a seguinte subchave de Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA 4. Modifique a entrada do Registro TcpipClientSupport, de tipo de dados REG_DWORD, configurando o valor como 1. 5. Saia do Editor do Registro e reinicie o computador. Para habilitar a auditoria em domnios Windows Server 2008 R2 e Windows Server 2008 58
1. Faa logon como um administrador em qualquer controlador de domnio do domnio de destino. 2. Clique em Iniciar, aponte para Todos os Programas, aponte para Ferramentas Administrativas e clique em Gerenciamento de Diretiva de Grupo. 3. Navegue at o seguinte n: Floresta | Domnios | Domnio | Controladores de Domnio | Diretiva de Controladores de Domnio Padro 4. Clique com o boto direito do mouse em Diretiva de Controladores de Domnio Padro e clique em Editar. 5. No Editor de Gerenciamento da Diretiva de Grupo, na rvore do console, navegue at o seguinte n: Configurao do Computador | Diretivas | Configuraes do Windows | Configuraes de Segurana | Diretivas locais | Diretiva de Auditoria 6. No painel de detalhes, clique com o boto direito do mouse em Auditoria de gerenciamento de contas e, em seguida, clique em Propriedades. 7. Clique em Definir estas configuraes de diretivas e, em seguida, clique em xito e Falha. 8. Clique em Aplicar e em OK. 9. No painel de detalhes, clique com o boto direito do mouse em Acesso ao servio de diretrio de auditoria e clique em Propriedades. 10. Clique em Definir as configuraes dessas diretivas e, em seguida, clique em xito. 11. Clique em Aplicar e em OK. 12. Se as alteraes precisarem ser refletidas imediatamente no controlador de domnio, abra o prompt de comando elevado e digite gpupdate /force. 13. Repita as etapas de 1 a 12 no domnio de origem.
1. Faa logon como um administrador em qualquer controlador de domnio do domnio de destino. 2. Inicie Usurios e computadores do Active Directory e crie a estrutura de UO especificada por sua equipe de design. 3. Crie grupos administrativos e atribua usurios a esses grupos. 4. Delegue a administrao da estrutura da UO a grupos como definido por sua equipe de design.
Antes de instalar o ADMT v3.1, execute os seguintes pr-requisitos: y y Instale o Windows Server 2008. Remova todas as verses anteriores do ADMT usando Adicionar ou Remover Programas no Painel de Controle. Se tentar instalar o ADMT v3.1 em um servidor que possua uma verso anterior do ADMT instalada, voc receber uma mensagem de erro e a instalao ser interrompida. Se necessrio, voc poder importar o banco de dados da verso anterior do ADMT (por exemplo, ADMT v2.0 ou ADMT v3.0) para o ADMT v3.1 durante a instalao. Se no pretender usar a instalao padro do banco de dados local, verifique se outra instalao de banco de dados do SQL Server 2000 ou do SQL Server 2005 est configurada com uma instncia do ADMT. Para obter mais informaes sobre como criar uma instncia do ADMT em um banco de dados do SQL Server, consulte Instalando o ADMT usando um banco de dados SQL pr-configurado.
y
Clique em Avanar. A instncia do banco de dados do ADMT (MS_ADMT) criada no computador local. Por padro, o SQL Server 2005 Express Edition instalado localmente; no entanto, mesmo que seja utilizado pelo ADMT, o SQL Server 2005 Express Edition ser desabilitado se voc especificar outra instncia de banco de dados na pgina 61
seguinte do assistente. Seleo de Banco de Dados Especifique a instncia de banco de dados qual deseja se conectar. A seleo recomendada Usar o Microsoft SQL Server Express Edition, que configura o ADMT v3.1 para usar a instncia de banco de dados instalada localmente. Se voc estiver usando vrios consoles do ADMT v3.1 ou tiver um servidor de banco de dados dedicado onde deseje centralizar seu banco de dados do ADMT, selecione a opo Usar um Microsoft SQL Server existente. Especifique o servidor ao qual deseja se conectar no formato Servidor\Instncia. Configure a instncia do banco de dados do SQL Server antes de selecionar essa opo. Embora a instalao do ADMT v3.1 continue mesmo que no seja possvel entrar em contato com o banco de dados, voc s poder usar o ADMT para migrar contas ou recursos quando a instncia de banco de dados estiver criada e disponvel. Importao de Banco de Dados da Ferramenta de Migrao do Active Directory v3 Embora voc no possa atualizar uma instalao do ADMT v3.0 para o ADMT v3.1, voc pode importar dados de um banco de dados do ADMT v3.0 para um banco de dados do ADMT v3.1. Se no desejar importar dados de um banco de dados do ADMT v3.0, selecione No, no importar dados de um banco de dados existente (Padro). Se desejar importar dados do ADMT v3.0 para o novo banco de dados do ADMT v3.1, selecione Sim, importar dados do banco de dados do ADMT v3. Se optar por importar dados, especifique o caminho para o arquivo de banco de dados do ADMT v3.0. 62
Embora voc no possa atualizar uma instalao do ADMT v2.0 para o ADMT v3.1, voc pode importar dados de um banco de dados do ADMT v2.0 para um banco de dados do ADMT v3.1. Se voc no desejar importar dados de um banco de dados do ADMT v2.0, selecione No, no importar dados de um banco de dados do ADMT v2. Se desejar importar dados do ADMT v2.0 para o novo banco de dados do ADMT v3.1, selecione Sim, importar dados do banco de dados do ADMT v2. Se optar por importar dados, especifique o caminho para o arquivo de banco de dados do ADMT v2.0. O banco de dados do ADMT v2.0 possui o nome de arquivo protar.mdb e dever estar localizado no diretrio anteriormente usado para a instalao do ADMT v2.0.
Resumo
Esta pgina resume as opes selecionadas. Clique em Concluir para finalizar a instalao do ADMT v3.1.
O restante desta seo trata dos seguintes problemas de instalao: y y Pr-requisitos para a instalao do ADMT v3.2 Instalar o ADMT v3.2
Para instalar o ADMT v3.2 1. No pacote de download do ADMT, clique duas vezes em admtsetup32.exe. 2. Na pgina de Boas-vindas, verifique se as recomendaes foram seguidas e clique em Avanar. 3. Na pgina Contrato de Licena, clique em Concordo e em Avanar. 4. Na pgina Seleo de Banco de Dados, digite o servidor\instncia. O requisito para digitar o nome do servidor tambm se aplica instncia do banco de dados local. possvel digitar um ponto (.) para indicar o servidor local. Por padro, a instncia do SQL Server Express chamada de SQLEXPRESS. Por exemplo, para usar uma instncia padro do SQL Server Express no servidor local, digite .\SQLEXPRESS. 5. Se voc escolher uma instalao do SQL Express e um arquivo de banco de dados ADMT.mdf no estiver na localizao de dados padro %windir%\ADMT\Data, a pgina Importao de Banco de Dados ser exibida. Caso contrrio, a Instalao do ADMT ser automaticamente anexada ao arquivo do banco de dados e a pgina Resumo ser exibida. Na pgina Importao de Banco de Dados, se voc no precisar importar dados, clique em No, no importar dados de um banco de dados existente (Padro). Se voc precisar importar dados de uma instalao anterior do ADMT, clique em Sim, importar dados de um banco de dados do ADMT v3.0 ou do ADMT v3.1 e para navegar at a localizao do arquivo de banco de dados, clique em Procurar. Antes de importar dados de um banco de dados, voc precisar separar o arquivo do banco de dados do SQL Server usando os comandos do SQL Server. Para obter mais informaes, consulte Separar um arquivo de banco de dados de uma verso anterior do ADMT e do SQL Server. Quando terminar, clique em Avanar. 6. Na pgina Resumo, examine os resultados da instalao e clique em Concluir.
Separe um arquivo de banco de dados existente de uma verso anterior do ADMT e do SQL Server
Se voc utilizar o SQL Server Express, o banco de dados ser separado automaticamente quando remover o ADMT. O banco de dados do SQL Server Express separado pode ser reutilizado como parte de outra instalao do ADMT posterior. Neste caso, o ADMT anexado atomaticamente ao banco de dados existente que voc especificar durante a instalao. Voc pode separar o arquivo de banco de dados do ADMT de uma instncia completa do SQL Server caso tenha outro aplicativo que deseje anexar ao mesmo banco de dados. Por exemplo, caso planeje mudar de uma instalao SQL Server completa para uma SQL Server Express ou se tiver um arquivo de banco de dados do ADMT de uma instalao anterior que voc tenha 65
anexado s ferramentas de gerenciamento do SQL Server, ela precisar ser separada daquele banco de dados antes de poder ser consumida pelo ADMT. Para separar um banco de dados, voc pode usar o procedimento armazenado do SQL:
sp_detach_db [ @dbname = ] 'dbname'
Para obter mais informaes sobre essa chamada de procedimento armazenado, consulte a documentao do SQL Server. Para obter mais informaes sobre como usar o SQL Server Management Studio para separar o banco de dados, consulte Como: Separar um Banco de Dados (SQL Server Management Studio (http://go.microsoft.com/fwlink/?LinkId=183994). (em ingls)
Instala um novo banco de dados do ADMT ou prepara um banco de dados vazio. O parmetro /server especifica o nome do SQL Server e a instncia qual se conectar para criar o banco de dados. Esse parmetro obrigatrio.
Atualiza uma verso anterior de um banco de dados do ADMT v3.0 ou v3.1. O parmetro /server, que obrigatrio, especifica o nome do SQL Server e a instncia qual se conectar para atualizar o banco de dados do ADMT v3.0 ou v3.1. Observao Antes de atualizar o banco de dados do ADMT, abra o console do ADMT para verificar se ele compatvel com 66
Sintaxe
Descrio
o banco de dados. admtdb attach [/{a|attach}: "caminho do banco de dados da v3x" Anexa um banco de dados do ADMT instncia SQL Server Express 2005 ou do SQL Server Express 2008 local. O parmetro /attach, que obrigatrio, especifica o caminho para um arquivo de banco de dados Admt.mdf separado. Para consultar a Ajuda para todas as opes de linha de comando do Admtdb.exe, digite admtdb /? no prompt de comando. Se voc tiver comeado a migrao usando um banco de dados do SQL Server Express local e tiver configurado uma instncia remota de um banco de dados do SQL Server e precisar voltar a usar um banco de dados do SQL Server Express local, conclua o procedimento a seguir. Nesse caso, o arquivo de banco de dados do ADMT j est anexado instncia do SQL Express. Portanto, no necessrio reanex-lo explicitamente. Se voc comear a migrao usando o SQL Server e quiser alternar para o SQL Server Express, consulte Reutilizar um banco de dados do ADMT existente de uma instalao anterior. Estar associado ao grupo Administradores, ou equivalente, o requisito mnimo para a concluso deste procedimento. Revise os detalhes sobre o uso de contas e associaes a grupos apropriadas em Local e Domnio Padro (http://go.microsoft.com/fwlink/?LinkId=83477). Para reutilizar um banco de dados local depois de configurar uma instncia remota de um banco de dados do SQL Server 1. No computador local, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Servios. 2. No painel Detalhes, certifique-se de que o servio que hospeda a instncia do SQL Server Express est sendo executado e que Tipo de Inicializao est configurado como Automtica. Se voc estiver usando o ADMT v3.1 e tiver uma instalao do ADMT que instala o SQL Server Express, o nome do servio ser MSSQL$MS_ADMT. Se o servio no tiver sido iniciado ou se no estiver definido para ser iniciado automaticamente na inicializao do sistema, clique em Inicializado, clique com o boto direito do mouse no nome do servio e clique em Propriedades. 3. Na guia Geral, na lista Tipo de Inicializao, clique em Automtico. 4. Em Status do Servio, clique em Iniciar e, em seguida, clique em OK. 5. Feche Servios. 6. No prompt de comando, digite os seguintes comandos: Observao 67
O comando admtdb attach s ser necessrio se voc tiver executado comandos SQL para separar a instncia local do SQL Server Express.
admtdb attach /{s | Server}:Instncia local do SQL Server Express admt config setdatabase /s:Servidor\Instncia.
Agora voc pode usar o banco de dados do ADMT com a instncia local do SQL Server. 68
No necessrio executar o assistente de instalao do ADMT novamente. A instalao do ADMT s pode ser executada uma vez. Voc pode executar qualquer alterao na configurao do banco de dados usando os comandos admtdb.exe e admt config setdatabase.
y
Valor
Descrio
<DomniodDeOrigem>
Especifica o nome do domnio de origem no qual o servio de PES est sendo instalado. Pode ser especificado como o nome do sistema de nome de domnio (DNS) ou NetBIOS. Especifica o caminho para o local em que a chave criptografada est armazenada. Uma senha, que fornece criptografia de chave, opcional. Para proteger a chave compartilhada, digite a senha ou um asterisco (*) na linha de comando. O asterisco faz com que seja solicitada uma senha que no exibida na tela.
<CaminhoDoArquivoDeChaves>
{<senha>|*}
Depois de criar a chave de criptografia, configure o servio de PES em um controlador de domnio do domnio de origem. O ADMT fornece a opo de executar o servio de PES sob a conta Sistema Local ou usando as credenciais de um usurio autenticado do domnio de destino. Recomendamos que voc execute o servio de PES como um usurio autenticado do domnio de destino. Dessa forma, no preciso adicionar o grupo Todos e o grupo Logon Annimo ao grupo Acesso Compatvel Anterior ao Windows 2000. Observao Se voc executar o servio de PES sob a conta Sistema Local, verifique se o grupo Acesso Compatvel Anterior ao Windows 2000 do domnio de destino contm o grupo Todos e o grupo Logon Annimo. Para configurar o servio de PES no domnio de origem 1. No controlador de domnio que executa o servio de PES no domnio de origem, insira o disco da chave de criptografia. 2. Execute Pwdmig.msi. Caso tenha configurado uma senha durante o processo de gerao da chave no controlador de domnio do domnio de destino, fornea a senha informada quando a chave foi criada e clique em Avanar.
Pgina do assistente Ao
70
Bem-vindo ao Assistente para instalao de DLL de migrao de senha do ADMT Arquivo de criptografia
Clique em Avanar.
Para instalar a biblioteca de vnculo dinmico (DLL) de migrao de senha do ADMT, ser preciso especificar um arquivo que contenha uma chave de criptografia de senha vlida para este domnio de origem. O arquivo de chave deve estar localizado em uma unidade local. Use o comando admt key para gerar os arquivos de chave. Para obter mais informaes, consulte o procedimento anterior, "Para criar uma chave de criptografia".
Especifique a conta sob a qual deseja que o servio de PES seja executado. Voc pode especificar uma das contas a seguir: y y A conta Sistema Local Uma conta de usurio especificada Observao Caso planeje executar o servio de PES como uma conta de usurio autenticada, especifique a conta no formato domnio\nome_de_usurio.
Resumo
Clique em Concluir para concluir a instalao do servio de PES. Observao Para usar a migrao de senha do ADMT, voc precisar reiniciar o servidor em que instalou o servio de PES.
3. Aps a concluso da instalao, reinicie o controlador de domnio. 4. Depois que o controlador de domnio for reiniciado, para iniciar o servio de PES, aponte para Iniciar, depois para Todos os programas, paraFerramentas administrativas e clique em Servios. 5. No painel de detalhes, clique com o boto direito em Servio de Servidor de 71
Exportao de Senha e clique em Iniciar. Observao S execute o servio de PES quando migrar senhas. Pare o servio de PES aps a concluso da migrao de senha.
y
1. No console do ADMT, use o Assistente para Migrao de Conta de Grupo concluindo as etapas descritas na tabela a seguir. Aceite as configuraes padro quando nenhuma informao for especificada.
Pgina do assistente Ao
Seleo de Domnio
Sob Origem, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio e clique em Avanar.
Seleo de Grupo
Clique em Selecionar grupos do domnio e em Avanar. Na pgina Seleo de Grupo, clique em Adicionar para selecionar os grupos do domnio de origem a serem migrados, clique em OK e, em seguida, clique em Avanar. Ou Clique em Ler objetos em um arquivo de incluso e clique em Avanar. Digite o local do arquivo de incluso e clique em Avanar.
Digite o nome da UO ou clique em Procurar. Na caixa de dilogo Procurar Continer, localize o continer do domnio de destino para o qual voc deseja mover os grupos globais e clique em OK.
Opes de Grupo
Marque a caixa de seleo Migrar SIDs de grupo para domnio de destino. Todas as outras opes devem 73
permanecer desmarcadas. Conta de Usurio Digite o nome de usurio, a senha e o domnio de uma conta que tenha direitos administrativos no domnio de origem. Clique em No migrar o objeto de origem se for detectado um conflito no domnio de destino.
Gerenciamento de Conflitos
2. Quando o assistente for concludo, clique em Exibir Log e verifique se h erros no log de migrao.
ADMT. A senha nunca migrada junto com uma conta de servio. Em vez disso, o ADMT usa uma representao de texto sem criptografia da senha para configurar os servios depois da migrao da conta de servio. Uma verso criptografada da senha ento armazenada no arquivo password.txt na pasta de instalao do ADMT. O administrador de uma estao de trabalho ou de um servidor pode instalar qualquer servio e configur-lo com qualquer conta de domnio. Se um usurio mal-intencionado que tenha privilgios de administrador configurar um servio para autenticar sem uma senha correta (como uma senha que no precise atender aos requisitos de complexidade), o servio no ser iniciado. Depois da migrao da conta de servio, o ADMT configura o servio na estao de trabalho ou no servidor para usar a nova senha e o servio no ser iniciado usando a conta de usurio no domnio de destino. Portanto, voc deve incluir no Assistente para Migrao de Conta de Servio somente os servidores gerenciados por administradores confiveis. No use o assistente para detectar contas de servio em computadores no gerenciados por administradores confiveis, como estaes de trabalho. Distribua agentes a todos os servidores gerenciados por administradores confiveis para garantir que nenhuma conta de servio seja ignorada. Se voc se esquecer de uma conta de servio que compartilhe uma conta com um servio que j tenha sido migrado, o ADMT no poder sincronizar as contas de servio. necessrio alterar manualmente a senha da conta de servio e redefinir a senha da conta de servio em todos os servidores que estiverem executando esse servio. Quando as contas que o Assistente para Migrao de Conta de Servio identifica no banco de dados do ADMT como executadas no contexto de contas de usurio so migradas para o domnio de destino, o ADMT concede a cada uma delas o direito de fazer logon como um servio. Se direitos foram atribudos conta de servio por meio de sua associao em um grupo, o Assistente para Converso de Segurana atualiza a conta para atribuir esses direitos. Para obter mais informaes sobre como executar o Assistente para Converso de Segurana, consulte Fazendo a transio de contas de servio na sua migrao, posteriormente neste guia. Voc pode identificar contas de servio usando o snap-in do ADMT, a opo de linha de comando do ADMT ou um script. Para identificar contas de servio utilizando o snap-in do ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. No snap-in do ADMT, clique em Ao e em Assistente para Migrao de Conta de Servio. 3. Conclua o Assistente para Migrao de Conta de Servio executando as informaes na tabela a seguir.
Pgina do assistente Ao
75
Seleo de Domnio
Sob Origem, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio e clique em Avanar.
Clique em Sim, atualizar as informaes. Clique em Selecionar computadores do domnio e em Avanar. Na pgina Seleo de Contas de Servio, clique em Adicionar para selecionar as contas do domnio de origem a serem migradas, clique em OK e, em seguida, clique em Avanar. Ou Clique em Ler objetos em um arquivo de incluso e em Avanar. Digite o local do arquivo de incluso e clique em Avanar.
Em Aes do Agente, selecione Executar pr-verificao e operao do agente e clique em Iniciar. Uma mensagem aparecer no Resumo do Agente quando as operaes do agente estiverem concludas. Depois que as operaes do agente forem concludas, clique em Fechar. Selecione as contas de usurio que no precisem ser marcadas como contas de servio no banco de dados do ADMT e 76
clique em Ignorar/Incluir para marcar as contas com Ignorar. Concluindo o Assistente para Migrao Revise suas selees e clique em de Conta de Servio Concluir. O assistente se conecta aos computadores selecionados e envia um agente para verificar todos os servios nos computadores remotos. A pgina Informaes de Contas de Servio lista os servios que esto sendo executados no contexto de uma conta de usurio e o nome dessa conta de usurio. O ADMT anota em seu banco de dados que essas contas de usurio devem ser migradas como contas de servio. Se no desejar que uma conta de usurio seja migrada como uma conta de servio, selecione a conta e clique em Ignorar/Incluir para alterar o status de Incluir para Ignorar. Use Atualizar SCM para atualizar o Gerenciador de Controle de Servios com as novas informaes. A menos que ocorra uma falha quando voc tentar acessar um computador para atualizar o servio, o boto Atualizar SCM no estar disponvel. Se voc tiver problemas para atualizar uma conta de servio identificada e migrada, verifique se o computador que est tentando acessar est disponvel e, em seguida, reinicie o Assistente para Migrao de Conta de Servio. No assistente, clique em Atualizar SCM para tentar atualizar o servio. Se voc tiver executado o Assistente para Migrao de Conta de Servio anteriormente e o boto Atualizar SCM no estiver disponvel, examine os arquivos de log do ADMT para determinar a causa do problema. Depois que voc corrigir o problema e o agente puder se conectar com xito, o boto Atualizar SCM ficar disponvel. Para identificar contas de servio usando a opo de linha de comando do ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. Na linha de comando, digite o comando a seguir e pressione ENTER:
ADMT SERVICE /N "<nome_do_computador1>" "<nome_do_computador2>" /SD:" <domnio_de_origem>" /TD:" <domnio_de_destino>"
Onde <nome_do_computador1> e <nome_do_computador2> so os nomes dos computadores do domnio de origem que executam as contas de servio. Voc tambm pode incluir parmetros em um arquivo de opo especificado na linha de comando, da seguinte forma:
ADMT SERVICE /N "<nome_do_computador1>" "<nome_do_computador2>" /O:" <arquivo_de_opo>.txt"
A tabela a seguir lista os parmetros comuns usados para identificar contas de servio, juntamente com o parmetros de linha de comando e os equivalentes de arquivo de opo.
77
Valores
/TD:"domnio_de_destino"
TargetDomain="domnio_de_destino"
3. Verifique se h erros nos resultados exibidos na tela. Para identificar contas de servio usando um script y Crie um script que incorpore comandos e opes do ADMT para identificar contas de servio usando o exemplo de script a seguir. Copie o script no Bloco de Notas e salve o arquivo com a extenso de nome de arquivo .wsf na mesma pasta do arquivo AdmtConstants.vbs.
<Job id="IdentifyingServiceAccounts" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
78
Migrando Contas
Aplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2 O processo de migrao de objetos de conta de um domnio de origem para um domnio de destino em uma outra floresta do Active Directory envolve em primeiro lugar a migrao de contas de servio e, em seguida, a migrao de grupos globais. Aps os grupos estarem no domnio de destino, voc pode migrar usurios de acordo com o processo selecionado por voc, seja usando o histrico do SID (identificador de segurana) para acesso a recurso ou no. Quando o processo de migrao de objeto de conta estiver concludo, voc poder instruir usurios do domnio de origem para fazer logon no domnio de destino. A ilustrao a seguir mostra o processo de migrao de contas entre domnios em florestas distintas.
79
Voc pode fazer a transio de contas de servio usando o snap-in do ADMT, a opo de linha de comando do ADMT ou um script. 80
Para fazer a transio de contas de servio utilizando o snap-in do ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. No snap-in do ADMT, clique em Ao e, em seguida, em Assistente para migrao de conta de usurio. 3. Conclua o Assistente para migrao de conta de usurio usando as informaes da tabela a seguir.
Pgina do assistente Ao
Seleo de domnio
Sob Origem, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio e clique em Avanar.
Seleo de usurio
Clique em Selecionar usurios do domnio e em Avanar. Na pgina Seleo de usurio, clique em Adicionar para selecionar as contas do domnio de origem que deseja migrar, clique em OK e, em seguida, clique em Avanar. Ou Clique em Ler objetos em um arquivo de incluso e em Avanar. Digite o local do arquivo de incluso e clique em Avanar.
Clique em Procurar. Em Procurar recipiente, localize o domnio de origem, selecione o recipiente para as contas de servio e clique em OK.
81
Opes de senha
Clique em Gerar senhas complexas. Observao Ao fazer a transio de contas de servio usando o Assistente para migrao de conta de usurio, uma senha complexa gerada automaticamente, independentemente da opo selecionada nesta pgina do assistente. Mesmo que a opo No atualizar senhas para usurios existentes esteja selecionada, uma senha complexa ser gerada.
Clique em Habilitar contas de destino. Marque a caixa de seleo Migrar SIDs de usurio para o domnio de destino.
Conta de usurio
Digite o nome de usurio, a senha e o domnio de uma conta de usurio que possua credenciais administrativas. Marque a caixa de seleo Atualizar direitos de usurio. Verifique se nenhuma outra configurao est selecionada, incluindo Migrar grupos de usurios associados.
Opes de usurio
Gerenciamento de conflitos
Clique em No migrar o objeto de origem se for detectado um conflito no domnio de destino. Clique em Migrar todas as contas de servio e atualizar o SCM para itens marcados para incluso. Se voc tambm estiver migrando outras contas de usurio que no sejam contas de servio, este assistente o informar de que voc selecionou algumas contas que esto marcadas como contas de servio no banco de dados do ADMT. Por padro, as contas esto marcadas como Incluir. Para alterar o status da conta, selecione-a e clique em 82
Ignorar/Incluir. Clique em Avanar para migrar as contas. 4. Quando o assistente for concludo, clique em Exibir log e revise o log de migrao procura de erros. 5. Inicie Usurios e computadores do Active Directory, navegue para a unidade organizacional (UO) que voc criou para contas de servio e verifique se as contas de servio existem na UO do domnio de destino. 6. Confirme que cada aplicativo para o qual a conta de servio foi realocada continua funcionando corretamente. Para fazer a transio de contas de servio usando a opo de linha de comando do ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. Na linha de comando, digite o comando a seguir e pressione ENTER:
ADMT USER /N "<nome_de_servidor1>" "<nome_do_servidor2>" /SD:" <domnio_de_origem>" /TD:" <domnio_de_destino>" /TO:" <UO_de_destino>" /MSS:YES
Onde Nome_do_servidor1 e Nome_do_servidor2 so os nomes dos servidores do domnio de origem que executam contas de servio. Voc tambm pode incluir parmetros em um arquivo de opo especificado na linha de comando, desta forma:
ADMT USER /N "<nome_do_servidor1>" "<nome_do_servidor2>" /O: "<arquivo_de_opo>.txt"
A tabela a seguir lista os parmetros comuns usados para fazer a transio de contas de usurio, juntamente com o parmetros de linha de comando e os equivalentes de arquivo de opo.
Parmetros Sintaxe da linha de comando Sintaxe do arquivo de opo
/SD:"domnio_de_origem" SourceDomain="domnio_de_origem"
<Domnio de origem> <Domnio de destino> Local da <UO de destino> Desabilitar contas Migrar senha
/TD:"domnio_de_destino"
TargetDomain="domnio_de_destino"
/TO:"UO_de_destino"
TargetOU="UO_de_destino"
/DOT:ENABLETARGET
(padro)
DisableOption=ENABLETARGET
(padro)
/PO:COMPLEX
(padro)
PasswordOption=COMPLEX
83
/MSS:YES
MigrateSIDs=YES
/UUR:YES
UpdateUserRights=YES
/CO:IGNORE
(padro)
ConflictOptions=IGNORE
(padro)
3. Revise os resultados exibidos na tela procura de erros. 4. Abra Usurios e Computadores do Active Directory e localize a UO da conta de servio de destino. Verifique se as contas de servio existem na UO do domnio de destino. Para fazer a transio de contas de servio usando um script y Prepare um script que incorpore comandos e opes do ADMT para fazer a transio de contas de servio usando o exemplo de script a seguir. Copie o script no Bloco de Notas e salve o arquivo com a extenso de nome de arquivo .wsf na mesma pasta do arquivo AdmtConstants.vbs.
<Job id=" TransitioningServiceAccountsBetweenForests" > <Script language=" VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
84
objMigration.SourceDomain = "domnio de origem" objMigration.SourceOu = "continer de origem" objMigration.TargetDomain = "domnio de destino" objMigration.TargetOu = "continer de destino" objMigration.ConflictOptions = admtIgnoreConflicting
No migre grupos globais em horrios de pico de trabalho. O processo de migrao de grupos globais pode consumir uma grande quantidade de recursos de rede e de recursos do controlador do domnio de destino. Para realizar a migrao de grupos globais, siga estas etapas: 1. O administrador seleciona objetos de grupo global no domnio de origem. 2. Um novo objeto de grupo global criado no domnio de destino e um novo identificador de segurana (SID) primrio criado para o objeto no domnio de destino. 3. Para preservar o acesso aos recursos, a Ferramenta de Migrao do Active Directory (ADMT) adiciona o SID do grupo global do domnio de origem ao atributo de histrico do SID do novo grupo global do domnio de destino. Aps a migrao, eventos so registrados nos domnios de origem e de destino. Observao Se o processo de migrao de conta de usurio demorar muito tempo para ser realizado, possvel que voc precise repetir a migrao dos grupos globais do domnio de origem para o domnio de destino. O objetivo propagar as alteraes da associao feitas no domnio de origem antes que o processo de migrao seja concludo. Para obter mais informaes sobre como repetir a migrao de grupos globais, consulte Repetindo a migrao de todos os grupos globais depois que todos os lotes so migrados, posteriormente neste guia. Voc pode migrar grupos globais usando o snap-in da ADMT, a opo de linha de comando da ADMT ou um script. Para migrar grupos globais usando o snap-in da ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. Use o Assistente para Migrao de Conta de Grupo, executando as etapas descritas na tabela a seguir.
Pgina do assistente Ao
Seleo de Domnio
Sob Origem, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, 86
digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio e clique em Avanar. Seleo de Grupo Clique em Selecionar grupos do domnio e em Avanar. Na pgina Seleo de Grupo, clique em Adicionar para selecionar os grupos do domnio de origem que deseja migrar, clique em OK e, em seguida, clique em Avanar. Ou Clique em Ler objetos em um arquivo de incluso e em Avanar. Digite o local do arquivo de incluso e clique em Avanar. Seleo de Unidade Organizacional Digite o nome da unidade organizacional (UO) ou clique em Procurar. Na caixa de dilogo Procurar Recipiente, localize o recipiente do domnio de destino para o qual voc deseja mover os grupos globais e clique em OK. Opes de Grupo Clique em Migrar SIDs de grupo para domnio de destino. Todas as outras opes devem permanecer desmarcadas. Conta de Usurio Digite o nome de usurio, a senha e o domnio de uma conta que tenha direitos administrativos no domnio de origem. Clique em No migrar o objeto de origem se for detectado um conflito no domnio de destino.
Gerenciamento de Conflitos
3. Quando o assistente for concludo, clique em Exibir Log e revise o log de migrao procura de erros. 4. Abra o snap-in Usurios e Computadores do Active Directory e localize a UO de destino. Verifique se os grupos globais existem na UO do domnio de destino. Para migrar grupos globais usando a opo de linha de comando da ADMT 87
1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. Na linha de comando, digite o comando ADMT Group com os parmetros apropriados e pressione ENTER:
ADMT GROUP /N "<nome_do_grupo1>" "<nome_do_grupo2>" /SD:" <domnio_de_origem>" /TD:" <domnio_de_destino>" /TO:" <UO de destino>" /MSS:YES
Voc tambm pode incluir parmetros em um arquivo de opo especificado na linha de comando, da seguinte forma:
ADMT GROUP /N "<nome_do_grupo1>" "<nome_do_grupo2>" /O: "<arquivo_de_opo>.txt"
A tabela a seguir lista os parmetros comuns usados para migrar grupos globais, juntamente com o parmetro de linha de comando e equivalentes do arquivo de opo.
Parmetros Sintaxe da linha de comando Sintaxe do arquivo de opo
/SD:"domnio_de_origem" SourceDomain="domnio_de_origem"
<Domnio de origem> Local da <UO de Origem> <Domnio de destino> Local da <UO de Destino> Migrar SIDs de GG Gerenciamento de conflitos
/SO:"UO_de_origem"
SourceOU="UO_de_origem"
/TD:"domnio_de_destino"
TargetDomain="domnio_de_destino"
/TO:"UO_de_destino"
TargetOU="UO_de_destino"
/MSS:YES
MigrateSIDs=YES
/CO:IGNORE
(padro)
ConflictOptions=IGNORE
3. Verifique se h erros nos resultados exibidos na tela. 4. Abra o snap-in Usurios e Computadores do Active Directory e localize a UO de destino. Verifique se os grupos globais existem na UO do domnio de destino. Para migrar grupos globais usando um script y Prepare um script que incorpore comandos e opes da ADMT para migrar grupos globais usando o exemplo de script a seguir. Copie o script no Bloco de Notas e salve o arquivo com a extenso de nome de arquivo .wsf na mesma pasta do arquivo AdmtConstants.vbs.
<Job id=" MigratingGlobalGroupsBetweenForests" > <Script language="VBScript" src="AdmtConstants.vbs" />
88
objMigration.SourceDomain = "domnio de origem" objMigration.SourceOu = "continer de origem" objMigration.TargetDomain = "domnio de destino" objMigration.TargetOu = "continer de destino"
objGroupMigration.MigrateSIDs = True
89
Por esse motivo, importante testar migraes de usurio. Use sua conta de migrao de teste para identificar as propriedades que no foram migradas e atualizar as configuraes de usurio no domnio de destino conforme necessrio. Conclua estas etapas para migrar as contas de usurio para o domnio de destino: 1. Migre as contas de servio gerenciado. As contas de servio gerenciado devem ser migradas antes dos computadores. 2. Migre todas as contas de usurio com a conta habilitada no domnio de origem, desabilitada no domnio de destino, com uma senha complexa selecionada e sem atributos migrados. 90
3. Converta os perfis de usurio local de um lote de usurios. 4. Migre as estaes de trabalho que correspondem aos lotes de contas de usurio. 5. Antes de migrar o lote de contas de usurio, verifique se a migrao do perfil local e da estao de trabalho foi realizada com xito para todos os usurios no lote. No migre nenhuma conta de usurio cuja migrao de perfil ou estao de trabalho tenha falhado. Isso resultaria na substituio dos perfis existentes ao fazerem logon no domnio de destino. 6. Repita a migrao das contas de usurio em lotes com a conta configurada para expirar no domnio de origem em sete dias, a conta de destino habilitada, com migrao de senha selecionada e todos os atributos migrados. 7. Depois de cada lote, repita a migrao de todos os grupos globais para atualizar as alteraes dos membros dos grupos. 8. Notifique os usurios no lote para fazerem logon no domnio de destino. 9. Depois de migrar todos os usurios, execute uma migrao de grupo global final para atualizar as alteraes dos membros dos grupos. A migrao de contas de usurio em lotes ajuda voc a acompanhar as contas que foram migradas e testar se as etapas de migrao foram realizadas com xito. Se a estrutura da unidade organizacional (UO) do domnio de destino for a mesma que a estrutura da UO do domnio de origem, migre os grupos de usurios com base na UO. Se as estruturas de UO forem diferentes, selecione uma forma alternativa de agrupamento dos usurios com base na estrutura da sua organizao. Por exemplo, voc poder migrar usurios por unidade de negcios ou por andar para permitir que recursos de assistncia tcnica sejam consolidados. Se voc planeja manter a estrutura da sua UO de domnio de origem, migre as UOs junto com os usurios contidos nelas. Por exemplo, se o seu domnio de origem for um ambiente do Windows Server 2003 Active Directory que possui uma estrutura de UO funcional e o domnio de destino no possui uma estrutura de UO, migre as UOs do domnio de origem. Se voc criou uma nova estrutura de UO no domnio de destino, migre lotes de usurios sem as UOs. Por exemplo, se o ambiente de origem era um domnio com Windows NT 4.0 que foi atualizado para um domnio com Windows Server 2003, o domnio de origem poder no conter uma estrutura de UO; sendo assim, voc poder migrar os usurios sem migrar as UOs. Para obter mais informaes sobre como criar uma estrutura de UO, consulte Criando unidades organizacionais para delegao de administrao (http://go.microsoft.com/fwlink/?LinkId=76628) (em ingls). At que voc migre todas as contas de usurio e de grupo, continue a administrar os membros do grupo global no domnio de origem. Para oferecer suporte a uma estratgia de reverso, sincronize manualmente as alteraes realizadas aos usurios no domnio de destino com as contas de usurio existentes no domnio de origem. Para obter mais informaes sobre como administrar usurios e grupos durante o processo de restruturao entre florestas, consulte Gerenciando usurios, grupos e perfis de usurio, anteriormente neste guia. Se voc estiver migrando UOs ao migrar contas de usurio, migre os grupos que pertencem a essas UOs para o domnio de UO durante o processo de migrao de conta de usurio. Quando voc migra grupos globais usando o processo de migrao de grupo global, eles so inseridos 91
na UO de destino no domnio de destino. Se voc migrar UOs do domnio de origem para o de destino, selecione a opo para mover os grupos globais para o domnio de destino ao mesmo tempo. Dessa forma, os grupos so movidos da UO de destino na qual foram inseridos durante a migrao global inicial para a UO qual pertencem. A utilizao do ADMT para migrar as contas de usurio preserva os membros dos grupos. Como os grupos globais podem conter somente membros do domnio no qual o grupo est localizado, quando os usurios so migrados para um novo domnio, as contas de usurio no domnio de destino no podem ser membros dos grupos globais no domnio de origem. Como parte do processo de migrao, o ADMT identifica os grupos globais no domnio de origem ao qual as contas de usurio pertencem e, em seguida, determina se os grupos globais foram migrados. Se o ADMT identificar os grupos globais no domnio de destino ao qual os usurios migrados pertenciam no domnio de origem, a ferramenta adicionar os usurios aos grupos globais apropriados no domnio de destino. A utilizao do ADMT para migrar as contas de usurio tambm preserva senhas de usurio. Depois que as contas de usurio forem migradas e habilitadas no domnio de destino, os usurios podero fazer logon no domnio de destino usando suas senhas originais. Depois de fazer logon, os usurios sero solicitados a alterar a senha. Se o processo de migrao de conta de usurio for realizado com xito, mas o processo de migrao de senha falhar, o ADMT criar uma nova senha complexa para a conta de usurio no domnio de destino. Por padro, o ADMT armazena as novas senhas complexas no arquivo C:\Program Files\Active Directory Migration Tool\Logs\Password.txt. Se voc tiver uma configurao de Diretiva de Grupo no domnio de destino que no permita senhas em branco (a configurao de Diretiva de Domnio Padro/Configurao do Computador/Configuraes de Segurana/Diretivas de Conta/Diretivas de Senha/Tamanho mnimo da senha definida para qualquer nmero diferente de zero), a migrao de senha ir falhar para todos os usurios que possurem uma senha em branco. O ADMT gera uma senha complexa para o usurio e grava um erro no log de erros. Estabelea um mtodo para notificao de usurios que receberam novas senhas. Por exemplo, voc pode criar um script para enviar uma mensagem de email aos usurios para notific-los de suas novas senhas. A ilustrao a seguir mostra as etapas envolvidas na migrao de contas se voc estiver usando um histrico de SID para acesso a recursos.
92
computadores como parte de uma migrao na mesma floresta, consulte Migrar estaes de trabalho e servidores membros. As contas de servio gerenciado que foram migradas na etapa anterior e que foram originalmente instaladas nos computadores migrados so identificadas durante a migrao do computador. Aps a migrao do computador ser concluda, as contas de servio gerenciado so instaladas novamente no computador no domnio de destino (a menos que voc solicite ignor-las). Se voc tiver executado a converso de segurana nos servidores membros que possuam recursos que concedam permisses s contas de servio gerenciado, as contas tero as mesmas permisses para o acesso de recursos no domnio de destino que possuam no domnio de origem. Importante Se voc estiver migrando contas de servio gerenciado entre domnios na mesma floresta, execute a converso de segurana nos servidores membros no domnio de origem que tenham recursos que concedem permisses para as contas de servio gerenciado. A converso de segurana normalmente no necessria durante uma migrao interna na floresta porque um SID acompanha uma conta. Entretanto, as contas de servio gerenciado que so migradas entre domnios na mesma floresta so copiadas. Uma nova conta criada no domnio de destino e as propriedades da conta (excluindo o SID) so copiadas do domnio de origem. Portanto, voc precisa executar a converso de segurana. Se os recursos no domnio de origem que concedem permisses a uma conta de servio gerenciado estiverem hospedados no mesmo computador da conta de servio gerenciado, voc dever selecionar a converso de segurana nos recursos apropriados (Arquivos e pastas, Grupos locais e assim por diante) na pgina Converter Objetos do Assistente para Migrao de Computadores. Se os recursos estiverem em outros computadores que no estejam sendo migrados, voc precisar executar o Assistente para Converso de Segurana nesses computadores e na pgina Opes de Converso de Segurana, selecionar Objetos migrados anteriormente ou fornecer explicitamente as contas MSA em um arquivo de mapeamento de SID. Para obter mais informaes sobre como fazer a converso de segurana, consulte Fazendo a converso de segurana em servidores membros. Para migrar contas de servio gerenciado usando o snap-in do ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. No snap-in do ADMT, clique em Ao e clique em Assistente para Migrao da Conta de Servio Gerenciado. 3. Conclua o Assistente para Migrao da Conta de Servio Gerenciado usando as informaes da tabela a seguir.
Pgina do assistente Ao
94
Seleo de Domnio
Sob Origem, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio e clique em Avanar.
Clique em Selecione as contas de servio gerenciado do domnio para migrar contas de servio gerenciado do domnio usando a caixa de dilogo de seleo de objeto ou um arquivo de incluso. Essa opo mais indicada se voc desejar migrar todas as contas de servio gerenciado do domnio de origem. Ou Clique em Fornea os computadores que podem ser consultados para quaisquer contas de servio gerenciado e clique em Avanar. Na pgina Seleo de Conta de Servio Gerenciado, clique em Adicionar para selecionar as contas de computador no domnio de origem que voc deseja consultar para as contas de servio gerenciado, clique em OK e clique em Avanar. Esta opo ser preferencial se voc desejar migrar apenas contas de servio gerenciado instaladas em computadores especficos. Cada computador fornecido pode ter vrias contas de servio gerenciado instaladas. Voc pode escolher uma combinao dessas opes movendo-se para frente e 95
para trs no assistente. Por exemplo, voc pode fornecer os computadores a serem consultados e adicionar as contas de servio gerenciado que esto instaladas nesses computadores lista de contas a serem migradas. Em seguida, voc pode clicar em Voltar no assistente para retornar para esta pgina e selecionar as contas de servio gerenciado adicionais no domnio ou em um arquivo de incluso. Opo de Seleo de Conta de Servio Gerenciado Essa pgina exibida somente se voc tiver selecionado as contas de servio gerenciado no domnio. Clique em Selecione as contas de servio gerenciado do domnio e clique em Avanar. Na pgina Seleo de Conta de Servio Gerenciado, clique em Adicionar para selecionar as contas no domnio de origem que voc deseja migrar, clique em OK e clique em Avanar. Ou Clique em Ler objetos em um arquivo de incluso e em Avanar. Digite o local do arquivo de incluso e clique em Avanar. Seleo de Unidade Organizacional Clique em Procurar para especificar um local para as contas migradas e clique em Avanar. Marque a caixa de seleo Atualizar direitos da conta Marque a caixa de seleo Corrigir participaes de usurios em grupos. Se a conta estiver sendo migrada para uma floresta diferente, marque a caixa de seleo Migrar SIDs de contas para o domnio de destino. Esta opo no est disponvel para uma migrao interna na floresta. Clique em Avanar. Digite o nome de usurio, senha e domnio de uma conta que tenha credenciais administrativas no 96
domnio de origem e clique em Avanar. Concluindo o Assistente para Migrao Revise suas selees e clique em de Conta de Servio Gerenciado Concluir. 4. Quando o assistente for concludo, clique em Exibir Log e verifique se h erros no log de migrao. 5. Inicie Usurios e Computadores do Active Directory e verifique se as contas de servidor gerenciado existem na UO apropriada no domnio de destino. Para migrar contas de servio gerenciado usando a opo de linha de comando do ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. Na linha de comando, digite o comando a seguir e pressione ENTER:
ADMT MANAGEDSERVICEACCOUNT /N "<nome_da_conta de servio gerenciado1>" "<nome_da_conta de servio gerenciado2>" /IF:NO /SD:"<domnio_de_origem>" /TD:"<domnio_de_destino>" /UUR:YES /FGM:YES /MSS:YES
gerenciado>
Onde <nome_da_conta1 do servio gerenciado> e <nome_da_conta2 do servio so os nomes das contas de servio gerenciado no domnio de origem.
Voc tambm pode incluir parmetros em um arquivo de opo especificado na linha de comando, da seguinte forma:
ADMT MANAGEDSERVICEACCOUNT /N "<nome_da_conta de servio gerenciado1>" "<nome_da_conta de servio gerenciadot2>" /O:"<arquivo_de_opo>.txt"
A tabela seguinte lista os parmetros comuns que so usados para a migrao de contas de servio gerenciado, junto com os equivalentes de parmetro de linha de comando e arquivo de opo.
Valores Sintaxe da linha de comando
/IF:No /SD:"domnio_de_origem
Migrao interflorestal <Domnio de origem> <Domnio de destino> Atualizar direitos da conta Atualize a participao de
Intraforest=No SourceDomain="domnio_de_origem
"
/TD:"domnio_de_destino
"
TargetDomain="domnio_de_destin
"
/UUR:Yes
o"
UpdateUserRights=Yes
/FGM:Yes
FixGroupMembership=Yes
97
grupos de contas Migrar SIDs de conta Observao Voc pode migrar SIDs para contas de servio gerenciad o somente entre florestas. Se voc usar esse parmetro durante uma migrao entre florestas, um erro ser retornado. 3. Verifique se h erros nos resultados exibidos na tela. Para contas de servio gerenciado que so hospedadas em computadores membros no domnio de origem, voc pode incluir o computador membro quando realizar a migrao de computador e a conta de servio gerenciado ser instalada no computador membro no domnio de destino depois que o computador for migrado.
/MSS:Yes MigrateSIDs=Yes
Contas internas (como Administradores, Usurios e Usurios Avanados) no podem ser objetos de migrao da Ferramenta de Migrao do Active Directory (ADMT). Como os identificadores de segurana (SIDs) de contas internas so idnticos em todos os domnios, a migrao dessas contas para um domnio de destino resulta em SIDs duplicados em um nico domnio. Cada SID de um domnio deve ser exclusivo. Contas conhecidas (como Administradores de Domnio e Usurios de Domnio) tambm no podem ser objetos de migrao da ADMT. O processo de migrao de conta de usurio da ADMT inclui as seguintes etapas: 1. O ADMT l os atributos dos objetos do usurio de origem. 2. O ADMT cria um novo objeto de usurio no domnio de destino e um novo SID primrio para a nova conta de usurio. 3. O ADMT adiciona o SID original da conta de usurio ao atributo de histrico do SID da nova conta de usurio. 4. O ADMT migra a senha da conta de usurio. 5. Se o ADMT identificar os grupos globais no domnio de destino ao qual os usurios migrados pertenciam no domnio de origem, a ferramenta adicionar os usurios aos grupos globais apropriados no domnio de destino. Durante a migrao, eventos de auditoria so registrados nos domnios de origem e de destino. Voc pode migrar contas de usurio usando o snap-in do ADMT, a opo de linha de comando do ADMT ou um script. Se voc estiver migrando contas de usurio que tm a garantia do mecanismo de autenticao habilitada, use um arquivo de incluso. No arquivo de incluso, especifique os nomes principais de usurrios (UPNs) originais do domnio de origem como os UPNs de destino para que voc possa manter o funcionamento da garantia do mecanismo de autenticao. Para obter mais informaes sobre como usar um arquivo de incluso, consulte Usar um arquivo de incluso. Importante Ao comear uma migrao de usurio com o histrico do SID a partir de uma linha de comando ou a partir de um script, voc dever executar a migrao em um controlador de domnio no domnio de destino. Para migrar o lote atual de usurios usando o snap-in do ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. Use o Assistente para Migrao de Conta de Usurio, executando as etapas descritas na tabela a seguir.
Pgina do assistente Ao
Seleo de domnio
DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio e clique em Avanar. Seleo de usurio Clique em Selecionar usurios do domnio e em Avanar. Na pgina Seleo de Usurio, clique em Adicionar para selecionar os usurios do domnio de origem que deseja migrar no lote atual, clique em OK e, em seguida, clique em Avanar. Ou Clique em Ler objetos em um arquivo de incluso e em Avanar. Digite o local do arquivo de incluso e clique em Avanar. Seleo de unidade organizacional Verifique se a ADMT lista a UO de destino correta. Se a lista no estiver correta, digite a UO correta ou clique em Procurar. Na caixa de dilogo Procurar Continer, localize o domnio de destino e a UO e clique em OK. Opes de senha Clique em No atualizar senhas de usurios existentes. Clique em Gerar senhas complexas. Opes de transio de conta Em Estado da Conta de Destino:, clique em Desabilitar Contas de Destino. Em Opes de Desabilitao de Conta de Origem:, clique em Dias at que a conta de origem expire: e digite os 100
nmeros de dias durante os quais voc deseja manter a conta de origem. Geralmente, o valor sete usado. Marque a caixa de seleo Migrar SIDs de usurio para o domnio de destino. Conta de usurio Digite o nome de usurio, a senha e o domnio de uma conta de usurio que tenha credenciais administrativas no domnio de origem. Marque a caixa de seleo Converter perfis mveis. Desmarque a caixa de seleo Atualizar direitos de usurio. Desmarque a caixa de seleo Migrar grupos de usurios associados. Marque a caixa de seleo Corrigir membros do grupo de usurios. Excluso da propriedade do objeto Desmarque a caixa de seleo Excluir propriedades de objeto especficas da migrao. Clique em No migrar o objeto de origem se for detectado um conflito no domnio de destino. As caixas de seleo Antes de mesclar, remover direitos do usurio de contas de destino existentes e Mover objetos mesclados para Unidade Organizacional de destino especificada devem estar desmarcadas. 3. Quando o assistente for concludo, clique em Exibir Log e verifique se h erros no log de migrao. 4. Inicie Usurios e computadores do Active Directory e verifique se as contas de usurio esto na UO adequada do domnio de destino. Para migrar contas de usurio utilizando a opo de linha de comando da ADMT 1. Em um controlador de domnio no domnio de destino no qual o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. Importante 101
Opes de usurio
Gerenciamento de conflitos
Ao comear uma migrao de usurio com histrico do SID na linha de comando, voc dever executar o comando em um controlador do domnio de destino. 2. Na linha de comando, digite o comando ADMT pressione ENTER.
User
Voc tambm pode incluir parmetros em um arquivo de opo especificado na linha de comando, da seguinte forma:
ADMT USER /N "<nome_do_usurio1>" "<nome_do_usurio2>" "<arquivo_de_opo>.txt" /O
A tabela a seguir lista os parmetros comuns usados para migrar contas de usurio, juntamente com os parmetros de linha de comando e os equivalentes de arquivo de opo.
Parmetros Sintaxe da linha de comando Sintaxe do arquivo de opo
/SD:"domnio_de_origem" SourceDomain="domnio_de_origem"
<Domnio de origem> <Domnio de destino> Local da <UO de destino> Migrar SIDs Desabilitar opo Expirao de origem Gerenciamento de conflitos Converter perfil mvel Atualizar direitos de usurio Opes de senha
/TD:"domnio_de_destino"
TargetDomain="domnio_de_destino"
/TO:"UO_de_destino"
TargetOU="UO_de_destino"
/CO:IGNORE
(padro)
ConflictOptions=IGNORE
/TRP:YES
(padro)
TranslateRoamingProfile=YES
/UUR:NO
UpdateUserRights=NO
/PO:COMPLEX
PasswordOption=COMPLEX
3. Verifique se h erros nos resultados exibidos na tela. 4. Abra Usurios e computadores do Active Directory e localize a UO de destino. Verifique se os usurios existem na UO de destino. 102
Para migrar contas de usurio utilizando um script y Prepare um script que incorpore comandos e opes da ADMT para migrar usurios utilizando o exemplo de script a seguir. Copie o script no Bloco de Notas e salve o arquivo com a extenso de nome de arquivo .wsf na mesma pasta do arquivo AdmtConstants.vbs. Em seu script, especifique os nomes dos recipientes de origem e de destino no formato cannico relativo. Por exemplo, se o recipiente for uma UO filha chamada Sales e sua UO pai for chamada West, especifique West/Sales como nome do recipiente. Para obter mais informaes, consulte TemplateScripts.vbs na pasta de instalao do ADMT.
<Job id=" MigratingAllUserAccountsBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
objMigration.SourceDomain = "domnio de origem" objMigration.SourceOu = "continer de origem" objMigration.TargetDomain = "domnio de destino" objMigration.TargetOu = "continer de destino" objMigration.PasswordOption = admtComplexPassword objMigration.ConflictOptions = admtIgnoreConflicting
103
objUserMigration.MigrateSIDs = True objUserMigration.TranslateRoamingProfile = True objUserMigration.UpdateUserRights = False objUserMigration.FixGroupMembership = True objUserMigration.MigrateServiceAccounts = False
anteriormente. Seleo de Domnio Sob Origem, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio e clique em Avanar. Opo de Seleo do Computador Clique em Selecionar computadores do domnio e em Avanar. Na pgina Seleo do Computador, clique em Adicionar para selecionar os computadores do domnio de origem dos quais voc deseja converter a segurana, clique em OK e, em seguida, clique em Avanar. Ou Clique em Ler objetos em um arquivo de incluso e em Avanar. Digite o local do arquivo de incluso e clique em Avanar. Converter Objetos Opes de converso de segurana Caixa de Dilogo do Agente ADMT Clique em Perfis de Usurio. Clique em Substituir. Selecione Executar pr-verificao e operao do agente e clique em Iniciar.
4. Verifique se h erros nos resultados exibidos na tela. Aps a concluso do assistente, clique em Exibir Log de Migrao para visualizar a lista de computadores, o status de concluso e o caminho para o arquivo de log de cada computador. Se um erro for reportado para um computador, voc precisar consultar o arquivo de log desse computador para analisar se h problemas com grupos locais. O arquivo de log para cada computador nomeado MigrationTaskID.log e fica armazenado na pasta 106
Windows\ADMT\Logs\Agents. Para converter perfis de usurio local usando a opo de linha de comando do ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. Na linha de comando, digite o comando ADMT pressione ENTER.
Security
ADMT SECURITY /N "<nome_do_computador1>" "<nome_do_computador2>" /SD:" <domnio_de_origem>" /TD:" <domnio_de_destino>" /TO:" <UO_de_destino>" /TOT:REPLACE /TUP:YES
Voc tambm pode incluir parmetros em um arquivo de opo especificado na linha de comando, da seguinte forma:
ADMT SECURITY /N "<nome_do_computador1>" "<nome_do_computador2>" /O "<arquivo_de_opo>.txt"
A tabela a seguir lista os parmetros comuns usados para migrar contas de usurio, juntamente com os parmetros de linha de comando e os equivalentes de arquivo de opo.
Parmetros Sintaxe da linha de comando
/SD:"domnio_de_origem"
<Domnio de origem> <Domnio de destino> Opes de converso de segurana Modificar segurana de perfil de usurio local
/TD:"domnio_de_destino"
TargetDomain="domnio_de_destino"
/TOT:REPLACE
TranslateOption=REPLACE
/TUP:YES
TranslateUserProfiles=YES
3. Verifique se h erros nos resultados exibidos na tela. Aps a concluso do assistente, clique em Exibir Log de Migrao para visualizar a lista de computadores, o status de concluso e o caminho para o arquivo de log de cada computador. Se um erro for reportado em um computador, voc precisar verificar se h problemas com grupos locais no arquivo de log desse computador. O arquivo de log para cada computador nomeado MigrationTaskID.log e fica armazenado na pasta Windows\ADMT\Logs\Agents. Para converter perfis de usurio local usando um script 107
y
Prepare um script que incorpore comandos e opes da ADMT para converter perfis de usurio local usando o exemplo de script a seguir. Copie o script no Bloco de Notas e salve o arquivo com a extenso de nome de arquivo .wsf na mesma pasta do arquivo AdmtConstants.vbs.
<Job id=" TranslatingLocalProfilesBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
108
Pgina do assistente
Ao
Seleo de Domnio
Sob Origem, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio e clique em Avanar.
Seleo do Computador
Clique em Selecionar computadores do domnio e em Avanar. Na pgina Seleo do Computador, clique em Adicionar para selecionar os computadores do domnio de origem que deseja migrar, clique em OK e, em seguida, clique em Avanar. Ou Clique em Ler objetos em um arquivo de incluso e em Avanar. Digite o local do arquivo de incluso e clique em Avanar.
Informaes sobre conta de servio gerenciado (aparecer se o computador tiver uma conta de servio gerenciada instalada) Seleo de Unidade Organizacional
Selecione qualquer conta de servio gerenciado que no tenha sido instalada no computador migrado no domnio de destino e clique em Ignorar/Incluir para marcar as contas como Ignorar. Clique em Procurar. Na caixa de dilogo Procurar Recipiente, localize o recipiente Computadores do domnio de destino ou a UO apropriada e clique em OK.
Converter Objetos
locais. Marque a caixa de seleo Direitos do usurio. Opes de converso de segurana Opes de Computador Clique em Adicionar. Na caixa Minutos at que os computadores sejam reiniciados aps a concluso do assistente, aceite o valor padro de 5 minutos ou digite outro valor. Para excluir determinadas propriedades de objeto da migrao, marque a caixa de seleo Excluir propriedades de objeto especficas da migrao, selecione as propriedades de objeto a serem excludas e mova essas propriedades para Propriedades Excludas; em seguida, clique em Avanar. Clique em No migrar o objeto de origem se for detectado um conflito no domnio de destino. Selecione Executar pr-verificao e operao do agente e clique em Iniciar.
Gerenciamento de Conflitos
3. Verifique se h erros nos resultados exibidos na tela. Aps a concluso do assistente, clique em Exibir Log de Migrao para visualizar a lista de computadores, o status de concluso e o caminho para o arquivo de log de cada computador. Se um erro for reportado em um computador, voc precisar verificar se h problemas com grupos locais no arquivo de log desse computador. O arquivo de log para cada computador nomeado MigrationTaskID.log e fica armazenado na pasta Windows\ADMT\Logs\Agents. 4. Abra Usurios e Computadores do Active Directory e verifique se as estaes de trabalho esto na UO apropriada do domnio de destino. Para migrar estaes de trabalho usando a opo de linha de comando da ADMT 1. No computador do domnio de destino em que voc instalou a ADMT, faa logon usando a conta de migrao de recurso da ADMT. 2. Na linha de comando, digite o comando ADMT Computer com os parmetros apropriados e pressione ENTER.
ADMT COMPUTER /N "<nome_do_computador1>" "<nome_do_computador2>" /SD:"<domnio_de_origem>" /TD:"<domnio_de_destino>" /TO:"<UO_de_destino>" [/M:
111
<nome da conta de servio gerenciado 1> <nome da conta de servio gerenciado 2>] [/UALLMSA:Yes] /RDL:5
Voc tambm pode incluir parmetros em um arquivo de opo especificado na linha de comando, da seguinte forma:
ADMT COMPUTER /N "<nome_do_computador1>" "<nome_do_computador2>" /O:" <arquivo_de_opo>.txt"
A tabela a seguir lista os parmetros comuns usados na migrao de estao de trabalho, juntamente com o parmetro de linha de comando e equivalentes do arquivo de opo.
Parmetros Sintaxe da linha de comando Sintaxe do arquivo de opo
<Domnio de origem> Local da <UO de Origem> <Domnio de destino> Atualizar todas as contas de servio gerenciado Atualize contas de servio gerenciado especficas Observao O parmetro /M tem prioridade sobre o parmetro /UALLMS A. Local da <UO de Destino> Atraso de reinicializao (minutos)
/SD:"domnio_de_orige
SourceDomain="domnio_de_origem"
m"
/SO:"UO_de_origem" SourceOU="UO_de_origem"
/TD:"domnio_de_destin
TargetDomain="domnio_de_destino
o"
/UALLMSA: YES
"
UpdateAllManagedServiceAccounts=Y es
/M
nome 1 nome 2
UPDATEMSANAME=nome
1 nome
/TO:"UO_de_destino"
TargetOU="UO_de_destino"
/RDL:5
RestartDelay=5
112
/TOT:ADD
TranslationOption=ADD
/TUR:YES
TranslateUserRights=YES
/TLG:YES
TranslateLocalGroups=YES
3. Verifique se h erros nos resultados exibidos na tela. O log de migrao lista computadores, status de concluso e o caminho para o arquivo de log de cada computador. Se um erro for reportado para um computador, voc precisar consultar o arquivo de log desse computador para analisar se h problemas com grupos locais. O arquivo de log para cada computador nomeado MigrationTaskID.log e fica armazenado na pasta Windows\ADMT\Logs\Agents. 4. Abra Usurios e Computadores do Active Directory e localize a UO de destino. Verifique se as estaes de trabalho e os servidores membros encontram-se na UO de destino. Para migrar estaes de trabalho usando um script y Prepare um script que incorpore comandos e opes do ADMT para migrar estaes de trabalho usando o exemplo de script a seguir: Copie o script no Bloco de Notas e salve o arquivo com a extenso de nome de arquivo .wsf na mesma pasta do arquivo AdmtConstants.vbs.
<Job id="MigratingWorkstationsBwtweenForest" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
113
objMigration.SourceDomain = "domnio de origem" objMigration.SourceOu = "Computadores" objMigration.TargetDomain = "domnio de destino" objMigration.TargetOu = "Computadores"
114
Seleo de Domnio
Sob Origem, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio e clique em Avanar. 115
Seleo de Usurio
Clique em Selecionar usurios do domnio e em Avanar. Na pgina Seleo de Usurio, clique em Adicionar para selecionar os usurios do domnio de origem que deseja migrar no lote atual, clique em OK e, em seguida, clique em Avanar. Ou Clique em Ler objetos em um arquivo de incluso e em Avanar. Digite o local do arquivo de incluso e clique em Avanar.
Verifique se o ADMT lista a UO de destino correta. Se a lista no estiver correta, digite a UO correta ou clique em Procurar. Na caixa de dilogo Procurar Recipiente, localize o domnio de destino e a UO e clique em OK.
Opes de Senha
Clique em Migrar Senhas. Em Controlador de domnio de origem de migrao de senha:, digite o nome do servidor de exportao de senha ou aceite o valor padro.
Em Estado da Conta de Destino:, clique em Ativar contas de destino. Em Opes de Desativao de Conta de Origem:, clique em Dias at que a conta de origem expire: e digite os nmeros de dias durante os quais voc deseja manter a conta de origem. Geralmente, o valor sete usado. Marque a caixa de seleo Migrar SIDs de usurio para o domnio de destino.
Conta de Usurio
Digite o nome de usurio, a senha e o domnio de uma conta de usurio que possua credenciais administrativas. Marque a caixa de seleo Converter perfis mveis. 116
Opes de Usurio
Marque a caixa de seleo Atualizar direitos de usurio. Desmarque a caixa de seleo Migrar grupos de usurios associados. Marque a caixa de seleo Corrigir membros do grupo de usurios. Excluso da Propriedade do Objeto Desmarque a caixa de seleo Excluir propriedades de objeto especficas da migrao. Marque a caixa de seleo Migrar e mesclar objetos conflitantes. Desmarque a caixa de seleo Antes de mesclar, remover direitos do usurio de contas de destino existentes. Desmarque a caixa de seleo Mover objetos mesclados para Unidade Organizacional de destino especificada. 3. Quando o assistente for concludo, clique em Exibir Log e revise o log de migrao procura de erros. 4. Abra Usurios e Computadores do Active Directory e verifique se as contas de usurio esto na UO apropriada do domnio de destino. Para migrar o lote atual de usurios usando a opo de linha de comando do ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. Na linha de comando, digite o comando ADMT User com os parmetros apropriados e pressione ENTER.
ADMT USER /N "<nome_do_usurio1>" "<nome_do_usurio2>" /SD:" <domnio_de_origem>" /TD:" <domnio_de_destino>" /TO:" <UO_de_destino>" /MSS:YES /TRP:YES /UUR:YES
Gerenciamento de Conflitos
Voc tambm pode incluir parmetros em um arquivo de opo especificado na linha de comando, da seguinte forma:
ADMT USER /N "<nome_do_usurio1>" "<nome_do_usurio2>" "<arquivo_de_opo>.txt" /O
A tabela a seguir lista os parmetros comuns usados para migrar contas de usurio, juntamente com os parmetros de linha de comando e os equivalentes de arquivo de opo.
117
Parmetros
<Domnio de origem> Local da <UO de Origem> <Domnio de destino> Local da <UO de Destino> Migrar SIDs Gerenciamento de conflitos Converter perfil mvel Atualizar direitos de usurio Opes de senha
/SO:"UO_de_origem"
SourceOU="UO_de_origem"
/TD:"domnio_de_destino"
TargetDomain="domnio_de_destino"
/TO:"UO_de_destino"
TargetOU="UO_de_destino"
/MSS:YES /CO:REPLACE
MigrateSIDs=YES ConflictOptions=REPLACE
/TRP:YES
(padro)
TranslateRoamingProfile=YES
/UUR:YES
UpdateUserRights=YES
/PO:COPY /PS:<nome
do
PasswordOption=COPY PasswordServer=:<nome
servidor PES>
do servidor
3. Verifique se h erros nos resultados exibidos na tela. 4. Abra Usurios e Computadores do Active Directory e localize a UO de destino. Verifique se os usurios existem na UO de destino. Para migrar o lote atual de contas de usurio usando um script y Prepare um script que incorpore comandos e opes do ADMT para migrar usurios utilizando o exemplo de script a seguir. Copie o script no Bloco de Notas e salve o arquivo com a extenso de nome de arquivo .wsf na mesma pasta do arquivo AdmtConstants.vbs.
<Job id="MigratingUserAccountsInBatchesBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
118
objMigration.SourceDomain = "domnio de origem" objMigration.SourceOu = "continer de origem" objMigration.TargetDomain = "domnio de destino" objMigration.TargetOu = "continer de destino" objMigration.PasswordOption = admtCopyPassword objMigration.PasswordServer = "nome do servidor do exportao de senha" objMigration.ConflictOptions = admtReplaceConflicting ' 'Especifique as opes especficas de migrao do usurio. ' objUserMigration.SourceExpiration = 7 objUserMigration.MigrateSIDs = True objUserMigration.TranslateRoamingProfile = True objUserMigration.UpdateUserRights = True objUserMigration.FixGroupMembership = True objUserMigration.MigrateServiceAccounts = False
119
'
Repetindo a migrao de todos os grupos globais depois que todos os lotes so migrados
Aplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2 Depois que todos os lotes tiverem sido migrados, execute uma migrao de grupo global final para garantir que quaisquer alteraes posteriores feitas na associao do grupo global no domnio de origem sejam refletidas no domnio de destino. Voc pode repetir a migrao dos grupos globais usando o snap-in da Ferramenta de Migrao do Active Directory (ADMT), a opo de linha de comando do ADMT ou um script. Importante Ao comear uma migrao de grupo usurio com o histrico do SID a partir de uma linha de comando ou a partir de um script, voc dever executar a migrao em um controlador de domnio no domnio de destino.
120
Para repetir a migrao dos grupos globais usando o snap-in do ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. Use o Assistente para Migrao de Conta de Grupo, executando as etapas descritas na tabela a seguir.
Pgina do assistente Ao
Seleo de Domnio
Sob Origem, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio e clique em Avanar.
Seleo de Grupo
Clique em Selecionar grupos do domnio e em Avanar. Na pgina Seleo de Grupo, clique em Adicionar para selecionar os grupos do domnio de origem que deseja migrar, clique em OK e, em seguida, clique em Avanar. Ou Clique em Ler objetos em um arquivo de incluso e em Avanar. Digite o local do arquivo de incluso e clique em Avanar.
Digite o nome da unidade organizacional (UO) ou clique em Procurar. Na caixa de dilogo Procurar Recipiente, localize o recipiente do domnio de destino para o qual voc deseja mover os grupos globais e clique 121
em OK. Opes de Grupo Clique em Atualizar direitos de usurio. Confirme que a opo Copiar membros do grupo no est selecionada. Confirme que a opo Atualizar objetos migrados anteriormente no est selecionada. Clique em Corrigir participao de grupo. Clique em Migrar SIDs de grupo para domnio de destino. Conta de Usurio Digite o nome de usurio, a senha e o domnio de uma conta que tenha direitos administrativos no domnio de origem. Desmarque a caixa de seleo Excluir propriedades de objeto especficas da migrao. Marque a caixa de seleo Migrar e mesclar objetos conflitantes (todas as outras opes devem permanecer desmarcadas).
Gerenciamento de Conflitos
3. Quando o assistente for concludo, clique em Exibir Log e revise o log de migrao procura de erros. 4. Abra Usurios e Computadores do Active Directory e localize a UO de destino. Verifique se os grupos globais existem na UO do domnio de destino. Para repetir a migrao dos grupos globais usando a opo de linha de comando do ADMT 1. Em um controlador de domnio no domnio de destino no qual o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. Importante Ao comear uma migrao de grupo global com histrico de SID na linha de comando, voc dever executar a migrao em um controlador do domnio no domnio de destino. 2. Na linha de comando, digite o comando ADMT pressione ENTER.
Group
122
Voc tambm pode incluir parmetros em um arquivo de opo especificado na linha de comando, da seguinte forma:
ADMT GROUP /N "<nome_do_grupo1>" "<nome_do_grupo2>" /O: "<arquivo_de_opo>.txt"
A tabela a seguir lista os parmetros comuns usados para migrar grupos globais, juntamente com o parmetro de linha de comando e equivalentes do arquivo de opo.
Parmetros Sintaxe da linha de comando Sintaxe do arquivo de opo
/SD:"domnio_de_origem" SourceDomain="domnio_de_origem"
<Domnio de origem> Local da <UO de Origem> <Domnio de destino> Local da <UO de Destino> Migrar SIDs de GG Gerenciamento de conflitos
/SO:"UO_de_origem"
SourceOU="UO_de_origem"
/TD:"domnio_de_destino"
TargetDomain="domnio_de_destino"
/TO:"UO_de_destino"
TargetOU="UO_de_destino"
/MSS:YES
MigrateSIDs=YES
/CO:REPLACE
ConflictOptions=REPLACE
3. Verifique se h erros nos resultados exibidos na tela. 4. Abra Usurios e computadores do Active Directory e localize a UO de destino. Verifique se os grupos globais existem na UO do domnio de destino. Para repetir a migrao dos grupos globais usando um script y Prepare um script que incorpore comandos e opes da ADMT para migrar grupos globais usando o exemplo de script a seguir. Copie o script no Bloco de Notas e salve o arquivo com a extenso de nome de arquivo .wsf na mesma pasta do arquivo AdmtConstants.vbs.
<Job id=" RemigratingGlobalGroupsBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
Dim objMigration
123
Dim objGroupMigration
objMigration.SourceDomain = "domnio de origem" objMigration.SourceOu = "continer de origem" objMigration.TargetDomain = "domnio de destino" objMigration.TargetOu = "continer de destino" objMigration.ConflictOptions = admtReplaceConflicting
objGroupMigration.MigrateSIDs = True
124
</Script> </Job>
7. Repita a migrao das contas de usurio em lotes pequenos com as contas no domnio de origem configuradas para expirar em sete dias, as contas de destino habilitadas, com migrao de senha selecionada e todos os atributos migrados. 8. Depois de cada lote, repita a migrao de todos os grupos globais para atualizar as alteraes dos membros dos grupos. 9. Depois de migrar todos os usurios, execute uma migrao de grupo global final para atualizar as alteraes dos membros dos grupos. 10. Converta a segurana no modo de excluso para arquivos, compartilhamentos, impressoras, grupos locais e grupos locais de domnio. 11. Notifique os usurios no lote para fazerem logon no domnio de destino. At que voc migre todas as contas de usurio e de grupo, continue a administrar os membros do grupo global no domnio de origem. A ilustrao a seguir mostra as etapas envolvidas na migrao de contas que no esto usando um histrico de SID para acessar recursos.
pode ser instalada em computadores que executam o Windows 7 ou o Windows Server 2008 R2. Somente o ADMT v3.2 pode migrar contas de servio gerenciado. O processo para identificar e migrar contas de servio gerenciado usando o ADMT v3.2 envolve duas etapas: 1. Use o Assistente para Migrao da Conta de Servio Gerenciado ou a ferramenta de linha de comando admt managedserviceaccount para migrar objetos da conta de servio gerenciado para o domnio de destino, conforme explicado neste tpico. 2. Use o Assistente para migrao de computadores ou a ferramenta de linha de comando admt computer para migrar os computadores que hospedam as contas de servio gerenciado. Para obter mais informaes sobre como migrar computadores como parte de uma migrao entre florestas, consulte Repetindo a migrao de contas de usurio e migrando estaes de trablaho em lotes. Para obter mais informaes sobre como migrar computadores como parte de uma migrao na mesma floresta, consulte Migrar estaes de trabalho e servidores membros. As contas de servio gerenciado que foram migradas na etapa anterior e que foram originalmente instaladas nos computadores migrados so identificadas durante a migrao do computador. Aps a migrao do computador ser concluda, as contas de servio gerenciado so instaladas novamente no computador no domnio de destino (a menos que voc solicite ignor-las). Se voc tiver executado a converso de segurana nos servidores membros que possuam recursos que concedam permisses s contas de servio gerenciado, as contas tero as mesmas permisses para o acesso de recursos no domnio de destino que possuam no domnio de origem. Importante Se voc estiver migrando contas de servio gerenciado entre domnios na mesma floresta, execute a converso de segurana nos servidores membros no domnio de origem que tenham recursos que concedem permisses para as contas de servio gerenciado. A converso de segurana normalmente no necessria durante uma migrao interna na floresta porque um SID acompanha uma conta. Entretanto, as contas de servio gerenciado que so migradas entre domnios na mesma floresta so copiadas. Uma nova conta criada no domnio de destino e as propriedades da conta (excluindo o SID) so copiadas do domnio de origem. Portanto, voc precisa executar a converso de segurana. Se os recursos no domnio de origem que concedem permisses a uma conta de servio gerenciado estiverem hospedados no mesmo computador da conta de servio gerenciado, voc dever selecionar a converso de segurana nos recursos apropriados (Arquivos e pastas, Grupos locais e assim por diante) na pgina Converter Objetos do Assistente para Migrao de Computadores. Se os recursos estiverem em outros computadores que no estejam sendo migrados, voc precisar executar o Assistente para Converso de Segurana nesses computadores e na pgina Opes de Converso de Segurana, selecionar Objetos migrados anteriormente ou fornecer explicitamente as contas MSA em um arquivo de 127
mapeamento de SID. Para obter mais informaes sobre como fazer a converso de segurana, consulte Fazendo a converso de segurana em servidores membros. Para migrar contas de servio gerenciado usando o snap-in do ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. No snap-in do ADMT, clique em Ao e clique em Assistente para Migrao da Conta de Servio Gerenciado. 3. Conclua o Assistente para Migrao da Conta de Servio Gerenciado usando as informaes da tabela a seguir.
Pgina do assistente Ao
Seleo de Domnio
Sob Origem, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio e clique em Avanar.
Clique em Selecione as contas de servio gerenciado do domnio para migrar contas de servio gerenciado do domnio usando a caixa de dilogo de seleo de objeto ou um arquivo de incluso. Essa opo mais indicada se voc desejar migrar todas as contas de servio gerenciado do domnio de origem. Ou Clique em Fornea os computadores que podem ser consultados para quaisquer contas de servio gerenciado e clique em Avanar. Na 128
pgina Seleo de Conta de Servio Gerenciado, clique em Adicionar para selecionar as contas de computador no domnio de origem que voc deseja consultar para as contas de servio gerenciado, clique em OK e clique em Avanar. Esta opo ser preferencial se voc desejar migrar apenas contas de servio gerenciado instaladas em computadores especficos. Cada computador fornecido pode ter vrias contas de servio gerenciado instaladas. Voc pode escolher uma combinao dessas opes movendo-se para frente e para trs no assistente. Por exemplo, voc pode fornecer os computadores a serem consultados e adicionar as contas de servio gerenciado que esto instaladas nesses computadores lista de contas a serem migradas. Em seguida, voc pode clicar em Voltar no assistente para retornar para esta pgina e selecionar as contas de servio gerenciado adicionais no domnio ou em um arquivo de incluso. Opo de Seleo de Conta de Servio Gerenciado Essa pgina exibida somente se voc tiver selecionado as contas de servio gerenciado no domnio. Clique em Selecione as contas de servio gerenciado do domnio e clique em Avanar. Na pgina Seleo de Conta de Servio Gerenciado, clique em Adicionar para selecionar as contas no domnio de origem que voc deseja migrar, clique em OK e clique em Avanar. Ou Clique em Ler objetos em um arquivo de incluso e em Avanar. Digite o local do arquivo de incluso e clique em Avanar. Seleo de Unidade Organizacional Clique em Procurar para especificar um local para as contas migradas e clique em Avanar. 129
Marque a caixa de seleo Atualizar direitos da conta Marque a caixa de seleo Corrigir participaes de usurios em grupos. Se a conta estiver sendo migrada para uma floresta diferente, marque a caixa de seleo Migrar SIDs de contas para o domnio de destino. Esta opo no est disponvel para uma migrao interna na floresta. Clique em Avanar. Digite o nome de usurio, senha e domnio de uma conta que tenha credenciais administrativas no domnio de origem e clique em Avanar.
Concluindo o Assistente para Migrao Revise suas selees e clique em de Conta de Servio Gerenciado Concluir. 4. Quando o assistente for concludo, clique em Exibir Log e verifique se h erros no log de migrao. 5. Inicie Usurios e Computadores do Active Directory e verifique se as contas de servidor gerenciado existem na UO apropriada no domnio de destino. Para migrar contas de servio gerenciado usando a opo de linha de comando do ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. Na linha de comando, digite o comando a seguir e pressione ENTER:
ADMT MANAGEDSERVICEACCOUNT /N "<nome_da_conta de servio gerenciado1>" "<nome_da_conta de servio gerenciado2>" /IF:NO /SD:"<domnio_de_origem>" /TD:"<domnio_de_destino>" /UUR:YES /FGM:YES /MSS:YES
Onde <nome_da_conta1 do servio gerenciado> e <nome_da_conta2 do servio gerenciado> so os nomes das contas de servio gerenciado no domnio de origem. Voc tambm pode incluir parmetros em um arquivo de opo especificado na linha de comando, da seguinte forma:
ADMT MANAGEDSERVICEACCOUNT /N "<nome_da_conta de servio gerenciado1>" "<nome_da_conta de servio gerenciadot2>" /O:"<arquivo_de_opo>.txt"
A tabela seguinte lista os parmetros comuns que so usados para a migrao de contas de servio gerenciado, junto com os equivalentes de parmetro de linha de comando e arquivo de opo. 130
Valores
Migrao interflorestal <Domnio de origem> <Domnio de destino> Atualizar direitos da conta Atualize a participao de grupos de contas Migrar SIDs de conta Observao Voc pode migrar SIDs para contas de servio gerenciad o somente entre florestas. Se voc usar esse parmetro durante uma migrao entre florestas, um erro ser retornado.
/IF:No /SD:"domnio_de_origem
Intraforest=No SourceDomain="domnio_de_origem
"
/TD:"domnio_de_destino
"
TargetDomain="domnio_de_destin
"
/UUR:Yes
o"
UpdateUserRights=Yes
/FGM:Yes
FixGroupMembership=Yes
/MSS:Yes
MigrateSIDs=Yes
131
Para contas de servio gerenciado que so hospedadas em computadores membros no domnio de origem, voc pode incluir o computador membro quando realizar a migrao de computador e a conta de servio gerenciado ser instalada no computador membro no domnio de destino depois que o computador for migrado.
132
Para migrar contas de usurio utilizando o snap-in do ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. Use o Assistente para Migrao de Conta de Usurio, executando as etapas descritas na tabela a seguir.
Pgina do assistente Ao
Seleo de Domnio
Sob Origem, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio e clique em Avanar.
Seleo de Usurio
Clique em Selecionar usurios do domnio e em Avanar. Na pgina Seleo de Usurio, clique em Adicionar para selecionar os usurios do domnio de origem a serem migrados no lote atual, clique em OK e, em seguida, clique em Avanar. Ou No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT.
Verifique se o ADMT lista a unidade organizacional (UO) de destino correta. Se a lista no estiver correta, digite a UO correta ou clique em Procurar. Na caixa de dilogo Procurar Continer, 133
localize o domnio de destino e a UO e clique em OK. Opes de Senha Clique em No atualizar senhas de usurios existentes. Clique em Gerar senhas complexas. Opes de Transio de Conta Em Estado da Conta de Destino:, clique em Desativar Contas de Destino. Em Opes de Desativao de Conta de Origem:, clique em Dias at que a conta de origem expire: e digite os nmeros de dias durante os quais voc deseja manter a conta de origem. Geralmente, o valor 7 usado. Marque a caixa de seleo Migrar SIDs de usurio para o domnio de destino. Conta de Usurio Digite o nome de usurio, a senha e o domnio de uma conta de usurio que tenha credenciais administrativas no domnio de origem. Marque a caixa de seleo Converter perfis mveis. Marque a caixa de seleo Atualizar direitos de usurio. Desmarque a caixa de seleo Migrar grupos de usurios associados. Selecione Corrigir participao em grupos de usurios. Excluso da Propriedade do Objeto Desmarque a caixa de seleo Excluir propriedades de objeto especficas da migrao.
Opes de Usurio
134
Gerenciamento de Conflitos
Marque a caixa de seleo No migrar o objeto de origem se for detectado um conflito no domnio de destino. As caixas de seleo Antes de mesclar, remover direitos do usurio de contas de destino existentes e Mover objetos mesclados para a Unidade Organizacional de destino especificada devem estar desmarcadas.
3. Quando o assistente for concludo, clique em Exibir Log e revise o log de migrao procura de erros. 4. Abra Usurios e Computadores do Active Directory e verifique se as contas de usurio esto na UO apropriada do domnio de destino. Para migrar contas de usurio utilizando a opo de linha de comando da ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. Na linha de comando, digite o comando ADMT pressione ENTER:
User
Voc tambm pode incluir parmetros em um arquivo de opo especificado na linha de comando desta forma:
ADMT USER /N "<nome_do_usurio1>" "<nome_do_usurio2>" "<arquivo_de_opo>.txt" /O
A tabela a seguir lista os parmetros comuns usados para migrar contas de usurio, juntamente com os parmetros de linha de comando e os equivalentes de arquivo de opo.
Parmetros Sintaxe da linha de comando Sintaxe do arquivo de opo
/SD:"domnio_de_origem" SourceDomain="domnio_de_origem"
/SO:"UO_de_origem"
SourceOU="UO_de_origem"
/TD:"domnio_de_destino"
TargetDomain="domnio_de_destino"
/TO:"UO_de_destino"
TargetOU="UO_de_destino"
135
Destino> Migrar SIDs Gerenciamento de conflitos Converter perfil mvel Atualizar direitos de usurio Opes de senha
/MSS:YES /CO:IGNORE MigrateSIDs=YES
(padro)
ConflictOptions=IGNORE
/TRP:YES
(padro)
TranslateRoamingProfile=YES
/UUR:YES
UpdateUserRights=YES
/PO:COMPLEX
(padro)
PasswordOption=COMPLEX
3. Verifique se h erros nos resultados exibidos na tela. 4. Abra Usurios e Computadores do Active Directory e localize a UO de destino. Verifique se os usurios existem na UO de destino. Para migrar contas de usurio utilizando um script y Prepare um script que incorpore comandos e opes do ADMT para migrar usurios utilizando o exemplo de script a seguir. Copie o script no Bloco de Notas e salve o arquivo com a extenso de nome de arquivo .wsf na mesma pasta do arquivo AdmtConstants.vbs.
<Job id=" MigratingAllUserAccountsBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
'
136
objMigration.SourceDomain = "domnio de origem" objMigration.SourceOu = "continer de origem" objMigration.TargetDomain = "domnio de destino" objMigration.TargetOu = "continer de destino" objMigration.PasswordOption = admtComplexPassword objMigration.ConflictOptions = admtIgnoreConflicting
objUserMigration.MigrateSIDs = True objUserMigration.TranslateRoamingProfile = True objUserMigration.UpdateUserRights = True objUserMigration.FixGroupMembership = True objUserMigration.MigrateServiceAccounts = False
137
Clique em Objetos migrados anteriormente. Sob Origem, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio e clique em Avanar. 138
Seleo do Computador
Clique em Selecionar computadores do domnio e em Avanar. Na pgina Seleo do Computador, clique em Adicionar para selecionar os computadores dos quais voc deseja converter a segurana, clique em OK e, em seguida, clique em Avanar. Ou Clique em Ler objetos em um arquivo de incluso e em Avanar. Digite o local do arquivo de incluso e clique em Avanar.
Converter objetos
Desmarque a caixa de seleo Perfis de usurio. Marque todas as outras caixas de seleo.
3. Verifique se h erros nos resultados exibidos na tela. Aps a concluso do assistente, clique em Exibir log de migrao para visualizar a lista de computadores, o status de concluso e o caminho para o arquivo de log de cada computador. Se um erro for reportado para um computador, voc precisar consultar o arquivo de log desse computador para analisar se h problemas com grupos locais. O arquivo de log para cada computador nomeado MigrationTaskID.log e fica armazenado na pasta Windows\ADMT\Logs\Agents. Para converter segurana no modo de adio em objetos usando a opo de linha de comando do ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. Na linha de comando, digite o comando ADMT Security com os parmetros adequados e pressione ENTER:
ADMT SECURITY /N "<nome_do_computador1>" "<nome_do_computador2>" /SD:" <domnio_de_origem>" /TD:" <domnio_de_destino>" /TO:" <UO_de_destino>" /TOT:Add
Voc tambm pode incluir parmetros em um arquivo de opo especificado na linha de comando, desta forma:
ADMT SECURITY /N "<nome_do_computador1>" "<nome_do_computador2>" /O
139
"<arquivo_de_opo>.txt"
A tabela a seguir lista os parmetros comuns usados para migrar contas de usurio, juntamente com os parmetros de linha de comando e os equivalentes de arquivo de opo.
Parmetros Sintaxe da linha de comando
/SD:"domnio_de_origem"
/TD:"domnio_de_destino"
TargetDomain="domnio_de_destino"
/TOT:Add
TranslateOption=ADD
3. Verifique se h erros nos resultados exibidos na tela. Aps a concluso do assistente, clique em Exibir Log de Migrao para visualizar a lista de computadores, o status de concluso e o caminho para o arquivo de log de cada computador. Se um erro for reportado em um computador, voc precisar verificar se h problemas com grupos locais no arquivo de log desse computador. O arquivo de log para cada computador nomeado MigrationTaskID.log e fica armazenado na pasta Windows\ADMT\Logs\Agents. Para converter segurana no modo de adio em objetos usando um script y Prepare um script que incorpore comandos e opes do ADMT para converter segurana no modo de adio em objetos usando o exemplo de script a seguir. Copie o script no Bloco de Notas e salve o arquivo com a extenso de nome de arquivo .wsf na mesma pasta do arquivo AdmtConstants.vbs.
<Job id=" TranslatingSecurityInAddModeOnObjectsBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
140
objSecurityTranslation.TranslationOption = admtTranslateAdd objSecurityTranslation.TranslateFilesAndFolders = True objSecurityTranslation.TranslateLocalGroups = True objSecurityTranslation.TranslatePrinters = True objSecurityTranslation.TranslateRegistry = True objSecurityTranslation.TranslateShares = True objSecurityTranslation.TranslateUserProfiles = False objSecurityTranslation.TranslateUserRights = True
141
</Script> </Job>
142
Na noite anterior notificao que informa que os usurios devem fazer logon usando suas novas contas no domnio de destino, converta os perfis de usurio local. A converso dos perfis na noite anterior garante que o novo perfil de usurio refletir as configuraes de usurio mais recentes. Voc pode converter os perfis de usurio local usando o snap-in da ADMT, a opo de linha de comando da ADMT ou um script. Para converter perfis de usurio local usando o snap-in da ADMT 1. Para cada estao de trabalho no domnio de origem que voc estiver migrando, adicione a conta de migrao de recurso do ADMT ao grupo Administradores local. 2. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 3. Use o Assistente para Converso de Segurana executando as etapas descritas na tabela a seguir.
Pgina do assistente Ao
Clique em Objetos migrados anteriormente. Sob Origem, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio e clique em Avanar.
Seleo do Computador
Clique em Selecionar computadores do domnio e em Avanar. Na pgina Seleo do Computador, clique em Adicionar para selecionar os computadores do domnio de origem dos quais voc deseja converter a segurana, clique em OK e, em seguida, clique em 143
Avanar. Ou Clique em Ler objetos em um arquivo de incluso e em Avanar. Digite o local do arquivo de incluso e clique em Avanar. Converter Objetos Opes de converso de segurana Caixa de Dilogo do Agente ADMT Clique em Perfis de Usurio. Clique em Substituir. Selecione Executar pr-verificao e operao do agente e clique em Iniciar.
4. Verifique se h erros nos resultados exibidos na tela. Aps a concluso do assistente, clique em Exibir Log de Migrao para visualizar a lista de computadores, o status de concluso e o caminho para o arquivo de log de cada computador. Se um erro for reportado para um computador, voc precisar consultar o arquivo de log desse computador para analisar se h problemas com grupos locais. O arquivo de log para cada computador nomeado MigrationTaskID.log e fica armazenado na pasta Windows\ADMT\Logs\Agents. Para converter perfis de usurio local usando a opo de linha de comando da ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. Na linha de comando, digite o comando ADMT pressione ENTER:
Security
ADMT SECURITY /N "<nome_do_computador1>" "<nome_do_computador2>" /SD:" <domnio_de_origem>" /TD:" <domnio_de_destino>" /TO:" <UO_de_destino>" /TOT:REPLACE /TUP:YES
Voc tambm pode incluir parmetros em um arquivo de opo especificado na linha de comando desta forma:
ADMT SECURITY /N "<nome_do_computador1>" "<nome_do_computador2>" /O "<arquivo_de_opo>.txt"
A tabela a seguir lista os parmetros comuns usados para migrar contas de usurio, juntamente com os parmetros de linha de comando e os equivalentes de arquivo de opo.
Parmetros Sintaxe da linha de comando
/SD:"domnio_de_origem"
<Domnio de origem>
144
<Domnio de destino> Opes de converso de segurana Modificar segurana de perfil de usurio local
/TD:"domnio_de_destino"
TargetDomain="domnio_de_destino"
/TOT:REPLACE
TranslateOption=REPLACE
/TUP:YES
TranslateUserProfiles=YES
3. Verifique se h erros nos resultados exibidos na tela. Aps a concluso do assistente, clique em Exibir Log de Migrao para visualizar a lista de computadores, o status de concluso e o caminho para o arquivo de log de cada computador. Se um erro for relatado para um computador, voc precisar consultar o arquivo de log desse computador para analisar se h problemas com grupos locais. O arquivo de log para cada computador nomeado MigrationTaskID.log e fica armazenado na pasta Windows\ADMT\Logs\Agents. Para converter perfis de usurio local usando um script y Prepare um script que incorpore comandos e opes da ADMT para converter perfis de usurio local usando o exemplo de script a seguir. Copie o script no Bloco de Notas e salve o arquivo com a extenso de nome de arquivo .wsf na mesma pasta do arquivo AdmtConstants.vbs.
<Job id=" TranslatingLocalProfilesBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
145
Se uma estao de trabalho tiver contas de servio gerenciado instaladas e essas contas tiverem sido migradas anteriormente, o ADMT oferecer uma opo para reinstalar a conta de servio gerenciado no computador migrado e para atualizar o Gerenciador de Controle de Servios. Para que o ADMT possa executar essa operao, a conta que executa a migrao do computador precisa de permisses para modificar o descritor de segurana da conta de servio gerenciado migrada. Observao Para reiniciar as estaes de trabalho imediatamente depois de associ-las ao domnio de destino, ou assim que possvel, use um valor baixo para o parmetro RestartDelay da ADMT. Os recursos que no so reiniciados aps a migrao ficam em um estado indeterminado. Voc pode migrar estaes de trabalho usando o snap-in da ADMT, a opo de linha de comando da ADMT ou um script. Para migrar estaes de trabalho usando o snap-in da ADMT 1. No computador do domnio de destino em que voc instalou a ADMT, faa logon usando a conta de migrao de recurso da ADMT. 2. Use o Assistente para Migrao de Computadores seguindo as etapas descritas na tabela a seguir.
Pgina do assistente Ao
Seleo de Domnio
Sob Origem, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio e clique em Avanar.
Seleo do Computador
Clique em Selecionar computadores do domnio e em Avanar. Na pgina Seleo do Computador, clique em Adicionar para selecionar os 147
computadores do domnio de origem que deseja migrar, clique em OK e, em seguida, clique em Avanar. Ou Clique em Ler objetos em um arquivo de incluso e em Avanar. Digite o local do arquivo de incluso e clique em Avanar. Informaes sobre conta de servio gerenciado (aparecer se o computador tiver uma conta de servio gerenciada instalada) Selecione qualquer conta de servio gerenciado que no tenha sido instalada no computador migrado no domnio de destino e clique em Ignorar/Incluir para marcar as contas como Ignorar. Clique em Procurar. Na caixa de dilogo Procurar Recipiente, localize o recipiente Computadores do domnio de destino ou a unidade organizacional (UO) apropriada e clique em OK. Converter Objetos Marque a caixa de seleo Grupos locais. Marque a caixa de seleo Direitos do usurio. Opes de converso de segurana Opes de Computador Clique em Adicionar. Na caixa Minutos at que os computadores sejam reiniciados aps a concluso do assistente, aceite o valor padro de 5 minutos ou digite outro valor. Para excluir determinadas propriedades de objeto da migrao, marque a caixa de seleo Excluir propriedades de objeto especficas da migrao, selecione as propriedades de objeto a serem excludas e mova essas propriedades para a caixa Propriedades Excludas; em seguida, clique em Avanar. Clique em No migrar o objeto de origem se for detectado um conflito no 148
Gerenciamento de Conflitos
domnio de destino. Caixa de dilogo Agente da ADMT Selecione Executar pr-verificao e operao do agente e clique em Iniciar.
3. Verifique se h erros nos resultados exibidos na tela. Aps a concluso do assistente, clique em Exibir Log de Migrao para visualizar a lista de computadores, o status de concluso e o caminho para o arquivo de log de cada computador. Se um erro for reportado em um computador, voc precisar verificar se h problemas com grupos locais no arquivo de log desse computador. O arquivo de log para cada computador nomeado MigrationTaskID.log e fica armazenado na pasta Windows\ADMT\Logs\Agents. 4. Abra Usurios e Computadores do Active Directory e verifique se as estaes de trabalho esto na UO apropriada do domnio de destino. Para migrar estaes de trabalho usando a opo de linha de comando da ADMT 1. No computador do domnio de destino em que voc instalou a ADMT, faa logon usando a conta de migrao de recurso da ADMT. 2. Na linha de comando, digite o comando ADMT pressione ENTER.
Computer
ADMT COMPUTER /N "<nome_do_computador1>" "<nome_do_computador2>" /SD:"<domnio_de_origem>" /TD:"<domnio_de_destino>" /TO:"<UO_de_destino>" [/M: <nome da conta de servio gerenciado 1> <nome da conta de servio gerenciado 2>] [/UALLMSA:Yes] /RDL:5
Voc tambm pode incluir parmetros em um arquivo de opo especificado na linha de comando, da seguinte forma:
ADMT COMPUTER /N "<nome_do_computador1>" "<nome_do_computador2>" /O:" <arquivo_de_opo>.txt"
A tabela a seguir lista os parmetros comuns usados na migrao de estao de trabalho, juntamente com o parmetro de linha de comando e equivalentes do arquivo de opo.
Parmetros Sintaxe da linha de comando Sintaxe do arquivo de opo
SD:"domnio_de_origem
SourceDomain="domnio_de_origem"
"
/SO:"UO_de_origem" SourceOU="UO_de_origem"
/TD:"domnio_de_destin
TargetDomain="domnio_de_destino
o"
" 149
Atualizar todas as contas de servio gerenciado Atualizar contas de servio gerenciado especficas Observao O parmetro /M tem prioridade sobre o parmetro /UALLMS A. Local da <UO de Destino> Atraso de reinicializao (minutos) Opo de converso de segurana Converter direitos de usurio Converter grupos locais
/UALLMSA: YES
UpdateAllManagedServiceAccounts=Y es
/M:
nome 1 nome 2
UPDATEMSANAME=nome
1 nome
/TO:"UO_de_destino"
TargetOU="UO_de_destino"
/RDL:5
RestartDelay=5
/TOT:ADD
TranslationOption=ADD
/TUR:YES
TranslateUserRights=YES
/TLG:YES
TranslateLocalGroups=YES
3. Verifique se h erros nos resultados exibidos na tela. O log de migrao lista computadores, status de concluso e o caminho para o arquivo de log de cada computador. Se um erro for relatado para um computador, voc precisar consultar o arquivo de log desse computador para analisar se h problemas com grupos locais. O arquivo de log para cada computador nomeado MigrationTaskID.log e fica armazenado na pasta Windows\ADMT\Logs\Agents. 4. Abra Usurios e Computadores do Active Directory e localize a UO de destino. Verifique se as estaes de trabalho existem na UO de destino. Para migrar estaes de trabalho usando um script y Prepare um script que incorpore comandos e opes da ADMT para migrar estaes de 150
trabalho usando o exemplo de script a seguir. Copie o script no Bloco de Notas e salve o arquivo com a extenso de nome de arquivo .wsf na mesma pasta do arquivo AdmtConstants.vbs.
<Job id="MigratingWorkstationsBwtweenForest" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
objMigration.SourceDomain = "domnio de origem" objMigration.SourceOu = "Computadores" objMigration.TargetDomain = "domnio de destino" objMigration.TargetOu = "Computadores"
151
Seleo de Domnio
Sob Origem, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou 152
DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio e clique em Avanar. Seleo de Usurio Clique em Selecionar usurios do domnio e em Avanar. Na pgina Seleo de Usurio, clique em Adicionar para selecionar os usurios do domnio de origem que deseja migrar no lote atual, clique em OK e, em seguida, clique em Avanar. Ou Clique em Ler objetos em um arquivo de incluso e em Avanar. Digite o local do arquivo de incluso e clique em Avanar. Seleo de Unidade Organizacional Verifique se a ADMT lista a UO de destino correta. Se a lista no estiver correta, digite a UO correta ou clique em Procurar. Na caixa de dilogo Procurar Recipiente, localize o domnio de destino e a UO e clique em OK. Opes de Senha Clique em Migrar Senhas. Em Controlador de domnio de origem de migrao de senha:, digite o nome do servidor de exportao de senha ou aceite o valor padro. Opes de Transio de Conta Em Estado da Conta de Destino:, clique em Ativar contas de destino. Em Opes de Desativao de Conta 153
de Origem:, clique em Dias at que a conta de origem expire: e digite o nmero de dias durante os quais voc deseja manter a conta de origem. Geralmente, o valor 7 usado. Marque a caixa de seleo Migrar SIDs de usurio para o domnio de destino. Conta de Usurio Digite o nome de usurio, a senha e o domnio de uma conta de usurio que possua credenciais administrativas. Marque a caixa de seleo Converter perfis mveis. Marque a caixa de seleo Atualizar direitos de usurio. Marque a caixa de seleo Migrar grupos de usurios associados. Marque a caixa de seleo Corrigir membros do grupo de usurios. Excluso da Propriedade do Objeto Desmarque a caixa de seleo Excluir propriedades de objeto especficas da migrao. Clique em Migrar e mesclar objetos conflitantes. Desmarque a caixa de seleo Antes de mesclar, remover direitos do usurio de contas de destino existentes. Desmarque a caixa de seleo Mover objetos mesclados para Unidade Organizacional de destino especificada. 3. Quando o assistente for concludo, clique em Exibir Log e revise o log de migrao procura de erros. 4. Abra Usurios e Computadores do Active Directory e verifique se as contas de usurio esto na UO apropriada do domnio de destino. Para repetir a migrao do lote atual de usurios usando a opo de linha de comando da ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon 154
Opes de Usurio
Gerenciamento de Conflitos
usando a conta de migrao da conta do ADMT. 2. Na linha de comando, digite o comando ADMT pressione ENTER:
User
Voc tambm pode incluir parmetros em um arquivo de opo especificado na linha de comando desta forma:
ADMT USER /N "<nome_do_usurio1>" "<nome_do_usurio2>" "<arquivo_de_opo>.txt" /O
A tabela a seguir lista os parmetros comuns usados para migrar contas de usurio, juntamente com os parmetros de linha de comando e os equivalentes de arquivo de opo.
Parmetros Sintaxe da linha de comando Sintaxe do arquivo de opo
/SD:"domnio_de_origem" SourceDomain="domnio_de_origem"
<Domnio de origem> Local da <UO de Origem> <Domnio de destino> Local da <UO de Destino> Migrar SIDs Gerenciamento de conflitos Converter perfil mvel Atualizar direitos de usurio Opes de senha
/SO:"UO_de_origem"
SourceOU="UO_de_origem"
/TD:"domnio_de_destino"
TargetDomain="domnio_de_destino"
/TO:"UO_de_destino"
TargetOU="UO_de_destino"
/MSS:YES /CO:REPLACE
MigrateSIDs=YES ConflictOptions=REPLACE
/TRP:YES
(padro)
TranslateRoamingProfile=YES
/UUR:YES
UpdateUserRights=YES
/PO:COPY /PS:<nome
do
PasswordOption=COPY PasswordServer=:<nome
servidor PES>
do servidor
3. Verifique se h erros nos resultados exibidos na tela. 4. Abra Usurios e Computadores do Active Directory e localize a UO de destino. Verifique 155
se os usurios existem na UO de destino. Para repetir a migrao do lote atual de contas de usurio usando um script y Prepare um script que incorpore comandos e opes da ADMT para migrar usurios utilizando o exemplo de script a seguir. Copie o script no Bloco de Notas e salve o arquivo com a extenso de nome de arquivo .wsf na mesma pasta do arquivo AdmtConstants.vbs.
<Job id="MigratingUserAccountsInBatchesBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
objMigration.SourceDomain = "domnio de origem" objMigration.SourceOu = "continer de origem" objMigration.TargetDomain = "domnio de destino" objMigration.TargetOu = "continer de destino" objMigration.PasswordOption = admtCopyPassword objMigration.PasswordServer = "nome do servidor do exportao de senha" objMigration.ConflictOptions = admtReplaceConflicting ' 'Especifique as opes especficas de migrao do usurio.
156
' objUserMigration.SourceExpiration = 7 objUserMigration.MigrateSIDs = True objUserMigration.TranslateRoamingProfile = True objUserMigration.UpdateUserRights = False objUserMigration.FixGroupMembership = True objUserMigration.MigrateServiceAccounts = False
157
Repetindo a migrao de todos os grupos globais depois que todos os lotes so migrados
Aplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2 Depois que todos os lotes tiverem sido migrados, execute uma migrao de grupo global final para garantir que quaisquer alteraes posteriores feitas na associao do grupo global no domnio de origem sejam refletidas no domnio de destino. Voc pode repetir a migrao dos grupos globais usando o snap-in da Ferramenta de Migrao do Active Directory (ADMT), a opo de linha de comando do ADMT ou um script. Para repetir a migrao dos grupos globais usando o snap-in do ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. Use o Assistente para Migrao de Conta de Grupo, executando as etapas descritas na tabela a seguir.
Pgina do assistente Ao
Seleo de domnio
Sob Origem, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio e clique em Avanar.
Seleo de grupo
Clique em Selecionar grupos do domnio e em Avanar. Na pgina Seleo de grupo, clique em Adicionar para selecionar os grupos do domnio de origem que deseja migrar, clique em OK e, em seguida, clique em Avanar. 158
Ou Clique em Ler objetos em um arquivo de incluso e em Avanar. Digite o local do arquivo de incluso e clique em Avanar. Seleo de unidade organizacional Digite o nome da unidade organizacional (UO) ou clique em Procurar. Na caixa de dilogo Procurar recipiente, localize o recipiente do domnio de destino para o qual voc deseja mover os grupos globais e clique em OK. Opes de grupo Marque a caixa de seleo Atualizar direitos de usurio. Confirme que a caixa de seleo Copiar membros do grupo no est marcada. Confirme que a caixa de seleo Atualizar objetos migrados anteriormente no est marcada. Marque a caixa de seleo Corrigir participao de grupo. Marque a caixa de seleo Migrar SIDs de grupo para domnio de destino. Conta de usurio Digite o nome de usurio, a senha e o domnio de uma conta que tenha direitos administrativos no domnio de origem. Desmarque a caixa de seleo Excluir propriedades de objeto especficas da migrao. Marque a caixa de seleo Migrar e mesclar objetos conflitantes (todas as outras opes devem permanecer desmarcadas).
Gerenciamento de conflitos
3. Quando o assistente for concludo, clique em Exibir log e revise o log de migrao procura de erros. 4. Abra Usurios e computadores do Active Directory e localize a UO de destino. Verifique se os grupos globais existem na UO do domnio de destino.
159
Para repetir a migrao dos grupos globais usando a opo de linha de comando do ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. Na linha de comando, digite o comando ADMT pressione ENTER:
Group
ADMT GROUP /N "<nome_do_grupo1>" "<nome_do_grupo2>" /SD:" <domnio_de_origem>" /TD:" <domnio_de_destino>" /TO:" <OU de destino>" /MSS:YES /CO:REPLACE
Voc tambm pode incluir parmetros em um arquivo de opo especificado na linha de comando, desta forma:
ADMT GROUP /N "<nome_do_grupo1>" "<nome_do_grupo2>" /O: "<arquivo_de_opo>.txt"
A tabela a seguir lista os parmetros comuns usados para migrar grupos globais, juntamente com o parmetro de linha de comando e equivalentes do arquivo de opo.
Parmetros Sintaxe da linha de comando Sintaxe do arquivo de opo
/SD:"domnio_de_origem" SourceDomain="domnio_de_origem"
<Domnio de origem> Local da <UO de origem> <Domnio de destino> Local da <UO de destino> Migrar SIDs de GG Gerenciamento de conflitos
/SO:"UO_de_origem"
SourceOU="UO_de_origem"
/TD:"domnio_de_destino"
TargetDomain="domnio_de_destino"
/TO:"UO_de_destino"
TargetOU="UO_de_destino"
/MSS:YES
MigrateSIDs=YES
/CO:REPLACE
ConflictOptions=REPLACE
3. Revise os resultados exibidos na tela procura de erros. 4. Abra Usurios e Computadores do Active Directory e localize a UO de destino. Verifique se os grupos globais existem na UO do domnio de destino. Para repetir a migrao dos grupos globais usando um script y Prepare um script que incorpore comandos e opes do ADMT para migrar grupos globais usando o exemplo de script a seguir. Copie o script no Bloco de Notas e salve o arquivo com a extenso de nome de arquivo .wsf na mesma pasta do arquivo AdmtConstants.vbs. 160
<Job id=" RemigratingGlobalGroupsBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
objMigration.SourceDomain = "domnio de origem" objMigration.SourceOu = "continer de origem" objMigration.TargetDomain = "domnio de destino" objMigration.TargetOu = "continer de destino" objMigration.ConflictOptions = admtReplaceConflicting
objGroupMigration.MigrateSIDs = True
161
162
Clique em Objetos migrados anteriormente. Sob Origem, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio e clique em Avanar.
Seleo do Computador
Clique em Selecionar computadores do domnio e em Avanar. Na pgina Seleo do Computador, clique em Adicionar para selecionar os computadores dos quais voc deseja converter a segurana, clique em OK e, em seguida, clique em Avanar. Ou Clique em Ler objetos em um arquivo de incluso e em Avanar. Digite o local do arquivo de incluso e clique em Avanar.
Converter Objetos
Desmarque a caixa de seleo Perfis de Usurio. Marque todas as outras caixas de seleo.
Clique em Remover.
Para converter a segurana no modo de excluso em objetos usando a linha de comando do ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. Na linha de comando, digite o comando ADMT Security com os parmetros apropriados 163
e pressione ENTER:
ADMT SECURITY /N "<nome_do_computador1>" "<nome_do_computador2>" /SD:" <domnio_de_origem>" /TD:" <domnio_de_destino>" /TO:" <UO_de_destino>" /TOT:Remove
Voc tambm pode incluir parmetros em um arquivo de opo especificado na linha de comando desta forma:
ADMT SECURITY /N "<nome_do_computador1>" "<nome_do_computador2>" /O "<arquivo_de_opo>.txt"
A tabela a seguir lista os parmetros comuns usados para migrar contas de usurio, juntamente com os parmetros de linha de comando e os equivalentes de arquivo de opo.
Parmetros Sintaxe da linha de comando
/SD:"domnio_de_origem"
/TD:"domnio_de_destino"
TargetDomain="domnio_de_destino"
/TOT:Remove
TranslateOption=REMOVE
3. Verifique se h erros nos resultados exibidos na tela. Aps a concluso do assistente, clique em Exibir Log de Migrao para visualizar a lista de computadores, o status de concluso e o caminho para o arquivo de log de cada computador. Se um erro for reportado para um computador, voc precisar consultar o arquivo de log desse computador para analisar se h problemas com grupos locais. O arquivo de log para cada computador nomeado MigrationTaskID.log e fica armazenado na pasta Windows\ADMT\Logs\Agents. Para converter a segurana no modo de excluso em objetos usando um script y Prepare um script que incorpore comandos e opes do ADMT para converter a segurana no modo de excluso em objetos usando o exemplo de script a seguir. Copie o script no Bloco de Notas e salve o arquivo com a extenso de nome de arquivo .wsf na mesma pasta do arquivo AdmtConstants.vbs.
<Job id=" TranslatingSecurityInRemoveModeOnObjectsBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
164
objSecurityTranslation.TranslationOption = admtTranslateRemove objSecurityTranslation.TranslateFilesAndFolders = True objSecurityTranslation.TranslateLocalGroups = True objSecurityTranslation.TranslatePrinters = True objSecurityTranslation.TranslateRegistry = True objSecurityTranslation.TranslateShares = True objSecurityTranslation.TranslateUserProfiles = False objSecurityTranslation.TranslateUserRights = True
165
'
Migrando Recursos
Aplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2 O processo de migrao de recursos entre domnios do Active Directory de florestas diferentes envolve a concluso da migrao do seguinte: y y y Contas de estao de trabalho e servidores membros Grupos de domnio local e grupos locais compartilhados Controladores de domnio
Aps migrar com xito todos os objetos de recurso para o domnio de destino, voc poder descomissionar o domnio de origem. A ilustrao a seguir mostra o processo de migrao de objetos de recurso entre domnios do Active Directory de florestas diferentes.
166
Como a migrao exige a reinicializao de servidores membros e de estaes de trabalho, importante agendar a migrao para um horrio em que o servidor no esteja atendendo a solicitaes. Observao Reinicie as estaes de trabalho imediatamente depois de inclu-las no domnio de destino, selecionando um nmero baixo (como 1) para o parmetro RestartDelay. Os recursos que no so reiniciados aps a migrao ficam em um estado indeterminado. Voc pode migrar estaes de trabalho e servidores membros usando o snap-in da Ferramenta de Migrao do Active Directory (ADMT), a opo de linha de comando do ADMT ou um script. Para migrar estaes de trabalho e servidores membros usando o snap-in do ADMT 1. No computador do domnio de destino em que voc instalou o ADMT, faa logon usando a conta de migrao de recurso do ADMT. 2. Use o Assistente para Migrao de Conta de Computador executando as etapas descritas na tabela a seguir.
Pgina do assistente Ao
Seleo de Domnio
Sob Origem, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio e clique em Avanar.
Seleo do Computador
Clique em Selecionar computadores do domnio e em Avanar. Na pgina Seleo do Computador, clique em Adicionar para selecionar os computadores do domnio de origem que deseja migrar, clique em OK e, em seguida, clique em Avanar. Ou 168
Clique em Ler objetos em um arquivo de incluso e em Avanar. Digite o local do arquivo de incluso e clique em Avanar. Informaes sobre conta de servio gerenciado (aparecer se o computador tiver uma conta de servio gerenciado instalada) Selecione qualquer conta de servio gerenciado que no tenha sido instalada no computador migrado no domnio de destino e clique em Ignorar/Incluir para marcar as contas como Ignorar. Clique em Procurar. Na caixa de dilogo Procurar Recipiente, localize o recipiente Computadores do domnio de destino ou a unidade organizacional (UO) apropriada e clique em OK. Opes de Converso de Segurana Marque a caixa de seleo Grupos locais. Marque a caixa de seleo Direitos do usurio. Converter Objetos Opes de Computador Clique em Adicionar. Em Minutos at que os computadores sejam reiniciados aps a concluso do assistente, aceite o valor padro de 5 minutos ou digite outro valor. Para excluir determinadas propriedades de objeto da migrao, marque a caixa de seleo Excluir propriedades de objeto especficas da migrao, selecione as propriedades de objeto a serem excludas e mova essas propriedades para Propriedades Excludas; em seguida, clique em Avanar. Clique em No migrar o objeto de origem se for detectado um conflito no domnio de destino. Selecione Executar pr-verificao e operao do agente e clique em Iniciar.
Gerenciamento de Conflitos
169
3. Verifique se h erros nos resultados exibidos na tela. Aps a concluso do assistente, clique em Exibir Log de Migrao para visualizar a lista de computadores, o status de concluso e o caminho para o arquivo de log de cada computador. Se um erro for reportado para um computador, voc precisar consultar o arquivo de log desse computador para analisar se h problemas com grupos locais. O arquivo de log para cada computador nomeado MigrationTaskID.log e fica armazenado na pasta Windows\ADMT\Logs\Agents. 4. Abra Usurios e Computadores do Active Directory e verifique se as estaes de trabalho esto na UO apropriada do domnio de destino. Para migrar estaes de trabalho e servidores membros usando a opo de linha de comando do ADMT 1. No computador do domnio de destino em que voc instalou o ADMT, faa logon usando a conta de migrao de recurso do ADMT. 2. Na linha de comando, digite o comando ADMT pressione ENTER.
Computer
ADMT COMPUTER /N "<nome_do_computador1>" "<nome_do_computador2>" /SD:"<domnio_de_origem>" /TD:"<domnio_de_destino>" /TO:"<UO_de_destino>" [/M: <nome da conta de servio gerenciado 1> <nome da conta de servio gerenciado 2>] [/UALLMSA:Yes] /RDL:5
Voc tambm pode incluir parmetros em um arquivo de opo especificado na linha de comando, desta forma:
ADMT COMPUTER /N "<nome_do_computador1>" "<nome_do_computador2>" /O:" <arquivo_de_opo>.txt"
A tabela a seguir lista os parmetros comuns usados na migrao de estao de trabalho, juntamente com o parmetro de linha de comando e equivalentes do arquivo de opo.
Parmetros Sintaxe da linha de comando Sintaxe do arquivo de opo
<Domnio de origem> Local da <UO de Origem> <Domnio de destino> Atualizar contas de servio gerenciado Atualizar contas de
SD:"domnio_de_origem
SourceDomain="domnio_de_origem"
"
/SO:"UO_de_origem" SourceOU="UO_de_origem"
/TD:"domnio_de_destin
TargetDomain="domnio_de_destino
o"
/UALLMSA: YES
"
UpdateAllManagedServiceAccounts=Y es
/M
nome 1 nome 2
UPDATEMSANAME=nome
1 nome 2 170
servio gerenciado especficas Observao O parmetro /M tem prioridade sobre o parmetro /UALLMS A.
Local da <UO de Destino> Atraso de reinicializao (minutos) Opo de converso de segurana Converter direitos de usurio Converter grupos locais
/TO:"UO_de_destino"
TargetOU="UO_de_destino"
/RDL:5
RestartDelay=5
/TOT:ADD
TranslationOption=ADD
/TUR:YES
TranslateUserRights=YES
/TLG:YES
TranslateLocalGroups=YES
3. Verifique se h erros nos resultados exibidos na tela. O log de migrao lista computadores, status de concluso e o caminho para o arquivo de log de cada computador. Se um erro for reportado para um computador, voc precisar consultar o arquivo de log desse computador para analisar se h problemas com grupos locais. O arquivo de log para cada computador nomeado MigrationTaskID.log e fica armazenado na pasta Windows\ADMT\Logs\Agents. 4. Abra Usurios e Computadores do Active Directory e localize a UO de destino. Verifique se as estaes de trabalho existem na UO de destino. Para migrar estaes de trabalho e servidores membros usando um script y Prepare um script que incorpore comandos e opes do ADMT para migrar estaes de trabalho e servidores membros usando o exemplo de script a seguir. Copie o script no Bloco de Notas e salve o arquivo com a extenso de nome de arquivo .wsf na mesma pasta do arquivo AdmtConstants.vbs.
171
<Job id="MigratingWorkstationsMemberServersBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
objMigration.SourceDomain = "domnio de origem" objMigration.SourceOu = "Computadores" objMigration.TargetDomain = "domnio de destino" objMigration.TargetOu = "Computadores"
172
1. No computador do domnio de destino em que voc instalou a ADMT, faa logon usando a conta de migrao de recurso da ADMT. 2. Use o Assistente para Migrao de Conta de Grupo, executando as etapas descritas na tabela a seguir.
Pgina do assistente Ao
Seleo de Domnio
Sob Origem, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio e clique em Avanar.
Seleo de Grupo
Clique em Selecionar grupos do domnio e em Avanar. Na pgina Seleo de Grupo, clique em Adicionar para selecionar os grupos do domnio de origem que deseja migrar, clique em OK e, em seguida, clique em Avanar. Ou Clique em Ler objetos em um arquivo de incluso e em Avanar. Digite o local do arquivo de incluso e clique em Avanar.
Digite o nome da unidade organizacional (UO) ou clique em Procurar. Na caixa de dilogo Procurar Continer, localize o continer do domnio de destino para o qual voc deseja mover os grupos globais e clique em OK.
Opes de Grupo
Marque a caixa de seleo Migrar SIDs de grupo para domnio de destino. 174
Todas as outras opes devem permanecer desmarcadas. Conta de Usurio Digite o nome de usurio, a senha e o domnio de uma conta que tenha direitos administrativos no domnio de origem. Desmarque a caixa de seleo Excluir propriedades de objeto especficas da migrao. Marque a caixa de seleo Migrar e mesclar objetos conflitantes. (Todas as outras opes so desmarcadas.)
Gerenciamento de Conflitos
3. Quando a execuo do assistente for concluda, clique em Exibir Log. Verifique se h erros no log da migrao. 4. Abra Usurios e Computadores do Active Directory, localize a unidade organizacional (UO) de destino e verifique se os grupos locais compartilhados existem na UO do domnio de destino. Para migrar grupos locais de domnio e compartilhados usando um script y Prepare um script que incorpore comandos e opes do ADMT para migrar grupos locais de domnio e compartilhados usando o exemplo de script a seguir. Copie o script no Bloco de Notas e salve o arquivo com a extenso de nome de arquivo .wsf na mesma pasta do arquivo AdmtConstants.vbs.
<Job id=" MigratingDomainAndSharedLocalGroupsBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
175
objMigration.SourceDomain = "domnio de origem" objMigration.SourceOu = "continer de origem" objMigration.TargetDomain = "domnio de destino" objMigration.TargetOu = "continer de destino"
objGroupMigration.MigrateSIDs = True
y y y
Remova o Active Directory ou o AD DS do controlador de domnio. Migre o controlador de domnio como um servidor membro para o domnio de destino. Reinstale o Active Directory ou o AD DS.
Se o servidor estiver executando o Windows 2000 Server, no ser possvel instalar o Active Directory ou o AD DS no domnio de destino se o domnio de destino j estiver no nvel funcional do Windows Server 2003. Neste caso, ser preciso atualizar o servidor para o Windows Server 2003 antes de instalar o Active Directory ou o AD DS. As mesmas etapas so necessrias para migrar um RODC conforme necessrio para controlador de domnio gravvel.
Executando a migrao
Aplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2 Aps migrar todas as contas e recursos do domnio de origem para o domnio de destino, execute as tarefas a seguir para concluir o processo de reestruturao: y y y Transfira a administrao de contas de usurio e contas de grupo do domnio de origem para o domnio de destino. Verifique se pelo menos dois controladores de domnio continuam operando no domnio de origem at a concluso do processo de migrao de recursos. Faa backup dos dois controladores de domnio do domnio de origem.
Aps concluir estas etapas, voc poder converter segurana nos servidores membros do domnio de destino e descomissionar o domnio de origem. A ilustrao a seguir mostra o processo de concluso da migrao de domnios do Active Directory entre florestas.
177
Para converter a segurana em servidores membros usando o snap-in da ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. Use o Assistente para Converso de Segurana executando as etapas descritas na tabela a seguir.
Pgina do assistente Ao
Clique em Objetos migrados anteriormente. Sob Origem, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio e clique em Avanar.
Seleo do Computador
Clique em Selecionar computadores do domnio e em Avanar. Na pgina Seleo do Computador, clique em Adicionar para selecionar os computadores dos quais voc deseja converter a segurana, clique em OK e, em seguida, clique em Avanar. Ou Clique em Ler objetos em um arquivo de incluso e em Avanar. Digite o local do arquivo de incluso e clique em Avanar.
179
Converter Objetos
Clique em Substituir.
Para converter a segurana em servidores membros usando a opo de linha de comando da ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. Na linha de comando, digite o comando ADMT pressione ENTER:
Security
ADMT SECURITY /N "<nome_do_computador1>" "<nome_do_computador2>" /SD:" <domnio_de_origem>" /TD:" <nome_de_destino>" /TO:" <UO_de_destino>" /TOT:Replace
Voc tambm pode incluir parmetros em um arquivo de opo especificado na linha de comando desta forma:
ADMT SECURITY /N "<nome_do_computador1>" "<nome_do_computador2>" /O "<arquivo_de_opo>.txt"
A tabela a seguir lista os parmetros comuns usados para migrar contas de usurio, juntamente com os parmetros de linha de comando e os equivalentes de arquivo de opo.
Parmetros Sintaxe da linha de comando
/SD:"domnio_de_origem"
/TD:"domnio_de_destino"
TargetDomain="domnio_de_destino"
/TOT:Replace
TranslateOption=REPLACE
3. Verifique se h erros nos resultados exibidos na tela. Aps a concluso do assistente, clique em Exibir Log de Migrao para visualizar a lista de computadores, o status de concluso e o caminho para o arquivo de log de cada computador. Se um erro for reportado em um computador, voc precisar verificar se h problemas com grupos locais no arquivo de log desse computador. O arquivo de log para cada computador nomeado MigrationTaskID.log e fica armazenado na pasta Windows\ADMT\Logs\Agents. Para converter a segurana em servidores membros usando um script 180
y
Prepare um script que incorpore comandos e opes do ADMT para converter a segurana em servidores membros usando o exemplo de script a seguir. Copie o script no Bloco de Notas e salve o arquivo com a extenso de nome de arquivo .wsf na mesma pasta do arquivo AdmtConstants.vbs.
<Job id=" TranslatingSecurityOnMemberServersBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
181
objSecurityTranslation.TranslatePrinters = True objSecurityTranslation.TranslateRegistry = True objSecurityTranslation.TranslateShares = True objSecurityTranslation.TranslateUserProfiles = False objSecurityTranslation.TranslateUserRights = True
Ao descomissionar o domnio de origem, grupos locais compartilhados e grupos locais que voc no converteu usando o Assistente para converso de segurana exibem os membros do grupo como "conta desconhecida". Isto ocorre porque os nomes de membros do domnio de origem no so resolvidos. Contudo, essas participaes em grupos ainda existem e isto no afeta os usurios. No exclua entradas de "conta desconhecida" porque isto desabilita o acesso que facilitado pelo histrico do identificador de segurana (SID). Execute o Assistente para converso de segurana para remover essas entradas.
Caso os usurios sejam frequentemente reatribudos a locais que so parte de domnios diferentes, voc tambm poder migrar objetos entre domnios regularmente. O processo de reestruturao de domnios do Active Directory dentro de uma floresta diferente do processo de reestruturao de domnios do Active Directory entre florestas. Este processo exige um planejamento e teste cuidadoso.
Se reatribuir usurios com frequncia a domnios diferentes, voc poder tambm migrar objetos entre domnios regularmente. A reestruturao de domnios do Active Directory dentro de uma floresta diferente da migrao entre florestas e requer planejamento e testes cuidadosos.
Tarefa Referncia
Revise as instrues de instalao da Ferramenta de Migrao do Active Directory (ADMT). Para migrar computadores que estejam executando Windows Server 2008, Windows Server 2003, Windows Vista (sem o Service Pack 1 (SP1)), Windows XP e Microsoft Windows 2000 (usando o ADMT 3.1) para um domnio de destino com controladores de domnio executando Windows Server 2008 R2 ou Windows Server 2008, primeiro defina a chave de Registro a seguir nos controladores de domnio de destino: Observao Esta chave de Registro no precisa ser definida para migrar computadores que executem o Windows Vista SP1, o Windows 7 ou o Windows Server 2008 R2. Caminho do Registro: HKLM\System\CurrentControlSet\Services\Netlogon \Parameters Valor do Registro: AllowNT4Crypto Tipo: REG_DWORD Dados: 1 Observao Essa configurao do Registro corresponde configurao Permitir algoritmos de criptografia compatveis com Windows NT 4.0 da Diretiva de Grupo. Para tarefas de migrao que usem a implantao de agente e o Firewall do Windows, habilite a exceo Compartilhamento de Arquivo e Impressora. Isso pode incluir migrao nas seguintes situaes: y Migrao de computadores estaes de trabalho e servidores membro que estejam em execuo no Windows Server 2008 R2, Windows Server 2008,
Instalando o ADMT no domnio de destino Para obter mais informaes sobre como fazer essa alterao usando a Diretiva de Grupo, consulte Problemas conhecidos relacionados instalao e remoo de AD DS (http://go.microsoft.com/fwlink/?LinkId= 119321). (em ingls)
Para obter mais informaes, consulte Habilitar ou Desabilitar a Exceo Compartilhamento de Arquivo e Impressora (http://go.microsoft.com/fwlink/?LinkID= 119315). (em ingls)
184
Tarefa
Referncia
Windows 7 ou no Windows Vista. y Migrao de configuraes de segurana ou execuo de converso de segurana Instalando o ADMT no domnio de destino Preparando-se para reestruturar os domnios do Active Directory dentro de uma floresta
Prepare-se para reestruturar os domnios do Active Directory dentro de uma floresta. Essa tarefa possui as seguintes subtarefas: y y y y y y y Avaliar a nova estrutura de domnios do Active Directory. Atribuir funes e localizaes dos objetos de domnio. Planejar a migrao de grupos e textos. Criar um plano de reverso e um plano de comunicao para usurios. Criar grupos de contas de migrao. Instalar o ADMT. Planejar as contas de servio de transio.
Faa a migrao de grupos globais e universais usando Migrar grupos o Assistente para Migrao de Conta de Grupo ou a ferramenta de linha de comando admt group. Faa a migrao de contas de servio usando o Assistente para Migrao de Conta de Servio ou as ferramentas de linha de comando do ADMT, como o admt service para identificar as contas de servio no domnio de origem e admt user para migrar as contas de servios que voc especificar. Faa a migrao de contas de servio gerenciado usando o Assistente para Migrao de Conta de Servio Gerenciada ou a ferramenta de linha de comando admt managedserviceaccount. Faa a migrao de contas de usurios usando o Assistente para Migrao de Conta de Usurio ou a ferramenta de linha de comando admt user. Faa a converso dos perfis de usurios locais usando o Assistente para Converso de Segurana ou a ferramenta de linha de comando admt security. Faa a migrao de computadores de estao de trabalho e de servidores membros usando o Assistente Migrar contas de servio
Tarefa
Referncia
para Migrao de Computadores ou a ferramenta da linha de comando admt computer. Faa a migrao de grupos locais de domnio usando o Assistente para Migrao de Conta de Grupo ou a ferramenta de linha de comando admt group.
Execute as tarefas de ps-migrao. Essa tarefa possui y as seguintes subtarefas: y y y y Verifique se h erros nos logs de migrao. Verificar os tipos de grupos. Faa a converso de segurana em servidores membros. Encerre os domnios de origem. y y y
Examinar logs da migrao procura de erros Verificar os tipos de grupos Fazer a converso de segurana em servidores membros Descomissionar o domnio de origem
O processo de reestruturao dos domnios do Active Directory em uma floresta similar ao processo de migrao de contas entre domnios. Quando voc migra contas e recursos entre domnios, voc migra objetos do domnio de origem para o domnio de destino sem descomissionar o domnio de origem. Quando voc reestrutura os domnios do Active Directory, voc elimina o domnio de origem da floresta depois de concluir a migrao de todos os objetos de domnio. Antes de comear o processo de reestruturar os domnios do Active Directory em uma floresta, certifique-se de que os domnios de origem e de destino estejam operando no nvel funcional de domnio mnimo exigido para a verso do ADMT que voc est usando. Se voc estiver usando 186
o ADMT v.31, o nvel funcional mnimo de domnio ser o Windows 2000 nativo. Se voc estiver usando o ADMT v3.2, o nvel funcional mnimo de domnio ser o Windows Server 2003. Depois de atualizar o processo de reestruturao dos domnios do Active Directory em uma floresta, voc pode descomissionar o domnio de origem para ajudar a reduzir o excedente e simplificar a administrao no nvel funcional do domnio na sua organizao.
Reestruturando domnios do Active Directory dentro de uma floresta usando o ADMT v3.1
Aplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2 Para manter o acesso de usurios a recursos durante o processo de reestruturao de domnios, preciso executar as etapas de migrao em uma ordem especfica. A ilustrao a seguir mostra o processo de reestruturao de domnios do Active Directory em uma floresta.
Informaes gerais sobre a reestruturao de domnios do Active Directory dentro de uma floresta
Aplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2 A reestruturao dos domnios do Active Directory dentro de uma floresta envolve a migrao de contas e recursos dos domnios de origem para os domnios de destino. Ao contrrio do processo de reestruturao dos domnios do Active Directory entre florestas, quando voc reestrutura domnios em uma floresta, os objetos migrados deixam de existir no domnio de origem. 187
Observao Na migrao intraflorestal, as contas de computador so tratadas de forma diferente das contas do usurio e do grupo. Para facilitar a reverso, uma nova conta do computador criada no domnio de destino e a conta do computador de origem permanece habilitada no domnio de origem aps a migrao. Alm disso, migrar contas de usurios, recursos e grupos exige considerao especial quando voc reestrutura os domnios do Active Directory dentro de uma floresta, devido s regras de reteno que se aplicam aos grupos do Active Directory. Por essas razes, o desafio ao reestruturar domnios do Active Directory em uma floresta garantir que os usurios tenham acesso contnuo aos recursos durante o processo de migrao.
Usurios e grupos
O primeiro tipo de conjunto fechado inclui o seguinte: y y y Contas de usurios Todos os grupos globais aos quais os usurios pertencem Todos os outros membros dos grupos globais
Os grupos globais so limitados a membros do domnio em que o grupo global existe. Portanto, se voc migrar uma conta de usurio para um novo domnio, mas no migrar os grupos globais aos quais o usurio pertence, o usurio no ser mais um membro vlido desses grupos globais e no poder acessar recursos baseados na associao desses grupos globais. Portanto, quando voc estiver movendo contas entre domnios em uma floresta, ser necessrio mover conjuntos fechados de modo que os usurios mantenham o acesso a esses recursos. Embora as contas internas (como Administradores, Usurios e Usurios Avanados) e contas conhecidas (como Administradores do Domnio e Usurios do Domnio) no possam ser objetos de migrao da ADMT (Ferramenta de Migrao do Active Directory), migrar esses grupos em conjuntos fechados no um problema comum. Us-las em ACLs (listas de controle de acesso) ou associao em grupos locais do domnio no uma maneira eficiente de atribuir permisses de recursos. Quando voc migra usurios, a ADMT torna o usurio um membro do grupo de usurios do domnio no domnio de destino. Entretanto, ela no mantm as permisses de outros grupos internos (como Operadores do Servidor e Operadores de Backup) ou de grupos conhecidos (como Administradores do Domnio). Se voc tiver usado grupos internos ou conhecidos para atribuir permisses de recursos, dever reatribuir essas permisses a um novo grupo local de 188
domnio antes de comear a migrao. Reatribuir permisses inclui a execuo das seguintes etapas: 1. Criar um novo grupo local de domnio no domnio de origem. 2. Criar um novo grupo global no domnio de origem que contenha usurios que precisam acessar o recurso. 3. Adicionar o novo grupo global ao grupo local do domnio. 4. Execute a converso de segurana usando um arquivo de mapeamento do SID (identificador de segurana) que mapeia o grupo conhecido para o novo grupo local de domnio (criado na primeira etapa) em todos os recursos que atribuem permisses usando grupos conhecidos. Para obter informaes sobre como executar uma converso de segurana usando um arquivo de mapeamento do SID, consulte Converter segurana usando um arquivo de mapeamento de SID, posteriormente neste guia. Em ambientes de domnio pequenos que tenham poucos grupos globais, voc pode ser capaz de identificar conjuntos fechados de usurios e grupos. Se voc puder identificar conjuntos fechados, poder migrar usurios e grupos ao mesmo tempo. Em um ambiente de domnio grande, um usurio poder pertencer a vrios grupos globais. Portanto, difcil identificar e migrar apenas conjuntos fechados de usurios e grupos. Por essa razo, melhor migrar grupos antes de migrar contas de usurios. Por exemplo, o Usurio 1 pertence aos grupos globais Global A e Global B e um membro do Domnio 1. Se um administrador mover o Usurio 1 e Global A para o Domnio 2 na mesma floresta, essas contas deixaro de existir no Domnio 1. Elas existiro apenas no Domnio 2 na mesma floresta. O grupo Global B permanece no Domnio 1. Isso cria um conjunto aberto ou um conjunto que inclui usurios e grupos em mais de um domnio. Como os grupos globais podem conter apenas membros do domnio em que o grupo global existe, a associao do Usurio 1 no Global B no mais vlida e o Usurio 1 no pode mais acessar recursos com base na associao no Global B. Portanto, melhor migrar os dois grupos globais antes de migrar o Usurio 1. Se voc estiver migrando um conjunto aberto de objetos em um ambiente em que o nvel funcional do domnio de origem e do domnio de destino seja o Windows 2000 nativo ou superior, a ADMT transformar o grupo global em um grupo universal para que ele possa conter usurios de outros domnios e manter a associao de grupos. Quando o conjunto se torna um conjunto fechado, a ADMT altera o grupo novamente para um grupo global. O benefcio desse processo que a ADMT garante que todos os problemas do conjunto fechado esto resolvidos. Entretanto, a replicao do catlogo global aumentada enquanto os grupos esto nos grupos universais porque a associao copiada para o catlogo global. Observao Se o nvel funcional do domnio de origem for Windows 2000 misto, a ADMT no poder transformar o grupo global em um grupo universal porque os grupos universais no podem existir nesse nvel funcional. Mesmo se o domnio de destino estiver no modo nativo, entretanto, os usurios em domnios de modo misto no poderiam obter os SIDs de grupos universais nesses tokens de acesso, se os grupos forem provenientes de fora 189
do domnio. Portanto, a ADMT cria uma cpia do grupo global no domnio de destino e adiciona todos os usurios migrados na cpia desse grupo. Esse grupo tem um novo SID e nenhum histrico do SID. Esse mtodo no mantm o acesso aos recursos, a menos que voc execute o Assistente de Converso de Segurana da ADMT em modo Adicionar para atualizar permisses, o que atrasa e complica o processo de migrao. Por essa razo, no recomendamos reestruturar domnios que estejam em funcionamento no nvel funcional de domnio misto do Windows 2000 ou no nvel funcional de domnio provisrio do Windows Server 2003.
Histrico do SID
O histrico do SID ajuda a manter o acesso do usurio a recursos durante o processo de reestruturao dos domnios do Active Directory. Quando voc migra um objeto para outro domnio, atribudo ao objeto um novo SID. Como voc atribui permisses a objetos com base nos SIDs, quando o SID alterado, o usurio fecha o acesso a esse recurso at que voc possa reatribuir permisses. Quando voc usa a ADMT para migrar objetos entre domnios na mesma floresta, o histrico do SID mantido automaticamente. Dessa maneira, o SID do domnio de origem se mantm como um atributo do objeto depois que ele for migrado para o domnio de destino. Por exemplo, uma organizao que esteja reestruturando seus domnios do Active Directory move grupos universais e globais de um domnio de origem para o domnio de destino antes de mover as contas dos usurios. Como essa uma migrao dentro de uma floresta e o nvel funcional do domnio de origem o Windows 2000 nativo, esses grupos deixam de existir no domnio de origem e passam a existir apenas no domnio de destino. Como o histrico do SID dos usurios e grupos migrado, os usurios continuam a ter acesso aos recursos do domnio de origem com base na associao em um grupo que existe no domnio de destino.
190
191
193
Trabalho para Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/?LinkId=14384) (em ingls). A ilustrao a seguir mostra um exemplo de uma tabela de atribuio de objetos para usurios e grupos.
Para criar uma tabela de atribuio de objetos de recursos, identifique a UO de origem e de destino de cada objeto e anote o local fsico e a funo no domnio de destino. Para obter uma planilha para ajud-lo a criar uma tabela de atribuio de objetos de recursos, consulte Tabela de Atribuio de Objetos de Recursos (DSSREER_2.doc) no download Job_Aids_Designing_and_Deploying_Directory_and_Security_Services de Auxlio de Trabalho para Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/?LinkId=14384) (em ingls). A ilustrao a seguir mostra um exemplo de uma tabela de atribuio de objetos de recursos.
194
Grupo global Grupo universal Grupo de domnio local Grupo de computador local
Active Directory Active Directory Active Directory Banco de dados do computador local 195
Cada tipo de grupo migrado de forma diferente com base na localizao fsica do grupo e suas regras para participao de grupo. Voc pode migrar grupos universais e grupos globais usando a Ferramenta de Migrao do Active Directory (ADMT). Voc pode transform-los em grupos universais durante a migrao se no estiver migrando conjuntos fechados. Voc pode atualizar a participao de grupos de computador local usando o Assistente para converso de segurana. Cada tipo de grupo tem regras de participao diferentes, e cada tipo de grupo serve a um objetivo diferente. Isto afeta a ordem em que os grupos so migrados do domnio de origem para o de destino. A tabela a seguir resume os grupos e suas regras de participao.
Tipo de grupo Regras e participao
Grupos universais
Grupos universais podem conter membros de qualquer domnio da floresta e podem replicar participao de grupo para o catlogo global. Portanto, voc pode us-los para grupos administrativos. Ao reestruturar domnios, migre grupos universais primeiro. Grupos globais s podem incluir membros do domnio ao qual eles pertencem. O ADMT altera automaticamente o grupo global no domnio de origem para um grupo universal quando ele migrado para o domnio de destino se o nvel funcional de ambos os domnios for Windows 2000 nativo ou superior. O ADMT altera automaticamente grupos universais de volta para grupos globais depois que todos os membros do grupo so migrados para o domnio de destino. Grupos de domnio local podem conter usurios de qualquer domnio. Eles so usados para atribuir permisses a recursos. Ao reestruturar domnios, voc deve migrar grupos de domnio local quando migrar os recursos aos quais eles fornecem acesso, ou alterar o tipo de grupo para grupo universal. Isto minimiza a interrupo do acesso de usurios a recursos. O ADMT no converte automaticamente grupos de domnio local em grupos universais como faz para grupos globais. 196
Grupos globais
y
destino. Se voc no conseguir corrigir o problema antes que o acesso ao objeto seja necessrio, reverta para sua configurao original para garantir o acesso ao usurio ou ao objeto de recurso. Para obter mais informaes sobre como criar um plano de reverso, consulte Criando um Plano de Reverso, posteriormente neste guia. Como parte do plano de teste, crie uma matriz de teste de migrao. Preencha uma matriz de teste para cada etapa concluda no processo de migrao. Por exemplo, se voc migrar 10 lotes de usurios, preencha a matriz de teste 10 vezes, uma para cada lote migrado. Se voc migrar 10 servidores membros, preencha uma matriz de teste para cada um dos 10 servidores. Para obter uma planilha que ajudar voc a criar uma matriz de teste, consulte Matriz de teste de migrao (DSSREER_3.doc) no download Job_Aids_Designing_and_Deploying_Directory_and_Security_Services de Auxlio de Trabalho para Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/?LinkId=14384) (em ingls). A ilustrao a seguir mostra um exemplo de matriz de teste de migrao concluda.
198
de origem repetindo a migrao de contas. Crie um plano de reverso caso voc tenha de repetir a migrao de contas aps o incio da restruturao de seus domnios. Para criar um plano de reverso, selecione o mtodo que voc usa para repetir a migrao de contas. Observao Para garantir uma reverso bem-sucedida de uma migrao entre florestas, no tente excluir os objetos no domnio de destino e, em seguida, restaur-los no domnio de origem. No ser possvel recuperar os objetos do domnio de origem porque eles so automaticamente excludos pelo proxy de movimentao entre domnios aps tentativa de restaurao. Voc pode utilizar a Ferramenta de Migrao do Active Directory (ADTM) para repetir migraes de contas do domnio de destino para o de origem. Nesse caso, o domnio de destino original se torna o novo domnio de origem, e o domnio de origem original, o novo domnio de destino. Siga as mesmas etapas no assistente que voc utilizou anteriormente para migrar contas. Se voc repetir a migrao de contas, os objetos que foram migrados para o domnio de destino e em seguida remigrados para o domnio de origem, tero novos identificadores de segurana (SIDs). Contudo, eles tero o SID original no seu histrico de SID. Portanto, no sero idnticos s contas antes da migrao, mas tero a mesma funcionalidade. Se voc deseja reverter a migrao da conta, deve enumerar os servios novamente e ento repetir a migrao das contas de servio revertendo os domnios de destino e de origem. Se voc usa scripts para executar a migrao original, o mtodo mais rpido para reverter as alteraes usando scripts para repetir migraes. Simplesmente reverta os objetos usados para os domnios de destino e de origem no script para repetir a migrao de objetos. Aps a criao de um plano de reverso, faa um teste para identificar e corrigir qualquer problema antes de iniciar a restruturao dos domnios do Active Directory.
Informaes gerais
Alerte os usurios para o fato de que suas contas de usurios esto agendadas para migrao para o um novo domnio. Direcione os usurios para uma pgina da Web ou para um recurso interno onde eles possam encontrar informaes adicionais e exibir uma agenda de migrao. Informe o novo nome do domnio aos usurios. Certifique de inform-los de que as senhas das contas no sero alteradas. Informe-os de que as contas originais do domnio sero desabilitadas imediatamente aps a migrao e que as contas desabilitadas sero excludas depois de um perodo de tempo especfico. Isso no ser necessrio se os usurios fizerem logon com seus nomes UPN.
Impacto
Verifique se os usurios compreenderam que quando a conta for migrada possvel que no consigam acessar alguns recursos, como sites, pastas compartilhadas ou recursos no muito usados pelos indivduos no grupo ou da diviso. Fornea informaes aos usurios sobre quem contatar para obter assistncia sobre como reobter acesso aos recursos requeridos.
Etapas pr-migrao
Alerte os usurios sobre as etapas que precisam executar antes que o processo de migrao seja iniciado. Por exemplo, eles precisam descriptografar os arquivos criptografados por meio do EFS (Encrypting File System). Se isso no for feito, os arquivos criptografados no podero ser acessados depois da migrao. Os usurios precisam verificar se seus computadores esto conectados rede quando a conta estiver agendada para migrao.
Alteraes esperadas
Descreva outras alteraes que os usurios podem esperar que aconteam depois da migrao, como as alteraes no uso de cartes inteligentes, na segurana de email ou no sistema de mensagens instantneas, caso aplicvel.
201
Conta/grupo de servio de usurio/gerenciado Observao As contas de servio gerenciado no preservam o histrico do identificador de segurana (SID) em
Administrador local, administrador de domnio e permisso para Ler todas as informaes de usurios delegada para a UO de origem
Permisses para Criar, excluir e gerenciar contas de usurio, Criar, excluir e gerenciar grupos e Modificar a participao de um grupo delegadas para a UO de usurio ou UO de grupo e administrador local no computador em que o 202
Objeto de migrao
uma migrao interna na floresta. Computador Administrador de domnio ou direitos delegados de excluir os objetos da UO de origem e membro do grupo Administradores em cada computador
ADMT est instalado. Permisso delegada na UO de computador e administrador local no computador no qual o ADMT est instalado Observao Se o computador tiver uma conta de servio gerenciado instalada, use uma conta que tenha permisso para atualizar o descritor de segurana da conta de servio gerenciado no domnio de destino. Permisso para Criar, excluir e gerenciar contas de usurio delegada para a UO do computador e administrador local no computador em que o ADMT est instalado Observao Voc pode precisar concluir outras etapas de preparao caso migre perfis mveis para computadores que executem o Windows Vista ou o Windows 7. Para obter mais informaes, consulte Preparao para a migrao de perfis mveis com computadores que executam o Windows Vista e o Windows 7. 203
Perfil
Administrador local ou administrador de domnio; para perfis mveis, Administrador do computador que hospeda a pasta compartilhada de perfis mveis
O ADMT tambm inclui funes de administrao de banco de dados que voc pode usar para atribuir um subconjunto de permisses de banco de dados a usurios que executam tarefas de migrao especficas. As funes de administrao de banco de dados e as tarefas de migrao que elas podem executar esto listadas na tabela a seguir.
Funo Tarefa de migrao
Tarefas de migrao de conta, como migrao de usurio e grupo Tarefas de migrao de recurso, como migrao de computador e converso de segurana; migradores de contas tambm possuem a funo de migradores de recursos Consultas no banco de dados; os migradores de contas e migradores de recursos tambm possuem a funo dos leitores de dados.
Leitores de dados
Os usurios aos quais est atribuda a funo de administrador do sistema do SQL Server possuem todas as funes de administrao de banco de dados do ADMT. Eles tm permisses para: y y y Exibir funes de banco de dados e usurios que possuem essas funes. Adicionar grupos ou usurios a funes. Remover grupos ou usurios de funes.
Por padro, a funo de administrador do sistema est atribuda ao grupo Administradores local. Este grupo pode executar todas as funes de banco de dados do ADMT.
y y
Reconfigurando uma instalao de banco de dados com o Admtdb.exe Reutilizar um banco de dados existente do ADMT de uma instalao anterior
y
(http://go.microsoft.com/fwlink/?LinkId=186197). Para obter mais informaes sobre qual verso do ADMT usar, consulte Verses e ambientes com suporte da Ferramenta de Migrao do Active Directory. No local do download, clique duas vezes em admtsetup.exe, que abre o assistente de instalao.
Pgina do Assistente Ao
Clique em Avanar. A instncia do banco de dados do ADMT (MS_ADMT) criada no computador local. Por padro, o SQL Server 2005 Express Edition instalado localmente; no entanto, mesmo que seja utilizado pelo ADMT, o SQL Server 2005 Express Edition ser desabilitado se voc especificar outra instncia de banco de dados na pgina seguinte do assistente.
Especifique a instncia de banco de dados qual deseja se conectar. A seleo recomendada Usar o Microsoft SQL Server Express Edition, que configura o ADMT v3.1 para usar a instncia de banco de dados instalada localmente. Se voc estiver usando vrios consoles do ADMT v3.1 ou tiver um servidor de banco de dados dedicado onde deseje centralizar seu banco de dados do ADMT, selecione a opo Usar um Microsoft SQL Server existente. Especifique o servidor ao qual deseja se conectar no formato Servidor\Instncia. Configure a instncia do banco de dados do SQL Server antes de selecionar essa opo. Embora a instalao do ADMT v3.1 continue mesmo que no seja possvel entrar em contato com o banco de dados, voc s poder usar o ADMT para migrar contas ou recursos quando a instncia de banco de dados estiver criada e disponvel. 206
Embora voc no possa atualizar uma instalao do ADMT v3.0 para o ADMT v3.1, voc pode importar dados de um banco de dados do ADMT v3.0 para um banco de dados do ADMT v3.1. Se no desejar importar dados de um banco de dados do ADMT v3.0, selecione No, no importar dados de um banco de dados existente (Padro). Se desejar importar dados do ADMT v3.0 para o novo banco de dados do ADMT v3.1, selecione Sim, importar dados do banco de dados do ADMT v3. Se optar por importar dados, especifique o caminho para o arquivo de banco de dados do ADMT v3.0.
Embora voc no possa atualizar uma instalao do ADMT v2.0 para o ADMT v3.1, voc pode importar dados de um banco de dados do ADMT v2.0 para um banco de dados do ADMT v3.1. Se voc no desejar importar dados de um banco de dados do ADMT v2.0, selecione No, no importar dados de um banco de dados do ADMT v2. Se desejar importar dados do ADMT v2.0 para o novo banco de dados do ADMT v3.1, selecione Sim, importar dados do banco de dados do ADMT v2. Se optar por importar dados, especifique o caminho para o arquivo de banco de dados do ADMT v2.0. O banco de dados do ADMT v2.0 possui o nome de arquivo protar.mdb e dever estar localizado no diretrio anteriormente usado para a instalao do ADMT v2.0.
Resumo
Esta pgina resume as opes selecionadas. Clique em Concluir para finalizar a instalao do ADMT v3.1.
207
208
y
Configure uma instalao de banco de dados do SQL Server com uma instncia do ADMT. Voc pode baixar e instalar o SQL Server Express localmente ou criar uma instncia de banco de dados para o ADMT com base em um banco de dados do SQL Server existente. Para obter mais informaes sobre como instalar o SQL Server Express, consulte Instalar o ADMT v3.2. Para obter mais informaes sobre como criar uma instncia do ADMT em um banco de dados do SQL Server existente, consulte Instalar o ADMT reconfigurando uma instalao de banco de dados com Admtdb.exe.
banco de dados do SQL Server usando os comandos do SQL Server. Para obter mais informaes, consulte Separar um arquivo de banco de dados de uma verso anterior do ADMT e do SQL Server. Quando terminar, clique em Avanar. 6. Na pgina Resumo, examine os resultados da instalao e clique em Concluir.
Separe um arquivo de banco de dados existente de uma verso anterior do ADMT e do SQL Server
Se voc utilizar o SQL Server Express, o banco de dados ser separado automaticamente quando remover o ADMT. O banco de dados do SQL Server Express separado pode ser reutilizado como parte de outra instalao do ADMT posterior. Neste caso, o ADMT anexado atomaticamente ao banco de dados existente que voc especificar durante a instalao. Voc pode separar o arquivo de banco de dados do ADMT de uma instncia completa do SQL Server caso tenha outro aplicativo que deseje anexar ao mesmo banco de dados. Por exemplo, caso planeje mudar de uma instalao SQL Server completa para uma SQL Server Express ou se tiver um arquivo de banco de dados do ADMT de uma instalao anterior que voc tenha anexado s ferramentas de gerenciamento do SQL Server, ela precisar ser separada daquele banco de dados antes de poder ser consumida pelo ADMT. Para separar um banco de dados, voc pode usar o procedimento armazenado do SQL:
sp_detach_db [ @dbname = ] 'dbname'
Para obter mais informaes sobre essa chamada de procedimento armazenado, consulte a documentao do SQL Server. Para obter mais informaes sobre como usar o SQL Server Management Studio para separar o banco de dados, consulte Como: Separar um Banco de Dados (SQL Server Management Studio (http://go.microsoft.com/fwlink/?LinkId=183994). (em ingls)
Sintaxe
Descrio
"Servidor\instncia"
prepara um banco de dados vazio. O parmetro /server especifica o nome do SQL Server e a instncia qual se conectar para criar o banco de dados. Esse parmetro obrigatrio.
Atualiza uma verso anterior de um banco de dados do ADMT v3.0 ou v3.1. O parmetro /server, que obrigatrio, especifica o nome do SQL Server e a instncia qual se conectar para atualizar o banco de dados do ADMT v3.0 ou v3.1. Observao Antes de atualizar o banco de dados do ADMT, abra o console do ADMT para verificar se ele compatvel com o banco de dados.
Anexa um banco de dados do ADMT instncia SQL Server Express 2005 ou do SQL Server Express 2008 local. O parmetro /attach, que obrigatrio, especifica o caminho para um arquivo de banco de dados Admt.mdf separado.
Para consultar a Ajuda para todas as opes de linha de comando do Admtdb.exe, digite admtdb /? no prompt de comando. Se voc tiver comeado a migrao usando um banco de dados do SQL Server Express local e tiver configurado uma instncia remota de um banco de dados do SQL Server e precisar voltar a usar um banco de dados do SQL Server Express local, conclua o procedimento a seguir. Nesse caso, o arquivo de banco de dados do ADMT j est anexado instncia do SQL Express. Portanto, no necessrio reanex-lo explicitamente. Se voc comear a migrao usando o SQL Server e quiser alternar para o SQL Server Express, consulte Reutilizar um banco de dados do ADMT existente de uma instalao anterior. Estar associado ao grupo Administradores, ou equivalente, o requisito mnimo para a concluso deste procedimento. Revise os detalhes sobre o uso de contas e associaes a grupos apropriadas em Local e Domnio Padro (http://go.microsoft.com/fwlink/?LinkId=83477).
211
Para reutilizar um banco de dados local depois de configurar uma instncia remota de um banco de dados do SQL Server 1. No computador local, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Servios. 2. No painel Detalhes, certifique-se de que o servio que hospeda a instncia do SQL Server Express est sendo executado e que Tipo de Inicializao est configurado como Automtica. Se voc estiver usando o ADMT v3.1 e tiver uma instalao do ADMT que instala o SQL Server Express, o nome do servio ser MSSQL$MS_ADMT. Se o servio no tiver sido iniciado ou se no estiver definido para ser iniciado automaticamente na inicializao do sistema, clique em Inicializado, clique com o boto direito do mouse no nome do servio e clique em Propriedades. 3. Na guia Geral, na lista Tipo de Inicializao, clique em Automtico. 4. Em Status do Servio, clique em Iniciar e, em seguida, clique em OK. 5. Feche Servios. 6. No prompt de comando, digite os seguintes comandos: Observao O comando admtdb attach s ser necessrio se voc tiver executado comandos SQL para separar a instncia local do SQL Server Express.
admtdb attach /{s | Server}:Instncia local do SQL Server Express admt config setdatabase /s:Servidor\Instncia.
clique em Servios. 2. No painel Detalhes, certifique-se de que o servio que hospeda a instncia do SQL Server Express est sendo executado e que Tipo de Inicializao est configurado como Automtica. Se voc estiver usando o ADMT v3.1 e tiver uma instalao do ADMT que instala o SQL Server Express, o nome do servio ser MSSQL$MS_ADMT. Se o servio no tiver sido iniciado ou se no estiver definido para ser iniciado automaticamente na inicializao do sistema, clique em Inicializado, clique com o boto direito do mouse no nome do servio e clique em Propriedades. 3. Na guia Geral, na lista Tipo de Inicializao, clique em Automtico. 4. Em Status do Servio, clique em Iniciar e, em seguida, clique em OK. 5. Feche Servios. 6. No prompt de comando, digite os seguintes comandos:
admtdb attach /{s | Server}:Instncia local do SQL Server Express /{a | Attach}:Caminho para o arquivo de banco de dados do ADMT v3.x a ser anexado" admt config setdatabase /s: servidor\instncia
Agora voc pode usar o banco de dados do ADMT com a instncia local do SQL Server. No necessrio executar o assistente de instalao do ADMT novamente. A instalao do ADMT s pode ser executada uma vez. Voc pode executar qualquer alterao na configurao do banco de dados usando os comandos admtdb.exe e admt config setdatabase.
213
etapa, que pode ocorrer posteriormente no processo de migrao, migrar as contas quando outras contas de usurio forem migradas com o Assistente para Migrao de Conta de Usurio. O Assistente para Migrao de Conta de Servio verifica todos os servios de um computador para identificar servios que estejam sendo executados no contexto de uma conta de usurio. Voc poder criar uma falha de segurana durante a migrao de contas de servio se algum que no seja um administrador de servio entrar em uma conta com permisses administrativas no domnio de origem mas usar uma senha invlida em seu computador para iniciar o servio. Como a senha no est correta, o servio no ser iniciado antes da migrao da conta, mas funcionar depois da migrao pois o ADMT redefinir a senha da conta de servio e configurar todos os servios que esto usando essa conta de servio com a nova senha. Para eliminar esse possvel problema de segurana, importante incluir no Assistente para Migrao de Conta de Servio somente os servidores gerenciados por administradores confiveis. No use o Assistente para Migrao de Conta de Servio para detectar contas de servio em computadores que no sejam gerenciados por administradores confiveis, como estaes de trabalho. Se voc no identificar e fizer a transio de um computador confivel que, por esse motivo, ficar sem a atualizao da conta de servio, voc precisar definir manualmente a nova senha criada pelo ADMT. Para fazer isso, obtenha a senha no arquivo Password.txt e digite manualmente as informaes de conta e senha para o servio no computador em que a transio no foi feita. Quando as contas que o Assistente para Migrao de Conta de Servio identifica no banco de dados do ADMT como executadas no contexto de contas de usurio so migradas para o domnio de destino, o ADMT concede a cada uma delas o direito de fazer logon como um servio. Para executar o Assistente para Migrao de Conta de Servio 1. No ADMT, inicie o Assistente para Migrao de Conta de Servio. 2. Use o assistente executando as etapas descritas na tabela a seguir.
Pgina do assistente Ao
Seleo de Domnio
Sob Origem, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio. Quando voc executa uma migrao dentro da floresta, o controlador de domnio que possui a funo de mestre de operaes de ID relativa (RID) sempre 214
usado como controlador de domnio de origem, independentemente da opo que voc selecionar. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio e clique em Avanar. Informaes de Atualizao Opo de Seleo do Computador Clique em Sim, atualizar as informaes. Clique em Selecionar computadores do domnio e em Avanar. Na pgina Seleo de Contas de Servio, clique em Adicionar para selecionar as contas do domnio de origem a serem migradas, clique em OK e, em seguida, clique em Avanar. Ou Clique em Ler objetos em um arquivo de incluso e em Avanar. Digite o local do arquivo de incluso e clique em Avanar. Caixa de Dilogo do Agente Em Aes do Agente, selecione Executar pr-verificao e operao do agente e clique em Iniciar. Uma mensagem aparecer no Resumo do Agente quando as operaes do agente estiverem concludas. Depois que as operaes do agente forem concludas, clique em Fechar. Selecione as contas de usurio que no precisem ser marcadas como contas de servio no banco de dados do ADMT e clique em Ignorar/Incluir para marcar as contas com Ignorar.
O assistente se conecta aos computadores selecionados e envia um agente para verificar todos os servios nos computadores remotos. A pgina Informaes de Contas 215
de Servio lista os servios que esto sendo executados no contexto de uma conta de usurio e o nome dessa conta de usurio. O ADMT anota em seu banco de dados que essas contas de usurio devem ser migradas como contas de servio. Se no desejar que uma conta de usurio seja migrada como uma conta de servio, selecione a conta e clique em Ignorar/Incluir para alterar o status de Incluir para Ignorar. 3. Use Atualizar SCM para atualizar o Gerenciador de Controle de Servios com as novas informaes. A menos que ocorra uma falha quando voc tentar acessar um computador para atualizar o servio, o boto Atualizar SCM no estar disponvel. Se voc tiver problemas para atualizar uma conta de servio identificada e migrada, verifique se o computador que est tentando acessar est disponvel e, em seguida, reinicie o Assistente para Migrao de Conta de Servio. No assistente, clique em Atualizar SCM para tentar atualizar o servio. Se voc tiver executado o Assistente para Migrao de Conta de Servio anteriormente e o boto Atualizar SCM no estiver disponvel, examine os arquivos de log do ADMT para determinar a causa do problema. Depois que voc corrigir o problema e o agente puder se conectar com xito, o boto Atualizar SCM ficar disponvel. Para identificar contas de servio usando a opo de linha de comando do ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. Na linha de comando, digite o comando a seguir e pressione ENTER:
ADMT SERVICE /N "<nome_do_computador1>" "<nome_do_computador2>" /SD:"<domnio_de_origem>" /TD:" <domnio_de_destino>"
Onde <nome_do_computador1> e <nome_do_computador2> so os nomes dos computadores do domnio de origem que executam as contas de servio. Voc tambm pode incluir parmetros em um arquivo de opo especificado na linha de comando, da seguinte forma:
ADMT SERVICE /N "<nome_do_computador1>" "<nome_do_computador2>" /O:" <arquivo_de_opo>.txt"
A tabela a seguir lista os parmetros comuns usados para identificar contas de servio, juntamente com o parmetros de linha de comando e os equivalentes de arquivo de opo.
Parmetros Sintaxe da linha de comando
/SD:"domnio_de_origem"
/TD:"domnio_de_destino"
TargetDomain="domnio_de_destino"
Para identificar contas de servio usando um script y Crie um script que incorpore comandos e opes do ADMT para identificar contas de servio usando o exemplo de script a seguir. Copie o script no Bloco de Notas e salve o arquivo com a extenso de nome de arquivo .wsf na mesma pasta do arquivo AdmtConstants.vbs.
<Job id="IdentifyingServiceAccounts" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
217
Migrar grupos
Aplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2 Para proteger seu sistema contra o problema de conjuntos abertos ao reestruturar os domnios do Active Directory dentro de uma floresta, migre os grupos antes de migrar as contas de usurio
219
associadas a esses grupos. Se voc migrar grupos simultaneamente com os usurios, pode ser que os grupos aninhados no sejam migrados, o que cria um conjunto aberto. Alm disso, siga estas diretrizes para migrar grupos: y y y Migre grupos universais primeiro, em seguida, os grupos globais. Migre os grupos locais quando migrar os recursos (controladores de domnio e servidores membros) nos quais so usados para atribuir permisses. Voc pode optar por migrar grupos locais de computador ao migrar o computador posteriormente no processo de reestruturao.
Seleo de Domnio
Sob Origem, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio. 220
Quando voc executa uma migrao dentro da floresta, o controlador de domnio que possui a funo de mestre de operaes de ID relativa (RID) (tambm conhecido como mestre de operaes nico flexvel ou FSMO) sempre usado como o controlador de domnio de origem, independentemente da opo que voc selecionar. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio e clique em Avanar. Opo de Seleo de Grupo Clique em Selecionar grupos do domnio e em Avanar. Na pgina Seleo de Grupo, clique em Adicionar para selecionar os grupos do domnio de origem a serem migrados, clique em OK e, em seguida, clique em Avanar. Ou Clique em Ler objetos em um arquivo de incluso e em Avanar. Digite o local do arquivo de incluso e clique em Avanar. Seleo de Unidade Organizacional Digite o nome da unidade organizacional (UO) ou clique em Procurar. Na caixa de dilogo Procurar Continer, localize o continer do domnio de destino para o qual voc deseja mover os grupos universais e clique em OK. Opes de Grupo As caixas de seleo Migrar SIDs de grupo para domnio de destino e Corrigir Participao em Grupo esto marcadas e aparecem esmaecidas. Todas as outras opes devem permanecer desmarcadas. Gerenciamento de Conflitos Selecione No migrar o objeto de 221
origem se for detectado um conflito no domnio de destino. Para migrar grupos universais usando a opo de linha de comando do ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. Observao Ao comear uma migrao de grupo com a migrao sIDHistory na linha de comando, o comando precisa ser executado em um controlador do domnio de destino. 2. Em uma linha de comando, digite o comando ADMT e pressione ENTER:
Group
ADMT GROUP /N "<nome_do_grupo1>" "<nome_do_grupo2>" /IF:YES /SD:" <domnio_de_origem>" /TD:" <domnio_de_destino>" /TO:" <UO_de_destino>"
Voc tambm pode incluir parmetros em um arquivo de opo especificado na linha de comando, da seguinte forma:
ADMT GROUP /N "<nome_do_grupo1>" "<nome_do_grupo2>" /O: "<arquivo_de_opo>.txt"
A tabela a seguir lista os parmetros necessrios para migrar grupos universais, os parmetros de linha de comando e os equivalentes do arquivo de opo. Para obter uma lista completa de parmetros disponveis, consulte a Ajuda do ADMT v3.1.
Parmetros Sintaxe da linha de comando Sintaxe do arquivo de opo
/IF:YES /TD:"domnio_de_destino" IntraForest=YES TargetDomain="domnio_de_destino"
/TO:"UO_de_destino"
TargetOU="UO_de_destino"
/CO:IGNORE
(padro)
ConflictOptions=IGNORE
3. Verifique se h erros nos resultados exibidos na tela. 4. Abra Usurios e Computadores do Active Directory e localize a UO do domnio de destino. Verifique se os grupos universais existem na UO do domnio de destino. Para migrar grupos universais usando um script y Use o exemplo a seguir para preparar um script que incorpore comandos e opes do ADMT para migrar grupos dentro de uma floresta. Copie o script no Bloco de Notas e salve o arquivo com a extenso de nome de arquivo .wsf na mesma pasta do arquivo 222
AdmtConstants.vbs. Observao Ao comear uma migrao de grupo com a migrao sIDHistory por um script, o script precisar ser executado em um controlador do domnio de destino.
<Job id="MigratingGroupsWithinForest" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
objMigration.IntraForest = True objMigration.SourceDomain = "domnio de origem" objMigration.SourceOu = "continer de origem" objMigration.TargetDomain = "domnio de destino" objMigration.TargetOu = "continer de destino"
223
grupo2" )
com o boto direito do mouse no grupo, clique em Propriedades e, em seguida, clique na guia Membros. Os membros originais do grupo global so listados. Observe, entretanto, que as contas dos usurios ainda no foram migradas. Se voc estiver migrando contas de usurios durante a migrao intraflorestal, mas no estiver migrando os grupos globais do domnio de origem dos quais as contas dos usurios so membros, a ADMT atualizar, de qualquer forma, os grupos globais do domnio de origem. A ADMT remove as contas de usurios migradas da associao do grupo global no domnio de origem, pois o grupo global pode incluir apenas membros do domnio de origem. Como resultado, possvel que os usurios no continuem a acessar os recursos no domnio de origem aps a migrao, pois no haver mais membros nesses grupos. Voc pode migrar grupos globais usando o snap-in da ADMT, a opo de linha de comando da ADMT ou um script. Para migrar grupos globais usando o snap-in da ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. Use o Assistente para Migrao de Conta de Grupo, executando as etapas descritas na tabela a seguir.
Pgina do assistente Ao
Seleo de Domnio
Sob Origem, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio. Quando voc executa uma migrao intraflorestal, o controlador de domnio que possui a funo de mestre de operaes de ID relativa (RID) (tambm conhecido como mestre de operaes nico flexvel ou FSMO) sempre usado como controlador de domnio de origem, independentemente da opo que voc selecionar. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de 225
domnio ou selecione Qualquer controlador de domnio e clique em Avanar. Seleo de Grupo Clique em Selecionar grupos do domnio e em Avanar. Na pgina Seleo de Grupo, clique em Adicionar para selecionar os grupos do domnio de origem que deseja migrar, clique em OK e, em seguida, clique em Avanar. Ou Clique em Ler objetos em um arquivo de incluso e em Avanar. Digite o local do arquivo de incluso e clique em Avanar. Seleo de Unidade Organizacional Digite o nome da UO ou clique em Procurar. Na caixa de dilogo Procurar Continer, localize o continer do domnio de destino para o qual voc deseja mover os grupos globais e clique em OK. Opes de Grupo As caixas de seleo Migrar SIDs de grupo para domnio de destino e Corrigir Participao em Grupo esto marcadas e aparecem esmaecidas. Todas as outras opes devem permanecer desmarcadas. Gerenciamento de Conflitos Selecione No migrar o objeto de origem se for detectado um conflito no domnio de destino.
3. Depois que o assistente for executado, clique em Exibir Log e revise o log de migrao procura de erros. 4. Abra Usurios e Computadores do Active Directory e localize a UO do domnio de destino. Verifique se os grupos globais existem na UO do domnio de destino. Para migrar grupos globais usando a opo de linha de comando da ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. Observao Ao comear uma migrao de grupo com a migrao sIDHistory na linha de 226
comando, voc dever executar o comando em um controlador do domnio de destino. 2. Em uma linha de comando, digite o comando ADMT e pressione ENTER:
Group
ADMT GROUP /N "<nome_do_grupo1>" "<nome_do_grupo2>" /IF:YES /SD:" <domnio_de_origem>" /TD:" <domnio_de_destino>" /TO:" <UO de destino>"
Voc tambm pode incluir parmetros em um arquivo de opo especificado na linha de comando desta forma:
ADMT GROUP /N "<nome_do_grupo1>" "<nome_do_grupo2>" /O: "<arquivo_de_opo>.txt"
A tabela a seguir lista os parmetros necessrios para migrar grupos globais, os parmetros de linha de comando e os equivalentes do arquivo de opo.
Parmetros Sintaxe da linha de comando Sintaxe do arquivo de opo
/IF:YES /TD:"domnio_de_destino" IntraForest=YES TargetDomain="domnio_de_destino"
/TO:"UO_de_destino"
TargetOU="UO_de_destino"
/CO:IGNORE
(padro)
ConflictOptions=IGNORE
3. Verifique se h erros nos resultados exibidos na tela. 4. Abra Usurios e computadores do Active Directory e localize a UO do domnio de destino. Verifique se os grupos globais existem na UO do domnio de destino. Para migrar grupos globais usando um script 1. Use um script que incorpore comandos e opes da ADMT para migrar grupos universais. Para obter mais informaes sobre como migrar grupos universais, consulte Migrar grupos universais, anteriormente neste guia. Observao Ao comear uma migrao de grupo com a migrao sIDHistory por um script, voc dever executar o script em um controlador do domnio de destino. 2. Depois de concluir a migrao do grupo global usando um script, visualize o log de migrao. O arquivo migration.log armazenado na pasta em que voc instalou a ADMT, geralmente Windows\ADMT\Logs. Observao Como os grupos universais so replicados para o catlogo global, converter 227
grupos globais para grupos universais pode afetar o trfego de replicao. Quando a floresta estiver funcionando no nvel funcional do Windows Server 2003 ou Windows Server 2008, esse impacto ser reduzido, pois apenas as alteraes na associao do grupo universal sero replicadas. Entretanto, se a floresta no estiver funcionando no nvel funcional do Windows Server 2003 ou Windows Server 2008, a associao do grupo inteiro ser replicada sempre que a associao do grupo universal for alterada.
Seleo de domnio
Sob Origem, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio. Quando voc executa uma migrao dentro da floresta, o controlador de domnio que possui a funo de mestre de operaes de ID relativa (RID) (tambm 228
conhecido como mestre de operaes nico flexvel ou FSMO) sempre usado como controlador de domnio de origem, independentemente da opo que voc selecionar. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio e clique em Avanar. Seleo de usurio Clique em Selecionar usurios do domnio e em Avanar. Na pgina Seleo de usurio, clique em Adicionar para selecionar as contas do domnio de origem que deseja migrar, clique em OK e, em seguida, clique em Avanar. Ou Clique em Ler objetos em um arquivo de incluso e em Avanar. Digite o local do arquivo de incluso e clique em Avanar. Seleo de unidade organizacional Digite o nome da unidade organizacional (UO) ou clique em Procurar. Na caixa de dilogo Procurar Recipiente, localize o recipiente do domnio de destino para o qual voc deseja mover as contas e clique em OK. Opes de usurio Marque a caixa de seleo Atualizar direitos de usurio. Verifique se nenhuma outra configurao est selecionada, incluindo a opo Migrar grupos de usurios associados. Uma caixa de aviso ser exibida informando que se os grupos globais aos quais as contas de usurio pertencem no forem migrados tambm, os usurios perdero acesso aos recursos. Selecione OK para continuar com a migrao. 229
Gerenciamento de conflitos
Selecione No migrar o objeto de origem se for detectado um conflito no domnio de destino. Clique em Migrar todas as contas de servio e atualizar o SCM para itens marcados para incluso. O assistente apresenta uma lista das contas de servio que voc est migrando (se estiver migrando contas que no sejam contas de servio, elas sero migradas, mas no estaro listadas). Por padro, as contas esto marcadas como Incluir. Para alterar o status da conta, selecione-a e clique em Ignorar/Incluir. Clique em Avanar para migrar as contas.
Uma caixa de dilogo Progresso da migrao o informa o status da migrao. Durante este perodo de tempo, o ADMT move as contas para o domnio de destino, gera uma nova senha para as contas, atribui s contas o direito de fazer logon como um servio e fornece essas novas informaes aos servios que utilizam as contas. Quando o status estiver listado como Concludo na caixa de dilogo Progresso da migrao, voc poder continuar com o restante da migrao entre florestas. Antes da concluso da migrao das contas de servio, os usurios podem perceber interrupes ao usarem os servios. Isto ocorre porque, at o servio ser reiniciado, ele ainda usa a conta que foi migrada. Para quaisquer servios que usem credenciais continuamente, como servios de pesquisa, reinicie manualmente os servios para garantir resultados ideais. Para migrar contas de servio usando a opo de linha de comando do ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. Na linha de comando, digite o comando a seguir e pressione ENTER:
ADMT USER /N "<nome_do_servidor1>" "<nome_do_servidor2>" /IF:YES /SD:" <domnio_de_origem>" /TD:" <nome_de_destino>" /TO:" <UO_de_destino>" /MSA:YES
Onde <Nome_do_servidor1> e <Nome_do_servidor2> so os nomes dos servidores do domnio de origem que executam contas de servio. Voc tambm pode incluir parmetros em um arquivo de opo especificado na linha de comando, desta forma:
ADMT USER /N "<nome_do_servidor1>" "<nome_do_servidor2>" /O: "<arquivo_de_opo>.txt"
A tabela a seguir lista os parmetros necessrios para migrar contas de servio, a 230
Entre florestas <Domnio de destino> Local da <UO de Destino> Migrar contas de servio Atualizar direitos de usurio Ignorar contas conflitantes
/TO:"UO_de_destino"
TargetOU="UO_de_destino"
/MSA:YES
MigrateServiceAccounts=YES
/UUR:YES
UpdateUserRights=YES
/CO:IGNORE
(padro)
ConflictOptions=IGNORE
(padro)
3. Verifique se h erros nos resultados exibidos na tela. 4. Abra Usurios e Computadores do Active Directory e localize a UO do domnio de destino. Verifique se as contas de servio existem na UO do domnio de destino. Para migrar contas de servio utilizando um script y Use a lista a seguir para preparar um script que incorpore comandos e opes do ADMT para migrar contas de servio. Copie o script no Bloco de Notas e salve o arquivo com a extenso de nome de arquivo .wsf na mesma pasta do arquivo AdmtConstants.vbs.
<Job id=" MigratingServiceAccountsWithinForest" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
231
objMigration.IntraForest = True objMigration.SourceDomain = "domnio de origem" objMigration.SourceOu = "continer de origem" objMigration.TargetDomain = "domnio de destino" objMigration.TargetOu = "continer de destino"
232
estiverem em outros computadores que no estejam sendo migrados, voc precisar executar o Assistente para Converso de Segurana nesses computadores e na pgina Opes de Converso de Segurana, selecionar Objetos migrados anteriormente ou fornecer explicitamente as contas MSA em um arquivo de mapeamento de SID. Para obter mais informaes sobre como fazer a converso de segurana, consulte Fazendo a converso de segurana em servidores membros. Para migrar contas de servio gerenciado usando o snap-in do ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. No snap-in do ADMT, clique em Ao e clique em Assistente para Migrao da Conta de Servio Gerenciado. 3. Conclua o Assistente para Migrao da Conta de Servio Gerenciado usando as informaes da tabela a seguir.
Pgina do assistente Ao
Seleo de Domnio
Sob Origem, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio e clique em Avanar.
Clique em Selecione as contas de servio gerenciado do domnio para migrar contas de servio gerenciado do domnio usando a caixa de dilogo de seleo de objeto ou um arquivo de incluso. Essa opo mais indicada se voc desejar migrar todas as contas de servio gerenciado do domnio de origem. Ou 234
Clique em Fornea os computadores que podem ser consultados para quaisquer contas de servio gerenciado e clique em Avanar. Na pgina Seleo de Conta de Servio Gerenciado, clique em Adicionar para selecionar as contas de computador no domnio de origem que voc deseja consultar para as contas de servio gerenciado, clique em OK e clique em Avanar. Esta opo ser preferencial se voc desejar migrar apenas contas de servio gerenciado instaladas em computadores especficos. Cada computador fornecido pode ter vrias contas de servio gerenciado instaladas. Voc pode escolher uma combinao dessas opes movendo-se para frente e para trs no assistente. Por exemplo, voc pode fornecer os computadores a serem consultados e adicionar as contas de servio gerenciado que esto instaladas nesses computadores lista de contas a serem migradas. Em seguida, voc pode clicar em Voltar no assistente para retornar para esta pgina e selecionar as contas de servio gerenciado adicionais no domnio ou em um arquivo de incluso. Opo de Seleo de Conta de Servio Gerenciado Essa pgina exibida somente se voc tiver selecionado as contas de servio gerenciado no domnio. Clique em Selecione as contas de servio gerenciado do domnio e clique em Avanar. Na pgina Seleo de Conta de Servio Gerenciado, clique em Adicionar para selecionar as contas no domnio de origem que voc deseja migrar, clique em OK e clique em Avanar. Ou Clique em Ler objetos em um arquivo de incluso e em Avanar. Digite o local do arquivo de incluso e clique em Avanar. 235
Clique em Procurar para especificar um local para as contas migradas e clique em Avanar. Marque a caixa de seleo Atualizar direitos da conta Marque a caixa de seleo Corrigir participaes de usurios em grupos. Se a conta estiver sendo migrada para uma floresta diferente, marque a caixa de seleo Migrar SIDs de contas para o domnio de destino. Esta opo no est disponvel para uma migrao interna na floresta. Clique em Avanar. Digite o nome de usurio, senha e domnio de uma conta que tenha credenciais administrativas no domnio de origem e clique em Avanar.
Concluindo o Assistente para Migrao Revise suas selees e clique em de Conta de Servio Gerenciado Concluir. 4. Quando o assistente for concludo, clique em Exibir Log e verifique se h erros no log de migrao. 5. Inicie Usurios e Computadores do Active Directory e verifique se as contas de servidor gerenciado existem na UO apropriada no domnio de destino. Para migrar contas de servio gerenciado usando a opo de linha de comando do ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. Na linha de comando, digite o comando a seguir e pressione ENTER:
ADMT MANAGEDSERVICEACCOUNT /N "<nome_da_conta de servio gerenciado1>" "<nome_da_conta de servio gerenciado2>" /IF:NO /SD:"<domnio_de_origem>" /TD:"<domnio_de_destino>" /UUR:YES /FGM:YES /MSS:YES
Onde <nome_da_conta1 do servio gerenciado> e <nome_da_conta2 do servio gerenciado> so os nomes das contas de servio gerenciado no domnio de origem. Voc tambm pode incluir parmetros em um arquivo de opo especificado na linha de comando, da seguinte forma:
ADMT MANAGEDSERVICEACCOUNT /N "<nome_da_conta de servio gerenciado1>" "<nome_da_conta de servio gerenciadot2>" /O:"<arquivo_de_opo>.txt"
236
A tabela seguinte lista os parmetros comuns que so usados para a migrao de contas de servio gerenciado, junto com os equivalentes de parmetro de linha de comando e arquivo de opo.
Valores Sintaxe da linha de comando
/IF:No /SD:"domnio_de_origem
Migrao interflorestal <Domnio de origem> <Domnio de destino> Atualizar direitos da conta Atualize a participao de grupos de contas Migrar SIDs de conta Observao Voc pode migrar SIDs para contas de servio gerenciad o somente entre florestas. Se voc usar esse parmetro durante uma migrao entre florestas, um erro ser
Intraforest=No SourceDomain="domnio_de_origem
"
/TD:"domnio_de_destino
"
TargetDomain="domnio_de_destin
"
/UUR:Yes
o"
UpdateUserRights=Yes
/FGM:Yes
FixGroupMembership=Yes
/MSS:Yes
MigrateSIDs=Yes
237
retornado. 3. Verifique se h erros nos resultados exibidos na tela. Para contas de servio gerenciado que so hospedadas em computadores membros no domnio de origem, voc pode incluir o computador membro quando realizar a migrao de computador e a conta de servio gerenciado ser instalada no computador membro no domnio de destino depois que o computador for migrado.
Por esse motivo, importante testar migraes de usurio. Use sua conta de migrao de teste para identificar as propriedades que no foram migradas e atualizar as configuraes de usurio no domnio de destino conforme necessrio. Se voc estiver usando objetos de Diretiva de Grupo para gerenciar a instalao de softwares, lembre-se de que alguns arquivos do Windows Installer precisam de acesso origem original em algumas operaes, como reparo e desinstalao. O administrador precisa reatribuir permisses ao ponto de distribuio do software para fornecer acesso a qualquer conta. Para manter o acesso de distribuio de software, execute estas tarefas: 1. Migre usurios utilizando a Ferramenta de Migrao do Active Directory (ADMT). 2. Execute o Assistente para Converso de Segurana no ponto de distribuio de software.
238
Para copiar unidades organizacionais (UOs) e subrvores de UOs para seu domnio de destino, voc pode usar a linha de comando ou a opo de script e substituir os parmetros apropriados. necessrio especificar uma UO de origem e uma UO de destino, e a UO de destino precisa existir. Todos os objetos na UO de origem e todas as UOs subordinadas so migradas para a UO de destino, mas a UO de origem em si no migrada. Se voc estiver usando a opo de linha de comando para migrar as suas contas, grupos ou computadores, e tambm quiser migrar UOs, modifique a linha de comando de forma a usar a opo /D. Em vez de usar a opo /N (/IncludeName), necessrio usar a opo /D (/IncludeDomain) com RECURSE e MAINTAIN desta forma:
ADMT /D:RECURSE+MAINTAIN /O "<arquivo_de_opo.txt>"
Se voc estiver migrando contas, grupos ou computadores usando a opo de scripts e tambm quiser migrar UOs, modifique seu script de forma a usar a opo admtDomain. Em vez de usar a opo admtData ou admtFile, necessrio usar a opo admtDomain com admtRecurse e admtMaintainHierarchy desta forma:
objUserMigration.Migrate admtDomain + admtRecurse + admtMaintainHierarchy
Migrar contas
Aplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2 Voc pode migrar cada lote de contas de usurios usando o snap-in Ferramenta de Migrao do Active Directory (ADMT), a opo de linha de comando ADMT ou um script. Se voc estiver migrando contas de usurio que tm a garantia do mecanismo de autenticao habilitada, use um arquivo de incluso. No arquivo de incluso, especifique os nomes principais de usurrios (UPNs) originais do domnio de origem como os UPNs de destino para manter o funcionamento da garantia do mecanismo de autenticao Para obter mais informaes sobre como usar um arquivo de incluso, consulte Usar um arquivo de incluso. Para migrar contas de usurio utilizando o snap-in do ADMT y y No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. Use o Assistente para Migrao de Conta de Usurio, executando as etapas descritas na tabela a seguir.
Pgina do assistente Ao
Seleo de Domnio
Sob Origem, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de 239
domnio ou selecione Qualquer controlador de domnio. Quando voc executa uma migrao dentro da floresta, o controlador de domnio que possui a funo de mestre de operaes de ID relativa (RID) (tambm conhecido como mestre de operaes nico flexvel ou FSMO) sempre usado como controlador de domnio de origem, independentemente da opo que voc selecionar. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio e clique em Avanar. Seleo de Usurio Clique em Selecionar usurios do domnio e em Avanar. Na pgina Seleo de Grupo, clique em Adicionar para selecionar os usurios do domnio de origem que deseja migrar no lote atual, clique em OK e, em seguida, clique em Avanar. Ou Clique em Ler objetos em um arquivo de incluso e em Avanar. Digite o local do arquivo de incluso e clique em Avanar. Seleo de Unidade Organizacional Verifique se o ADMT lista a unidade organizacional (UO) de destino correta. Se a lista no estiver correta, digite a UO correta ou clique em Procurar. Na caixa de dilogo Procurar Recipiente, localize o domnio de destino e a UO e clique em OK. Opes de Usurio Marque a caixa de seleo Converter perfis mveis. Marque a caixa de seleo Atualizar 240
direitos de usurio. Desmarque a caixa de seleo Migrar grupos de usurios associados. exibida uma caixa de aviso informando que se os grupos globais aos quais as contas de usurio pertencem no forem migrados tambm, os usurios perdero acesso aos recursos. Clique em OK para continuar com a migrao. Gerenciamento de Conflitos Clique em No migrar o objeto de origem se for detectado um conflito no domnio de destino.
Depois que voc clicar em Concluir no Assistente para Migrao de Conta de Usurio, a caixa de dilogo Progresso da Migrao ser exibida. Quando o status mudar para Concludo, exiba o log da migrao para verificar se ocorreram erros no processo de migrao. Na caixa de dilogo Progresso da Migrao, clique em Fechar. As contas de usurio migradas s podero fazer logon no domnio de destino e sero solicitadas a alterar a senha na primeira vez que fizerem logon nesse domnio. Para migrar contas de usurio utilizando a opo de linha de comando do ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. Observao Ao comear uma migrao de usurio com a migrao sIDHistory na linha de comando, voc dever executar o comando em um controlador do domnio de destino. 2. Em uma linha de comando, digite o comando ADMT por exemplo:
User
ADMT USER /N "<nome_do_usurio1>" "<nome_do_usurio2>" /IF:YES /SD:" <domnio_de_origem>" /TD:" <domnio_de_destino>" /TO:" <UO_de_destino>" /TRP:YES /UUR:YES
Voc tambm pode incluir parmetros em um arquivo de opo especificado na linha de comando, da seguinte forma:
ADMT USER /N "<nome_do_usurio1>" "<nome_do_usurio2>" /O "<arquivo_de_opo>.txt"
A tabela a seguir lista os parmetros necessrios para migrar contas de usurio, os parmetros de linha de comando e os equivalentes do arquivo de opo.
Parmetros Sintaxe da linha de comando Sintaxe do arquivo de opo
241
Dentro da floresta <Domnio de origem> Local da <UO de Origem> <Domnio de destino> Local da <UO de Destino> Gerenciamento de conflitos Converter perfil mvel Atualizar direitos de usurio
/IF:YES /SD:"domnio_de_origem"
IntraForest=YES SourceDomain="domnio_de_origem"
/SO:"UO_de_origem"
SourceOU="UO_de_origem"
/TD:"domnio_de_destino"
TargetDomain="domnio_de_destino"
/TO:"UO_de_destino"
TargetOU="UO_de_destino"
/CO:IGNORE
(padro)
ConflictOptions=IGNORE
/TRP:YES
(padro)
TranslateRoamingProfile=YES
/UUR:YES
UpdateUserRights=YES
3. Revise os resultados exibidos na tela procura de erros. 4. Abra Usurios e Computadores do Active Directory e localize a UO do domnio de destino. Verifique se os usurios existem na UO do domnio de destino. Para migrar contas de usurio utilizando um script y Observao Ao comear uma migrao de usurio com a migrao sIDHistory por um script, voc dever executar o script em um controlador do domnio de destino. Use o exemplo a seguir para preparar um script que incorpore comandos e opes do ADMT para migrar contas de usurio dentro de uma floresta. Copie o script no Bloco de Notas e salve o arquivo com a extenso de nome de arquivo .wsf na mesma pasta do arquivo AdmtConstants.vbs.
<Job id=" MigratingUserAccountsWithinForest" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
Dim objMigration
242
Dim objUserMigration
objMigration.IntraForest = True objMigration.SourceDomain = "domnio de origem" objMigration.SourceOu = "continer de origem" objMigration.TargetDomain = "domnio de destino" objMigration.TargetOu = "continer de destino"
243
tabela a seguir.
Pgina do assistente Ao
Clique em Objetos migrados anteriormente. Sob Origem, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio. Quando voc executa uma migrao dentro da floresta, o controlador de domnio que possui a funo de mestre de operaes de ID relativa (RID) (tambm conhecido como mestre de operaes nico flexvel ou FSMO) sempre usado como o controlador de domnio de origem, independentemente da opo que voc selecionar. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio e clique em Avanar.
Seleo do Computador
Clique em Selecionar computadores do domnio e em Avanar. Na pgina Seleo do Computador, clique em Adicionar para selecionar os computadores do domnio de origem com os perfis a serem migrados, clique em OK e, em seguida, clique em Avanar. Ou Clique em Ler objetos em um arquivo de incluso e em Avanar. Digite o local do arquivo de incluso e clique em Avanar. 245
Para converter perfis de usurio local usando a opo de linha de comando da ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. Na linha de comando, digite o comando ADMT pressione ENTER.
Security
ADMT SECURITY /N "<nome_do_computador1>" "<nome_do_computador2>" /SD:" <domnio_de_origem>" /TD:" <domnio_de_destino>" /TOT:REPLACE /TUP:YES
Voc tambm pode incluir parmetros em um arquivo de opo especificado na linha de comando, desta forma:
ADMT SECURITY /N "<nome_de_computador1>" "<nome_de_computador2>" /O "arquivo_de_opo.txt "
A tabela a seguir lista os parmetros necessrios para converter perfis de usurio local, os parmetros de linha de comando e os equivalentes do arquivo de opo.
Parmetros Sintaxe da linha de comando
/IF:YES
Dentro da floresta <Domnio de origem> <Domnio de destino> <Domnio de destino> Modificar segurana de perfil de usurio local
/SD:"domnio_de_origem"
SourceDomain="domnio_de_origem"
/TD:"domnio_de_destino"
TargetDomain="domnio_de_destino"
/TOT:REPLACE
TranslateOption=REPLACE
/TUP:YES
TranslateUserProfiles=YES
3. Verifique se h erros nos resultados exibidos no log de migrao. Para converter perfis de usurio local usando um script y Use o exemplo a seguir para preparar um script que incorpore comandos e opes do ADMT para converter perfis de usurio local. Copie o script no Bloco de Notas e salve o arquivo com a extenso de nome de arquivo .wsf na mesma pasta do arquivo 246
AdmtConstants.vbs.
<Job id=" TranslatingLocalProfilesWithinForest" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
247
'
248
as contas de computadores so deixadas habilitadas no domnio de origem e uma nova conta de computador criada no domnio de destino. Isso permite que voc reverta a migrao do computador, caso necessrio. Depois que a migrao for concluda e seus testes verificarem que o computador est funcionando como esperado, voc poder excluir com segurana a conta de computador no domnio de origem. Se uma estao de trabalho tiver contas de servio gerenciado instaladas e essas contas tiverem sido migradas anteriormente, o ADMT oferecer uma opo para reinstalar a conta de servio gerenciado no computador migrado e para atualizar o Gerenciador de Controle de Servios. Para que o ADMT possa executar essa operao, a conta que executa a migrao do computador precisa de permisses para modificar o descritor de segurana da conta de servio gerenciado migrada. Voc pode migrar estaes de trabalho e servidores membros usando o snap-in do ADMT, a opo de linha de comando do ADMT ou um script. Para migrar estaes de trabalho e servidores membros usando o snap-in do ADMT 1. No computador no domnio de destino onde o ADMT est instalado, faa logon usando uma conta de usurio associada ao grupo de migrao de recursos do ADMT. 2. Use o Assistente para Migrao de Conta de Computador executando as etapas descritas na tabela a seguir.
Pgina do assistente Ao
Seleo de Domnio
Sob Origem, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio. Quando voc executa uma migrao dentro da floresta, o controlador de domnio que possui a funo de mestre de operaes de ID relativa (RID) (tambm conhecido como mestre de operaes nico flexvel ou FSMO) sempre usado como o controlador de domnio de origem, independentemente da opo que voc selecionar. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, digite 249
ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio e clique em Avanar. Seleo do Computador Clique em Selecionar computadores do domnio e em Avanar. Na pgina Seleo do Computador, clique em Adicionar para selecionar os computadores do domnio de origem que deseja migrar, clique em OK e, em seguida, clique em Avanar. Ou Clique em Ler objetos em um arquivo de incluso e em Avanar. Digite o local do arquivo de incluso e clique em Avanar. Informaes sobre conta de servio gerenciado (aparecer se o computador tiver uma conta de servio gerenciado instalada) Seleo de Unidade Organizacional Selecione qualquer conta de servio gerenciado que no tenha sido instalada no computador migrado no domnio de destino e clique em Ignorar/Incluir para marcar as contas como Ignorar. Clique em Procurar. Na caixa de dilogo Procurar Continer, clique na unidade organizacional (UO) do domnio de destino para a qual os computadores esto sendo migrados e, em seguida, clique em OK. Converter Objetos Marque a caixa de seleo Grupos locais. Marque a caixa de seleo Direitos do usurio. Opes de Converso de Segurana Clique em Substituir. Quando voc executa uma migrao entre florestas, o ADMT migra o histrico de identificador de segurana (SID) e exclui o objeto de origem. Portanto, quando voc realiza uma migrao dentro da floresta, o ADMT s permite a converso de segurana no modo de substituio. Opes de Computador Na caixa Minutos at que os 250
computadores sejam reiniciados aps a concluso do assistente, aceite o valor padro de 5 minutos ou digite outro valor. Excluso da Propriedade do Objeto Para excluir determinadas propriedades de objeto da migrao, marque a caixa de seleo Excluir propriedades de objeto especficas da migrao, selecione as propriedades de objeto a serem excludas e mova essas propriedades para Propriedades Excludas; em seguida, clique em Avanar. Clique em No migrar o objeto de origem se for detectado um conflito no domnio de destino. Selecione Executar pr-verificao e operao do agente e clique em Iniciar.
Gerenciamento de Conflitos
3. Verifique se h erros nos resultados exibidos na tela. Aps a concluso do assistente, clique em Exibir log para visualizar a lista de computadores, o status de concluso e o caminho para o arquivo de log de cada computador. Se um erro for reportado em um computador, voc precisar verificar se h problemas com grupos locais no arquivo de log desse computador. O arquivo de log para cada computador nomeado MigrationTaskID.log e fica armazenado na pasta Windows\ADMT\Logs\Agents. Para migrar estaes de trabalho e servidores membros usando a opo de linha de comando do ADMT 1. No computador no domnio de destino onde o ADMT est instalado, faa logon usando uma conta de usurio associada ao grupo de migrao de recursos do ADMT. 2. Na linha de comando, digite o comando ADMT pressione ENTER.
Computer
ADMT COMPUTER /N "<nome_do_computador1>" "<nome_do_computador2>" /IF:YES /SD:"<domnio_de_origem>" /TD:"<domnio_de_destino>" /TO:"<UO_de_destino>" [/M: "nome da conta de servio gerenciado 1 nome da conta de servio gerenciado 2] [/UALLMSA:Yes] /RDL:1
Voc tambm pode incluir parmetros em um arquivo de opo especificado na linha de comando desta forma:
ADMT COMPUTER /N "<nome_do_computador1>" "<nome_do_computador2>" /O:" <arquivo_de_opo>.txt"
A tabela a seguir lista os parmetros necessrios para a migrao de estaes de trabalho e de servidores membros, os parmetros de linha de comando e os 251
Dentro da floresta <Domnio de origem> <Domnio de destino> Atualize contas de servio gerenciado especficas Observao O parmetro /M tem prioridade sobre o parmetro /UALLMS A. Atualizar todas as contas de servio gerenciado Atualizar contas de servio gerenciado especficas Observao O parmetro /M tem prioridade sobre o parmetro /UALLMS A. Local da <UO de Destino>
/IF:YES /SD:"domnio_de_orige
IntraForest=YES SourceDomain="domnio_de_origem"
m"
/TD:"domnio_de_destin TargetDomain="domnio_de_destino
"
UpdateMSAName=
/UALLMSA: YES
UpdateAllManagedServiceAccounts=Y es
/M
nome 1 nome 2
UPDATEMSANAME=nome
1 nome
/TO:"UO_de_destino"
TargetOU="UO_de_destino"
252
Atraso de reinicializao (minutos) Gerenciamento de conflitos Opes de converso de segurana Converter direitos de usurio Converter grupos locais
/RDL:5
RestartDelay=5
/CO:IGNORE
(padro)
ConflictOptions=IGNORE
/TOT:ADD
TranslationOption=YES
/TUR:YES
TranslateUserRights=YES
/TLG:YES
TranslateLocalGroups=YES
3. Verifique se h erros nos resultados exibidos na tela. O log de migrao lista computadores, status de concluso e o caminho para o arquivo de log de cada computador. Se um erro for reportado para um computador, voc precisar consultar o arquivo de log desse computador para analisar se h problemas com grupos locais. O arquivo de log para cada computador nomeado MigrationTaskID.log e fica armazenado na pasta Windows\ADMT\Logs\Agents. 4. Abra Usurios e Computadores do Active Directory e localize a UO do domnio de destino. Verifique se as estaes de trabalho e os servidores membros encontram-se na UO de domnio de destino. Para migrar estaes de trabalho e servidores membros usando um script y Use o exemplo a seguir para preparar um script que incorpore comandos e opes do ADMT para migrar estaes de trabalho e servidores membros dentro de uma floresta. Copie o script no Bloco de Notas e salve o arquivo com a extenso de nome de arquivo .wsf na mesma pasta do arquivo AdmtConstants.vbs.
<Job id=" MigratingWorkstationsMemberServersWithinForest" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
253
'
objMigration.IntraForest = True objMigration.SourceDomain = "domnio de origem" objMigration.SourceOu = "Computadores" objMigration.TargetDomain = "domnio de destino" objMigration.TargetOu = "Computadores"
254
</Script> </Job>
Seleo de Domnio
Sob Origem, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio. Quando voc executa uma migrao dentro da floresta, o controlador de domnio que possui a funo de mestre de operaes de ID relativa (RID) (tambm conhecido como mestre de operaes nico flexvel ou FSMO) sempre usado como o controlador de domnio de origem, independentemente da opo que voc selecionar. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de 255
domnio ou selecione Qualquer controlador de domnio e clique em Avanar. Seleo de Grupo Clique em Selecionar grupos do domnio e em Avanar. Na pgina Seleo de Grupo, clique em Adicionar para selecionar os grupos do domnio de origem a serem migrados, clique em OK e, em seguida, clique em Avanar. Ou Clique em Ler objetos em um arquivo de incluso e em Avanar. Digite o local do arquivo de incluso e clique em Avanar. Seleo de Unidade Organizacional Digite o nome da unidade organizacional (UO) ou clique em Procurar. Em Procurar Continer, localize a UO no domnio de destino para a qual os grupos locais de domnio esto migrando e clique em OK. Opes de Grupo As caixas de seleo Migrar SIDs de grupo para domnio de destino e Corrigir Participao em Grupo esto marcadas e aparecem esmaecidas. Todas as outras opes devem permanecer desmarcadas. Conflitos de nomes Clique em Ignorar contas conflitantes e no migrar.
Para migrar grupos locais de domnio usando a opo de linha de comando do ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. Em uma linha de comando, digite o comando ADMT e pressione ENTER:
Group
ADMT GROUP /N "<nome_do_grupo1>" "<nome_do_grupo2>" /IF:YES /SD:" <domnio_de_origem>" /TD:" <domnio_de_destino>" /TO:" <UO_de_destino>"
Voc tambm pode incluir parmetros em um arquivo de opo especificado na linha de comando desta forma:
ADMT GROUP /N "<nome_do_grupo1>" "<nome_do_grupo2>" /O: "<arquivo_de_opo>.txt"
A tabela a seguir lista os parmetros necessrios para migrar grupos locais de domnio, 256
os parmetros de linha de comando e os equivalentes do arquivo de opo. Para obter uma lista completa de parmetros disponveis, consulte a Ajuda do ADMT v3.1.
Parmetros Sintaxe da linha de comando Sintaxe do arquivo de opo
/IF:YES /TD:"domnio_de_destino" IntraForest=YES TargetDomain="domnio_de_destino"
/TO:"UO_de_destino"
TargetOU="UO_de_destino"
/CO:IGNORE
(padro)
ConflictOptions=IGNORE
3. Verifique se h erros nos resultados exibidos na tela. 4. Abra Usurios e Computadores do Active Directory e localize a UO do domnio de destino. Verifique se os grupos locais de domnio existem na UO do domnio de destino. Para migrar grupos locais de domnio usando um script y Use um script que incorpore os comandos e opes do ADMT para a migrao de grupos locais de domnio. Voc pode usar o mesmo script usado para migrar grupos universais. Para obter mais informaes sobre como migrar grupos universais, consulte Migrar grupos universais, anteriormente neste guia.
poderiam concluir o processo de migrao em duas semanas. Os grupos globais e universais sero migrados na segunda e na tera-feira da primeira semana. As contas de servio sero migradas e os servios atualizados na quarta-feira. Quinta, sexta e sbado esto reservados para a migrao de contas de usurio. Os servidores sero migrados no domingo da primeira semana. A segunda semana est reservada para a migrao dos servidores e das estaes de trabalho. Os grupos de domnio local sero migrados no final da segunda semana.
258
A Ferramenta de Migrao do Active Directory (ADMT) mantm um log detalhado de todas as aes que voc executa ao migrar recursos entre domnios do Active Directory. Erros que ocorrem durante o processo de migrao so registrados no log de migrao, apesar de no produzirem uma mensagem de aviso no ADMT. Examinar o log de migrao depois de uma migrao uma boa maneira de verificar se todas as tarefas foram concludas com xito. Devido importncia de concluir as etapas da migrao em uma ordem especfica, melhor verificar o log de migrao depois de cada etapa, para que voc possa descobrir quaisquer falhas a tempo de corrigi-las. Observao Arquivos de log so criados na pasta Windows\ADMT\Logs no computador em que o ADMT est instalado.
259
universais manualmente, verifique se os alternou de volta para grupos locais de domnio quando todos os recursos tiverem sido migrados.
260
Clique em Objetos migrados anteriormente. Se voc planeja usar o arquivo de mapeamento do SID, clique em Outros objetos especificados em um arquivo, e em seguida fornea o localizao do arquivo de mapeamento do SID que voc criou.
Seleo de domnio
Sob Origem, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de origem. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio. Quando voc executa uma migrao dentro da floresta, o controlador de domnio que possui a funo de mestre de operaes de ID relativa (RID) (tambm conhecido como mestre de operaes nico flexvel ou FSMO) sempre usado como controlador de domnio de origem, independentemente da opo que voc selecionar. Sob Destino, na lista suspensa Domnio, digite ou selecione o nome NetBIOS ou DNS do domnio de destino. Na lista suspensa Controlador de domnio, digite ou selecione o nome do controlador de domnio ou selecione Qualquer controlador de domnio e clique em Avanar.
Seleo do Computador
Clique em Selecionar computadores do domnio e em Avanar. Na pgina Seleo de Contas de Servio, clique em Adicionar para selecionar as contas do domnio de origem a serem migradas, clique em OK e, em seguida, clique em Avanar. - ou Clique em Ler objetos em um arquivo de 261
incluso e em Avanar. Digite o local do arquivo de incluso e clique em Avanar. Converter Objetos Clique em Arquivos e pastas, Compartilhamentos, Impressoras, Direitos do usurio e Registro. Clique em Substituir.
Para converter a segurana em servidores membros usando a opo de linha de comando da ADMT 1. No computador do domnio de destino em que o ADMT est instalado, faa logon usando a conta de migrao da conta do ADMT. 2. Na linha de comando, digite o comando a seguir e pressione ENTER:
ADMT Security /N "<nome_do_computador1>" "<nome_do_computador2>" /SD:" <domnio_de_origem>" /TD:" <domnio_de_destino>"
Onde <nome_do_computador1> e <nome_do_computador2> so os nomes do computadores para os quais voc deseja converter a segurana. Voc tambm pode incluir parmetros em um arquivo de opo especificado na linha de comando, desta forma:
ADMT Security /N "<nome_do_computador1>" "<nome_do_computador2>" /O:" <arquivo_de_opo>.txt"
A tabela a seguir lista os parmetros comuns usados para fazer a converso de segurana em servidores membros, juntamente com o parmetro de linha de comando e os equivalentes de arquivo de opo.
Parmetros Sintaxe da linha de comando
/SD:"domnio_de_origem"
/TD:"domnio_de_destino"
TargetDomain="domnio_de_destino"
3. Verifique se h erros nos resultados exibidos na tela. Para converter a segurana em servidores membros usando um script y Use o exemplo a seguir para preparar um script que incorpore comandos e opes do ADMT para fazer a converso de segurana em servidores membros. Copie o script no Bloco de Notas e salve o arquivo com a extenso de nome de arquivo .wsf na mesma pasta do arquivo AdmtConstants.vbs.
<Job id=" TranslatingSecurityOnMemberServersWithinForest" >
262
src="AdmtConstants.vbs" />
objMigration.IntraForest = True objMigration.SourceDomain = "domnio de origem" objMigration.TargetDomain = "domnio de destino" objMigration.TargetOu = "Computadores"
objSecurityTranslation.TranslationOption = admtTranslateReplace objSecurityTranslation.TranslateFilesAndFolders = True objSecurityTranslation.TranslateLocalGroups = True objSecurityTranslation.TranslatePrinters = True objSecurityTranslation.TranslateRegistry = True objSecurityTranslation.TranslateShares = True objSecurityTranslation.TranslateUserProfiles = False
263
objSecurityTranslation.TranslateUserRights = True
Depois de migrar todos os objetos do domnio de origem para o domnio de destino, incluindo todos os computadores e servidores membros, somente os controladores de domnio permanecero no domnio de origem. Para descomissionar o domnio de origem, execute o Assistente para instalao do Active Directory para remover o Active Directory ou os Servios de Domnio Active Directory (AD DS) dos controladores de domnio do domnio de origem. Migre os controladores de domnio do domnio de origem para o domnio de destino como servidores membros. Se necessrio, dependendo da nova funo planejada para os servidores do domnio de destino, use o Assistente para instalao do Active Directory para instalar o Active Directory ou o AD DS nos servidores membros para retorn-los ao status de controlador de domnio no domnio de destino. Execute converso de segurana em controladores de domnio, caso recursos residam no computador que ser usado como o novo controlador de domnio.
y
Valor
Descrio
NomeDoDomnio
Valor
Descrio
ControladorDoDomnioDeOrigem
Para configurar um controlador de domnio preferencial no domnio de destino y Em um prompt de comando, digite o comando a seguir e pressione ENTER:
admt config setdomaincontroller /Domain:<NomeDoDomnio> /tdc:<ControladorDoDomnioDeDestino>
Valor
Descrio
NomeDoDomnio ControladorDoDomnioDeDestino
Especifica o nome de um domnio do Active Directory. Especifica o nome do computador de um controlador de domnio no domnio de destino.
Voc tambm pode limpar o controlador de domnio preferencial configurado no domnio de origem ou de destino. Para limpar controladores de domnio preferenciais em m domnio especfico y Em um prompt de comando, digite o comando a seguir e pressione ENTER:
admt config cleardomaincontrollers /Domain:<NomeDoDomnio>
Valor
Descrio
NomeDoDomnio
Voc tambm pode exibir os controladores de domnio preferenciais configurados no domnio de origem ou de destino. Para exibir controladores de domnio preferenciais configurados y Em um prompt de comando, digite o comando a seguir e pressione ENTER:
admt config getdomaincontrollers
267
y
abc,CN=def,def@contoso.com Essa entrada de arquivo de incluso altera o TargetRDN do usurio abc para CN=def e o TargetUPN para def@contoso.com. O TargetSAM do usurio abc no alterado como resultado da migrao. Importante necessrio especificar o CN= antes de usar um valor de RDN.
269
/F:<NomeDoArquivoDeIncluso>
Observao Para obter a sintaxe de linha de comando referente migrao de usurios e grupos, procure "admt user" e "admt group" na Ajuda do ADMT verso 3.1 (v3.1). As informaes a seguir descrevem os campos de um arquivo de incluso e fornecem exemplos de cada campo: Campo SourceName O campo SourceName especifica o nome do objeto de origem. Voc pode especificar um nome de conta ou um nome diferenciado relativo. Se voc especificar apenas nomes de origem, ser opcional definir um cabealho na primeira linha do arquivo. O exemplo a seguir inclui uma linha de cabealho indicando o campo NomeDeOrigem e um nome de objeto de origem que especificado em vrios formatos. A segunda linha especifica um nome de conta. A terceira linha especifica o nome de uma conta no formato de nome de conta do Windows NT 4.0. A quarta linha especifica um nome distinto relativo. SourceName name domnio\nome CN=name Campo TargetName Voc pode usar o campo NomeDeDestino para especificar um nome de base a ser usado para gerar um nome distinto relativo, um nome de conta de destino do Gerente de Contas de Segurana (SAM) e um nome UPN de destino. O campo NomeDeDestino no pode ser combinado com outros campos de nome de destino discutidos abaixo. Observao O UPN de destino gerado apenas para objetos de usurio e apenas um prefixo UPN gerado. Um sufixo de nome UPN anexado usando um algoritmo que depende se o sufixo de nome UPN est definido para a unidade organizacional (UO) de destino ou para a floresta de destino. Se o objeto for um computador, a conta de SAM de destino incluir um sufixo "$". Dado o exemplo a seguir, o nome distinto relativo de destino, o nome de conta de SAM de destino e o nome UPN de destino gerado so "CN=nome_novo", "nome_novo" e "nome_novo", respectivamente. SourceName,TargetName oldname, newname Campos RDNDeDestino, SAMDeDestino e UPNDeDestino Voc pode usar os campos TargetRDN, TargetSAM e TargetUPN para especificar os diferentes nomes de destino independentemente entre si. Voc pode especificar qualquer combinao 270
desses campos em qualquer ordem. O RDNDeDestino especifica o nome distinto relativo do objeto. O SAMDeDestino especifica o nome da conta de SAM de destino do objeto. Observe que para computadores, o nome precisa incluir o sufixo "$" para que seja um nome de conta de SAM vlido para um computador. O parmetro UPNDeDestino especifica o nome UPN do objeto. Voc pode especificar apenas o prefixo UPN ou um nome UPN completo (prefixo@sufixo). Se o nome que voc especificar contiver os caracteres " "ou ",", ser necessrio incluir o nome entre aspas duplas ("). Alm disso, um caractere "," precisa ser precedido de um caractere de escape "\". Caso contrrio, a operao ir falhar e o ADMT registr um erro de sintaxe invlida no arquivo de log. SourceName,TargetRDN oldname, CN=newname SourceName,TargetRDN,TargetSAM oldname, "CN=New RDN", newsamname SourceName,TargetRDN,TargetSAM,TargetUPN nome_antigo, "CN=ltimo, primeiro", nome_de_sam_novo, nome_de_upn_novo SourceName,TargetSAM,TargetUPN,TargetRDN Observao Use este formato quando estiver renomeando objetos de usurio, por exemplo, para acomodar a especificao de um domnio de destino de um domnio diferente do nome UPN de destino. Para obter mais informaes, consulte o Renomear objetos durante a migrao. nome_antigo, nome_de_sam_novo, nome_de_upn_novo@domnio_de_destino.com, "CN=Nome Novo" Observao Voc tambm pode renomear objetos durante a migrao usando um arquivo de incluso. Para obter mais informaes sobre como usar um arquivo de incluso, consulte Renomear objetos durante a migrao.
y
Criar arquivos de opo separados com configuraes exclusivas para cada tipo de tarefa de migrao.
A seo Migrao no arquivo de opo especifica os parmetros que se aplicam a todas as tarefas. As sees subsequentes especificam os parmetros especficos das tarefas. Use o arquivo de opo a seguir como uma referncia para personalizar o arquivo de opo para a sua migrao. [Migration] IntraForest=No SourceDomain=NomeDoDomnioDeOrigem SourceOu=CaminhoDaUODeOrigem TargetDomain=NomeDoDomnioDeDestino TargetOu=CaminhoDaUODeDestino PasswordOption=Complex PasswordServer="" PasswordFile="" ConflictOptions=Ignore UserPropertiesToExclude="" InetOrgPersonPropertiesToExclude="" GroupPropertiesToExclude="" ComputerPropertiesToExclude="" [User] DisableOption=EnableTarget SourceExpiration=None MigrateSIDs=Yes TranslateRoamingProfile=No UpdateUserRights=No MigrateGroups=No UpdatePreviouslyMigratedObjects=No FixGroupMembership=Yes MigrateServiceAccounts=No UpdateGroupRights=No [Group] MigrateSIDs=Yes UpdatePreviouslyMigratedObjects=No FixGroupMembership=Yes UpdateGroupRights=No 272
MigrateMembers=No DisableOption=EnableTarget SourceExpiration=None TranslateRoamingProfile=No MigrateServiceAccounts=No [Security] TranslationOption=Add TranslateFilesAndFolders=No TranslateLocalGroups=No TranslatePrinters=No TranslateRegistry=No TranslateShares=No TranslateUserProfiles=No TranslateUserRights=No SidMappingFile=ArquivoDeMapeamentoSID As opes podem ser comentadas adicionando um ponto e vrgula no incio de uma linha. Observao Quando um parmetro no for especificado, a configurao padro ser usada.
274
Isso ocorre por design, pois o domnio de destino, e no o de origem, determina as configuraes de segurana da conta de usurio migrada. Uma mensagem de erro invlida ser exibida durante uma correo de grupo de usurios se uma conta de usurio for excluda Depois de uma migrao, se voc excluir uma conta de usurio do domnio de destino e um grupo que continha a conta de usurio no domnio de origem (como membro de outro grupo) for migrado entre os mesmos domnios, o ADMT registrar a seguinte mensagem de erro invlida: No possvel adicionar <conta> a <grupo>, porque <conta> no foi migrado para o domnio de destino. Se voc receber essa mensagem de erro, repita a migrao da conta de usurio para o domnio de destino. A excluso da propriedade useraccountcontrol ignorada A propriedade de usurio userAccountControl sempre copiada quando voc migra de domnios do Windows NT 4.0. Mesmo que voc decida excluir essa propriedade na pgina do assistente Excluso da Propriedade do Objeto, a excluso ser ignorada e a propriedade ser migrada. No entanto, quando voc migrar de domnios do Active Directory, a excluso dessa propriedade ser honrada e ela no ser copiada durante a migrao do usurio. A opo Remover direitos de usurio existentes no funcionou Causa: se o modelo Diretiva de Grupo associado a um usurio cujos direitos esto sendo removidos contiver o nome no qualificado para domnio do usurio (por exemplo, se contiver User1 em vez de DomainA\User1), ocorrer falha na operao de remoo. Soluo: corrija a entrada do nome do usurio no modelo de Diretiva de Grupo. Voc recebe o seguinte erro ao tentar migrar usurios com histrico de SID No possvel migrar usurios. A configurao a seguir, necessria para o histrico SID, no foi executada. A auditoria no foi ativada no domnio de destino. Erro no especificado (0x80004005) Esse erro pode ocorrer porque algumas subcategorias da Diretoria de Auditoria do Servio de Diretrio no so habilitadas por padro no Windows Server 2008 e no Windows Server 2008 R2. Todas as subcategorias devem ser habilitadas para migrar usurios com seus histricos SID. Para obter mais informaes sobre como habilit-las, consulte Configurando os domnios de origem e de destino para a migrao de histrico SID.
276
Este tpico descreve problemas conhecidos relacionados migrao de grupos com a Ferramenta de Migrao do Active Directory. O grupo local contm tanto as contas de origem quanto de destino quando a conta migrada depois de voc migrar o grupo local Quando voc migra um membro de um grupo local anteriormente migrado, a conta de origem desse membro no removida quando o membro de destino adicionado. Se o membro for migrado antes da migrao do grupo local, apenas o membro da conta de destino ser adicionado. Isso ocorre por design e se aplica apenas a migraes entre florestas. A lista de membros do grupo no atualizada para um grupo que inclui um grupo migrado de outro domnio Se voc migrar um grupo, quaisquer grupos de outro domnio que o incluem como membro ainda faro referncia a ele no domnio de origem. Quando voc executa uma migrao entre florestas, os membros do grupo mantm o cesso aos recursos porque o histrico de identificador de segurana (SID) migrado automaticamente. Quando voc executa uma migrao entre florestas, os membros do grupo precisam ser corrigidos a menos que histrico SID seja migrado. Usar o assistente para migrao de grupos para migrar usurios pertencentes a grupos aninhados Se Migrar grupos de usurios associados estiver selecionado, o Assistente para Migrao de Conta de Usurio migrar apenas os grupos dos quais o usurios for membro direto. Ele no migrar grupos dos quais o usurio membro por meio do aninhamento de grupos. Quando voc migra grupos usando o Assistente para Migrao de Conta de Grupo, se Copiar membros do grupo estiver selecionado, o assistente migrar repetidamente todos os usurios e grupos que sejam membros desse grupo, inclusive grupos que sejam membros atravs de aninhamento de grupo. Quando o domnio de origem funcionar com Windows 2000 ou Windows Server 2003, com aninhamento de grupos, para preservar a participao do grupo obtida atravs desse aninhamento, recomenda-se migrar os objetos afetados usando o Assistente para Migrao de Conta de Grupo.
277
A conta de usurio que est executando o ADMT deve ter direitos de Logon local em todos os computadores remotos para os quais a ferramenta envie um agente. Isso tambm se aplica a qualquer computador remoto cujo gerenciador de controle de servio (SCM) ser modificado durante a migrao de uma conta de servio com o Assistente para Migrao de Conta de Usurio. Se voc no tiver direitos para alterar o SCM, ainda assim a conta de servio ser migrada para o domnio de destino, mas o servio no computador remoto no ser atualizado para usar a conta do domnio de destino. Para atualizar o servio no computador remoto, execute o Assistente para Migrao de Conta de Servio e selecione No, usar as informaes coletadas anteriormente na pgina Informaes de Atualizao. Nem sempre a falta de acesso do usurio sinalizada como um erro na pgina Progresso da Migrao, portanto, bom verificar possveis erros no arquivo de log da migrao aps migrar contas de servio. Os servios precisam ser identificados em todos os computadores antes que as contas de servio sejam migradas Se voc identificar os servios nos servidores usando o Assistente para Migrao de Conta de Servio depois que a migrao tiver ocorrido, a configurao desses servios com a conta migrada e as informaes de senha falharo. Para configurar esses servios, ser necessrio reexecutar a migrao de usurio. A migrao de conta de servio no Windows Server 2008 e no Windows Vista demora mais que o esperado Se voc estiver executando uma migrao de conta de servio em um computador que esteja executando o Windows Server 2008 ou o Windows Vista e est demorando muito mais tempo que o esperado, voc poder aumentar o desempenho habilitando uma exceo do Windows Firewall para o Gerenciamento Remoto de Servios no computador que est sendo usado. Para obter mais informaes, consulte o procedimento a seguir. Para adicionar uma exceo do Windows Firewall para o Gerenciamento Remoto de Servios 1. Abra o Painel de Controle (Modo de exibio Clssico) e, em seguida, abra Windows Firewall. 2. Clique na guia Excees. 3. Verifique se a caixa de seleo Gerenciamento Remoto de Servios est marcada. 4. Clique em OK.
278
O descritor de segurana da conta de servio O ADMT modificou com xito o descritor de gerenciado '%1' permite que o computador '%2' segurana de uma conta de servio gerenciada. redefina sua senha e modifique o atributo userAccountControl. O descritor de segurana da conta de servio gerenciado '%1' foi restaurado. O ADMT restaurou com sucesso o descritor de segurana de uma conta de servio 279
Mensagem do log
gerenciada. No possvel modificar o descritor de segurana da conta de servio gerenciado '%1', hr=%2!lx!. A instalao subsequente dessa conta de servio gerenciado no computador '%3' falhar. No possvel restaurar o descritor de segurana da conta de servio gerenciado '%1', hr=%2!lx!. O ADMT no modificou o descritor de segurana de uma conta de servio gerenciada.
Para revogar manualmente as alteraes no descritor de segurana, conclua o procedimento a seguir. Para revogar alteraes no descritor de segurana de uma conta de servios gerenciado 1. Abra Usurios e Computadores do Active Directory. Para abrir Usurios e Computadores do Active Directory, clique em Iniciar, clique em Painel de Controle , clique duas vezes em Ferramentas Administrativas e, em seguida, clique duas vezes em Usurios e Computadores do Active Directory. 2. Clique em Exibir e em Recursos Avanados. 3. Navegue at o continer onde est a conta de servio gerenciado, clique com o boto direito do mouse na conta e em Propriedades. Por padro, as contas de servio gerenciado so criadas no continer Contas de Servio Gerenciado. 4. Clique na guia Segurana e na entrada de controle de acesso do objeto do computador. 5. Para Redefinir senha, marque a caixa de seleo Permitir. 6. Clique em Avanado. 7. Clique na entrada de controle de acesso do objeto do computador, clique em Editar e para Gravar userAccountCntrol, desmarque a caixa de seleo Permitir. 8. Clique duas vezes em OK, clique em Aplicar e em OK novamente para fechar a caixa de seleo Propriedades.
280
Causa: Isso pode ser causado por uma configurao de ambiente de migrao incorreta ou alguma falha nos computadores de origem ou de destino. Soluo: Associe o computador a um domnio e crie a conta de computador no domnio conforme descrito nos procedimentos a seguir. Para ingressar em um domnio, insira as credenciais de uma conta com permisses administrativas no domnio ao qual o computador deva ingressar. Reinicie o computador para concluir o ingresso do computador no domnio. Para alterar a associao de domnio de um computador que esteja executando o Windows 2000 (para o ADMT v3.1) ou o Windows Server 2003 1. Faa logon no computador que esteja usando uma conta com credenciais de administrador local. 2. Na rea de trabalho, clique com o boto direito do mouse em Meu Computador e, em seguida, clique em Propriedades. 3. Na guia Nome do Computador, clique em Alterar. 4. Em Alteraes no Nome do Computador, selecione Domnio: e digite o nome do domnio ao qual o computador ingressar. Clique em OK e quando for solicitado que voc reinicie o computador, clique em OK novamente. Para alterar a associao de domnio de um computador que esteja executando o Windows Vista, o Windows 7, o Windows Server 2008 ou o Windows Server 2008 R2 1. Faa logon no computador que esteja usando uma conta com credenciais de administrador local. 2. Clique em Iniciar, clique com o boto direito do mouse em Computador e clique em Propriedades. 3. Clique em Alterar configuraes. 4. Na guia Nome do Computador, clique em Alterar. 5. Em Alteraes no nome do computador, selecione Domnio: e digite o nome do domnio ao qual voc deseja que o computador ingresse. Clique em OK e quando for solicitado que voc reinicie o computador, clique em OK novamente.
As senhas migradas podem no estar em conformidade com a diretiva de senha do domnio de destino A migrao de senhas no ADMT ignora as verificaes de diretiva de senha. Se uma diretiva de senha for definida, ela s ser imposta quando a senha for alterada. Por esse motivo, o ADMT sempre solicita que os usurios migrados alterem suas senhas na prxima vez que fizerem logon. Depois de uma migrao entre florestas, os usurios no conseguem fazer logon no novo domnio. Causa: quando voc executa uma migrao entre florestas, o ADMT sempre define a opo O Usurio Deve Alterar a Senha para usurios migrados. Se a opo O Usurio No Pode Alterar a Senha estiver definida na conta de usurio, a conta de destino s poder fazer logon quando uma ou ambas as opes forem alteradas. Soluo: altere as opes usando um dos seguintes procedimentos: Para ativar a capacidade de alterar a senha do usurio 1. Em Usurios e Computadores do Active Directory, no menu Exibir, clique em Recursos Avanados. 2. Clique com o boto direito do mouse no usurio e, em seguida, clique em Propriedades. 3. Na guia Segurana, ative a permisso Alterar Senha para Todos e para o usurio. Para remover o sinalizador O Usurio Deve alterar a Senha y Em Usurios e Computadores do Active Directory, clique com o boto direito do mouse no usurio e, em seguida, clique em Redefinir Senha.
Depois de uma migrao dentro da floresta, os usurios no conseguem fazer logon no novo domnio. Causa: as senhas das contas de usurio usadas no domnio antigo podem violar as restries de senha do novo domnio. Em uma migrao dentro da floresta, as senhas das contas de usurio do domnio de origem so migradas para o domnio de destino. Se as contas de usurio do domnio de origem possurem senhas que violam as restries de senha (como o tamanho mnimo) no domnio de destino, os usurios migrados afetados no podero fazer logon at que as senhas tenham sido configuradas para um valor que atenda diretiva da senha do domnio de destino. Se os usurios tentarem usar as senhas invlidas, suas novas contas de usurio podero ser bloqueadas. Se voc tiver selecionado a opo Desativar contas de destino no Assistente para Migrao de Conta de Usurio, as novas contas de usurio sero desabilitadas. Como resultado, os usurios migrados talvez no consigam fazer logon at que suas contas tenham sido desbloqueadas ou marcadas como habilitadas. Soluo: redefina as senhas das contas de usurio com um valor que atenda diretiva de senha do novo domnio e habilite as contas de usurio caso elas tenham sido desabilitadas devido a falhas consecutivas de senha. 283
Usurios migrados recebem uma mensagem de erro indicando que o nome ou a senha do usurio esto incorretos. Causa: os usurios migrados no podem fazer logon devido diretiva de senha, mesmo que as diretivas de senha paream estar desabilitadas. Durante uma migrao, alguns administradores podem optar por desabilitar as diretivas de senha no domnio de destino. Se eles tentarem fazer isso desativando a diretiva de tamanho mnimo de senha sem definir a diretiva como zero, os usurios no conseguiro fazer logon, pois uma diretiva de senha ainda estar em vigor. Soluo: defina a diretiva de tamanho mnimo de senha como zero. Depois que a diretiva de comprimento zero entrar em vigor, a diretiva de tamanho mnimo de senha poder ser desativada.
284
Soluo: Abra o arquivo de log de migrao e localize a conta que voc migrou com o histrico do SID (identificador de segurana). Se o histrico do SID tiver sido adicionado conta, voc dever ver uma entrada semelhante seguinte: 2005-10-06 18:28:50-SID para NomeDaContaDoUsurio adicionado ao histrico do SID de NomeDaContaDoUsurio Se voc receber uma mensagem de erro, ser praticamente certo que no configurou o ambiente corretamente e dever rever os tpicos de configurao antes de repetir a migrao. A migrao do histrico do SID no est funcionando. Causa: Vrias condies devem ser atendidas para que a migrao do histrico do SID funcione. Soluo: Configure o ambiente de migrao corretamente antes de executar a ADMT e revise os tpicos de configurao antes de prosseguir com a migrao. Observao Quando voc migra um objeto de segurana previamente migrado para um novo domnio, os critrios para a migrao do histrico do SID devem estar corretos nos trs domnios. Por exemplo, digamos que voc tenha os trs seguintes domnios: DomnioA, DomnioB e DomnioC. O Usurio1 no DomnioA (DomnioA\Usurio1) migrado para o DomnioB como DomnioB\Usurio1 e o histrico do SID convertido. Agora o DomnioB\Usurio1 tem o SID primrio para DomnioB\Usurio1 e o valor do histrico do SID para DomnioA\Usurio1. Se um administrador desejar migrar o DomnioB\Usurio1 para o DomnioC\Usurio1 e preservar todos os SIDs do DomnioB\Usurio1, as definies de configurao apropriadas devero estar corretas para permitir a migrao do DomnioA para o DomnioC e do DomnioB para o DomnioC. Se o DomnioA tiver sido encerrado ou se a configurao correta no puder ser atendida entre o DomnioA e o DomnioC, a ADMT migrar o SID do DomnioB\Usurio1 para o DomnioC\Usurio1 e registrar o fato de que no pde migrar o SID do DomnioA\Usurio1. Caso o DomnioA no exista, a ADMT gravar uma mensagem de erro no log, mas a migrao ainda ser bem-sucedida. Voc pode ignorar essa mensagem de erro. Aps a migrao, novas contas de usurio do domnio de destino no podem acessar recursos, embora as contas do domnio de origem tenham permisses. Causa: As configuraes necessrias para executar a ADMT no foram estabelecidas corretamente. A maioria dos problemas de migrao causada por um ambiente de migrao configurado incorretamente. Soluo: Abra o arquivo de log de migrao e localize a conta migrada com o histrico do SID. Se o histrico do SID tiver sido adicionado conta, voc dever ver uma entrada semelhante seguinte: 2005-10-06 18:28:50-SID para NomeDaContaDoUsurio adicionado ao histrico do SID de NomeDaContaDoUsurio
285
Se voc receber uma mensagem de erro, ser praticamente certo que no configurou o ambiente corretamente e dever rever os tpicos de configurao antes de repetir a migrao. Estou recebendo o seguinte erro: "A Lixeira em C:\ est danificada ou invlida. Voc deseja esvaziar a Lixeira dessa unidade?" Causa: Isso ocorre por design. Por motivos de segurana, cada usurio que se conecta a um computador Windows 2000 ou Windows Server 2003 recebe sua prpria Lixeira especfica do usurio. A ACL (lista de controle de acesso) de cada instncia da Lixeira pode conter apenas um SID especfico de usurio. Quando voc migra um perfil de usurio com a opo Adicionar, o SID do usurio do domnio de origem adicionado ao histrico do SID da Lixeira. Isso coloca dois SIDs especficos de usurio na ACL da Lixeira. Esse problema no ocorrer se voc migrar os perfis com a opo Substituir. Soluo: Na mensagem de erro, clique em Sim e a Lixeira ser esvaziada sem nenhum problema. Se voc clicar em No, o erro continuar a aparecer at que voc esvazie a Lixeira. Os usurios de domnios que no so confiveis no podem acessar compartilhamentos DFS (Sistema de Arquivos Distribudos) nos domnios do Active Directory. Causa: Isso ocorre por design. Soluo: Se voc planeja usar compartilhamentos DFS em seu domnio, migre os computadores que pertencem aos usurios que acessam compartilhamentos DFS primeiro ou migre os computadores e usurios na mesma sesso de migrao.
Importante altamente recomendvel migrar usurios e grupos apenas entre domnios do modo nativo. Grupos globais so copiados sem histrico do SID para migraes entre florestas se no forem migrados com membros do grupo e o domnio de origem estiver no modo composto. Quando voc migra um grupo global em um domnio no modo composto para uma migrao entre florestas usando o Assistente para Migrao de Conta de Grupos, se voc no selecionar a opo Copiar membros do grupo, esse grupo global ser copiado, e no migrado, sem histrico do SID em vez de ser movido. Esse comportamento resultado das regras de participao do grupo global. Se, em vez de copiar, o ADMT mover o grupo global, seus membros ficam "rfos" de grupo e perdem o acesso a qualquer recurso concedido aos membros do grupo, pois os grupos globais no podem conter membros de outros domnios. Quando os membros desse grupo global so migrados posteriormente, a participao no grupo restaurada. Contudo, como o histrico do SID no migrado com o grupo, preciso executar o Assistente para converso de segurana para atualizar as ACLs (listas de controle de acesso), assim como voc faria em uma migrao entre florestas sem histrico do SID. Importante altamente recomendvel migrar usurios e grupos apenas entre domnios do modo nativo. A tabela de objetos migrados no sincroniza Se o administrador do domnio de destino excluir um grupo migrado depois da migrao, as entradas desse grupo no so removidas da tabela de objetos migrados. Se um grupo no domnio de destino com o mesmo nome do grupo excludo for migrado do domnio de origem, pode ocorrer um erro. Esse erro ocorre apenas se os usurios forem migrados com o grupo. A mensagem de erro a seguinte:
ERR2:7422 Falha ao mover o objeto <RDN_de_objeto>, hr=80070057 O parmetro est incorreto.
287
Soluo: Todos os arquivos de log do ADMT esto armazenados no banco de dados do ADMT. No entanto, os ltimos 20 logs de migrao tambm esto armazenados na pasta Logs da pasta ADMT do computador em que o ADMT foi instalado. Voc pode acessar todos os logs do ADMT no banco de dados usando o comando admt task em uma linha de comando. No consigo ler as entradas do log de eventos do agente ADMT. Causa: Voc no est em um computador no qual o ADMT tenha sido instalado. Soluo: O agente pode gravar entradas de log de eventos no computador em que est sendo executado. No entanto, o software do agente removido quando a tarefa so agente concluda. Voc pode exibir as entradas do log de eventos no computador no qual o agente foi enviado executando o Visualizador de Eventos no computador em que o ADMT foi instalado. Preciso de mais informaes dos logs do ADMT. Causa: Configurao de nvel de log incorreta. Por padro, o ADMT grava informaes de resumos nos arquivos de log. Voc pode aumentar o nvel de detalhes alterando a entrada do Registro que controla o nvel de log. Soluo: No computador em que o ADMT foi instalado, configure o valor da chave do Registro HKEY_LOCAL_MACHINE\Software\Microsoft\ADMT\TranslationLogLevel como 7. Voc pode usar o modo de registro extenso para diagnstico de problemas e soluo de problemas. O modo de registro extenso pode gerar arquivos de log muito grandes, principalmente quando o computador de destino tem um grande nmero de arquivos ou outros objetos cujas listas de controle de acesso (ACLs) devem ser atualizadas. Como os logs de agentes so gravados em uma pasta especificada pela varivel de ambiente %TEMP%, o volume para o qual essa varivel de ambiente aponta deve ter amplo espao em disco. Quando voc acessa usando o modo de registro extenso, pode ser necessrio alterar o valor da varivel de ambiente %TEMP% antes de enviar um agente. Os relatrios gerados no esto aparecendo no ADMT. Causa: Quando o ADMT gera relatrios, ele no atualiza o console automaticamente. Soluo: Para exibir os relatrios, feche e reabra o ADMT. Executando vrias instncias do ADMT em diversos idiomas Quando voc executa vrias instncias do ADMT onde elas utilizam idiomas distintos, os arquivos de log so gerados no idioma em que a instncia est sendo executada. Isso no afeta a funcionalidade do ADMT de nenhuma maneira. No entanto, recomenda-se usar um idioma unificado ao executar vrias instncias do ADMT.
288
Observe que a ferramenta de linha de comando usa o componente de script e, portanto, problemas de script tambm so aplicveis a ela. Parmetros de linha de comando duplicados anulam quaisquer ocorrncias anteriores Se um parmetro de linha de comando for especificado mais de uma vez, o ltimo valor prevalece sobre os outros. Isso ocorre por design. Os caracteres estendidos no so exibidos pela interface de linha de comando A interface de linha de comando do ADMT no converte Unicode. Portanto, caracteres estendidos como o alemo "umlaut" no so exibidos corretamente. A opo para habilitar a conta de origem no est desabilitada em migraes entre florestas Quando voc executa migraes entre florestas, contas so movidas e no copiadas entre domnios. A conta de origem removida como parte da movimentao. No entanto, h uma opo para habilitar uma conta de origem disponvel na interface de linha de comando do ADMT. Quando essa opo for usada, voc receber este aviso:
WRN1: 7362: <object_name> - No foi possvel ativar a conta de origem. Parmetro incorreto
operao permite que voc tenha permisses administrativas nos domnios de origem e de destino. Falha de operaes de distribuio de agente com erros de conflito de credenciais Causa: voc possui uma conexo ativa, como uma impressora ou uma unidade mapeada, com o computador em que um agente est sendo instalado. A operao de distribuio apresenta falha porque as credenciais da instalao do agente entram em conflito com o conjunto de credenciais existente. Soluo: remova todas as conexes ativas entre o computador que est executando o ADMT e o computador para o qual o agente est sendo distribudo. Quando tento visualizar os resultados de uma operao de agente remoto, recebo a seguinte mensagem de erro: "No possvel abrir o arquivo \\NomeDoComputador\(%SystemRoot%)$\temp\dctlog.txt." Causa: o compartilhamento administrativo padro do volume de sistema do computador para o qual o agente foi distribudo no est habilitado. Como o compartilhamento padro no est habilitado, o ADMT no pode ler o arquivo de log. Soluo: habilite novamente o compartilhamento padro do volume de sistema. Ao gerar relatrios, recebo a mensagem de erro 3107 do IDispatch Causa: esse erro pode ocorrer quando o monitor de agente fechado antes que todos os agentes tenham terminado de gravar os resultados de volta para o banco de dados de relatrio do ADMT. Soluo: para evitar esse problema, aguarde at que todos os agentes tenham concludo suas tarefas antes de fechar o monitor de agente. Preciso saber quais so as portas e os protocolos usados pelo ADMT para estabelecer a comunicao do console com os controladores de domnio e os agentes ADMT em execuo nas estaes de trabalho Causa: quando executar o ADMT em ambientes com firewall, talvez voc precise criar excees de porta de firewall para oferecer suporte a trfego relacionado ao ADMT na sua rede. Soluo: o console do ADMT usa a porta 389 do protocolo LDAP para se comunicar com controladores de domnio e uma Chamada de Procedimento Remoto (RPC) para se comunicar com agentes ADMT. Para a comunicao RPC, qualquer porta RPC disponvel no intervalo entre 1024 e 5000 pode ser usada. Para obter mais informaes, consulte o artigo 836429 na Base de Dados de Conhecimento Microsoft (http://go.microsoft.com/fwlink/?LinkId=122010) (em ingls) Por que os arquivos gerados pelo ADMT para a implantao de agente nos so removidos depois de usados? Os arquivos gerados nos computadores clientes em que o servio do agente ADMT foi executado para a converso de segurana de grupos locais so armazenados em %windir%\onepointdomainagent.: Os arquivos armazenados nesse local podero ser mantidos aps a reinicializao: y Se o ADMT ainda estiver instalado no computador. 290
y y
Se, depois que remover o ADMT do computador, voc no realizar uma limpeza no Registro para remover as entradas do caminho HKLM\Software\Microsoft\ADMT. Se voc reinicializar o computador sem aguardar que os processos do agente ADMT sejam encerrados ou concludos. Para verificar se os processos do ADMT foram encerrados, use o Gerenciador de Tarefas para confirmar que os arquivos ADMTAgnt.exe e DctAgentServices.exe no esto mais listados na guia Processos. Se um desses processos estiver listado, use o Gerenciador de Tarefas para encerr-lo antes de executar uma operao de reinicializao.
Recursos adicionais
Aplica-se ao: Ferramenta de Migrao do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2 Esses recursos contm informaes adicionais, ferramentas e auxlios de trabalho relacionados a este guia.
Informaes relacionadas
y Criando e implantando servios de diretrio e de segurana (http://go.microsoft.com/fwlink/?LinkId=76005) (em ingls)
Ferramentas relacionadas
y Artigo 295758 na Base de Dados de Conhecimento Microsoft (http://go.microsoft.com/fwlink/?LinkId=77553) (em ingls)
291