使用ADMT 进行跨森林域用户及电脑迁移

2024年2月21日发(作者：)

使用 ADMT 进行跨森林域用户及电脑迁移

因工作需要进行一次跨森林的域用户及电脑迁移，百度之后并没有找到一个完整的适用的文档，那我就来写一个吧，希望对阅者有用。

一. 实验环境

本环境模拟一间子公司被收购后需要脱离原集团的子域，并将原AD下的所有用户和电脑迁移到新建的域中：

原集团域名：

DC:（Windows Server 2008 R2）

IP: 192.168.1.1

源子域名：

DC:（Windows Server 2008 R2）

IP: 192.168.1.11

在源子域中建立相应的用户和用户组

源子域中的文件服务器： （Windows Server 2012 R2）

IP:192.168.1.12

源子域中的客户端： (Win7)

IP:192.168.1.15

目标域名：

DC:（Windows Server 2008 R2）

IP: 192.168.1.101

迁移工具：

ADMT 3.2

下载地址：/zh-CN/download/?id=56570

PES-Password Export Server version 3.1 (x64)

下载地址：/en-us/download/?id=1838

数据库软件：

SQL Server® 2008 Express Edition Service Pack 1

下载地址：/zh-cn/download/?id=25052

下表列出了林间域重构与林内域重构之间的差异。

迁移注意事项 林间重构 林内重构

对象保留 对象将被克隆，而不是被迁移。原始对象保留在源位置，以维护对用户资源的访问。

用户和组对象将被迁移且不再存在于源位置。计算机和受管理服务帐户对象将被复制，而原始帐户在源域中仍保持启用状态。

用户、组和计算机帐户需要

SID 历史记录，但受管理服务帐户不需要。

密码始终被保留。

本地配置文件将自动迁移，因为保留了用户的全局唯一标识符 (GUID)。

安全标识符 (SID) 历史记录维护

密码保留

本地配置文件迁移

维护 SID 历史记录是可选的。

密码保留是可选的。

您必须使用诸如 ADMT 这样的工具才能迁移本地配置文件。

迁移注意事项 林间重构 林内重构

关闭的集 您不必迁移关闭集中的帐户。有关详细信息，请参阅“在必须迁移关闭集中的帐户。

林内重构 Active Directory 域的背景信息”

(/fwlink/?LinkId=122123)。

二、环境准备：

1、安装原集团DC操作系统——》安装域控角色（含DNS功能），设置森林和域的功能级别为：Win2008 R2;域名；

2、安装源子域DC操作系统——》安装域控角色（含DNS功能），设置为下的子域。建立用户和用户组；

3、安装源子域文件服务器操作系统，加入源子域，设置共享文件夹及权限；

4、安装源子域客户端操作系统，加入源子域，应用子域用户登陆；

5、安装目标域DC操作系统——》安装域控角色（含DNS功能），设置森林和域的功能级别为：Win2008 R2;域名；

上述操作不是重点，也没什么难点，不懂的可参考百度文库；

三、迁移前准备

1、需要让源子域和目标域能互相解释彼此的域名和计算机名；

登陆目标域DC，打开DNS管理器，右键点击”NEWDC”，点选“属性”

在”IP址址“中录入对方DNS服务器（DC）的IP地址

设置完成后测试能否PING通对方域名

上述的操作需要在目标域和源子域中都进行操作，必须能互相PING通对方域才能进行下一步。

2、建立域间的信任关系:

登陆任意一台域控，例如下面打开目标域控，打开【Active Directory 域和信任关系】

右键占击相应域名选择“属性”，选择“信任”页签，点击【新建信任】, 输入源服务器名称，例如：

输入信任密码，后面对方建立信任有关系时需要录入此密码进行验证。

信任关系是需要双方都进行设置的，先设置的一方不需要确认传出、传入信任，后设置一方需要确认传出、传入信任。

至此，目标域控的域信任关系已设置完成，使用类似的方法在源子域控设置域信任关系即可。

下面是源子域设置信任关系的部分截图：

至此，目标域和源子域之间的信任有关系已建立完成。如果域信任关系没有正确建立，将无法进行下面的设置；

3、域信任关系建立完成后，我们需要互相添加管理员权限；

相互添加管理员权限很简单，例如下面是将源子域的”Domain admins”组加入到目标域的”Administrators”

用同样的方法将目标域的“Domain Admins”加入到源子域的“Administrators”组中，如下图。

4、在目标域控和源子域控中安装SQL Express；

由于ADMT3.2本身不带数据库，所以在安装ADMT3.2之前需要先安装SQL Express

下面以目标域控安装为例：

在下面的界面中，如果是在目标域中安装，一定要添加源子域的管理员账号，如下图。否则迁移计算机时会无法安装代理。如果是在源子域中安装，则只添加本地管理员即可。

5、在源子域和目标域中安装ADMT3.2

下面以目标域控为例：

创建域本地组SQLServerMSSQLUser$$

以管理员权限打开Cmd并输入NET LOCALGROUP SQLServerMSSQLUser$NEWDC$SQLEXPRESS /ADD】

创建文件夹：MD %SystemRoot%ADMTData

用SC命令查询SQL Express服务的SID：SC SHOWSID MSSQL$SQLEXPRESS

设置SQL Express对Data文件夹的安全控制权限：

ICACLS %SystemRoot%ADMTData /grant *S-1-5-80-3880006512-4290199581-1648723128-3569869737-3631323133:F

双击ADMT安装包进行安装

测试是否能正常打开“Active Directory迁移工具”，如下图。

6、安装密钥工具；

森林之间迁移使用PES(Password Export Server)服务来迁移密码，PES服务可以安装在源子域的任何域控上(支持128位加密，Windows 2003，2000+sp3以上默认支持)。

安装PES服务首先需要一个加密钥匙，这个加密钥匙在目标域安装ADMT的机器上创建

admt key /option:create /sourcedomain:<> /keyfile:<>/keypassword:<>

然后在源子域中安装PES工具

添加在目标域控所生成的加密文件

输入生成文件时所设置的密码，例如此案例为：123

使用源子域管理员登录

点击是，重启服务器。

服务器重启后，手工启动PES服务

7、迁移用户和用户组；

注：实际生产环境迁移工作准备前，请一定要做好相关服务器备份

使用源子域管理员登陆到目标域控，打开“Active Directory 迁移工具”

请不要选择域中的内置用户。微软文档建议一次迁移不要超过一百人

选择目标域中用户所归属的OU，不同目标OU需要分批迁移

此页要勾选“迁移相关联的用户组”，否则需要手工先迁移相应用户组或丢失所属用户组信息；

检查用户是否迁移成功

至此，用户已成功迁移。

8、迁移计算机；

注：实际生产环境迁移工作准备前，请一定要做好相关服务器备份

保持使用源子域管理员登陆到目标域控，打开“Active Directory 迁移工具”

请不要选择域控，因为域控不能直接迁移。如果要迁移，需先将域控降级为普通电脑再进行迁移。

迁移完成后，会自动迁移工具代理对话框。迁移工具代理可实现让被迁移计算机自动变更所属域的功能

要实现迁移工具工理安装需要将客户端的防火墙及杀毒软件关闭。

最后，分享一下我的实战经验：

1、 迁移顺序为：先迁用户再迁计算机。特别是有文件服务器的，一定要先迁用户再迁计算机。

2、 如果计算机迁移后本地用户配置文件并没迁移成功的话，可以使用工具进行迁移。

文档结束。谢谢！！