如何使用 Active Directory 迁移工具（第 2 版）从 Windows 2000 迁移到 Windows Server 2003

本文介绍如何设置 Active Directory 迁移工具 (ADMT)，从基于 Microsoft Windows 2000 的域迁移到基于 Microsoft Windows Server 2003 的域。

您可以使用 ADMT 将用户、组、计算机从一个域迁移到另一个域，并在实际进行迁移过程的前后分析迁移的影响。

注意：本文假设源域是基于 Windows 2000 的域，目标域是 Windows 2000 或更高版本纯模式中基于 Windows Server 2003 的域。

如何设置 ADMT 以便从 Windows 2000 迁移到 Windows Server 2003

您可以将 Active Directory 迁移工具版本 2 安装在运行 Windows 2000 或更高版本的任何计算机上，这些版本包括：

• Microsoft Windows 2000 Professional
• Microsoft Windows 2000 Server
• Microsoft Windows XP Professional
• Microsoft Windows Server 2003

安装 ADMT 的计算机必须是源域或目标域的成员。

内联目录林迁移

内联目录林迁移不需要任何特殊的域配置。用于运行 ADMT 的帐户必须有足够的权限才能执行 ADMT 要求的操作。例如，该帐户必须有在源域中删除帐户以及在目标域中创建帐户的权限。

内联目录林迁移是一项移动操作，而不是复制操作。在移动之后，被迁移的对象在源域中就不再存在了，因此，可以说这些迁移是破坏性的。由于是移动对象而不是复制对象，所以互联目录林迁移中的有些可选操作会自动执行。尤其是，sIDHistory 和密码在所有内联目录林迁移过程中都会自动迁移。

互联目录林迁移

要正常运行 ADMT，需要有以下权限：

• 源域中的管理员权限。
• 要迁移的每台计算机上的管理员权限。
• 要转换其安全性的每台计算机上的管理员权限。

您在将基于 Windows 2000 的域迁移到基于 Windows Server 2003 的域之前，必须建立一些域并进行安全配置。计算机迁移和安全转换不需要任何特殊域配置。但是，要迁移的每台计算机都必须具有管理性共享，即 C$ 和 ADMIN$。

用于运行 ADMT 的帐户必须具有足够的权限才能完成所需任务。该帐户必须有在目标域和组织单元中创建计算机帐户的权限，而且必须是要迁移的每台计算机上的本地管理组的成员。

用户和组迁移

您必须将源域配置为信任目标域，或者，您也可以将目标域配置为信任源域。虽然这可能很容易配置，但完成 ADMT 迁移对此并无要求。

可选迁移任务的要求

您可以通过以“测试”模式运行“用户迁移向导”并选择迁移 sIDHistory 选项来自动完成以下任务。用于运行 ADMT 的用户帐户必须是源域和目标域中的管理员，这样自动配置才能成功。

警告：注册表编辑器或其他方法使用不当可能导致严重问题。这些问题可能需要重新安装操作系统。Microsoft 不能保证您可以解决这些问题。修改注册表需要您自担风险。

1. 在名为 %sourcedomain%$$$ 的源域中新建一个本地组。此组中不能有任何成员。
2. 在“默认域控制器”策略中，启用用于审核这两种域上“审核”帐户管理的成功与失败的审核功能。
3. 通过在源域中使用 DWORD 值 1 配置“PDC 模拟器”的以下注册表项来配置源域，让 RPC 可以访问 SAM。
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport
   进行完此更改后，必须重新启动“PDC 模拟器”。

注意：对于 Windows 2000 域，用于运行 ADMT 的帐户必须有源域和目标域的域管理员权限。对于 Windows Server 2003 目标域，可以委派“迁移 sIDHistory”。有关更多信息，请参见 Windows Server 2003 帮助和支持。

您可以通过安装运行于 LSA 环境的 DLL 来启用互联目录林密码迁移。在这个受保护的环境中运行时，操作系统就会阻止以明文形式查看密码。DLL 的安装由 ADMT 创建的密钥保护，并且必须由管理员安装。

若要安装密码迁移 DLL，请按照下列步骤操作：

1. 以管理员或具备同等权限的身份登录装有 ADMT 的计算机。
2. 在命令提示符下，运行 ADMT KEY sourcedomainpath [* | password] 命令创建密码导出密钥文件 (.pes)。在此示例中，sourcedomain 是源域的 NetBIOS 名称，path 是创建密钥的文件路径。路径必须是本地路径，但可以指向可移动介质，例如，软盘驱动器、ZIP 驱动器或可写的光盘介质。如果您在命令末尾键入可选密码，ADMT 会用该密码保护 .pes 文件。如果您键入星号 (*)，ADMT 会提示您输入密码，并且在您键入密码时系统不会响应。
3. 将在步骤 2 中创建的 .pes 文件移动到源域中指定的“密码导出服务器”。该“密码导出服务器”可以是任何域控制器，但是它一定要能够快速、可靠地链接到运行 ADMT 的计算机。
4. 通过运行 Pwmig.exe 工具在“密码导出服务器”上安装“密码迁移 DLL”。Pwmig.exe 位于 Windows Server 2003 安装介质上的 I386\ADMT 文件夹中，或位于从 Internet 下载 ADMT 的文件夹中。
5. 当系统提示您指定在步骤 2 中创建的 .pes 文件的路径时，请予以指定。此路径必须是本地文件路径。
6. 完成安装后，必须重新启动服务器。
7. 如果您已准备好迁移密码，请修改以下注册表项，使其 DWORD 值为 1。为了获取最大安全性，请在准备好进行迁移时再完成此步骤。
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport

若要下载 ADMT，请访问下面的 Microsoft 网站： 有关如何使用 ADMT 执行迁移的更多信息，请参见“ADMT 帮助”。启动 Active Directory 迁移工具，在帮助菜单上单击帮助主题，单击内容选项卡，然后单击 Active Directory 迁移工具。

有关 ADMT 的更多信息，请访问下面的 Microsoft 网站：Active Directory 迁移工具版本 2 包括在 Windows Server 2003 安装光盘的 I386\Admt 文件夹中。