如何使用 Active Directory 移轉工具第 2 版,將 Windows 2000 移轉到 Windows Server 2003

文章翻譯 文章翻譯
文章編號: 326480 - 檢視此文章適用的產品。
重要 本文包含有關修改登錄的相關資訊。修改登錄之前,請務必將它備份起來,並瞭解如何在發生問題時還原登錄。如需有關如何備份、還原和修改登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
256986 Microsoft Windows 登錄說明
全部展開 | 全部摺疊

在此頁中

結論

本文將告訴您,如何設定「Active Directory 移轉工具」(ADMT),將 Microsoft Windows 2000 網域移轉至 Microsoft Windows Server 2003 網域。

其他相關資訊

您可以使用 ADMT 將使用者、群組和電腦從一個網域移轉到另一個網域,並且分析實際執行移轉程序之前和之後所造成的影響。

注意 本文假設來源網域是 Windows 2000 網域,而目標網域是 Windows 2000 原生模式或更新版本中的 Windows Server 2003 網域。

如何設定 ADMT 以便將 Windows 2000 移轉至 Windows Server 2003

您可以將「Active Directory 移轉工具」第 2 版安裝在任何執行 Windows 2000 或更新版本的電腦上,這些版本包括:
  • Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows XP Professional
  • Microsoft Windows Server 2003
安裝 ADMT 的電腦必須是來源或目標網域的成員。

樹系內移轉

樹系內移轉不需要任何特別的網域設定。用來執行 ADMT 的帳戶,必須具備執行 ADMT 要求動作的足夠權限。例如,此帳戶必須具備可在來源網域內刪除帳戶,以及在目標網域中建立帳戶的權限。

樹系內移轉屬於移動作業,而不是複製作業。這些移轉屬於刪除式作業,因為在移動之後,這些已移轉的物件便不會存在於來源網域中。由於物件是進行移動而非複製,因此樹系內部移轉中的某些選擇性動作會自動執行。特別是,sIDHistory 和密碼會在所有的樹系內移轉過程中自動移轉。

樹系間移轉

ADMT 必須有下列權限才能正常執行:
  • 來源網域中的系統管理員權限。
  • 您所移轉的每部電腦上的系統管理員權限。
  • 您所轉譯安全性的每部電腦上的系統管理員權限。
在您將 Windows 2000 網域移轉到 Windows Server 2003 網域之前,您必須進行一些網域和安全性設定。電腦移轉和安全性轉譯不需要任何特別的網域設定。然而,您要移轉的每部電腦都必須具備系統管理共用,即 C$ 和 ADMIN$。

用來執行 ADMT 的帳戶,必須具備足夠的權限才能完成要求的工作。此帳戶必須具備在目標網域和組織單位中建立電腦帳戶的權限,而且必須是要移轉的每部電腦上的本機系統管理員群組成員。

使用者和群組移轉

您必須將來源網域設定為信任目標網域。或者,將目標網域設定為信任來源網域。這種做法雖然可以簡化設定,不過這並非完成 ADMT 移轉的必要步驟。

選擇性移轉工作的需求

您可以在「測試」模式執行「使用者移轉精靈」,然後選取移轉 sIDHistory 選項,來自動完成下列工作。用來執行 ADMT 的使用者帳戶必須同時是來源和目標網域的系統管理員,才能成功進行自動設定。

警告 如果您使用「登錄編輯程式」或其他方法不當地修改登錄,可能會發生嚴重問題。這些問題可能會需要您重新安裝作業系統才能解決。Microsoft 不保證可以解決這些問題。請自行承擔修改登錄的一切風險。
  1. 在名為 %sourcedomain%$$$ 的來源網域中建立新的本機群組。這個群組中必須沒有成員。
  2. 在這兩個網域的「預設網域控制站」原則中,啟用稽核帳戶管理成功與失敗的稽核。
  3. 在來源網域中,將下列 PDC 模擬器登錄項目的 DWORD 值設定為 1,以便將來源網域設定成允許 RPC 存取 SAM:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport
    當您完成此變更後,必須重新啟動 PDC 模擬器。
注意 Windows 2000 網域中用來執行 ADMT 的帳戶,必須同時具有來源和目標網域中的網域系統管理員權限。Windows Server 2003 的目標網域可以委派「移轉 sIDHistory」。如需詳細資訊,請參閱 Windows Server 2003 說明 & 支援。

您可以安裝於 LSA 內容中執行的 DLL,來啟用樹系間密碼移轉。藉由執行這份受保護的內容,密碼會進入保護狀態,即使是從作業系統也無法以純文字檢視。此 DLL 的安裝會受到由 ADMT 建立的秘密金鑰所保護,而且必須由系統管理員進行安裝。

如果要安裝此密碼移轉 DLL:
  1. 以系統管理員或相同權限的身分登入安裝 ADMT 的電腦。
  2. 在命令提示字元中,執行 ADMT KEY sourcedomainpath [* | password] 命令,以建立密碼匯出金鑰檔案 (.pes)。在這個範例中,sourcedomain 是來源網域的 NetBIOS 名稱,而 path 是將要建立此金鑰的檔案路徑。此路徑必須位在本機,但是可以指向可移除媒體,例如軟碟機、ZIP 磁碟機,或是可寫入 CD 媒體。如果您在命令最後輸入選擇性密碼,ADMT 便會以該密碼來保護 .pes 檔案。如果您輸入星號 (*),ADMT 會提示您提供密碼,而且在輸入密碼時系統不會對其回應。
  3. 將您在步驟 2 所建立的 .pes 檔案,移動到來源網域中的指定「密碼匯出伺服器」。這個伺服器可以是任何網域控制站,但是請確定它可以快速、可靠地連結至執行 ADMT 的電腦。
  4. 執行 Pwmig.exe 工具,以便將「密碼移轉 DLL」安裝在「密碼匯出伺服器」。Pwmig.exe 位在 Windows Server 2003 安裝媒體的 I386\ADMT 資料夾,或是您從網際網路所下載 ADMT 的資料夾中。
  5. 當系統提示您執行這項操作時,請指定您在步驟 2 所建立的 .pes 檔案的路徑 (必須是本機的路徑)。
  6. 完成安裝之後,您必須重新啟動伺服器。
  7. 如果您準備好移轉密碼,請將下列登錄機碼的 DWORD 值修改成 1。為了確保最大安全性,在您尚未準備好移轉之前,請勿進行這個步驟。
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport
如果要下載 ADMT,請造訪下列 Microsoft 網站:
http://www.microsoft.com/downloads/details.aspx?familyid=6F86937B-533A-466D-A8E8-AFF85AD3D212
如需有關如何使用 ADMT 來執行移轉的詳細資訊,請參閱「ADMT 說明」。啟動「Active Directory 移轉工具」,按一下 [說明] 功能表上的 [說明主題],按一下 [內容] 索引標籤,然後按一下 [Active Directory 移轉工具]

如需有關 ADMT 的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/technet/prodtechnol/Windows2000Pro/reskit/part7/proch31.mspx
「Active Directory 移轉工具」第 2 版已隨附在 Windows Server 2003 CD 的 I386\Admt 資料夾。

屬性

文章編號: 326480 - 上次校閱: 2007年9月11日 - 版次: 8.4
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
關鍵字:?
kbhowto kbactivedirectory kbmigrate KB326480
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com