Код статьи: 832221 - Последнее изменение :: 3 декабря 2007 г. - Редакция: 4.2

Настройка программы «Миграция в Active Directory» для миграции паролей пользователей из домена Windows NT 4.0 в домен Windows Server 2003

Список продуктов, к которым относится данная статья.

На этой странице

Развернуть все | Свернуть все

Аннотация

В данной статье рассмотрены вопросы настройки средства «Миграция в Active Directory» для выполнения миграции паролей пользователей из домена Windows NT 4.0 в домен Windows Server 2003.

Примечание. При написании статьи предполагалось, что средство «Миграция в Active Directory» версии 2 уже установлено, исходный домен является доменом Windows NT 4.0, а домен назначения является доменом Windows Server 2003, работающим в основном режиме Windows 2000 или более поздней версии.

Перейти к началу страницы

Настройка домена назначения

Для миграции журнала ИД безопасности и сведений о паролях на контроллере домена должно быть установлено средство «Миграция в Active Directory». Для этого выполните следующие действия:
  1. Включите в политике по умолчанию для контроллеров домена аудит успешных и неудачных операций аудита управления учетными записями. Для этого выполните следующие действия:
    1. Запустите оснастку «Active Directory — пользователи и компьютеры».
    2. Разверните домен, щелкните правой кнопкой мыши раздел Контроллеры домена и выберите пункт Свойства.
    3. На вкладке Групповая политика выберите пункт Используемая по умолчанию политика контроллеров домена и нажмите кнопку Изменить.
    4. Последовательно разверните узлы Конфигурация компьютера, Конфигурация Windows, Параметры безопасности, Локальные политики, а затем Политика аудита.
    5. В правой части окна дважды щелкните пункт Аудит управления учетными записями.
    6. Установите флажок Определить следующие параметры политики, а также флажки
      Успех
      Отказ
    7. Нажмите кнопку ОК, закройте редактор объектов групповой политики и снова нажмите кнопку ОК.
    8. Дождитесь распространения изменений групповой политики в домене.
  2. Войдите с учетной записью администратора на контроллер домена с установленным средством «Миграция в Active Directory».
  3. В командной строке введите следующую команду, чтобы создать файл ключа экспорта паролей (PES-файл):
    admt key исходный_доменпутьпароль
    , где исходный_домен — это NetBIOS-имя исходного домена Windows NT 4.0, путь — это путь к файлу экспорта паролей, а пароль — это необязательный пароль или знак звездочки (*), которые служат для защиты PES-файла.

    Примечание. Необходимо указывать локальный путь для PES-файлов. Путь может указывать на съемный носитель, например на дискету, устройство ZIP, диск CD-R или CD-RW. Кроме того, если указать пароль, средство «Миграция в Active Directory» защищает файл. Если ввести звездочку (*), то средство «Миграция в Active Directory» предложит ввести и подтвердить пароль. При вводе пароль скрывается операционной системой.
  4. Переместите созданный PES-файл на сервер экспорта паролей в исходном домене. Этим сервером может быть любой контроллер домена в домене Windows NT 4.0, имеющий быстрое и надежное соединение с компьютером под управлением Windows Server 2003, на котором установлено средство «Миграция в Active Directory».
Перейти к началу страницы

Настройка исходного домена

Предупреждение. При неправильном изменении реестра с помощью редактора реестра или иным способом могут возникнуть серьезные проблемы. Эти проблемы могут привести к необходимости переустановки операционной системы. Корпорация Майкрософт не гарантирует разрешения этих проблем. Ответственность за изменение реестра несет пользователь.

Чтобы настроить исходный домен Windows NT 4.0 для миграции паролей, выполните следующие действия:
  1. Создайте локальную группу с именем исходный_домен$$$, где исходный_домен — это NetBIOS-имя исходного домена Windows NT 4.0. Данная группа должна быть пустой.
  2. На основном контроллере домена включите аудит успешных и неудачных операций управления пользователями и группами. Для этого выполните следующие действия:
    1. Запустите диспетчер пользователей домена.
    2. В меню Политика выберите пункт Аудит.
    3. Выберите пункт Аудит следующих событий и установите следующие флажки для пункта Управление пользователями и группами:
      Успех
      Отказ
    4. Нажмите кнопку ОК.
  3. Разрешите на исходном домене доступ к базе данных SAM с помощью удаленного вызова процедур, изменив значение параметра реестра TcpipClientSupport на 1. Для этого выполните следующие действия:
    1. На основном контроллере домена нажмите кнопку Пуск, выберите пункт Выполнить, в поле Открыть введите команду regedit и нажмите кнопку ОК.
    2. Выберите следующий подраздел реестра:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    3. В меню Правка выберите пункт Создать, а затем — Параметр DWORD.
    4. Введите имя нового параметра TcpipClientSupport.
    5. Щелкните правой кнопкой мыши параметр TcpipClientSupport и выберите команду Изменить.
    6. В поле Значение введите 1 и нажмите кнопку ОК.
    7. Закройте редактор реестра.
    Примечание. Необходимо перезагрузить компьютер, чтобы изменения вступили в силу. Тем не менее нет необходимости перезагружать компьютер до установки компонента DLL миграции паролей средства «Миграция в Active Directory».
  4. Установите DLL миграции паролей средства «Миграция в Active Directory» на основном контроллере домена. Для этого запустите программу Pwdmig.exe из папки I386\ADMT\Pwdmig на компакт-диске Windows Server 2003 или из папки, в которую было загружено средство «Миграция в Active Directory».

    После запуска мастера установки DLL миграции паролей средства «Миграция в Active Directory» необходимо указать путь к PES-файлу, перенесенному из домена Windows NT 4.0. Для этого файла необходимо указывать локальный путь. Кроме того, будет предложено ввести пароль, заданный при создании этого файла.
  5. После успешного завершения установки DLL миграции паролей средства «Миграция в Active Directory» нажмите кнопку Да, когда появится запрос на перезагрузку компьютера.
  6. Перед началом миграции паролей из домена Windows NT 4.0 измените значение параметра реестра AllowPasswordExport на 1. Для этого выполните следующие действия:
    1. На основном контроллере домена нажмите кнопку Пуск, выберите пункт Выполнить, в поле Открыть введите команду regedit и нажмите кнопку ОК.
    2. Выберите следующий подраздел реестра:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    3. В правой области щелкните правой кнопкой мыши параметр AllowPasswordExport и выберите команду Изменить.
    4. В поле Значение введите 1 и нажмите кнопку ОК.
    5. Закройте редактор реестра.
Перейти к началу страницы

Ссылки

Средство «Миграция в Active Directory» версии 2 находится в папке I386\Admt на компакт-диске Windows Server 2003. Дополнительные сведения см. на следующем веб-узле Майкрософт:
http://technet2.microsoft.com/windowsserver/en/library/c283b699-6124-4c3a-87ef-865443d7ea4b1033.mspx (http://technet2.microsoft.com/windowsserver/en/library/c283b699-6124-4c3a-87ef-865443d7ea4b1033.mspx) (эта ссылка может указывать на содержимое полностью или частично на английском языке)
Перейти к началу страницы
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft BackOffice Small Business Server 4.5
  • Microsoft Windows NT 4.0
Перейти к началу страницы
Ключевые слова: 
kbhowtomaster kbinfo KB832221
Перейти к началу страницы
 

Get Help Now

Contact a support professional by E-mail, Online, or Phone

Переводы статьи