如何配置 Active Directory 迁移工具以将用户密码从 Windows NT 4.0 域迁移到 Windows Server 2003 域

本文介绍如何配置 Active Directory 迁移工具 (ADMT)，以便将用户密码从 Microsoft Windows NT 4.0 域迁移到 Microsoft Windows Server 2003 域。

注意：本文假定您已经安装了 ADMT v2，并且源域是 Windows NT 4.0 域，目标域是在 Microsoft Windows 2000 或更高版本的本机模式中运行的 Windows Server 2003 域。

配置目标域

ADMT 必须安装到域控制器上才能迁移 SID 历史记录和密码信息。具体操作方法为：

1. 在“默认域控制器”策略中，启用用于审核帐户管理的成功与失败的审核功能。具体操作方法为：
   1. 启动“Active Directory 用户和计算机”。
   2. 展开您的域，右键单击“域控制器”，然后单击“属性”。
   3. 单击“组策略”选项卡，单击“默认域控制器策略”，然后单击“编辑”。
   4. 依次展开“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”，然后单击“审核策略”。
   5. 在右窗格中，双击“审核帐户管理”。
   6. 单击以选中“定义这些策略设置”复选框（如果尚未选中），然后单击以选中下面的两个复选框：
      成功
      失败
   7. 单击“确定”，退出“组策略对象编辑器”，然后单击“确定”。
   8. 使“组策略”的更改有足够的时间传递到整个域。
2. 以管理员身份登录到安装 ADMT v2 的域控制器。
3. 在命令提示符下，键入以下命令以创建密码导出密钥文件 (.pes)
   admt key sourcedomainpathpassword
   其中，sourcedomain 是 Windows NT 4.0 源域的 NetBIOS 名称，path 是要创建密码导出密钥的路径，password 是帮助保护 .pes 文件的可选密码或星号 (*) 字符。
   
   注意：您必须为该 .pes 文件指定一个本地路径。此路径可以指向带有可移动媒体的驱动器，如软盘驱动器、ZIP 驱动器，或者 CD-R 驱动器或 CD-RW 驱动器。此外，如果您键入一个密码，ADMT 将使用该密码帮助保护文件。如果您键入星号 (*)，ADMT 将提示您输入并确认密码。操作系统不会在您键入密码时回显它。
4. 将您创建的 .pes 文件移动到在源域中指定为密码导出服务器的服务器。它可以是 Windows NT 4.0 域中的任何域控制器，该域控制器具有到安装 ADMT 的基于 Windows Server 2003 的计算机的快速可靠的链接。

配置源域

警告：如果使用注册表编辑器或其他方法错误地修改了注册表，则可能导致严重问题。这些问题可能需要重新安装操作系统才能解决。Microsoft 不能保证您可以解决这些问题。修改注册表需要您自担风险。

配置 Windows NT 4.0 源域以进行密码迁移操作。具体操作方法为：

1. 配置一个新的本地组并将其命名为 sourcedomain$$$，其中 sourcedomain 是 Windows NT 4.0 源域的 NetBIOS 名称。此组不得包含任何成员。
2. 在主域控制器 (PDC) 上，启用域中用于审核用户及组管理的成功与失败的审核功能。具体操作方法为：
   1. 启动“域用户管理器”。
   2. 在“策略”菜单上，单击“审核”。
   3. 单击“审核下列事件”，然后单击以选中“用户及组管理”项的以下两个复选框：
      成功
      失败
   4. 单击“确定”。
3. 配置源域以允许远程过程调用 (RPC) 访问安全帐户管理器 (SAM) 数据库，方法是将 TcpipClientSupport 注册表值设置为 1。为此，请按照下列步骤操作。
   1. 在 PDC 上，依次单击“开始”、“运行”，在“打开”框中键入 regedit，然后单击“确定”。
   2. 找到并单击下面的注册表子项：
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
   3. 在“编辑”菜单上，指向“新建”，然后单击“DWORD 值”。
   4. 将新值命名为 TcpipClientSupport。
   5. 右键单击“TcpipClientSupport”，然后单击“修改”。
   6. 在“数值数据”框中，键入 1，然后单击“确定”。
   7. 退出注册表编辑器。
   注意：必须重新启动计算机才能应用此注册表的更改。但是，在您安装 ADMT 密码迁移 DLL 组件之前不必重新启动计算机。
4. 在 PDC 上安装 ADMT 密码迁移 DLL。为此，请从 Windows Server 2003 CD-ROM 的 I386\ADMT\Pwdmig 文件夹或从下载 ADMT 的位置运行 Pwdmig.exe。
   
   当您运行“ADMT 密码迁移 DLL 安装向导”时，系统将提示您输入移动到 Windows NT 4.0 域的 .pes 文件所在的路径。您必须为此文件指定一个本地路径。系统还将提示您输入创建此文件时使用的密码。
5. 在成功完成安装 ADMT 密码迁移 DLL 后，在提示您重新启动服务器时单击“是”。
6. 在准备好从 Windows NT 4.0 域迁移密码时，请将 AllowPasswordExport 注册表值更改为“1”。具体操作方法为：
   1. 在 PDC 上，依次单击“开始”、“运行”，在“打开”框中键入 regedit，然后单击“确定”。
   2. 找到并单击下面的注册表子项：
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
   3. 在右窗格中，右键单击“AllowPasswordExport”，然后单击“修改”。
   4. 在“数值数据”框中，键入 1，然后单击“确定”。
   5. 退出注册表编辑器。

Active Directory 迁移工具 v2 包含在 Windows Server 2003 CD-ROM 的 I386\Admt 文件夹中。有关更多信息，请访问下面的 Microsoft 网站：