Jak pomocí nástroje ADMT (Active Directory Migration Tool) verze 2 migrovat ze systému Windows 2000 na systém Windows Server 2003

Důležité: Tento článek obsahuje informace o úpravě registru. Před úpravami je nutné registr zazálohovat. Seznamte se také s postupem při obnovení registru v případě, že nastanou potíže. Další informace o zálohování, obnovení a úpravě registru najdete v následujícím článku znalostní báze Microsoft Knowledge Base:
256986 Popis registru systému Microsoft Windows

Souhrn

Tento článek popisuje, jak nastavit nástroj ADMT (Active Directory Migration Tool) na migraci z domény se systémem Microsoft Windows 2000 na doménu se systémem Microsoft Windows Server 2003.

Další informace

Pomocí nástroje ADMT můžete migrovat uživatele, skupiny a počítače z jedné domény do jiné a analyzovat dopad této migrace před vlastním provedením procesu migrace i po něm.

Poznámka: V tomto článku se předpokládá, že zdrojovou doménou je doména se systémem Windows 2000 a cílovou doménou je doména se systémem Windows Server 2003 v nativním či novějším režimu systému Windows 2000.

Jak nastavit nástroj ADMT pro migraci ze systému Windows 2000 na systém Windows Server 2003

Nástroj ADMT (Active Directory Migration Tool) verze 2 můžete nainstalovat do jakéhokoli počítače se systémem Windows 2000 či vyšším, včetně těchto:
 • Microsoft Windows 2000 Professional
 • Microsoft Windows 2000 Server
 • Microsoft Windows XP Professional
 • Microsoft Windows Server 2003
Počítač, do kterého instalujete nástroj ADMT, musí být členem zdrojové nebo cílové domény.

Migrace v rámci jedné doménové struktury

V případě migrace v rámci jedné doménové struktury není nutná žádná zvláštní konfigurace domény. Účet použitý ke spuštění nástroje ADMT musí mít dostatečná oprávnění k provádění akcí požadovaných nástrojem ADMT. Účet musí mít například práva k odstraňování účtů ve zdrojové doméně a k vytváření účtů v cílové doméně.

Při migraci v rámci jedné doménové struktury jde spíše o přesunutí než o kopírování. Tyto migrace jsou také označovány za destruktivní, protože po přesunutí již migrované objekty neexistují ve zdrojové doméně. Vzhledem k tomu, že objekt není zkopírován, ale přesunut, může automaticky dojít k některým akcím, které jsou při migracích mezi různými doménovými strukturami nepovinné. Při všech migracích v rámci jedné doménové struktury je automaticky migrována historie čísel SID a heslo.

Migrace mezi různými doménovými strukturami

Nástroj ADMT vyžaduje ke správnému spuštění následující oprávnění:
 • práva správce ve zdrojové doméně;
 • práva správce v každém počítači, jehož migraci provádíte;
 • práva správce v každém počítači, u kterého provádíte převod zabezpečení.
Před migrací domény se systémem Windows 2000 do domény se systémem Windows Server 2003 je třeba nastavit některé konfigurace domény a zabezpečení. V případě migrace počítače a převodu nastavení zabezpečení není nutná žádná zvláštní konfigurace domény. Avšak každý počítač, který chcete migrovat, musí mít sdílené položky pro správu, C$ a ADMIN$.

Účet použitý ke spuštění nástroje ADMT musí mít dostatečná oprávnění k provádění požadovaných úloh. Účet musí mít oprávnění k vytvoření počítačových účtů v cílové doméně a organizační jednotce a musí být členem místní skupiny Administrators v každém migrovaném počítači.

Migrace uživatelů a skupin

Zdrojovou doménu je nutné nakonfigurovat tak, aby považovala cílovou doménu za důvěryhodnou. Cílovou doménu lze nepovinně nakonfigurovat tak, aby považovala zdrojovou doménu za důvěryhodnou. Provedením uvedených kroků si můžete zjednodušit konfiguraci. Nejsou však nezbytné k dokončení migrace pomocí nástroje ADMT.

Požadavky na nepovinné úlohy migrace

Následující úlohy lze provést automaticky spuštěním Průvodce přenesením uživatelů v režimu Test a výběrem možnosti migrace historie čísel SID. Účet uživatele použitý ke spuštění nástroje ADMT musí být účtem správce (Administrator) jak ve zdrojové, tak i cílové doméně, aby bylo možné úspěšně provést automatickou konfiguraci.


Upozornění: Při nesprávných úpravách registru pomocí Editoru registru nebo jiným způsobem může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nezaručuje, že tyto problémy bude možné vyřešit. Úpravy registru provádíte na vlastní nebezpečí.
 1. Ve zdrojové doméně vytvořte novou místní skupinu s názvem %zdrojová_doména%$$$. Tato skupina nesmí obsahovat žádné členy.
 2. Zapněte auditování úspěšných i neúspěšných operací auditování správy účtů u obou domén ve výchozích zásadách řadičů domény.
 3. Nakonfigurujte zdrojovou doménu tak, aby povolovala přístup vzdálenému volání procedur k účtům SAM, a to nakonfigurováním následující položky registru v emulaci PDC ve zdrojové doméně tak, aby hodnota DWORD byla 1:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport
  Po provedení této změny je nutné restartovat emulaci PDC.
Poznámka: V případě domén systému Windows 2000 musí mít účet použitý ke spuštění nástroje ADMT ve zdrojové i cílové doméně oprávnění správce domény. U cílových domén se systémem Windows Server 2003 může být delegována možnost migrace historie čísel SID. Další informace získáte v Centru pro nápovědu a odbornou pomoci systému Windows Server 2003.

Můžete zapnout migraci hesel mezi doménovými strukturami, a to instalací knihovny DLL spouštěné v kontextu serveru LSA. Spuštěním v tomto chráněném kontextu jsou hesla chráněna, aby je nebylo možné prohlížet v podobě prostého textu, a to ani operačním systémem. Instalace knihovny DLL je chráněna tajným klíčem vytvořeným nástrojem ADMT. Instalaci musí provést správce.

Instalace knihovny DLL pro migraci hesel:
 1. Přihlaste se s oprávněními správce (nebo ekvivalentními oprávněními) k počítači, ve kterém je nástroj ADMT nainstalován.
 2. Na příkazovém řádku spuštěním příkazu ADMT KEY zdrojová_doménacesta [* | heslo] vytvořte soubor klíče s exportem hesla (s příponou PES). V tomto příkladě je zdrojová_doména název NetBIOS zdrojové domény a cesta je cesta k souboru, ve které bude vytvořen klíč. Cesta musí být místní, může však odkazovat na vyměnitelné médium, jako je například disketa, jednotka ZIP nebo zapisovatelný disk CD. Pokud na konec příkazu zadáte nepovinné heslo, bude nástroj ADMT soubor PES chránit heslem. Pokud zadáte hvězdičku (*), vyzve vás nástroj ADMT k zadání hesla a systém po jeho zadání nezobrazí odezvu.
 3. Přesuňte soubor PES vytvořený v kroku 2 na určený server pro export hesel ve zdrojové doméně. Tím může být libovolný řadič domény, přesvědčte se však, zda má rychle a spolehlivé propojení na počítač, ve kterém je spuštěn nástroj ADMT.
 4. Na server pro export hesel nainstalujte soubor DLL pro migraci hesel spuštěním nástroje Pwmig.exe. Soubor Pwmig.exe je uložen ve složce I386\ADMT na instalačním médiu se systémem Windows Server 2003 nebo ve složce, do které jste stáhnuli nástroj ADMT z Internetu.
 5. Po zobrazení výzvy zadejte cestu k souboru PES vytvořenému v kroku 2. Musí se jednat o místní cestu k souboru.
 6. Po dokončení instalace je nutné server restartovat.
 7. Jakmile bude vše připraveno k migraci hesel, upravte následující klíč registru tak, aby měl hodnotu DWORD 1. Pro zajištění maximálního zabezpečení doporučujeme tento krok provést až v okamžiku, kdy bude vše připraveno k migraci.
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport
Chcete-li stáhnout nástroj ADMT, navštivte následující web společnosti Microsoft: Další informace o tom, jak používat nástroj ADMT k provádění migrace, získáte v nápovědě k nástroji ADMT. Spusťte nástroj ADMT (Active Directory Migration Tool), klepněte v nabídce Help (Nápověda) na příkaz Help Topics (Témata nápovědy), klepněte na kartu Contents (Obsah) a potom klepněte na možnost Active Directory Migration Tool (Nástroj Active Directory Migration Tool).

Další informace o nástroji ADMT získáte na následujícím webu společnosti Microsoft: Nástroj Active Directory Migration Tool verze 2 je uložen ve složce I386\Admt na disku CD-ROM se systémem Windows Server 2003.
Vlastnosti

ID článku: 326480 - Poslední kontrola: 7. 1. 2008 - Revize: 1

Váš názor