兩台域控制器實現AD遷移的方法

利用MicrosoftActiveDirectoryMigrationTool可以在兩個獨立的AD域之間遷移用户、組、計算機等賬號，其中2.0版可以實現遷移用户賬號密碼，本文檔描述瞭如何在兩個獨立的Win2KAD域之間實現遷移AD用户賬户、密碼的步驟。

　　操作步驟

1、在目標域與源域之間建立雙向的信任關係。

2、在源域的域控制器中將目標域的系統管理員賬號(Administrator)加入到本地管理員組中(Administrators)。

3、在目標域與源域的域控制器上分別安裝Win2K的128位加密包。(這一部分不知道是否必需，但是我在實際操作中安裝了該加密包。而且根據微軟的資料，在Win2K標準產品中已經包含了128位加密)

4、在目標域的域控制器上安裝ADMTVersion2.0.

5、在目標域上查看系統內建組“Pre-Windows2000CompatibleAccess”的屬性，檢查“成員”中是否包括Everyone.如果沒有，必須將Everyone加入，並且重啟服務器。(缺省情況下該組已經包含Everyone)。

6、檢查目標域與源域之間的安全策略是否會影響到密碼的遷移，如口令長度限制等。如果有，需要進行相應的調整。

7、在目標域的域控制器的命令提示符下輸入如下命令進行保存密碼文件的保存：admtkeySourceDomainNameDriveLetter [Password]。

　　注意：

儘管這個密碼文件可以保存在任何磁盤上(包括軟盤、硬盤)，但是為了安全起見建議保存在軟盤中。

如果你用星號“*”代替密碼，會提示你輸入密碼。

SourceDomainName必需是源域的NetBIOS名稱。

8、建議在源域中選擇一台BDC作為密碼導出服務器。

9、在源域的密碼導出服務器中運行，然後在相應提示中選擇步驟7所生成的'密碼文件(如插入軟盤)，如果步驟7中輸入了密碼，那麼也必須輸入密碼。

10、在源域的密碼導出服務器上，打開並修改註冊表，在HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Lsa下，將

AllowPasswordExport：REG_DWORD的值從0改成1.然後重新啟動計算機。

11、 在目標域的域控制器中運行ADMTVersion2.0，選擇遷移用户賬號，在密碼選項中選擇遷移密碼，根據提示操作則可以完成賬號、密碼的遷移。

希望本文中描述的兩台域控制器實現AD遷移的方法能夠對讀者有所幫助。