(0) exportieren Drucken
Alle erweitern

ADMT-Handbuch: Migrieren und Neustrukturieren von Active Directory-Domänen

Letzte Aktualisierung: Juni 2010

Betrifft: Windows Server 2008, Windows Server 2008 R2

Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2

Eine Downloadversion dieses Handbuchs im DOC-Format finden Sie unter ADMT-Handbuch: Migrieren und Neustrukturieren von Active Directory-Domänen (http://go.microsoft.com/fwlink/?LinkId=191734) (möglicherweise in Englisch).

Im Rahmen der Bereitstellung des Active Directory®-Verzeichnisdiensts oder der Active Directory-Domänendienste (AD DS) möchten Sie Ihre Umgebung ggf. aus den folgenden Gründen neu strukturieren:

  • Optimieren der Anordnung der Elemente innerhalb der logischen Active Directory-Struktur

  • Unterstützen der Durchführung einer Geschäftsfusion, -übernahme oder -veräußerung

Die Neustrukturierung umfasst die Migration der Ressourcen zwischen den Active Directory-Domänen in der gleichen Gesamtstruktur oder in verschiedenen Gesamtstrukturen. Nachdem Sie Active Directory oder AD DS bereitgestellt haben, können Sie die Komplexität Ihrer Umgebung weiter verringern, indem Sie Domänen zwischen Gesamtstrukturen oder innerhalb einer einzelnen Gesamtstruktur neu strukturieren.

Sie können gegebenenfalls das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) verwenden, um Objektmigrationen und Sicherheitskonvertierungen auszuführen, damit der Zugriff auf Netzwerkressourcen für Benutzer während des Migrationsvorgangs erhalten bleibt. Weitere Informationen darüber, welche verschiedenen Versionen von ADMT verfügbar sind, wann welche Version verwendet wird und wo sie zu erhalten ist, finden Sie unter Versionen vom Active Directory-Migrationsprogramm und unterstützte Umgebungen.

In diesem Handbuch

In den folgenden Abschnitten werden die wichtigsten Migrationsszenarien unter Verwendung von ADMT erklärt. Nachdem Sie das entsprechende Szenario für eine Umgebung ermittelt haben, führen Sie die Schritte durch, die zu diesem Szenario weiter unten in dieser Anleitung aufgeführt sind.

Active Directory-Domänenneustrukturierung zwischen Gesamtstrukturen

Sie können aufgrund von Geschäftsänderungen eine Neustrukturierung zwischen Gesamtstrukturen vornehmen, z. B. bei einer Geschäftsfusion, -übernahme oder -veräußerung, bei der Ihre Organisationen Ressourcen kombinieren oder aufteilen muss. Nach dem Neustrukturierungsvorgang sind die Quell- und Zieldomänenumgebungen gleichzeitig vorhanden, wenn Sie Objekte zwischen Gesamtstrukturen migrieren. Durch diesen Umstand können Sie während der Migration einen Rollbackvorgang in die Quellumgebung durchführen, wenn dies erforderlich werden sollte.

Das Aufteilen oder Klonen von Gesamtstrukturen – z. B. bei der Veräußerung einer Organisation – wird nicht unterstützt. Weitere Informationen finden Sie unter Einschränkungen bei der Neustrukturierung (http://go.microsoft.com/fwlink/?LinkId=121736).

ImportantWichtig
Bei Verwendung von ADMT v3.1 müssen sich alle Zieldomänen mindestens auf der Funktionsebene von Microsoft Windows® 2000 (einheitlicher Modus) befinden. Bei Verwendung von ADMT v3.2 müssen sich alle Quell- und Zieldomänen mindestens auf der Funktionsebene von Windows Server® 2003 befinden.

Active Directory-Domänenneustrukturierung innerhalb einer Gesamtstruktur

Wenn Sie Domänen in einer Gesamtstruktur neu strukturieren, können Sie die Domänenstruktur zusammenführen und die Verwaltungskomplexität und -mehrkosten verringern. Anders als bei einer Neustrukturierung von Domänen zwischen Gesamtstrukturen sind bei einer Neustrukturierung von Domänen innerhalb einer Gesamtstruktur die migrierten Konten in der Quelldomäne nicht mehr vorhanden. Daher kann ein Rollbackvorgang der Migration nur stattfinden, wenn Sie den Migrationsvorgang nochmals in umgekehrter Reihenfolge von der vorherigen Zieldomäne in die vorherige Quelldomäne ausführen.

ImportantWichtig
Bei Verwendung von ADMT v3.1 müssen sich alle Zieldomänen mindestens auf der Funktionsebene von Windows 2000 (einheitlicher Modus) befinden. Bei Verwendung von ADMT v3.2 müssen sich alle Quell- und Zieldomänen mindestens auf der Funktionsebene von Windows Server 2003 befinden.

Die folgende Tabelle listet die Unterschiede zwischen einer Domänenneustrukturierung zwischen Gesamtstrukturen und einer Domänenneustrukturierung innerhalb einer Gesamtstruktur auf.

 

Migrationserwägung Neustrukturierung zwischen Gesamtstrukturen Neustrukturierung innerhalb einer Gesamtstruktur

Objekterhalt

Objekte werden geklont statt migriert. Das ursprüngliche Objekt verbleibt am Quellspeicherort, um den Zugriff auf Ressourcen für Benutzer aufrecht zu erhalten.

Benutzer- und Gruppenobjekte werden migriert und sind am Quellspeicherort nicht mehr vorhanden. Computer- und verwaltete Dienstkontenobjekte werden kopiert, und die ursprünglichen Konten bleiben in der Quelldomäne aktiviert.

Verwaltung des SID-Verlaufs

Die Verwaltung des SID-Verlaufs ist optional.

Für Benutzer-, Gruppen- und Computerkonten ist der SID-Verlauf erforderlich, für verwaltete Dienstkonten jedoch nicht.

Kennwortbeibehaltung

Die Kennwortbeibehaltung ist optional.

Kennwörter werden immer beibehalten.

Migration lokaler Profile

Sie müssen Tools wie z. B. ADMT zum Migrieren lokaler Profile verwenden.

Lokale Profile werden automatisch migriert, da die GUID (Globally Unique Identifier) des Benutzers erhalten bleibt.

Geschlossene Sätze

Sie müssen Konten in geschlossenen Mengen nicht migrieren. Weitere Informationen finden Sie unter Hintergrundinformationen zum Neustrukturieren von Active Directory-Domänen innerhalb einer Gesamtstruktur (http://go.microsoft.com/fwlink/?LinkId=122123).

Sie müssen Konten in geschlossenen Mengen migrieren.

Begriffe und Definitionen

Die folgenden Begriffe werden für den Vorgang der Active Directory-Domänenneustrukturierung verwendet.

Migration   Der Vorgang des Verschiebens oder Kopierens eines Objekts aus einer Quelldomäne in eine Zieldomäne unter Beibehaltung oder Änderung der Merkmale des Objekts, um den Zugriff darauf in der neuen Domäne zu ermöglichen.

Domänenneustrukturierung   Ein Migrationsvorgang, der die Änderung der Domänenstruktur einer Gesamtstruktur beinhaltet. Eine Domänenneustrukturierung kann das Zusammenfassen oder Hinzufügen von Domänen beinhalten und zwischen Gesamtstrukturen oder innerhalb einer Gesamtstruktur stattfinden.

Migrationsobjekte   Domänenobjekte, die während des Migrationsvorgangs aus der Quell- in die Zieldomäne verschoben werden. Bei Migrationsobjekten kann es sich um Benutzerkonten, Dienstkonten, Gruppen oder Computer handeln.

Quelldomäne   Die Domäne, aus der während einer Migration Objekte verschoben werden. Wenn Sie Active Directory-Domänen zwischen Gesamtstrukturen neu strukturieren, ist die Quelldomäne eine Active Directory-Domäne in einer anderen Gesamtstruktur als die Zieldomäne.

Zieldomäne   Die Domäne, in die während einer Migration Objekte verschoben werden.

Vordefinierte Konten   Standardsicherheitsgruppen, die über gemeinsame Sammlungen von Rechten und Berechtigungen verfügen. Sie können integrierte Konten verwenden, um beliebigen Konten oder Gruppen Berechtigungen zu erteilen, die Sie als Mitglieder dieser Gruppen definieren. Integrierte Kontosicherheitskennungen (Security Identifiers, SIDs) sind in jeder Domäne identisch. Aus diesem Grund können integrierte Konten keine Migrationsobjekte sein.

Aktive Directory-Migrationsprogramm

Sie können ADMT zum Migrieren von Objekten in Active Directory-Gesamtstrukturen verwenden. Dieses Tool enthält Assistenten, die Migrationstasks automatisieren, z. B. die Migration von Benutzern, Gruppen, Dienstkonten, Computern und Vertrauensstellungen sowie die Sicherheitskonvertierung.

Sie können ADMT-Tasks mithilfe der ADMT-Konsole, einer Befehlszeile oder einem Skript ausführen. Wenn Sie ADMT in der Befehlszeile ausführen, ist es häufiger effizienter, eine Optionsdatei zum Angeben von Befehlszeilenoptionen zu verwenden. Sie können die ADMT-Optionsdateireferenz aus dem folgenden Beispiel als Hilfe beim Erstellen von Optionsdateien verwenden. Beispiele für die Befehlszeilensyntax werden für jeden Task bereitgestellt, den Sie zum Neustrukturieren der Domänen innerhalb der Gesamtstruktur ausführen müssen.

Die folgende Liste zeigt allgemeine Optionen, die für mehrere Migrationstasks gelten. Für jeden Typ von Migrationstask ist ein Abschnitt vorhanden, der Optionen auflistet, die für den jeweiligen Task spezifisch sind. Der Abschnittsname entspricht dem Tasknamen, wenn Sie ADMT in der Befehlszeile ausführen. Sie können Elemente mit einem Semikolon auskommentieren. In der folgenden Liste sind die Standardwerte auskommentiert.

[Migration]
;IntraForest=No
;SourceDomain="Quelldomänenname" 
;SourceOu="Pfad_zur_Quellorganisationseinheit" 

;TargetDomain="Zieldomänenname" 
;TargetOu="Pfad_zur_Zielorganisationseinheit" 
;PasswordOption=Complex
;PasswordServer="" 
;PasswordFile="" 
;ConflictOptions=Ignore
;UserPropertiesToExclude="" 
;InetOrgPersonPropertiesToExclude="" 
;GroupPropertiesToExclude="" 
;ComputerPropertiesToExclude="" 

[User]
;DisableOption=EnableTarget
;SourceExpiration=None
;MigrateSIDs=Yes
;TranslateRoamingProfile=No
;UpdateUserRights=No
;MigrateGroups=No
;UpdatePreviouslyMigratedObjects=No
;FixGroupMembership=Yes
;MigrateServiceAccounts=No
;UpdateGroupRights=No

[Group]
;MigrateSIDs=Yes
;UpdatePreviouslyMigratedObjects=No
;FixGroupMembership=Yes
;UpdateGroupRights=No
;MigrateMembers=No
;DisableOption=EnableTarget
;SourceExpiration=None
;TranslateRoamingProfile=No
;MigrateServiceAccounts=No

[Security]
;TranslationOption=Add
;TranslateFilesAndFolders=No
;TranslateLocalGroups=No
;TranslatePrinters=No
;TranslateRegistry=No
;TranslateShares=No
;TranslateUserProfiles=No
;TranslateUserRights=No
;SidMappingFile="SidMappingFile.txt"

Wenn Sie ADMT in der Befehlszeile ausführen, müssen Sie keine Option in den Befehl einschließen, wenn Sie den Standardwert akzeptieren möchten. Dieses Handbuch stellt jedoch Tabellen mit den möglichen Parametern und Werten zu Referenzzwecken zur Verfügung. Die Tabellen nennen die Befehlszeilenentsprechung jeder Option, die im entsprechenden ADMT-Konsolenverfahren gezeigt wird. Dies schließt auch jene Optionen ein, für die Sie den Standardwert akzeptieren.

Sie können die Optionsdateireferenz in Editor kopieren und dann mit der Dateinamenerweiterung TXT speichern.

Wenn Sie beispielsweise eine kleine Anzahl von Computern migrieren möchten, können Sie jeden Computernamen mithilfe der Option /N in die Befehlszeile eingeben und dann wie folgt andere Migrationsoptionen in einer Optionsdatei auflisten:

ADMT COMPUTER /N "<Computername1>" "<Computername2>" /O:"<Optionsdatei>.txt"

Dabei sind <computer_name1> und <computer_name2> die Namen von Computern in der Quelldomäne, die Sie in diesem Batch migrieren.

Verwenden einer Includedatei

Wenn Sie eine große Anzahl von Benutzern, Gruppen oder Computern migrieren, ist es effizienter, eine Includedatei zu verwenden. Eine Includedatei ist eine Textdatei, in der Sie die zu migrierenden Benutzer-, Gruppen- und Computerobjekte auflisten. Dabei wird für jedes Objekt eine separate Zeile verwendet. Sie müssen eine Includedatei verwenden, wenn Sie Objekte während der Migration umbenennen.

Sie können Benutzer, Gruppen und Computer zusammen in einer Datei auflisten, oder Sie können eine separate Datei für jeden Objekttyp erstellen. Geben Sie dann den Namen der Includedatei mit der Option /F wie folgt an:

ADMT COMPUTER /F "<Name_der_Includedatei>" /IF:YES /SD:"<Quelldomäne>” /TD:"<Zieldomäne>" /TO:"<Zielorganisationseinheit>"

Verwenden Sie eine der folgenden Konventionen, um die Namen von Benutzern, Gruppen oder Computern anzugeben:

  • Den SAM-Kontonamen (Security Accounts Manager). Sie müssen das Dollarzeichen ($) and en Computernamen anhängen, um einen Computernamen in diesem Format anzugeben. Wenn Sie z. B. einen Computer mit dem Namen "Workstation01" angeben möchten, verwenden Sie "Workstation01$".

  • Den relativ definierten Namen (Relative Distinguished Name, RDN), z. B. "cn= Workstation01". Wenn Sie das Konto als relativ definierten Namen angeben, müssen Sie die Quellorganisationseinheit angeben.

  • Den kanonischen Namen. Sie können den kanonischen Namen als DNS_Domänenname/OU_Pfad/Objektname oder OU_Pfad/Objektname angeben. Beispiel: Asia.trccorp.treyresearch.net/Computers/Workstation01 oder Computers/Workstation01.

In den folgenden Abschnitten werden die Felder einer Includedatei beschrieben und Beispiel für jedes Feld zur Verfügung gestellt:

Feld "SourceName"

Das Feld SourceName gibt den Namen des Quellobjekts an. Sie können einen Kontonamen oder einen relativ definierten Namen angeben. Wenn Sie nur Quellnamen angeben, ist es optional, eine Kopfzeile in der ersten Zeile der Datei zu definieren.

Das folgende Beispiel zeigt eine Kopfzeile, die das Feld SourceName angibt. Das Beispiel zeigt außerdem einen Quellobjektnamen, der in mehreren Formaten angegeben wird. Die zweite Zeile gibt einen Kontonamen an. Die dritte Zeile gibt einen relativ definierten Namen an.

SourceName

Name

CN= Name

Feld "TargetName"

Sie können das Feld TargetName verwenden, um einen Basisnamen anzugeben, der zum Generieren eines relativ definierten Zielnamens, eines SAM-Zielkontonamens und eines UPN-Zielnamens (User Principal Name, Benutzerprinzipalname) verwendet wird. Das Feld TargetName darf nicht mit anderen Zielnamenfeldern kombiniert werden, die weiter unten in diesem Abschnitt beschrieben werden.

noteHinweis
Der Ziel-UPN wird nur für Benutzerobjekte generiert, und es wird nur ein UPN-Präfix generiert. Ein UPN-Suffix wird mithilfe eines Algorithmus angehängt, der davon abhängt, ob ein UPN-Suffix für die Zielorganisationseinheit oder die Zielgesamtstruktur definiert ist. Wenn es sich bei dem Objekt um einen Computer handelt, enthält der SAM-Zielkontoname das Suffix "$".

Das folgende Eingabebeispiel generiert den relativ definierten Zielnamen, SAM-Zielkontonamen und Ziel-UPN als "CN=Neuer_Name", "Neuer_Name" bzw. "Neuer_Name".

SourceName,TargetName

Alter_Name, Neuer_Name

Felder "TargetRDN", "TargetSAM" und "TargetUPN"

Sie können die Felder TargetRDN, TargetSAM, und TargetUPN verwenden, um die verschiedenen Zielnamen unabhängig voneinander anzugeben. Sie können beliebige Kombinationen dieser Felder in beliebiger Reihenfolge angeben.

TargetRDN gibt den relativ definierten Zielnamen für das Objekt an.

TargetSAM gibt den SAM-Zielkontonamen für das Objekt an. Für Computer muss der Name das Suffix "$" enthalten, damit es sich um einen gültigen SAM-Kontonamen für einen Computer handelt.

TargetUPN gibt den Ziel-UPN für das Objekt an. Sie können nur das UPN-Präfix oder einen vollständigen UPN-Namen (Präfix@Suffix) angeben. Wenn der angegebene Name ein Leerzeichen oder ein Komma enthält, müssen Sie den Namen in doppelte Anführungszeichen (" ") einschließen.

SourceName,TargetRDN

Alter_Name, CN=Neuer_Name

SourceName,TargetRDN,TargetSAM

Alter_Name, "CN=Neuer_RDN", Neuer_SAM_Name

SourceName,TargetRDN,TargetSAM,TargetUPN

Alter_Name, "CN=letzter\, erster", Neuer_SAM_Name, Neuer_UPN_Name

noteHinweis
Einem Komma im CN-Wert muss ein Escapezeichen ("\") vorangestellt werden, da der Vorgang ansonsten zu einem Fehler führt und ADMT einen Fehler aufgrund ungültiger Syntax in der Protokolldatei aufzeichnet.

SourceName,TargetSAM,TargetUPN,TargetRDN

Alter_Name, Neuer_SAM_Name, Neuer_UPN_Name@Zieldomäne, "CN=Neuer_Name"

Umbenennen von Objekten

Verwenden Sie das folgende Format in einer Includedatei, um Computer-, Benutzer- oder Gruppenobjekte während der Migration umzubenennen:

  • Verwenden Sie SourceName, TargetRDN, TargetSAM, und TargetUPN als Spaltenüberschriften oben in der Includedatei. SourceName ist der Name des Quellkontos und muss als erste Spaltenüberschrift aufgelistet werden. Die Spaltenüberschriften TargetRDN, TargetSAM und TargetUPN sind optional und können in beliebiger Reihenfolge aufgelistet werden.

  • Sie müssen den Kontonamen als Benutzernamen, relativ definierten Namen oder kanonischen Namen angeben. Wenn Sie den Kontonamen als relativ definierten Namen angeben, müssen Sie auch die Quellorganisationseinheit angeben.

Die folgenden Beispiele zeigen gültige Includedateien, in denen die Umbenennungsoption verwendet wird:

SourceName,TargetSAM

abc,def

Dieser Includedateieintrag ändert den Kontonamen TargetSAM für den Benutzer "abc" in "def". Die Angaben TargetRDN und TargetUPN, die in dieser Includedatei nicht angegeben werden, ändern sich als Ergebnis der Migration nicht.

SourceName,TargetRDN,TargetUPN

abc,CN=def,def@contoso.com

Dieser Includedateieintrag ändert den TargetRDN für den Benutzer "abc" in "CN=def" und den TargetUPN in def@contoso.com. Der TargetSAM für den Benutzer "abc" ändert sich als Ergebnis der Migration nicht.

ImportantWichtig
Sie müssen "CN=" angeben, bevor Sie einen RDN-Wert verwenden.

Verwenden einer Ausschlussdatei

Mithilfe einer Ausschlussdatei können Sie Objekte von der Migration ausschließen. Bei einer Ausschlussdatei handelt es sich um eine Textdatei, in der das SAMAccountName-Attribut der Objekte aufgelistet wird, die Sie ausschließen möchten. Wenn Sie beispielsweise die folgenden verwalteten Dienstkonten ausschließen möchten, erstellen Sie folgende Textdatei:

MSA_USER5$
MSA_USER6$

Geben Sie dann bei der Ausführung des ADMT-Befehls den Namen der Ausschlussdatei an. Beispiel:

admt managedserviceaccount /ef:"exclude file name"

Optional können Sie mithilfe des Parameters „/en“ einzelne Konten ausschließen:

admt managedserviceaccount /en:"managed service account 1" "managed service account 2"

Verwenden von Skripts

Die in diesem Handbuch zur Verfügung gestellten Beispielskripts verwenden die symbolischen Konstanten, die in einer Datei namens AdmtConstants.vbs definiert werden. Die folgende Liste zeigt die ADMT-Konstanten der VBScript-Datei (Microsoft Visual Basic® Scripting Edition). Die Konstanten werden auch im ADMT-Installationsordner bereitgestellt. Sie finden sie in der Datei TemplateScript.vbs im Verzeichnis %systemroot%\WINDOWS\ADMT.

Wenn Sie die Beispielskripts in diesem Handbuch verwenden möchten, kopieren Sie die VBScript-Datei mit den ADMT-Konstanten in Editor, und speichern Sie sie dann unter dem Namen AdmtConstants.vbs. Stellen Sie sicher, dass Sie die Datei im gleichen Ordner speichern, in dem Sie die in diesem Handbuch bereitgestellten Beispielskripts speichern werden.

Option Explicit

'----------------------------------------------------------------------------
' ADMT Scripting Constants
'----------------------------------------------------------------------------

' PasswordOption constants

Const admtComplexPassword                   = &H0001
Const admtCopyPassword                      = &H0002

' Beachen Sie, dass die folgende Konstante nicht für sich alleine angegeben werden kann.
' Sie muss zusammen mit admtComplexPassword oder admtCopyPassword angegeben werden.
Const admtDoNotUpdatePasswordsForExisting   = &H0010

' ConflictOptions constants

Const admtIgnoreConflicting           = &H0000
Const admtMergeConflicting            = &H0001
Const admtRemoveExistingUserRights    = &H0010
Const admtRemoveExistingMembers       = &H0020
Const admtMoveMergedAccounts          = &H0040

' DisableOption-Konstanten

Const admtLeaveSource        = &H0000
Const admtDisableSource      = &H0001
Const admtTargetSameAsSource = &H0000
Const admtDisableTarget      = &H0010
Const admtEnableTarget       = &H0020

' SourceExpiration-Konstante

Const admtNoExpiration = -1

' Übersetzungsoption

Const admtTranslateReplace = 0
Const admtTranslateAdd     = 1
Const admtTranslateRemove  = 2

' Berichtstyp

Const admtReportMigratedAccounts  = 0
Const admtReportMigratedComputers = 1
Const admtReportExpiredComputers  = 2
Const admtReportAccountReferences = 3
Const admtReportNameConflicts     = 4

' Optionskonstanten

Const admtNone     = 0
Const admtData     = 1
Const admtFile     = 2
Const admtDomain   = 3
Const admtRecurse           = &H0100
Const admtFlattenHierarchy  = &H0000
Const admtMaintainHierarchy = &H0200
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft