Exportar (0) Imprimir
Expandir todo

Guía de ADMT: Migración y reestructuración de dominios de Active Directory

Actualizado: junio de 2010

Se aplica a: Windows Server 2008, Windows Server 2008 R2

Afecta a: Herramienta de migración Active Directory 3.1 (ADMT 3.1) y ADMT 3.2

Si desea obtener una versión descargable de esta guía en formato .doc, consulte la Guía ADMT: Migración y reestructuración de dominios de Active Directory (http://go.microsoft.com/fwlink/?LinkId=191734) (en inglés).

Como parte de la implementación del servicio de directorio de Active Directory® o de Servicios de dominio de Active Directory (AD DS), puede elegir reestructurar su entorno por los motivos siguientes:

  • Para optimizar la disposición de los elementos dentro de la estructura lógica de Active Directory

  • Para ayudar a finalizar una fusión, adquisición o desinversión empresarial

La reestructuración implica la migración de recursos entre los dominios de Active Directory bien en el mismo bosque o en distintos bosques. Después de implementar Active Directory o AD DS, podrá decidir si desea reducir aún más la complejidad de su entorno reestructurando dominios entre bosques o reestructurando dominios dentro de un solo bosque.

Puede usar la Herramienta de migración Active Directory (ADMT) para realizar migraciones de objetos y conversiones de seguridad, en caso necesario, con el fin de que los usuarios puedan mantener el acceso a los recursos de red durante el proceso de migración. Para obtener más información acerca de las diferentes versiones de ADMT que existen, de cuándo usar cada una y de cómo obtenerlas, consulte Herramienta de migración Active Directory: versiones y entornos admitidos.

En esta guía

En las siguientes secciones se explican los principales escenarios de migración para el uso de ADMT. Una vez que determine el escenario adecuado para su entorno, siga los pasos correspondientes que se describen más adelante en esta guía.

Reestructuración de dominios de Active Directory entre bosques

Es posible que desee realizar una reestructuración entre distintos bosques por cambios empresariales, como fusiones, adquisiciones o desinversiones, en los que las organizaciones deben combinar o dividir recursos. Como parte del proceso de reestructuración, cuando migra objetos entre bosques, tanto los entornos de dominio de origen como el de destino existen simultáneamente. Esto hace posible que, si fuera necesario, se pueda revertir al entorno de origen durante la migración.

No se admite la división o clonación de bosques, por ejemplo, para acomodar la desinversión de una organización. Para obtener más información, consulte Limitaciones de la reestructuración (http://go.microsoft.com/fwlink/?LinkId=121736).

ImportantImportante
Si utiliza ADMT v3.1, todos los dominios de destino deben estar al menos en el nivel funcional nativo de Microsoft Windows® 2000. Si utiliza ADMT v3.2, todos los dominios de origen y destino deben estar al menos en el nivel funcional de Windows Server® 2003.

Reestructuración de dominios de Active Directory dentro de un mismo bosque

Cuando reestructura los dominios de un bosque, puede consolidar su estructura de dominio y reducir la complejidad y sobrecarga administrativa. A diferencia del proceso de reestructuración de dominios entre bosques, cuando se reestructuran dominios de un bosque, las cuentas migradas ya no existen en el dominio de origen. Por tanto, la reversión de la migración sólo puede tener lugar cuando se realiza de nuevo el proceso de migración en orden inverso desde el dominio de destino anterior al dominio de origen anterior.

ImportantImportante
Si utiliza ADMT v3.1, todos los dominios de destino deben estar al menos en el nivel funcional nativo de Windows 2000. Si utiliza ADMT v3.2, todos los dominios de origen y destino deben estar al menos en el nivel funcional de Windows Server 2003.

En la tabla siguiente se muestran las diferencias entre una reestructuración de dominios entre distintos bosques y una reestructuración de dominios dentro del mismo bosque.

 

Consideración de migración Restructuración entre distintos bosques Restructuración dentro del mismo bosque

Preservación de objetos

Los objetos se clonan más que migran. El objeto original permanece en la ubicación de origen para mantener el acceso a los recursos para los usuarios.

Los objetos de grupo y de usuario se migran y ya no existen en la ubicación de origen. Los objetos de la cuenta de servicio administrada y del equipo copiados y las cuentas originales permanecen habilitadas en el dominio de origen.

Mantenimiento del historial de SID

El mantenimiento del historial de SID es opcional

El historial de SID es necesario para el usuario, el grupo y las cuentas de equipo, pero no para las cuentas de servicio administradas.

Conservación de contraseña

La conservación de contraseña es opcional.

Las contraseñas siempre se conservan.

Migración de perfiles locales

Debe usar herramientas como ADMT para migrar perfiles locales.

Los perfiles locales se migran automáticamente dado que se preserva el identificador único global (GUID) del usuario.

Conjuntos cerrados

No tiene que migrar cuentas en conjuntos cerrados. Para obtener más información, consulte Información general para la reestructuración de dominios de Active Directory dentro de un bosque (http://go.microsoft.com/fwlink/?LinkId=122123).

Debe migrar las cuentas en conjuntos cerrados.

Términos y definiciones

Los términos siguientes se aplican al proceso de reestructuración de dominios de Active Directory.

Migración   Proceso de mover o copiar un objeto de un dominio de origen a un dominio de destino, a la vez que se mantienen o modifican las características del objeto para hacerlo accesible en el nuevo dominio.

Reestructuración de dominios   Proceso de migración que implica el cambio de la estructura de dominios de un bosque. Una reestructuración de dominios puede implicar la consolidación o adición de dominios, y puede producirse entre bosques o dentro de un bosque.

Objetos de migración   Objetos del dominio que se mueven desde el dominio de origen al dominio de destino durante el proceso de migración. Los objetos de migración pueden ser cuentas de usuario, cuentas de servicio, grupos o equipos.

Dominio de origen   El dominio desde el que se mueven los objetos durante una migración. Al reestructurar dominios de Active Directory entre bosques, el dominio de origen es un dominio de Active Directory en un bosque diferente del dominio de destino.

Dominio de destino   El dominio al que se mueven los objetos durante una migración.

Cuentas integradas   Grupos de seguridad predeterminados con conjuntos comunes de derechos y permisos. Puede usar cuentas integradas para conceder permisos a cuentas o grupos que designe como miembro de dichos grupos. Los SID de cuentas integradas son idénticos en todos los dominios. Por lo tanto, las cuentas integradas no pueden ser objetos de migración.

Herramienta de migración para Active Directory

Puede usar ADMT para migrar objetos en los bosques de Active Directory. Esta herramienta incluye asistentes que automatizan las tareas de migración, como la migración de usuarios, grupos, cuentas de servicio, equipos y confianzas y la realización de conversión de seguridad.

Puede ejecutar tareas de ADMT usando la consola de ADMT, una línea de comandos o un script. Cuando ejecuta ADMT en la línea de comandos, con frecuencia es más eficaz usar un archivo de opciones para especificar las opciones de línea de comandos. Puede usar la referencia del archivo de opciones de ADMT del ejemplo siguiente para ayudarle a crear archivos de opciones. Se incluyen ejemplos de sintaxis de línea de comandos para cada tarea que debe realizar para reestructurar los dominios dentro del bosque.

En la lista siguiente se muestran las opciones comunes que se aplican a varias tareas de migración. Cada tipo de tarea de migración cuenta con una sección que muestra las opciones específicas de dicha tarea. El nombre de la sección se corresponde con el nombre de la tarea cuando ejecuta ADMT en la línea de comandos. Puede incluir comentarios de los elementos agregando un punto y coma. En la lista siguiente, se incluyen comentarios de los valores predeterminados.

[Migración]
;IntraForest=No
;SourceDomain="nombre_dominio_origen" 
;SourceOu="ruta_acceso_unidad_organizativa_origen" 

;TargetDomain="nombre_dominio_destino" 
;TargetOu="ruta_acceso_unidad_organizativa_destino" 
;PasswordOption=Complex
;PasswordServer="" 
;PasswordFile="" 
;ConflictOptions=Ignore
;UserPropertiesToExclude="" 
;InetOrgPersonPropertiesToExclude="" 
;GroupPropertiesToExclude="" 
;ComputerPropertiesToExclude="" 

[Usuario]
;DisableOption=EnableTarget
;SourceExpiration=None
;MigrateSIDs=Yes
;TranslateRoamingProfile=No
;UpdateUserRights=No
;MigrateGroups=No
;UpdatePreviouslyMigratedObjects=No
;FixGroupMembership=Yes
;MigrateServiceAccounts=No
;UpdateGroupRights=No

[Grupo]
;MigrateSIDs=Yes
;UpdatePreviouslyMigratedObjects=No
;FixGroupMembership=Yes
;UpdateGroupRights=No
;MigrateMembers=No
;DisableOption=EnableTarget
;SourceExpiration=None
;TranslateRoamingProfile=No
;MigrateServiceAccounts=No

[Seguridad]
;TranslationOption=Add
;TranslateFilesAndFolders=No
;TranslateLocalGroups=No
;TranslatePrinters=No
;TranslateRegistry=No
;TranslateShares=No
;TranslateUserProfiles=No
;TranslateUserRights=No
;SidMappingFile="SidMappingFile.txt"

Cuando ejecuta ADMT en la línea de comandos, no tiene que incluir una opción en el comando si desea aceptar el valor predeterminado. Sin embargo, en esta guía, se incluyen como referencia las tablas que muestran los posibles parámetros y valores. En las tablas se enumera el equivalente en línea de comandos de cada opción que se muestra en el procedimiento correspondiente de la consola de ADMT, incluyendo esas opciones para las que acepta el valor predeterminado.

Puede copiar la referencia del archivo de opciones en el Bloc de notas y guardarla con una extensión de nombre de archivo .txt.

Como ejemplo, para migrar un número pequeño de equipos, debería escribir el nombre de cada equipo en la línea de comandos, usando la opción /N y, a continuación, enumerar otras opciones de migración dentro de un archivo de opciones de la forma siguiente:

ADMT COMPUTER /N "<nombre_equipo1>" "<nombre_equipo2>" /O:"<archivo_opción>.txt"

Donde <nombre_equipo1> y <nombre_equipo2> son los nombres de equipos del dominio de origen que va a migrar a este lote.

Uso de un archivo de inclusión

Cuando migre un gran número de usuarios, grupos o equipos, es más eficaz el uso de un archivo de inclusión. Un archivo de inclusión es un archivo de texto en el que se incluyen los objetos de usuario, grupo y equipo que desea migrar, con cada objeto en una línea separada. Debe usar un archivo de inclusión si desea cambiar el nombre de los objetos durante la migración.

Puede incluir usuarios, grupos y equipos juntos en un archivo o puede crear un archivo independiente para cada tipo de objeto. A continuación, especifique el nombre del archivo de inclusión con la opción /F, de la forma siguiente:

ADMT COMPUTER /F "<nombre_archivo_inclusión>" /IF:YES /SD:"<dominio_origen>” /TD:"<dominio_destino>" /TO:"<unidad_organizativa_destino>"

Para especificar los nombres de los usuarios, grupos o equipos, use una de las siguientes convenciones:

  • El nombre de cuenta del Administrador de cuentas de seguridad (SAM). Para especificar un nombre de equipo en este formato, debe agregar un signo de dólar ($) al nombre del equipo. Por ejemplo, para especificar un equipo con el nombre Workstation01, use Workstation01$.

  • El nombre distintivo relativo (también conocido como RDN), por ejemplo, cn= Workstation01. Si especifica la cuenta como un nombre distintivo relativo, debe especificar la unidad organizativa de origen.

  • El nombre canónico. Puede especificar el nombre canónico como nombre dominio DNS/ruta_ou/nombre_objeto o ruta_ou/nombre_objeto, por ejemplo, Asia.trccorp.treyresearch.net/Computers/Workstation01 o Computers/Workstation01.

En las secciones siguientes se describen los campos de un archivo de inclusión y se proporcionan ejemplos de cada campo:

Campo SourceName

El campo SourceName especifica el nombre del objeto de origen. Puede especificar un nombre de cuenta o un nombre distintitvo relativo. Si sólo especifica nombres de origen, es opcional definir un encabezado en la primera línea del archivo.

En el ejemplo siguiente se muestra una línea de encabezado que especifica el campo SourceName. En el ejemplo también se muestra un nombre de objeto de origen que se especifica en varios formatos. La segunda línea especifica un nombre de cuenta. La tercera línea especifica un nombre distintivo relativo.

SourceName

name

CN= name

Campo TargetName

Puede utilizar el campo TargetName para especificar un nombre base que se utilice para generar un nombre distintivo relativo de destino, un nombre de cuenta del Administrador de cuentas de seguridad (SAM) y un nombre principal de usuario de destino (UPN). El campo TargetName no se puede combinar con otros campos de nombre de destino que se describen más adelante en esta sección.

noteNota
El UPN de destino se genera sólo para los objetos de usuario y sólo se genera un prefijo de UPN. Se anexa un sufijo de UPN mediante un algoritmo que depende de si se define un sufijo UPN para el OU de destino o para el bosque de destino. Si el objeto es un equipo, el nombre de cuenta del SAM de destino incluye un sufijo "$".

En el ejemplo siguiente de entrada se genera un nombre distintivo relativo de destino, un nombre de cuenta del SAM de destino y un UPN de destino como "CN=newname", "newname" y "newname" respectivamente.

SourceName,TargetName

oldname, newname

Campos TargetRDN, TargetSAM y TargetUPN

Puede utilizar los campos TargetRDN, TargetSAM y TargetUPN para especificar los nombres de destino diferentes para cada uno. Puede especificar una combinación de estos campos en cualquier orden.

TargetRDN especifica el nombre distintivo relativo de destino del objeto.

TargetSAM especifica el nombre de cuenta del SAM de destino del objeto. En los equipos, el nombre debe incluir un sufijo "$" para que sea un nombre de cuenta de SAM válido.

TargetUPN especifica el UPN de destino del objeto. Puede especificar sólo el prefijo de UPN o un nombre completo de UPN (prefix@suffix). Si el nombre especificado contiene un espacio o una coma, debe incluir el nombre entre comillas dobles (" ").

SourceName,TargetRDN

oldname, CN=newname

SourceName,TargetRDN,TargetSAM

oldname, "CN=New RDN", newsamname

SourceName,TargetRDN,TargetSAM,TargetUPN

oldname, "CN=last\, first", newsamname, newupnname

noteNota
Una coma dentro del valor CN debe ir precedida de un carácter de escape ("\") o la operación producirá un error y ADMT registrará un error de sintaxis no válida en el archivo de registro.

SourceName,TargetSAM,TargetUPN,TargetRDN

oldname, newsamname, newupnname@targetdomain, "CN=New Name"

Cambio de nombre de objetos

Use el formato siguiente en un archivo de inclusión para cambiar el nombre del equipo, usuario u objetos de grupo durante la migración:

  • Use SourceName, TargetRDN, TargetSAM y TargetUPN como encabezados de columna en la parte superior del archivo de inclusión. SourceName es el nombre de cuenta de origen y se debe mostrar como el encabezado de la primera columna. Los encabezados de columna TargetRDN, TargetSAM y TargetUPN son opcionales y pueden incluirlos en cualquier orden.

  • Debe especificar el nombre de cuenta como nombre de usuario, nombre distintivo relativo o nombre canónico. Si especifica el nombre de cuenta como un nombre distintivo relativo, también debe especificar la unidad organizativa (OU) de origen.

A continuación se incluyen ejemplos de archivos de inclusión válidos en los que se usa la opción de cambio de nombre:

SourceName,TargetSAM

abc,def

Esta entrada del archivo de inclusión cambia el nombre de cuenta TargetSAM para el usuario "abc" a "def". TargetRDN y TargetUPN, que no se han especificado en el archivo de inclusión, no cambian como resultado de la migración.

SourceName,TargetRDN,TargetUPN

abc,CN=def,def@contoso.com

Esta entrada del archivo de inclusión cambia el TargetRDN para el usuario abc a CN=def y TargetUPNo a def@contoso.com. TargetSAM para el usuario abc no cambia como resultado de la migración.

ImportantImportante
Debe especificar CN= antes usando un valor RDN.

Uso de un archivo de exclusión

Puede excluir objetos de la migración utilizando un archivo de exclusión. Un archivo de exclusión es un archivo de texto que enumera el atributo SAMAccountName de los objetos que desea excluir. Por ejemplo, para excluir las siguientes cuentas de servicio administradas, cree un archivo de texto:

MSA_USER5$
MSA_USER6$

A continuación, especifique el nombre del archivo de exclusión cuando ejecute el comando admt. Por ejemplo:

admt managedserviceaccount /ef:”nombre de archivo de exclusión”

También puede excluir cuentas específicas con el parámetro /en:

admt managedserviceaccount /en:”cuenta de servicio administrada 1” “cuenta de servicio administrada 2”

Uso de secuencias de comandos

Las secuencias de comandos de muestra que se incluyen en esta guía se refieren a las constantes simbólicas que se definen en el archivo denominado AdmtConstants.vbs. La lista que sigue a continuación muestra el archivo de constantes ADMT de Microsoft Visual Basic® Scripting Edition (VBScript). Las constantes también se incluyen en la carpeta de instalación de ADMT, en el archivo TemplateScript.vbs del directorio %systemroot%\WINDOWS\ADMT.

Para usar las secuencias de comandos de muestra de esta guía, copie el archivo VBScript de constantes de ADMT en el Bloc de notas y guárdelo como AdmtConstants.vbs. Asegúrese de guardarlo en la misma carpeta en la que piensa guardar las secuencias de comandos de muestra que se incluyen en esta guía.

Option Explicit

'----------------------------------------------------------------------------
' Constantes de secuencia de comandos de ADMT
'----------------------------------------------------------------------------

' Constantes de PasswordOption

Const admtComplexPassword                   = &H0001
Const admtCopyPassword                      = &H0002

' Observe que la siguiente constante no se puede especificar por sí sola.
' Se debe especificar junto con admtComplexPassword o admtCopyPassword.
Const admtDoNotUpdatePasswordsForExisting   = &H0010

' Constantes de ConflictOptions

Const admtIgnoreConflicting           = &H0000
Const admtMergeConflicting            = &H0001
Const admtRemoveExistingUserRights    = &H0010
Const admtRemoveExistingMembers       = &H0020
Const admtMoveMergedAccounts          = &H0040

' Constantes de DisableOption

Const admtLeaveSource        = &H0000
Const admtDisableSource      = &H0001
Const admtTargetSameAsSource = &H0000
Const admtDisableTarget      = &H0010
Const admtEnableTarget       = &H0020

' Constante de SourceExpiration

Const admtNoExpiration = -1

' Opción de traducción

Const admtTranslateReplace = 0
Const admtTranslateAdd     = 1
Const admtTranslateRemove  = 2

' Tipo de informe

Const admtReportMigratedAccounts  = 0
Const admtReportMigratedComputers = 1
Const admtReportExpiredComputers  = 2
Const admtReportAccountReferences = 3
Const admtReportNameConflicts     = 4

' Constantes de opciones

Const admtNone     = 0
Const admtData     = 1
Const admtFile     = 2
Const admtDomain   = 3
Const admtRecurse           = &H0100
Const admtFlattenHierarchy  = &H0000
Const admtMaintainHierarchy = &H0200
¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios

Adiciones de comunidad

AGREGAR
Mostrar:
© 2014 Microsoft