Exporter (0) Imprimer
Développer tout
1 sur 4 ont trouvé cela utile - Évaluez ce sujet

Guide ADMT : migration et restructuration de domaines Active Directory

Mis à jour: juin 2010

S'applique à: Windows Server 2008, Windows Server 2008 R2

S'applique à : Outil de migration Active Directory 3.1 (ADMT 3.1) et ADMT 3.2

Pour obtenir une version téléchargeable de ce guide au format .doc, voir le guide d'ADMT sur la migration et la restructuration de domaines Active Directory (http://go.microsoft.com/fwlink/?LinkId=191734).

Dans le cadre du déploiement du service d'annuaire Active Directory® ou des services de domaines Active Directory (AD DS), vous pouvez choisir de restructurer votre environnement pour les raisons suivantes :

  • optimisation de l'organisation des éléments au sein de la structure Active Directory logique ;

  • aide à l'exécution d'une fusion, d'une acquisition ou d'un dessaisissement.

La restructuration implique de migrer des ressources entre les domaines Active Directory au sein d'une forêt ou dans des forêts différentes. Après avoir déployé Active Directory ou AD DS, vous pouvez décider de réduire davantage la complexité de votre environnement en restructurant les domaines entre les forêts ou au sein d'une forêt.

L'Outil de migration Active Directory (ADMT) permet d'effectuer au besoin des migrations d'objets et la traduction de la sécurité afin que l'accès des utilisateurs aux ressources réseau soit maintenu lors du processus de migration. Pour plus d'informations sur les différentes versions disponibles d'ADMT, quand utiliser chaque version et comment les obtenir, voir Versions et environnements pris en charge de l'Outil de migration Active Directory.

Dans ce guide

Les sections suivantes expliquent les principaux scénarios de migration à l'aide d'ADMT. Après que vous avez déterminé le scénario approprié pour votre environnement, suivez la procédure de ce guide pour ce scénario.

Restructuration interforêts des domaines Active Directory

Vous pouvez effectuer une restructuration interforêts pour les changements affectant votre société (fusion, acquisition, dessaisissement, etc.) impliquant la combinaison ou la division des ressources. Dans le cadre du processus de restructuration, lorsque vous migrez des objets entre des forêts, les environnements des domaines source et cible existent simultanément. Ceci permet de restaurer l'environnement source lors de la migration, le cas échéant.

La division et le clonage de forêts (par exemple, pour organiser le dessaisissement d'une organisation) ne sont pas pris en charge. Pour plus d'informations, voir Limites de la restructuration (http://go.microsoft.com/fwlink/?LinkId=121736).

ImportantImportant
Si vous utilisez ADMT v3.1, tous les domaines cible doivent être au moins au niveau fonctionnel Microsoft Windows® 2000 natif. Si vous utilisez ADMT v3.2, tous les domaines source et cible doivent être au moins au niveau fonctionnel Windows Server® 2003.

Restructuration intraforêt des domaines Active Directory

Lorsque vous restructurez les domaines au sein d'une forêt, vous pouvez consolider votre structure de domaine, et réduire la complexité et les coûts associés aux tâches d'administration. Contrairement au processus de restructuration de domaines entre des forêts, lorsque vous restructurez des domaines dans une forêt, les comptes migrés n'existent plus dans le domaine source. Par conséquent, la restauration de la migration peut uniquement survenir lorsque vous réexécutez le processus de migration dans l'ordre inverse, du domaine cible précédent vers le domaine source précédent.

ImportantImportant
Si vous utilisez ADMT v3.1, tous les domaines cible doivent être au moins au niveau fonctionnel Windows 2000 natif. Si vous utilisez ADMT v3.2, tous les domaines source et cible doivent être au moins au niveau fonctionnel Windows Server 2003.

Le tableau suivant indique les différences entre une restructuration interforêts de domaines et une restructuration intraforêt de domaines.

 

Aspect de la migration Restructuration interforêts Restructuration intraforêt

Conservation des objets

Les objets sont clonés plutôt que migrés. L'objet d'origine est conservé à l'emplacement source pour maintenir l'accès des utilisateurs aux ressources.

Les objets utilisateur et groupe sont migrés et n'existent plus à l'emplacement source. Les objets ordinateur et compte de services administrés copiés et les comptes originaux restent activés dans le domaine source.

Maintenance de l'historique d'identificateur de sécurité (SID)

La maintenance de l'historique SID est facultative.

L'historique SID est requis pour les comptes utilisateur, groupe et ordinateur, mais pas pour les comptes de services administrés.

Mémorisation des mots de passe

La mémorisation des mots de passe est facultative.

Les mots de passe sont toujours mémorisés.

Migration des profils locaux

Vous devez utiliser des outils tels qu'ADMT pour migrer les profils locaux.

Les profils locaux sont migrés automatiquement car l'identificateur global unique (GUID) de l'utilisateur est conservé.

Jeux fermés

Il n'est pas nécessaire de migrer les comptes dans des jeux fermés. Pour plus d'informations, voir Informations générales pour la restructuration des domaines Active Directory au sein d'une forêt (http://go.microsoft.com/fwlink/?LinkId=122123).

Vous devez migrer les comptes dans des jeux fermés.

Termes et définitions

Les termes suivants s'appliquent au processus de restructuration des domaines Active Directory.

Migration   Processus de déplacement ou de copie d'un objet à partir d'un domaine source vers un domaine cible, tout en préservant ou en modifiant les caractéristiques de l'objet pour le rendre accessible dans le nouveau domaine.

Restructuration de domaine   Processus de migration impliquant la modification de la structure de domaine d'une forêt. Une restructuration de domaine peut impliquer la consolidation ou l'ajout de domaines. Elle peut survenir entre des forêts ou au sein d'une forêt.

Objets de migration   Objets de domaine déplacés du domaine source vers le domaine cible durant le processus de migration. Les objets de migration peuvent être des comptes d'utilisateurs, des comptes de services, des groupes ou des ordinateurs.

Domaine source   Domaine à partir duquel des objets sont déplacés durant une migration. Lorsque vous restructurez des domaines Active Directory entre des forêts, le domaine source est un domaine Active Directory dans une forêt différente du domaine cible.

Domaine cible   Domaine vers lequel des objets sont déplacés durant une migration.

Comptes prédéfinis   Groupes de sécurité par défaut qui ont des ensembles communs de droits et d'autorisations. Vous pouvez utiliser des comptes prédéfinis pour octroyer des autorisations à tous les comptes ou groupes que vous désignez comme membres de ces groupes. Les identificateurs de sécurité (SID) de compte prédéfini sont identiques dans chaque domaine. C'est pourquoi les comptes prédéfinis ne peuvent pas faire l'objet d'une migration.

Outil de migration Active Directory

ADMT permet de migrer les objets dans les forêts Active Directory. Cet outil inclut des assistants qui automatisent les tâches de migration, telles que la migration d'utilisateurs, de groupes, de comptes de services, d'ordinateurs et d'approbations et l'exécution d'une traduction de la sécurité.

Vous pouvez effectuer les tâches d'ADMT via la console ADMT, une ligne de commande ou un script. Lorsque vous exécutez ADMT à partir d'une ligne de commande, il est souvent plus efficace d'utiliser un fichier d'options pour spécifier les options de ligne de commande. Vous pouvez utiliser le fichier d'options ADMT de référence dans l'exemple suivant pour créer des fichiers d'options. Des exemples de syntaxe de ligne de commande sont indiqués pour chaque tâche que vous devez effectuer dans le cadre de la restructuration des domaines au sein de la forêt.

La liste suivante indique les options courantes qui s'appliquent à plusieurs tâches de migration. Chaque type de tâche de migration comporte une section qui énumère les options spécifiques à cette tâche. Le nom de la section correspond au nom de la tâche lorsque vous exécutez ADMT à partir d'une ligne de commande. Vous pouvez commenter les éléments en ajoutant un point-virgule. Dans la liste suivante, les valeurs par défaut sont commentées.

[Migration]
;IntraForest=No
;SourceDomain="nom_domaine_source" 
;SourceOu="chemin_uo_source" 

;TargetDomain="chemin_domaine_cible" 
;TargetOu="chemin_uo_cible" 
;PasswordOption=Complex
;PasswordServer="" 
;PasswordFile="" 
;ConflictOptions=Ignore
;UserPropertiesToExclude="" 
;InetOrgPersonPropertiesToExclude="" 
;GroupPropertiesToExclude="" 
;ComputerPropertiesToExclude="" 

[User]
;DisableOption=EnableTarget
;SourceExpiration=None
;MigrateSIDs=Yes
;TranslateRoamingProfile=No
;UpdateUserRights=No
;MigrateGroups=No
;UpdatePreviouslyMigratedObjects=No
;FixGroupMembership=Yes
;MigrateServiceAccounts=No
;UpdateGroupRights=No

[Group]
;MigrateSIDs=Yes
;UpdatePreviouslyMigratedObjects=No
;FixGroupMembership=Yes
;UpdateGroupRights=No
;MigrateMembers=No
;DisableOption=EnableTarget
;SourceExpiration=None
;TranslateRoamingProfile=No
;MigrateServiceAccounts=No

[Security]
;TranslationOption=Add
;TranslateFilesAndFolders=No
;TranslateLocalGroups=No
;TranslatePrinters=No
;TranslateRegistry=No
;TranslateShares=No
;TranslateUserProfiles=No
;TranslateUserRights=No
;SidMappingFile="SidMappingFile.txt"

Lorsque vous exécutez ADMT à partir d'une ligne de commande, il n'est pas nécessaire d'inclure une option dans votre commande pour accepter la valeur par défaut. Dans ce guide, toutefois, les tableaux des paramètres et valeurs possibles sont indiqués pour référence. Les tableaux incluent l'équivalent de ligne de commande de chaque option indiquée dans la procédure correspondante de la console ADMT, notamment les options pour lesquelles vous acceptez la valeur par défaut.

Vous pouvez copier le fichier d'options de référence dans le Bloc-notes et l'enregistrer avec l'extension de nom de fichier .txt.

Par exemple, pour migrer un petit nombre d'ordinateurs, vous pouvez taper le nom de chaque odinateur dans la ligne de commande avec l'option /N, puis énumérez les autres options de migration dans un fichier d'options comme suit :

ADMT COMPUTER /N "<nom_ordinateur1>" "<nom_ordinateur2>" /O:"<fichier_option>.txt"

où <nom_ordinateur1> et <nom_ordinateur2> correspondent aux noms des ordinateurs du domaine source migrés dans ce lot.

Utilisation d'un fichier Include

En cas de migration d'un grand nombre d'utilisateurs, de groupes ou d'ordinateurs, il est plus efficace d'utiliser un fichier Include. Dans ce type de fichier texte, vous indiquez les objets utilisateur, groupe et ordinateur à migrer avec chaque objet sur une ligne distincte. Vous devez utiliser un fichier Include si vous voulez renommer des objets lors de la migration.

Vous pouvez indiquer des utilisateurs, des groupes et des ordinateurs dans un fichier ou créer un fichier distinct pour chaque type d'objet. Vous spécifiez ensuite le nom de fichier Include à l'aide de l'option /F, comme suit :

ADMT COMPUTER /F "<includefile_name>" /IF:YES /SD:"<domaine_source>” /TD:"<domaine_cible>" /TO:"<UO_cible>"

Pour spécifier les noms d'utilisateurs, de groupes ou d'ordinateurs, utilisez l'une des conventions suivantes :

  • nom du compte du Gestionnaire des comptes de sécurité (SAM). Pour spécifier un nom d'ordinateur dans ce format, vous devez ajouter le symbole du dollar ($) au nom de l'ordinateur. Par exemple, pour spécifier un ordinateur avec le nom Workstation01, utilisez Workstation01$.

  • nom unique relatif (également appelé RDN), par exemple, cn= Workstation01. Si vous spécifiez le compte comme nom unique relatif, vous devez spécifier l'unité d'organisation source.

  • nom canonique. Vous pouvez spécifier le nom canonique au format nom de domaine DNS/chemin_uo/nom_objet ou chemin_uo/nom_objet (par exemple, Asia.trccorp.treyresearch.net/Computers/Workstation01 ou Computers/Workstation01).

Les sections suivantes décrivent les champs d'un fichier Include et fournissent des exemples pour chaque champ :

Champ SourceName

Le champ SourceName spécifie le nom de l'objet source. Vous pouvez spécifier un nom de compte ou un nom unique relatif. Si vous spécifiez uniquement des noms sources, la définition d'un en-tête sur la première ligne du fichier est facultative.

L'exemple suivant montre une ligne d'en-tête qui spécifie le champ SourceName. L'exemple indique également un nom d'objet source spécifié dans plusieurs formats. La deuxième ligne spécifie un nom de compte. La troisième ligne spécifie un nom unique relatif.

SourceName

nom

CN= nom

Champ TargetName

Le champ TargetName permet de spécifier un nom de base utilisé pour générer un nom unique relatif cible, un nom de compte SAM cible et un nom principal d'utilisateur (UPN) cible. Le champ TargetName ne peut pas être combiné avec les autres champs de nom cible décrits plus loin dans cette section.

noteRemarque
L'UPN cible est généré uniquement pour les objets utilisateur et seul un préfixe d'UPN est généré. Un suffixe d'UPN est ajouté à l'aide d'un algorithme qui dépend de la définition d'un suffixe d'UPN pour l'unité d'organisation cible ou la forêt cible. Si l'objet est un ordinateur, le nom de compte SAM cible inclut le suffixe « $ ».

L'exemple suivant d'entrée génère le nom unique relatif cible, le nom de compte SAM cible et l'UPN cible comme "CN=nouveau_nom", "nouveau_nom" et "nouveau_nom" respectivement.

SourceName,TargetName

ancien_nom, nouveau_nom

Champs TargetRDN, TargetSAM et TargetUPN

Les champs TargetRDN, TargetSAM et TargetUPN permettent de spécifier les différents noms cibles indépendamment les uns des autres. Vous pouvez spécifier une combinaison de ces champs dans un ordre quelconque.

TargetRDN spécifie le nom unique relatif cible pour l'objet.

TargetSAM spécifie le nom de compte SAM cible pour l'objet. Pour les ordinateurs, le nom doit inclure le suffixe « $ » pour être un nom de compte SAM valide pour un ordinateur.

TargetUPN spécifie l'UPN cible pour l'objet. Vous pouvez spécifier le préfixe d'UPN ou un UPN complet (préfixe@suffixe). Si le nom spécifié contient un espace ou une virgule, le nom doit être mis entre guillemets (" ").

SourceName,TargetRDN

ancien_nom, CN=nouveau_nom

SourceName,TargetRDN,TargetSAM

ancien_nom, "CN=Nouveau RDN", nouveau_nom_sam

SourceName,TargetRDN,TargetSAM,TargetUPN

ancien_nom, "CN=dernier\, premier", nouveau_nom_sam, nouveau_nom_upn

noteRemarque
Une virgule dans la valeur CN doit être précédée d'un caractère d'échappement (« \ ») sans quoi l'opération échoue et ADMT enregistre une erreur de syntaxe non valide dans le fichier journal.

SourceName,TargetSAM,TargetUPN,TargetRDN

ancien_nom, nouveau_nom_sam, nouveau_nom_upn@domaine_cible, "CN=Nouveau nom"

Modification du nom des objets

Utilisez le format suivant dans un fichier Include pour renommer les objets ordinateur, utilisateur ou groupe lors de la migration :

  • Utilisez SourceName, TargetRDN, TargetSAM etTargetUPN comme en-têtes de colonne en haut du fichier Include. SourceName correspond au nom du compte source et doit être indiqué comme premier en-tête de colonne. Les en-têtes de colonne TargetRDN, TargetSAM et TargetUPN sont facultatifs et peuvent être indiqués dans un ordre quelconque.

  • Vous devez spécifier le nom de compte comme nom d'utilisateur, nom unique relatif ou nom canonique. Si vous spécifiez le nom de compte comme nom unique relatif, vous devez également spécifier l'unité d'organisation source.

Les exemples suivants sont des fichiers Include valides dans lesquels l'option de renommage est utilisée :

SourceName,TargetSAM

abc,def

Cette entrée de fichier Include modifie le nom de compte TargetSAM pour l'utilisateur « abc » en « def ». TargetRDN et TargetUPN, non spécifiés dans ce fichier Include, ne changent pas suite à la migration.

SourceName,TargetRDN,TargetUPN

abc,CN=def,def@contoso.com

Cette entrée de fichier Include modifie TargetRDN pour l'utilisateur abc en CN=def et TargetUPN en def@contoso.com. TargetSAM pour l'utilisateur abc ne change pas suite à la migration.

ImportantImportant
Vous devez spécifier CN= avant d'utiliser une valeur RDN.

Utilisation d'un fichier Exclude

Vous pouvez exclure des objets de la migration en utilisant un fichier Exclude. Il s'agit d'un fichier texte qui répertorie l'attribut SAMAccountName des objets à exclure. Par exemple, pour exclure les comptes de services administrés suivants, créez un fichier texte :

MSA_USER5$
MSA_USER6$

Puis, spécifiez le nom du fichier exclude lorsque vous exécutez la commande admt. Par exemple :

admt managedserviceaccount /ef:”nom du fichier exclude”

Vous pouvez, en option, exclure des comptes spécifiques en utilisant le paramètre /en :

admt managedserviceaccount /en:”compte de services administrés 1” “compte de services administrés 2”

Utilisation des scripts

Les exemples de script dans ce guide se rapportent à des constantes symboliques définies dans le fichier AdmtConstants.vbs. La liste qui suit montre le fichier Microsoft Visual Basic® Scripting Edition (VBScript) des constantes ADMT. Celles-ci figurent également dans le dossier d'installation ADMT, dans le fichier TemplateScript.vbs, dans le répertoire %systemroot%\WINDOWS\ADMT.

Pour utiliser les exemples de script figurant dans ce guide, copiez le fichier VBScript des constantes ADMT dans le Bloc-notes et enregistrez-le sous AdmtConstants.vbs. Assurez-vous d'enregistrer les exemples de script fournis dans ce guide.

Option Explicit

'----------------------------------------------------------------------------
' Constantes des scripts ADMT
'----------------------------------------------------------------------------

' Constantes PasswordOption

Const admtComplexPassword                   = &H0001
Const admtCopyPassword                      = &H0002

' Notez que la constante suivante ne peut pas être spécifiée seule.
' Elle doit être spécifiée avec admtComplexPassword ou admtCopyPassword.
Const admtDoNotUpdatePasswordsForExisting   = &H0010

' Constantes ConflictOptions

Const admtIgnoreConflicting           = &H0000
Const admtMergeConflicting            = &H0001
Const admtRemoveExistingUserRights    = &H0010
Const admtRemoveExistingMembers       = &H0020
Const admtMoveMergedAccounts          = &H0040

' Constantes DisableOption

Const admtLeaveSource        = &H0000
Const admtDisableSource      = &H0001
Const admtTargetSameAsSource = &H0000
Const admtDisableTarget      = &H0010
Const admtEnableTarget       = &H0020

' Constante SourceExpiration

Const admtNoExpiration = -1

' Options de traduction

Const admtTranslateReplace = 0
Const admtTranslateAdd     = 1
Const admtTranslateRemove  = 2

' Type de rapport

Const admtReportMigratedAccounts  = 0
Const admtReportMigratedComputers = 1
Const admtReportExpiredComputers  = 2
Const admtReportAccountReferences = 3
Const admtReportNameConflicts     = 4

' Constantes d'option

Const admtNone     = 0
Const admtData     = 1
Const admtFile     = 2
Const admtDomain   = 3
Const admtRecurse           = &H0100
Const admtFlattenHierarchy  = &H0000
Const admtMaintainHierarchy = &H0200
Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft. Tous droits réservés.