適用対象: Active Directory 移行ツール 3.1 (ADMT 3.1) および ADMT 3.2
Active Directory 移行ツール (ADMT) では、アカウントの移行時に、セキュリティ識別子 (SID) の履歴を使用してリソースのアクセス許可を保持できます。ただし、移行元ドメインと移行先ドメイン間で SID フィルターが有効になっていて、移行元ドメインの管理者を信頼していない場合は、SID フィルターを無効にできません。また、SID の履歴を使用して移行元ドメインのリソースへのアクセスを有効にすることもできません。この場合は、別の移行プロセスを使用する必要があります。
移行元ドメインのリソースにアクセスするユーザー権利を保持したままフォレスト間でアカウントを移行する場合は、次の 3 つの方法のいずれかを選択できます。
-
リソースへのアクセスに関する SID の履歴を使用しながらユーザー アカウントを移行します。この方法では、ドメイン間の信頼に対する SID フィルターを削除して、ユーザーが SID の履歴の資格情報を使用して移行元ドメインのリソースにアクセスできるようにします。
-
フォレストの信頼が存在する場合は、フォレストの信頼に対する SID フィルターを削除します。また、リソースを保持しているドメインが移行先ドメインを信頼するように外部の信頼を作成し、外部の信頼に対する SID フィルターを削除することにより、フォレストの信頼を上書きすることもできます。
-
フォレストの信頼が存在しない場合は、移行元ドメインと移行先ドメイン間に外部の信頼を確立します。信頼の作成に使用するドメイン コントローラーが Windows Server 2008 R2、Windows Server 2008、または Windows Server 2003 を実行している場合は、外部の信頼に対する SID フィルターを削除する必要があります。ADMT v3.1 を使用している場合は、信頼の作成に使用するドメイン コントローラーを Windows 2000 Service Pack 4 (SP4) 以降で実行できます。
このプロセスの詳細については、後の「SID の履歴を使用したアカウントの移行」を参照してください。
-
1 ステップですべてのユーザー、グループ、およびリソースを移行先ドメインに移行します。このプロセスの詳細については、後の「SID の履歴を使用したアカウントの移行」を参照してください。
-
リソースへのアクセスに関する SID の履歴を使用せずにユーザー アカウントを移行します。ただし、移行プロセスの前にすべてのリソースのセキュリティを変換して、リソースへのアクセスを確保します。SID の履歴を使用しないアカウントの移行の詳細については、後の「SID の履歴を使用しないアカウントの移行」を参照してください。
どのアカウント移行プロセスが組織に最適であるかを判断するには、まず、SID フィルターを無効にした状態でリソースへのアクセスに関する SID の履歴を使用してアカウントを移行できるかどうかを判断する必要があります。移行元ドメインの管理者が移行先ドメインの管理者を完全に信頼している場合は、これを安全に行うことができます。次の条件のいずれかに該当する場合は、SID フィルターを無効にできます。
-
信頼する側のドメインの管理者が、信頼される側のドメインの管理者でもある。
-
信頼する側のドメインの管理者が、信頼される側のドメインの管理者を信頼し、そのドメインが適切にセキュリティで保護されていると確信している。
SID フィルターを無効にする場合は、フォレスト間のセキュリティ境界を削除します。そうしないと、データおよびサービスがフォレスト間で分離された状態になります。たとえば、サービス管理者の権限を持つ移行先ドメイン内の管理者、またはドメイン コントローラーに物理的にアクセスできるユーザーは、移行元ドメイン内のドメイン管理者の SID が含まれるようにアカウントの SID の履歴を変更できます。SID の履歴が変更されたユーザー アカウントで移行先ドメインにログオンするとき、そのアカウントは移行元ドメイン内のリソースに対する有効なドメイン管理者の資格情報を提示し、そのリソースにアクセスできます。
このため、移行先ドメインの管理者を信頼していない場合、または移行先ドメインのドメイン コントローラーが物理的に安全であると確信できない場合は、移行元ドメインと移行先ドメイン間の SID フィルターを有効にし、リソースへのアクセスに関する SID の履歴を使用せずにユーザー アカウントを移行します。
次の図は、組織に適した移行プロセスを判断するための決定プロセスを示しています。
.gif)