Exportar (0) Imprimir
Expandir Tudo

Guia do ADMT: migrando e reestruturando domínios do Active Directory

Atualizado: junho de 2010

Aplica-se a: Windows Server 2008, Windows Server 2008 R2

Aplica-se ao: Ferramenta de Migração do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2

Para obter uma versão disponível para download desse guia no formato .doc, consulte o Guia do ADMT: Migrando e reestruturando domínios do Active Directory (http://go.microsoft.com/fwlink/?LinkId=191734).

Como parte da implantação do serviço de diretório do Active Directory® ou do AD DS (Serviços de Domínio do Active Directory), você pode optar por reestruturar seu ambiente pelas seguintes razões:

  • Para otimizar a organização dos elementos dentro da estrutura lógica do Active Directory

  • Para ajudar a concluir uma fusão, aquisição ou alienação comercial

A reestruturação envolve a migração de recursos entre domínios do Active Directory na mesma floresta ou em florestas diferentes. Depois de implantar o Active Directory ou o AD DS, você pode decidir reduzir ainda mais a complexidade do seu ambiente reestruturando domínios entre florestas ou reestruturando domínios dentro de uma única floresta.

Você pode usar a Ferramenta de Migração do Active Directory (ADMT) para realizar migrações de objetos e conversão de segurança conforme necessário para que os usuários possam manter o acesso a recursos de rede durante o processo de migração. Para obter mais informações sobre as diferentes versões do ADMT que estão disponíveis, quando usar cada versão e como obtê-las, consulte Versões e ambientes com suporte da Ferramenta de Migração do Active Directory.

Neste guia

As seções a seguir explicam os principais cenários de migração usando a ADMT. Depois que você determinar o cenário apropriado para o seu ambiente, siga as etapas a seguir neste guia para esse cenário.

Reestruturação dos Domínios do Active Directory Entre Florestas

Você pode executar uma reestruturação entre florestas para alterações comerciais, como fusões ou aquisições ou alienações, nas quais suas organizações têm de combinar ou dividir recursos. Como parte do processo de reestruturação, quando você migra objetos entre florestas, os ambientes de origem e de destino existem simultaneamente. Isso possibilita a reversão para o ambiente de origem durante a migração, se for necessário.

Não há suporte para dividir ou clonar florestas, por exemplo, para acomodar a alienação de uma organização. Para obter mais informações, consulte Reestruturando limitações (http://go.microsoft.com/fwlink/?LinkId=121736). (em inglês)

ImportantImportante
Se você estiver usando o ADMT v3.1, todos os domínios de destino deverão estar pelo menos no nível funcional nativo do Windows® 2000. Se você estiver usando o ADMT v3.2, todos os domínios de origem e de destino deverão estar pelo menos no nível funcional do Windows® Server 2003.

Reestruturação dos Domínios do Active Directory Entre Florestas

Quando reestruturar domínios em uma floresta, você poderá consolidar sua estrutura de domínio e reduzir a sobrecarga e a complexidade administrativa. Ao contrário do processo para reestruturar domínios entre florestas, quando você reestrutura domínios em uma floresta, as contas migradas não existem mais no domínio de origem. Portanto, a reversão da migração só poderá ocorrer quando você executar o processo de migração novamente em ordem inversa, do domínio de destino anterior para o domínio de origem anterior.

ImportantImportante
Se você estiver usando o ADMT v3.1, todos os domínios de destino deverão estar pelo menos no nível funcional nativo do Windows 2000. Se você estiver usando o ADMT v3.2, todos os domínios de origem e destino deverão estar pelo menos no nível funcional do Windows Server 2003.

A tabela a seguir lista as diferenças entre uma reestruturação dos domínios entre florestas e uma reestruturação dos domínios intraflorestal.

 

Consideração de migração Reestruturação entre florestas Reestruturação entre florestas

Preservação do objeto

Os objetos são clonados em vez de migrados. O objeto original permanece no local de origem para manter o acesso aos recursos dos usuários.

Os objetos de usuário e de grupo são migrados e deixam de existir no local de origem. Os objetos da conta de serviço gerenciado e do computador copiados e as contas originais permanecem habilitados no domínio de origem.

Manutenção do histórico do SID (identificador de segurança)

A manutenção do histórico do SID é opcional.

O histórico SID é necessário para as contas de usuário, de grupo e do computador, mas não para as contas de serviço gerenciado.

Retenção de senha

A retenção de senha é opcional.

As senhas são sempre mantidas.

Migração do perfil local

Você deve utilizar ferramentas como a ADMT para migrar perfis locais.

Os perfis locais são migrados automaticamente porque o GUID (identificador global exclusivo) é preservado.

Conjuntos fechados

Você não tem de migrar contas em conjuntos fechados. Para obter mais informações, consulte Informações gerais para reestruturação dos domínios do Active Directory dentro de uma floresta (http://go.microsoft.com/fwlink/?LinkId=122123). (em inglês)

Você deve migrar contas em conjuntos fechados.

Termos e definições

Os termos a seguir se aplicam ao processo de reestruturação dos domínios do Active Directory.

Migração   O processo de mover ou copiar um objeto de um domínio de origem para um domínio de destino, preservando ou modificando características do objeto para torná-lo acessível no novo domínio.

Reestruturação do domínio   Um processo de migração que envolve a alteração da estrutura do domínio de uma floresta. Uma reestruturação de domínio pode envolver a consolidação ou a adição de domínios e pode ocorrer entre florestas ou em uma floresta.

Objetos de migração   Objetos de domínio que são movidos do domínio de origem para o domínio de destino durante o processo de migração. Os objetos de migração podem ser contas de usuário, contas de serviço, grupos ou computadores.

Domínio de origem   O domínio do qual os objetos são movidos durante uma migração. Quando ocorre uma reestruturação de domínios do Active Directory entre florestas, o domínio de origem é um domínio do Active Directory em uma floresta diferente do domínio de destino.

Domínio de destino   O domínio para o qual os objetos são movidos durante uma migração.

Contas internas   Grupos de segurança padrão que possuem conjuntos comuns de direitos e permissões. Você pode usar contas internas para conceder permissões para contas ou grupos designados como membros desses grupos. Os SIDs (identificadores de segurança) de contas internas são idênticos em todos os domínios. Portanto, as contas internas não podem ser objetos de migração.

Ferramenta de Migração do Active Directory

Você pode usar a ADMT para migrar objetos em florestas do Active Directory. Essa ferramenta inclui assistentes que automatizam tarefas de migração, como migração de usuários, grupos, contas de serviço, computadores e confianças e execução de conversão de segurança.

Você pode executar tarefas da ADMT usando o console da ADMT, uma linha de comando ou um script. Quando você executa a ADMT na linha de comando, é geralmente mais eficiente usar um arquivo de opção para especificar as opções da linha de comando. Você pode usar a referência do arquivo de opção da ADMT do exemplo a seguir para ajudá-lo a criar arquivos de opções. Os exemplos de sintaxe da linha de comando são fornecidos para cada tarefa que você deve executar para reestruturar os domínios dentro da floresta.

A listagem a seguir mostra opções comuns que se aplicam a várias tarefas de migração. Cada tipo de tarefa de migração tem uma seção que lista opções específicas dessa tarefa. O nome da seção corresponde ao nome da tarefa quando você executa a ADMT na linha de comando. Você pode comentar itens com um ponto e vírgula. Na lista a seguir, os valores padrão são comentados.

[Migration]
;IntraForest=No
;SourceDomain="nome_de_domínio_de_origem" 
;SourceOu="caminho_de_uo_de_origem" 

;TargetDomain="nome_de_domínio_de_destino" 
;TargetOu="caminho_de_uo_de_destino" 
;PasswordOption=Complex
;PasswordServer="" 
;PasswordFile="" 
;ConflictOptions=Ignore
;UserPropertiesToExclude="" 
;InetOrgPersonPropertiesToExclude="" 
;GroupPropertiesToExclude="" 
;ComputerPropertiesToExclude="" 

[User]
;DisableOption=EnableTarget
;SourceExpiration=None
;MigrateSIDs=Yes
;TranslateRoamingProfile=No
;UpdateUserRights=No
;MigrateGroups=No
;UpdatePreviouslyMigratedObjects=No
;FixGroupMembership=Yes
;MigrateServiceAccounts=No
;UpdateGroupRights=No

[Group]
;MigrateSIDs=Yes
;UpdatePreviouslyMigratedObjects=No
;FixGroupMembership=Yes
;UpdateGroupRights=No
;MigrateMembers=No
;DisableOption=EnableTarget
;SourceExpiration=None
;TranslateRoamingProfile=No
;MigrateServiceAccounts=No

[Security]
;TranslationOption=Add
;TranslateFilesAndFolders=No
;TranslateLocalGroups=No
;TranslatePrinters=No
;TranslateRegistry=No
;TranslateShares=No
;TranslateUserProfiles=No
;TranslateUserRights=No
;SidMappingFile="SidMappingFile.txt"

Quando você executa a ADMT na linha de comando, não precisará incluir uma opção em seu comando se desejar aceitar o valor padrão. Neste guia, entretanto, são fornecidas tabelas que listam parâmetros e valores possíveis para referência. As tabelas listam o equivalente à linha de comando de cada opção mostrada no procedimento do console da ADMT correspondente, incluindo as opções nas quais você aceita o valor padrão.

Você pode copiar a referência do arquivo de opção no Bloco de Notas e salvá-la usando uma extensão de nome de arquivo .txt.

Como um exemplo, para migrar um pequeno número de computadores, você pode digitar cada nome de computador na linha de comando, usando a opção /N e, em seguida, listar outras opções de migração dentro de um arquivo de opção, como a seguir:

ADMT COMPUTER /N "<nome_do_computador1>" "<nome_do_computador2>" /O:"<arquivo_de_opção>.txt"

Em que <nome_do_computador1> e <nome_do_computador2> são os nomes dos computadores do domínio de origem que você está migrando neste lote.

Usando um arquivo de inclusão

Quando você migra um número grande de usuários, grupos ou computadores, é mais eficiente usar um arquivo de inclusão. Um arquivo de inclusão é um arquivo de texto no qual você lista os objetos de usuário, grupo e computador que deseja migrar, com cada objeto em uma linha separada. Você deverá usar um arquivo de inclusão se desejar renomear objetos durante a migração.

Você pode listar usuários, grupos e computadores juntos em um arquivo ou pode criar um arquivo separado para cada tipo de objeto. Em seguida, especifique o nome do arquivo de inclusão com a opção /F, como a seguir:

ADMT COMPUTER /F "<nome_de_arquivo_de_exclusão>" /IF:YES /SD:"<domínio_de_origem>” /TD:"<domínio_de_destino>" /TO:"<UO_de_destino>"

Para especificar os nomes de usuários, grupos ou computadores, use uma das seguintes convenções:

  • O nome da conta do SAM (Gerenciador de Contas de Segurança). Para especificar um nome de computador nesse formato, você deve anexar um símbolo de cifrão ($) no nome do computador. Por exemplo, para especificar um computador com o nome Workstation01, use Workstation01$.

  • O nome diferenciado relativo (também conhecido como RDN), por exemplo, cn= Workstation01. Se você especificar a conta como um nome diferenciado relativo, deverá especificar a UO (unidade organizacional) de origem.

  • O nome canônico. Você pode especificar o nome canônico como nome de domínio DNS/caminho_da_uo/nome_do_objeto ou caminho_da_uo/nome_do_objeto, por exemplo, Asia.trccorp.treyresearch.net/Computers/Workstation01 ou Computers/Workstation01.

As seguintes seções descrevem os campos de um arquivo de inclusão e fornecem exemplos para cada campo:

Campo SourceName

O campo SourceName especifica o nome do objeto de origem. Você pode especificar um nome de conta ou um nome diferenciado relativo. Se você especificar apenas nomes de origem, será opcional definir um cabeçalho na primeira linha do arquivo.

O exemplo a seguir ilustra uma linha de cabeçalho que especifica o campo SourceName. O exemplo mostra também um nome de objeto de origem que é especificado em vários formatos. A segunda linha especifica um nome de conta. A terceira linha especifica um nome diferenciado relativo.

SourceName

name

CN= name

Campo TargetName

Você pode usar o campo TargetName para especificar um nome base que é usado para gerar um nome diferenciado relativo de destino, um nome de conta do SAM de destino e um UPN (nome principal de usuário) de destino. O campo TargetName não pode ser combinado com outros campos de nome de destino que são descritos nesta seção.

noteObservação
O UPN de destino é gerado apenas para objetos de usuário e apenas um prefixo UPN é gerado. Um sufixo UPN é anexado usando um algoritmo que depende se um sufixo UPN está definido para a UO de destino ou a floresta de destino. Se o objeto for um computador, a conta de SAM de destino incluirá um sufixo "$".

O exemplo de entrada a seguir gera o nome diferenciado relativo de destino, o nome da conta do SAM de destino e o UPN de destino como "CN=newname", "newname" e "newname", respectivamente.

SourceName,TargetName

oldname, newname

Campos TargetRDN, TargetSAM e TargetUPN

Você pode usar os campos TargetRDN, TargetSAM e TargetUPN para especificar os nomes de destino diferentes, independentemente um do outro. Você pode especificar qualquer combinação desses campos em qualquer ordem.

TargetRDN especifica o nome diferenciado relativo de destino para o objeto.

TargetSAM especifica o nome de conta do SAM de destino para o objeto. Para computadores, o nome deve incluir um sufixo "$" que seja um nome de conta do SAM válido para um computador.

TargetUPN especifica o UPN de destino do objeto. Você pode especificar apenas o prefixo UPN ou um nome UPN completo (prefixo@sufixo). Se o nome especificado contiver um espaço ou uma vírgula, você deverá colocar o nome entre aspas duplas (" ").

SourceName,TargetRDN

oldname, CN=newname

SourceName,TargetRDN,TargetSAM

oldname, "CN=New RDN", newsamname

SourceName,TargetRDN,TargetSAM,TargetUPN

oldname, "CN=last\, first", newsamname, newupnname

noteObservação
Uma vírgula dentro do valor CN deve ser precedida por um caractere de espaço ("\") ou a operação falhará e a ADMT registrará um erro de sintaxe inválido no arquivo de log.

SourceName,TargetSAM,TargetUPN,TargetRDN

oldname, newsamname, newupnname@targetdomain, "CN=New Name"

Renomeando objetos

Use o seguinte formato em um arquivo de inclusão para renomear objetos de computador, usuário ou grupo durante a migração:

  • Use SourceName, TargetRDN, TargetSAM e TargetUPN como cabeçalhos de colunas na parte superior do arquivo de inclusão. SourceName é o nome da conta de origem e deve ser listado como o cabeçalho da primeira coluna. Os cabeçalhos de coluna TargetRDN, TargetSAM e TargetUPN são opcionais e você pode listá-los em qualquer ordem.

  • É necessário especificar o nome da conta como um nome de usuário, nome diferenciado relativo ou nome canônico. Se você especificar o nome da conta como um nome diferenciado relativo, deverá especificar também a UO de origem.

Estes itens são exemplos de arquivos de inclusão válidos em que a opção de renomeação é usada:

SourceName,TargetSAM

abc,def

Essa entrada do arquivo de inclusão altera o nome da conta TargetSAM do usuário "abc" para "def." O TargetRDN e o TargetUPN, que não são especificados nesse arquivo de inclusão, não são alterados como resultado da migração.

SourceName,TargetRDN,TargetUPN

abc,CN=def,def@contoso.com

Essa entrada do arquivo de inclusão altera o TargetRDN do usuário abc para CN=def e o TargetUPN para def@contoso.com. O TargetSAM do usuário abc não é alterado como resultado da migração.

ImportantImportante
Você deve especificar CN= antes de usar um valor RDN.

Usando um arquivo de exclusão

Você pode excluir objetos da migração usando um arquivo de exclusão. Um arquivo de exclusão é uma arquivo de texto que lista o atributo SAMAccountName dos objetos que você deseja excluir. Por exemplo, para excluir as contas de serviço gerenciado a seguir, crie um arquivo de texto:

MSA_USER5$
MSA_USER6$

Depois, especifique o nome do arquivo de exclusão quando executar o comando admt. Por exemplo:

admt managedserviceaccount /ef:”exclude file name”

Como opção, você pode especificar contas específicas usando o parâmetro /en:

admt managedserviceaccount /en:”conta de serviço gerenciado 1” “conta de serviço gerenciado 2”

Usando scripts

Os scripts de amostra que são fornecidos neste guia referem-se às constantes simbólicas que são definidas em um arquivo chamado AdmtConstants.vbs. A listagem a seguir mostra o arquivo VBScript (Microsoft Visual Basic® Scripting Edition) de constantes da ADMT. As constantes são fornecidas também na pasta de instalação da ADMT, no arquivo TemplateScript.vbs, no diretório %systemroot%\WINDOWS\ADMT.

Para usar os scripts de amostra deste guia, copie o arquivo VBScript de constantes da ADMT no Bloco de Notas e salve-o como AdmtConstants.vbs. Certifique-se de salvá-lo na mesma pasta em que você planeja salvar os scripts de amostra que são fornecidos neste guia.

Option Explicit

'----------------------------------------------------------------------------
' Constantes de script da ADMT
'----------------------------------------------------------------------------

' Constantes de PasswordOption

Const admtComplexPassword                   = &H0001
Const admtCopyPassword                      = &H0002

' Observe que a constante a seguir não pode ser especificada sozinha.
' Ela deve ser especificada junto com admtComplexPassword ou admtCopyPassword.
Const admtDoNotUpdatePasswordsForExisting   = &H0010

' Constantes ConflictOptions

Const admtIgnoreConflicting           = &H0000
Const admtMergeConflicting            = &H0001
Const admtRemoveExistingUserRights    = &H0010
Const admtRemoveExistingMembers       = &H0020
Const admtMoveMergedAccounts          = &H0040

' Constantes DisableOption

Const admtLeaveSource        = &H0000
Const admtDisableSource      = &H0001
Const admtTargetSameAsSource = &H0000
Const admtDisableTarget      = &H0010
Const admtEnableTarget       = &H0020

' Constante SourceExpiration

Const admtNoExpiration = -1

' Opção de conversão

Const admtTranslateReplace = 0
Const admtTranslateAdd     = 1
Const admtTranslateRemove  = 2

' Tipo de relatório

Const admtReportMigratedAccounts  = 0
Const admtReportMigratedComputers = 1
Const admtReportExpiredComputers  = 2
Const admtReportAccountReferences = 3
Const admtReportNameConflicts     = 4

' Constantes de opção

Const admtNone     = 0
Const admtData     = 1
Const admtFile     = 2
Const admtDomain   = 3
Const admtRecurse           = &H0100
Const admtFlattenHierarchy  = &H0000
Const admtMaintainHierarchy = &H0200
Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft