Guia do ADMT: migrando e reestruturando domínios do Active Directory

Você pode executar uma reestruturação entre florestas para alterações comerciais, como fusões ou aquisições ou alienações, nas quais suas organizações têm de combinar ou dividir recursos. Como parte do processo de reestruturação, quando você migra objetos entre florestas, os ambientes de origem e de destino existem simultaneamente. Isso possibilita a reversão para o ambiente de origem durante a migração, se for necessário.

Não há suporte para dividir ou clonar florestas, por exemplo, para acomodar a alienação de uma organização. Para obter mais informações, consulte Reestruturando limitações (http://go.microsoft.com/fwlink/?LinkId=121736). (em inglês)

Importante
Se você estiver usando o ADMT v3.1, todos os domínios de destino deverão estar pelo menos no nível funcional nativo do Windows® 2000. Se você estiver usando o ADMT v3.2, todos os domínios de origem e de destino deverão estar pelo menos no nível funcional do Windows® Server 2003.

Quando reestruturar domínios em uma floresta, você poderá consolidar sua estrutura de domínio e reduzir a sobrecarga e a complexidade administrativa. Ao contrário do processo para reestruturar domínios entre florestas, quando você reestrutura domínios em uma floresta, as contas migradas não existem mais no domínio de origem. Portanto, a reversão da migração só poderá ocorrer quando você executar o processo de migração novamente em ordem inversa, do domínio de destino anterior para o domínio de origem anterior.

Importante
Se você estiver usando o ADMT v3.1, todos os domínios de destino deverão estar pelo menos no nível funcional nativo do Windows 2000. Se você estiver usando o ADMT v3.2, todos os domínios de origem e destino deverão estar pelo menos no nível funcional do Windows Server 2003.

A tabela a seguir lista as diferenças entre uma reestruturação dos domínios entre florestas e uma reestruturação dos domínios intraflorestal.

Os termos a seguir se aplicam ao processo de reestruturação dos domínios do Active Directory.

Migração   O processo de mover ou copiar um objeto de um domínio de origem para um domínio de destino, preservando ou modificando características do objeto para torná-lo acessível no novo domínio.

Reestruturação do domínio   Um processo de migração que envolve a alteração da estrutura do domínio de uma floresta. Uma reestruturação de domínio pode envolver a consolidação ou a adição de domínios e pode ocorrer entre florestas ou em uma floresta.

Objetos de migração   Objetos de domínio que são movidos do domínio de origem para o domínio de destino durante o processo de migração. Os objetos de migração podem ser contas de usuário, contas de serviço, grupos ou computadores.

Domínio de origem   O domínio do qual os objetos são movidos durante uma migração. Quando ocorre uma reestruturação de domínios do Active Directory entre florestas, o domínio de origem é um domínio do Active Directory em uma floresta diferente do domínio de destino.

Domínio de destino   O domínio para o qual os objetos são movidos durante uma migração.

Contas internas   Grupos de segurança padrão que possuem conjuntos comuns de direitos e permissões. Você pode usar contas internas para conceder permissões para contas ou grupos designados como membros desses grupos. Os SIDs (identificadores de segurança) de contas internas são idênticos em todos os domínios. Portanto, as contas internas não podem ser objetos de migração.

Você pode usar a ADMT para migrar objetos em florestas do Active Directory. Essa ferramenta inclui assistentes que automatizam tarefas de migração, como migração de usuários, grupos, contas de serviço, computadores e confianças e execução de conversão de segurança.

Você pode executar tarefas da ADMT usando o console da ADMT, uma linha de comando ou um script. Quando você executa a ADMT na linha de comando, é geralmente mais eficiente usar um arquivo de opção para especificar as opções da linha de comando. Você pode usar a referência do arquivo de opção da ADMT do exemplo a seguir para ajudá-lo a criar arquivos de opções. Os exemplos de sintaxe da linha de comando são fornecidos para cada tarefa que você deve executar para reestruturar os domínios dentro da floresta.

A listagem a seguir mostra opções comuns que se aplicam a várias tarefas de migração. Cada tipo de tarefa de migração tem uma seção que lista opções específicas dessa tarefa. O nome da seção corresponde ao nome da tarefa quando você executa a ADMT na linha de comando. Você pode comentar itens com um ponto e vírgula. Na lista a seguir, os valores padrão são comentados.

[Migration]
;IntraForest=No
;SourceDomain="nome_de_domínio_de_origem" 
;SourceOu="caminho_de_uo_de_origem" 

;TargetDomain="nome_de_domínio_de_destino" 
;TargetOu="caminho_de_uo_de_destino" 
;PasswordOption=Complex
;PasswordServer="" 
;PasswordFile="" 
;ConflictOptions=Ignore
;UserPropertiesToExclude="" 
;InetOrgPersonPropertiesToExclude="" 
;GroupPropertiesToExclude="" 
;ComputerPropertiesToExclude="" 

[User]
;DisableOption=EnableTarget
;SourceExpiration=None
;MigrateSIDs=Yes
;TranslateRoamingProfile=No
;UpdateUserRights=No
;MigrateGroups=No
;UpdatePreviouslyMigratedObjects=No
;FixGroupMembership=Yes
;MigrateServiceAccounts=No
;UpdateGroupRights=No

[Group]
;MigrateSIDs=Yes
;UpdatePreviouslyMigratedObjects=No
;FixGroupMembership=Yes
;UpdateGroupRights=No
;MigrateMembers=No
;DisableOption=EnableTarget
;SourceExpiration=None
;TranslateRoamingProfile=No
;MigrateServiceAccounts=No

[Security]
;TranslationOption=Add
;TranslateFilesAndFolders=No
;TranslateLocalGroups=No
;TranslatePrinters=No
;TranslateRegistry=No
;TranslateShares=No
;TranslateUserProfiles=No
;TranslateUserRights=No
;SidMappingFile="SidMappingFile.txt"

Quando você executa a ADMT na linha de comando, não precisará incluir uma opção em seu comando se desejar aceitar o valor padrão. Neste guia, entretanto, são fornecidas tabelas que listam parâmetros e valores possíveis para referência. As tabelas listam o equivalente à linha de comando de cada opção mostrada no procedimento do console da ADMT correspondente, incluindo as opções nas quais você aceita o valor padrão.

Você pode copiar a referência do arquivo de opção no Bloco de Notas e salvá-la usando uma extensão de nome de arquivo .txt.

Como um exemplo, para migrar um pequeno número de computadores, você pode digitar cada nome de computador na linha de comando, usando a opção /N e, em seguida, listar outras opções de migração dentro de um arquivo de opção, como a seguir:

ADMT COMPUTER /N "<nome_do_computador1>" "<nome_do_computador2>" /O:"<arquivo_de_opção>.txt"

Em que <nome_do_computador1> e <nome_do_computador2> são os nomes dos computadores do domínio de origem que você está migrando neste lote.

Usando um arquivo de inclusão

Quando você migra um número grande de usuários, grupos ou computadores, é mais eficiente usar um arquivo de inclusão. Um arquivo de inclusão é um arquivo de texto no qual você lista os objetos de usuário, grupo e computador que deseja migrar, com cada objeto em uma linha separada. Você deverá usar um arquivo de inclusão se desejar renomear objetos durante a migração.

Você pode listar usuários, grupos e computadores juntos em um arquivo ou pode criar um arquivo separado para cada tipo de objeto. Em seguida, especifique o nome do arquivo de inclusão com a opção /F, como a seguir:

Copiar

ADMT COMPUTER /F "<nome_de_arquivo_de_exclusão>" /IF:YES /SD:"<domínio_de_origem>” /TD:"<domínio_de_destino>" /TO:"<UO_de_destino>"

Para especificar os nomes de usuários, grupos ou computadores, use uma das seguintes convenções:

• O nome da conta do SAM (Gerenciador de Contas de Segurança). Para especificar um nome de computador nesse formato, você deve anexar um símbolo de cifrão ($) no nome do computador. Por exemplo, para especificar um computador com o nome Workstation01, use Workstation01$.
  
  
• O nome diferenciado relativo (também conhecido como RDN), por exemplo, cn= Workstation01. Se você especificar a conta como um nome diferenciado relativo, deverá especificar a UO (unidade organizacional) de origem.
  
  
• O nome canônico. Você pode especificar o nome canônico como nome de domínio DNS/caminho_da_uo/nome_do_objeto ou caminho_da_uo/nome_do_objeto, por exemplo, Asia.trccorp.treyresearch.net/Computers/Workstation01 ou Computers/Workstation01.
  
  

As seguintes seções descrevem os campos de um arquivo de inclusão e fornecem exemplos para cada campo:

Campo SourceName

O campo SourceName especifica o nome do objeto de origem. Você pode especificar um nome de conta ou um nome diferenciado relativo. Se você especificar apenas nomes de origem, será opcional definir um cabeçalho na primeira linha do arquivo.

O exemplo a seguir ilustra uma linha de cabeçalho que especifica o campo SourceName. O exemplo mostra também um nome de objeto de origem que é especificado em vários formatos. A segunda linha especifica um nome de conta. A terceira linha especifica um nome diferenciado relativo.

SourceName

name

CN= name

Campo TargetName

Você pode usar o campo TargetName para especificar um nome base que é usado para gerar um nome diferenciado relativo de destino, um nome de conta do SAM de destino e um UPN (nome principal de usuário) de destino. O campo TargetName não pode ser combinado com outros campos de nome de destino que são descritos nesta seção.

Observação
O UPN de destino é gerado apenas para objetos de usuário e apenas um prefixo UPN é gerado. Um sufixo UPN é anexado usando um algoritmo que depende se um sufixo UPN está definido para a UO de destino ou a floresta de destino. Se o objeto for um computador, a conta de SAM de destino incluirá um sufixo "$".

O exemplo de entrada a seguir gera o nome diferenciado relativo de destino, o nome da conta do SAM de destino e o UPN de destino como "CN=newname", "newname" e "newname", respectivamente.

SourceName,TargetName

oldname, newname

Campos TargetRDN, TargetSAM e TargetUPN

Você pode usar os campos TargetRDN, TargetSAM e TargetUPN para especificar os nomes de destino diferentes, independentemente um do outro. Você pode especificar qualquer combinação desses campos em qualquer ordem.

TargetRDN especifica o nome diferenciado relativo de destino para o objeto.

TargetSAM especifica o nome de conta do SAM de destino para o objeto. Para computadores, o nome deve incluir um sufixo "$" que seja um nome de conta do SAM válido para um computador.

TargetUPN especifica o UPN de destino do objeto. Você pode especificar apenas o prefixo UPN ou um nome UPN completo (prefixo@sufixo). Se o nome especificado contiver um espaço ou uma vírgula, você deverá colocar o nome entre aspas duplas (" ").

SourceName,TargetRDN

oldname, CN=newname

SourceName,TargetRDN,TargetSAM

oldname, "CN=New RDN", newsamname

SourceName,TargetRDN,TargetSAM,TargetUPN

oldname, "CN=last\, first", newsamname, newupnname

Observação
Uma vírgula dentro do valor CN deve ser precedida por um caractere de espaço ("\") ou a operação falhará e a ADMT registrará um erro de sintaxe inválido no arquivo de log.

SourceName,TargetSAM,TargetUPN,TargetRDN

oldname, newsamname, newupnname@targetdomain, "CN=New Name"

Renomeando objetos

Use o seguinte formato em um arquivo de inclusão para renomear objetos de computador, usuário ou grupo durante a migração:

• Use SourceName, TargetRDN, TargetSAM e TargetUPN como cabeçalhos de colunas na parte superior do arquivo de inclusão. SourceName é o nome da conta de origem e deve ser listado como o cabeçalho da primeira coluna. Os cabeçalhos de coluna TargetRDN, TargetSAM e TargetUPN são opcionais e você pode listá-los em qualquer ordem.
  
  
• É necessário especificar o nome da conta como um nome de usuário, nome diferenciado relativo ou nome canônico. Se você especificar o nome da conta como um nome diferenciado relativo, deverá especificar também a UO de origem.
  
  

Estes itens são exemplos de arquivos de inclusão válidos em que a opção de renomeação é usada:

SourceName,TargetSAM

abc,def

Essa entrada do arquivo de inclusão altera o nome da conta TargetSAM do usuário "abc" para "def." O TargetRDN e o TargetUPN, que não são especificados nesse arquivo de inclusão, não são alterados como resultado da migração.

SourceName,TargetRDN,TargetUPN

abc,CN=def,def@contoso.com

Essa entrada do arquivo de inclusão altera o TargetRDN do usuário abc para CN=def e o TargetUPN para def@contoso.com. O TargetSAM do usuário abc não é alterado como resultado da migração.

Importante
Você deve especificar CN= antes de usar um valor RDN.

Usando um arquivo de exclusão

Você pode excluir objetos da migração usando um arquivo de exclusão. Um arquivo de exclusão é uma arquivo de texto que lista o atributo SAMAccountName dos objetos que você deseja excluir. Por exemplo, para excluir as contas de serviço gerenciado a seguir, crie um arquivo de texto:

Copiar

MSA_USER5$
MSA_USER6$

Depois, especifique o nome do arquivo de exclusão quando executar o comando admt. Por exemplo:

Copiar

admt managedserviceaccount /ef:”exclude file name”

Como opção, você pode especificar contas específicas usando o parâmetro /en:

Copiar

admt managedserviceaccount /en:”conta de serviço gerenciado 1” “conta de serviço gerenciado 2”

Usando scripts

Option Explicit

'----------------------------------------------------------------------------
' Constantes de script da ADMT
'----------------------------------------------------------------------------

' Constantes de PasswordOption

Const admtComplexPassword                   = &H0001
Const admtCopyPassword                      = &H0002

' Observe que a constante a seguir não pode ser especificada sozinha.
' Ela deve ser especificada junto com admtComplexPassword ou admtCopyPassword.
Const admtDoNotUpdatePasswordsForExisting   = &H0010

' Constantes ConflictOptions

Const admtIgnoreConflicting           = &H0000
Const admtMergeConflicting            = &H0001
Const admtRemoveExistingUserRights    = &H0010
Const admtRemoveExistingMembers       = &H0020
Const admtMoveMergedAccounts          = &H0040

' Constantes DisableOption

Const admtLeaveSource        = &H0000
Const admtDisableSource      = &H0001
Const admtTargetSameAsSource = &H0000
Const admtDisableTarget      = &H0010
Const admtEnableTarget       = &H0020

' Constante SourceExpiration

Const admtNoExpiration = -1

' Opção de conversão

Const admtTranslateReplace = 0
Const admtTranslateAdd     = 1
Const admtTranslateRemove  = 2

' Tipo de relatório

Const admtReportMigratedAccounts  = 0
Const admtReportMigratedComputers = 1
Const admtReportExpiredComputers  = 2
Const admtReportAccountReferences = 3
Const admtReportNameConflicts     = 4

' Constantes de opção

Const admtNone     = 0
Const admtData     = 1
Const admtFile     = 2
Const admtDomain   = 3
Const admtRecurse           = &H0100
Const admtFlattenHierarchy  = &H0000
Const admtMaintainHierarchy = &H0200