windows server 2003 как перенести информацию о доменах и всех пользователей?

Исходный домен следует настроить так, чтобы он доверял конечному. При желании доверительные отношения можно сделать двусторонними, чтобы конечный домен доверял исходному. Это упростит настройку, однако для завершения миграции с помощью ADMT не требуется. Требования, относящиеся к выполнению необязательных задач миграции Перечисленные ниже задачи могут быть выполнены автоматически при запуске мастера миграции пользователей в тестовом режиме и выборе режима миграции sIDHistory. Автоматическая настройка будет успешной только в случае, если учетная запись, от имени которой запускается ADMT, имеет привилегии администратора как в исходном, так и в конечном домене.

1. Создайте в исходном домене локальную группу с именем %sourcedomain%$$$. Эта группа не должна содержать ни одной учетной записи.
2. Включите аудит успешных и неуспешных операций для параметра политики безопасности «Аудит управления учетными записями» для обоих доменов в используемой по умолчанию политике для контроллеров доменов.
3. Разрешите в исходном домене доступ к SAM через удаленный вызов процедур (RPC); для этого на эмуляторе основного контроллера домена (PDC) в исходном домене необходимо создать указанный параметр типа DWORD со значением 1: HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSATcpipClientSupportПосле добавления этого параметра эмулятор основного контроллера домена следует перезапустить.

Примечание. В доменах Windows 2000 учетная запись, от имени которой запускается ADMTv2, должна иметь права администратора домена в обоих доменах: исходном и конечном. В конечных доменах Windows Server 2003 миграция атрибута sIDHistory может делегироваться. Подробнее об этом см. в центре справки и поддержки Windows Server 2003.

Чтобы включить миграцию паролей между лесами, необходимо установить библиотеку, выполняющуюся в контексте LSA. Работа в этом защищенном контексте предотвращает просмотр паролей в незашифрованном текстовом виде кем бы то ни было, включая саму операционную систему. Установка библиотеки защищена секретным ключом, который создается ADMTv2 и устанавливается администратором.

Чтобы установить библиотеку миграции паролей.

1. Войдите с правами администратора на компьютер, где установлена программа ADMTv2.
2. Введите в командной строке команду: ADMT KEY исходный_доменпуть [* | пароль] ; она создаст файл ключа для экспорта паролей (.pes). В этом примере исходный_домен представляет собой NetBIOS-имя исходного домена, а путь — это путь к файлу, содержащему ключ. Путь обязан быть локальным, однако может указывать на съемный носитель, такой, как гибкий диск, ZIP-диск или записываемый компакт-диск. Необязательный пароль позволяет дополнительно защитить сам PES-файл. При вводе звездочки (*) ADMT выдаст запрос на ввод пароля (который при вводе не будет отображаться на экране) .
3. Переместите созданный на шаге 2 PES-файл на сервер экспорта паролей в исходном домене. Эту роль может играть любой контроллер домена, имеющий быстрый и надежный доступ к компьютеру, на котором запущена программа ADMT.
4. Установите библиотеку миграции паролей на сервер экспорта паролей с помощью программы Pwmig.exe. Pwmig.exe находится в папке I386ADMT установочного носителя Windows Server 2003 или папке, в которую была помещена программа ADMTv2 при загрузке из Интернета.
5. В ответ на запрос укажите путь к созданному на шаге 2 PES-файлу. Этот путь должен быть локальным.
6. По завершении установки сервер требуется перезапустить.
7. Непосредственно перед миграцией паролей измените значение указанного ниже параметра реестра типа DWORD на 1. Чтобы минимизировать риск, не делайте это заранее. HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSAAllowPasswordExport