Данная пошаговая наглядная статья описывает миграцию пользователей и их паролей, а так же компьютеров между доменами с помощью инструмента Active Directory Migration Tool. Для выполнения миграции через ADMT необходимо выполнить следующие условия:
- доверительные отношения между доменами
- отключение фильтрации SID, если пользователю необходим доступ к ресурсам без изменений
- учётная запись, под который выполняется миграция, должна быть членом группы Administrators в исходном домене
учётная запись, под который выполняется миграция, должна быть членом локальной группы Administrators в каждом компьютере
- для установки ADMT v3.2 необходимо установить MS SQL Express
- для миграции паролей на контроллере исходного домена устанавливается утилита PES
- во время миграции компьютера на нём не должно быть активных сессий

Тестовый стенд реализован на следующем железе. Все образы дисков хранятся на Storage Spaces из 4 HDD:

Тестовая сеть.
Исходный домен:
DC01.OLD.EXONIX.RU              - 192.168.0.10
CLI01                                          - 192.168.0.11
Домен назначения:
DC03.NEW.EXONIX.MOSCOW  - 172.30.130.10
ADMT.NEW.EXONIX.MOSCOW - 172.30.130.11
DC02.MAIN.EXONIX.MOSCOW - 10.10.11.10 - используется только как родительский домен в лесу.
Маршрутизация сетей
ROUTER                                     - все сети

Новый домен с имеющемся лесу создаётся при выборе следующей опции:

Результат настройки доверий между лесами должен выглядеть следующим образом: 

Для работы ADMT 3.2 необходимо установить бесплатный SQL Express. В моей статье я буду использовать MS SQL 2012 Express, который устанавливается почти с настройками по умолчанию.

Установка ADMT:

Проверка членства администратора целевого домена в группе Administrators исходного домена:

Отключение фильтрации SID в доменах, а так же создание ключа для установки PES.

Установка PES на контроллере исходного домена запускается из командной строки, запущенной с правами Администратора, в противном случае пароль для ключа не будет приниматься.

После установки PES необходимо перезагрузить сервер и в службах вручную включить службу PES.

В исходном домене создаются соответвующая NetBios имени группа с областью действия "Доменно локальная" как показано ниже:

Приступаем к тестовой миграции группы old$$$. Для миграции SID необходимо включить Audit Account Management в обоих доменах. Это можно сделать вручную через локальные политики контроллера домена, который будет указываться во время миграции (или групповые для OU Domain Controllers если таковых несколько, и будет указываться автовыбор контроллера домена) или ADMT это сделает сам как будет показано ниже:

Записываем имена доменов и выбираем контроллеры доменов. Выбор контроллера для исходного домена обязателен, если в домене их больше одного, а PES установлен только на одном из них.

Выбираем ранее созданную группу и указываем путь в AD куда мигрировать.

 ADMT предлагает включить Аудит на указанных контроллерах домена в каждом домене:

Выбираем опции при разрешении конфликтов:

После миграции смотрим логи на предмет миграции SID.

Так же SID можно увидеть в аттрибуте sIDHistory. В Событиях можно посмотреть сообщение 4765:

Приступаем к миграции пользователя выбрав соответствующую задачу в ADMT. При первом переносе учётной записи пользователя его пароль не мигрируется, даже если указать соответствующую опцию.

Во время миграции пользователя можно задать миграцию и всех групп, в которые он входит. В моём случае, пользователь входит в одну группу:

Проверяем логи на предмет ошибок. В логах отображено сообщение о том, что пароль не был скопирован, а его, как я понял, хешь записан в текстовый файл, который можно открыть блокнотом запущенным от имени администратора.

При повторной миграции пользователя скопируется его пароль, а так же будет установлен аттрибут - смена пароля при первом входе.

Приступаем к миграции компьютера, выбрав соответствующее действие и опции. Рекомендую перед переносом реального пользовательского компьютера протестировать миграцию его клона в тестовой среде, и проверить работоспособность пользовательских приложений, которые используют сертификаты. Например, клиент-банки.

Миграция компьютера в другой домен завершена. Пользователь может залогинится на своём компьютере в новом домене.
Для того, чтобы отключить Аудит, включённый ADMT, необходимо открыть оснастку локальных политик контроллера домена:

Во время переноса может возникнуть ошибка подключения к компьютеру. Это связанно с фаерволом, в котором необходимо включить все правила File Sharing:

Если возникнет ошибка: ERR2:7674 Unable to determine the local path for ADMIN share on the machine 'CLI01'. rc=-2147024891 - это означает, что нет административных прав на данный компьютер для учётной записи, которая выполняет миграцию. Решается добавлением этой учётной записи в локальную группу Администраторы с помощью групповых политик Restricted Groups.

19.04.2015