Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ADMTmigguide
ADMTmigguide
Microsoft Corporation Publicado: Junio de 2010 Autor: Justin Hall Editores: Jim Becker, Margery Spears
Resumen
En esta gua se explica cmo usar la Herramienta de migracin para Active Directory Migration Tool versin 3.1 (ADMT v3.1) o ADMT v3.2 para migrar usuarios, grupos, cuentas de servicio administradas y equipos entre dominios de Active Directory en bosques diferentes (migracin entre bosques) o entre dominios de Active Directory en el mismo bosque (migracin interna del bosque). Tambin se muestra cmo usar ADMT para realizar la conversin de seguridad entre distintos bosques de Active Directory.
La informacin contenida en este documento, incluidas las direcciones URL y las referencias a otros sitios Web de Internet, est sujeta a cambios sin previo aviso. A menos que se indique lo contrario, los nombres de las compaas, organizaciones, productos, nombre de dominio, direcciones de correo electrnico, logotipos, personas, lugares y acontecimientos aqu mencionados son ficticios y no representan de ningn modo a ninguna compaa, organizacin, producto, nombre de dominio, direccin de correo electrnico, logotipo, persona, lugar o acontecimiento real. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Sin limitacin en los derechos de autor, ninguna parte de este documento puede reproducirse o transmitirse de ninguna forma, ni por ningn medio, ya sea electrnico, mecnico, fotocopiado, grabado o cualquier otro, con ningn propsito, sin la previa autorizacin por escrito de Microsoft Corporation. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y otros derechos de propiedad intelectual sobre el contenido de este documento. El suministro de este documento no le otorga ninguna licencia sobre estas patentes, marcas, derechos de autor u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato por escrito de licencia de Microsoft. 2010 Microsoft Corporation. Reservados todos los derechos. Active Directory, Microsoft, Windows y Windows Server son marcas registradas o marcas comerciales de Microsoft Corporation en EE.UU. y/o en otros pases. Los nombres de compaas reales y productos que se mencionan aqu pueden ser marcas registradas de sus respectivos propietarios.
Contenido
Gua de ADMT: Migracin y reestructuracin de dominios de Active Directory...............................1 Resumen.................................................................................................................................. 1 Contenido........................................................................................................................................ 3 Gua de ADMT: Migracin y reestructuracin de dominios de Active Directory.............................10 Reestructuracin de dominios de Active Directory entre bosques.............................................11 Reestructuracin de dominios de Active Directory dentro de un mismo bosque.......................11 Trminos y definiciones............................................................................................................. 12 Herramienta de migracin para Active Directory.......................................................................13 Uso de un archivo de inclusin...............................................................................................15 Campo SourceName.......................................................................................................... 16 Campo TargetName............................................................................................................ 16 Campos TargetRDN, TargetSAM y TargetUPN...................................................................16 Cambio de nombre de objetos............................................................................................17 Uso de un archivo de exclusin..........................................................................................18 Uso de secuencias de comandos...........................................................................................18 Herramienta de migracin Active Directory: versiones y entornos admitidos................................20 Compatibilidad con caractersticas de Windows Server ...........................................................23 Prcticas recomendadas para la migracin de Active Directory...................................................24 Prcticas recomendadas para el uso de la Herramienta de migracin para Active Directory.......24 Prcticas recomendadas para la realizacin de migraciones de cuentas de grupo y usuario......25 Prcticas recomendadas para realizar migraciones de equipos...................................................26 Prcticas recomendadas para revertir una migracin...................................................................27 Reestructuracin de dominios de Active Directory entre distintos bosques..................................28 Lista de comprobacin: Realizacin de una migracin entre bosques.........................................28 Introduccin a la reestructuracin de dominios de Active Directory entre bosques......................32 Proceso para la reestructuracin de Active Directory entre bosques............................................32 Informacin general bsica para la reestructuracin de dominios de Active Directory entre bosques..................................................................................................................................... 33 Proceso de migracin de cuenta............................................................................................... 34 Proceso de migracin de recursos............................................................................................35
Planeamiento para la reestructuracin de dominios de Active Directory entre bosques...............35 Determinacin del proceso de migracin de cuentas...................................................................36 Uso del historial de SID para conservar el acceso a recursos......................................................38 Uso de filtrado de SID al migrar cuentas de usuarios...................................................................39 Asignacin de las funciones y ubicaciones de objetos.................................................................40 Desarrollo de un plan de prueba para la migracin......................................................................42 Creacin de un plan de reversin.................................................................................................44 Administracin de usuarios, grupos y perfiles de usuario.............................................................45 Administracin de cuentas de usuario.......................................................................................46 Atributos que el sistema excluye siempre..............................................................................47 Lista de exclusin de atributos del sistema............................................................................47 Lista de exclusin de atributos............................................................................................... 47 Administracin de grupos globales............................................................................................ 47 Planeamiento para la migracin de perfil de usuario.................................................................48 Preparacin para la migracin de perfiles mviles con equipos que ejecutan Windows Vista y Windows 7.......................................................................................................................... 49 Creacin de un plan de comunicacin con los usuarios finales....................................................51 Informacin general................................................................................................................... 51 Impacto...................................................................................................................................... 51 Estado de inicio de sesin durante la migracin........................................................................52 Pasos de migracin previa........................................................................................................ 52 Cambios esperados................................................................................................................... 52 Programacin e informacin de soporte tcnico........................................................................52 Preparacin de los dominios de origen y destino..........................................................................52 Instalacin de software de cifrado alto de 128 bits.......................................................................53 Establecimiento de confianzas necesarias para la migracin.......................................................54 Establecimiento de cuentas de migracin para la migracin........................................................54 Configuracin de los dominios de origen y destino para la migracin del historial de SID...........58 Configuracin de la estructura de unidades organizativas del dominio de destino para la administracin........................................................................................................................... 60 Instalacin de ADMT en el dominio de destino.............................................................................61 Instalacin de ADMT v3.1.......................................................................................................... 61 Requisitos previos para la instalacin de ADMT v3.1.............................................................62 Instalacin de ADMT v3.1 usando el almacn de la base de datos predeterminado.............62
Instalacin de ADMT v3.2.......................................................................................................... 65 Requisitos previos para la instalacin de ADMT v3.2.............................................................65 Instalar ADMT v3.2................................................................................................................. 66 Separar un archivo de base de datos existente de una versin anterior de ADMT y de SQL Server............................................................................................................................ 67 Reconfigurar la instalacin de la base de datos con Admtdb.exe..............................................67 Reutilizar una base de datos de ADMT existente desde una instalacin anterior......................69 Habilitacin de la migracin de contraseas.................................................................................70 Inicializacin de ADMT ejecutando una migracin de prueba.......................................................74 Identificacin de cuentas de servicios para la migracin..............................................................77 Identificacin de las cuentas de servicio....................................................................................77 Migracin de cuentas.................................................................................................................... 83 Transicin de cuentas de servicio en su migracin.......................................................................84 Migracin de grupos globales....................................................................................................... 91 Migracin de cuentas mientras utiliza el historial de SID..............................................................97 Migracin de cuentas de servicio administradas.........................................................................100 Migracin de todas las cuentas de usuario.................................................................................106 Repeticin de la migracin de las cuentas de usuario y migracin de las estaciones de trabajo en lotes......................................................................................................................................... 113 Conversin de perfiles de usuario local...................................................................................113 Migracin de estaciones de trabajo en lotes............................................................................118 Repeticin de la migracin de las cuentas de usuarios en lotes.............................................126 Repeticin de la migracin de todos los grupos globales despus de la migracin de cuenta de usuario................................................................................................................................. 132 Repeticin de la migracin de todos los grupos globales despus de migrar todos los lotes.....132 Migracin de cuentas sin utilizar el historial de SID....................................................................138 Migracin de cuentas de servicio administradas.........................................................................141 Migracin de todas las cuentas de usuario.................................................................................147 Conversin de seguridad en modo Agregar................................................................................154 Repeticin de la migracin de las cuentas de usuario y migracin de las estaciones de trabajo en lotes......................................................................................................................................... 158 Conversin de perfiles de usuarios locales.............................................................................159 Migracin de estaciones de trabajo en lotes............................................................................163
Repeticin de la migracin de las cuentas de usuarios en lotes.............................................171 Repeticin de la migracin de todos los grupos globales despus de la migracin de cuenta de usuario................................................................................................................................. 177 Repeticin de la migracin de todos los grupos globales despus de migrar todos los lotes.....178 Conversin de seguridad en modo Quitar...................................................................................183 Migracin de recursos................................................................................................................. 187 Migracin de estaciones de trabajo y servidores miembro.........................................................188 Migrar grupos locales compartidos y de dominios......................................................................196 Migracin de controladores de dominio......................................................................................200 Finalizacin de la migracin........................................................................................................ 200 Conversin de seguridad en los servidores miembro.................................................................201 Cmo dar de baja el dominio de origen......................................................................................206 Reestructuracin de dominios de Active Directory dentro de un mismo bosque.........................207 Lista de comprobacin: Realizacin de una migracin dentro del mismo bosque......................207 Introduccin a la reestructuracin de dominios de Active Directory dentro de un bosque mediante ................................................................................................................................................. 211 Reestructuracin de dominios de Active Directory dentro de un bosque mediante ADMT v3.1..212 Informacin general para la reestructuracin de dominios de Active Directory dentro de un bosque..................................................................................................................................... 212 Conjuntos cerrados y conjuntos abiertos.................................................................................213 Usuarios y grupos................................................................................................................ 213 Recursos y grupos locales................................................................................................... 215 Historial de SID........................................................................................................................ 215 Asignacin de acceso de recursos a grupos...........................................................................215 Preparacin para la reestructuracin de dominios de Active Directory dentro de un bosque.....216 Evaluacin de la nueva estructura de bosque de Active Directory..............................................217 Identificar los dominios de origen............................................................................................ 217 Identifique y evale la estructura de unidades organizativas del dominio de destino..............217 Asignacin de las funciones y ubicaciones de objetos de dominio.............................................218 Plan para la migracin de grupos............................................................................................... 220 Plan para migraciones de prueba...............................................................................................222
Crear un plan de reversin.......................................................................................................... 224 Crear un plan de comunicacin con los usuarios finales............................................................225 Informacin general................................................................................................................. 226 Impacto.................................................................................................................................... 226 Estado de inicio de sesin durante la migracin......................................................................226 Pasos de migracin previa...................................................................................................... 226 Cambios esperados................................................................................................................. 226 Programacin e informacin de soporte tcnico......................................................................227 Creacin de grupos de cuentas de migracin.............................................................................227 Instalacin de ADMT en el dominio de destino...........................................................................229 Instalacin de ADMT v3.1........................................................................................................ 230 Requisitos previos para la instalacin de ADMT v3.1...........................................................230 Instalacin de ADMT v3.1 usando el almacn de la base de datos predeterminado...........230 Instalacin de ADMT v3.2........................................................................................................ 234 Requisitos previos para la instalacin de ADMT v3.2...........................................................234 Instalar ADMT v3.2............................................................................................................... 235 Separar un archivo de base de datos existente de una versin anterior de ADMT y de SQL Server.......................................................................................................................... 236 Reconfigurar la instalacin de la base de datos con Admtdb.exe............................................236 Reutilizar una base de datos de ADMT existente desde una instalacin anterior....................238 Plan para transiciones de cuentas de servicios..........................................................................239 Ejemplo: Preparacin para la reestructuracin de dominios de Active Directory........................244 Migracin de objetos de dominio entre dominios de Active Directory.........................................245 Migracin de grupos................................................................................................................... 246 Migrar grupos universales........................................................................................................... 247 Migrar grupos globales................................................................................................................ 251 Migrar cuentas de sercivios........................................................................................................ 257 Migracin de cuentas de servicio administradas.........................................................................263 Migrar cuentas de usuario........................................................................................................... 269 Migracin de unidades organizativas y subrboles de unidades organizativas..........................270 Migracin de cuentas.................................................................................................................. 271 Conversin de perfiles de usuarios locales.................................................................................277 Migracin de estaciones de trabajo y servidores miembro.........................................................282
Migrar grupos locales de dominios.............................................................................................290 Ejemplo: Reestructuracin de dominios de Active Directory.......................................................294 Finalizacin de las tareas posteriores a la migracin..................................................................295 Examen de los registros de migracin en busca de errores.......................................................296 Acceso a archivos de registro de ADMT..................................................................................296 Comprobar tipos de grupos......................................................................................................... 296 Conversin de seguridad en los servidores miembro.................................................................297 Conversin de seguridad mediante un archivo de asignacin SID.............................................301 Baja del dominio de origen.......................................................................................................... 302 Ejemplo: Finalizacin de las tareas posteriores a la migracin...................................................302 Apndice: Procedimientos avanzados........................................................................................303 Configurar un controlador de dominio preferido..........................................................................303 Cambiar los nombres de objetos durante la migracin...............................................................305 Uso de un archivo de inclusin................................................................................................... 306 Especificacin de un archivo de inclusin...............................................................................306 Uso de un archivo de opciones................................................................................................... 308 Solucin de problemas de ADMT................................................................................................310 Solucin de problemas de instalacin de ADMT.........................................................................311 Solucin de problemas relativos a la migracin de usuarios.......................................................312 Solucin de problemas relativos a la migracin de grupos.........................................................313 Solucin de problemas relativos a la migracin de cuentas de servicios....................................314 Solucin de problemas relativos a la migracin de cuentas de servicios administradas............316 Solucin de problemas relativos a la migracin de equipos........................................................318 Solucin de problemas relativos a la migracin de contraseas.................................................319 Solucin de problemas relativos a la conversin de seguridad...................................................321 Solucin de problemas relativos a la migracin dentro de un mismo bosque.............................323 Solucin de problemas relativos a los archivos de registro de ADMT.........................................324 Solucin de problemas relativos a la lnea de comandos de ADMT...........................................325
Solucin de problemas relativos a las operaciones de agentes..................................................326 Recursos adicionales.................................................................................................................. 328 Informacin relacionada.......................................................................................................... 328 Herramientas relacionadas...................................................................................................... 328 Ayudas para tareas relacionadas............................................................................................ 328
En las siguientes secciones se explican los principales escenarios de migracin para el uso de ADMT. Una vez que determine el escenario adecuado para su entorno, siga los pasos correspondientes que se describen ms adelante en esta gua.
10
Importante
Importante
Preservacin de objetos
Los objetos se clonan ms que migran. El objeto original permanece en la ubicacin de origen para mantener el acceso a los recursos para los usuarios.
Los objetos de grupo y de usuario se migran y ya no existen en la ubicacin de origen. Los objetos de la cuenta de servicio administrada y del 11
Consideracin de migracin
equipo copiados y las cuentas originales permanecen habilitadas en el dominio de origen. Mantenimiento del historial de SID El mantenimiento del historial de SID es opcional El historial de SID es necesario para el usuario, el grupo y las cuentas de equipo, pero no para las cuentas de servicio administradas. Las contraseas siempre se conservan. Los perfiles locales se migran automticamente dado que se preserva el identificador nico global (GUID) del usuario.
La conservacin de contrasea es opcional. Debe usar herramientas como ADMT para migrar perfiles locales.
Conjuntos cerrados
No tiene que migrar cuentas en conjuntos Debe migrar las cerrados. Para obtener ms informacin, cuentas en conjuntos consulte Informacin general para la cerrados. reestructuracin de dominios de Active Directory dentro de un bosque (http://go.microsoft.com/fwlink/?LinkId=122123).
Trminos y definiciones
Los trminos siguientes se aplican al proceso de reestructuracin de dominios de Active Directory. Migracin Proceso de mover o copiar un objeto de un dominio de origen a un dominio de destino, a la vez que se mantienen o modifican las caractersticas del objeto para hacerlo accesible en el nuevo dominio. Reestructuracin de dominios Proceso de migracin que implica el cambio de la estructura de dominios de un bosque. Una reestructuracin de dominios puede implicar la consolidacin o adicin de dominios, y puede producirse entre bosques o dentro de un bosque.
12
Objetos de migracin Objetos del dominio que se mueven desde el dominio de origen al dominio de destino durante el proceso de migracin. Los objetos de migracin pueden ser cuentas de usuario, cuentas de servicio, grupos o equipos. Dominio de origen El dominio desde el que se mueven los objetos durante una migracin. Al reestructurar dominios de Active Directory entre bosques, el dominio de origen es un dominio de Active Directory en un bosque diferente del dominio de destino. Dominio de destino El dominio al que se mueven los objetos durante una migracin. Cuentas integradas Grupos de seguridad predeterminados con conjuntos comunes de derechos y permisos. Puede usar cuentas integradas para conceder permisos a cuentas o grupos que designe como miembro de dichos grupos. Los SID de cuentas integradas son idnticos en todos los dominios. Por lo tanto, las cuentas integradas no pueden ser objetos de migracin.
13
[Usuario] ;DisableOption=EnableTarget ;SourceExpiration=None ;MigrateSIDs=Yes ;TranslateRoamingProfile=No ;UpdateUserRights=No ;MigrateGroups=No ;UpdatePreviouslyMigratedObjects=No ;FixGroupMembership=Yes ;MigrateServiceAccounts=No ;UpdateGroupRights=No
[Grupo] ;MigrateSIDs=Yes ;UpdatePreviouslyMigratedObjects=No ;FixGroupMembership=Yes ;UpdateGroupRights=No ;MigrateMembers=No ;DisableOption=EnableTarget ;SourceExpiration=None ;TranslateRoamingProfile=No ;MigrateServiceAccounts=No
14
Cuando ejecuta ADMT en la lnea de comandos, no tiene que incluir una opcin en el comando si desea aceptar el valor predeterminado. Sin embargo, en esta gua, se incluyen como referencia las tablas que muestran los posibles parmetros y valores. En las tablas se enumera el equivalente en lnea de comandos de cada opcin que se muestra en el procedimiento correspondiente de la consola de ADMT, incluyendo esas opciones para las que acepta el valor predeterminado. Puede copiar la referencia del archivo de opciones en el Bloc de notas y guardarla con una extensin de nombre de archivo .txt. Como ejemplo, para migrar un nmero pequeo de equipos, debera escribir el nombre de cada equipo en la lnea de comandos, usando la opcin /N y, a continuacin, enumerar otras opciones de migracin dentro de un archivo de opciones de la forma siguiente:
ADMT COMPUTER /N "<nombre_equipo1>" "<nombre_equipo2>" /O:"<archivo_opcin>.txt"
Donde <nombre_equipo1> y <nombre_equipo2> son los nombres de equipos del dominio de origen que va a migrar a este lote.
Para especificar los nombres de los usuarios, grupos o equipos, use una de las siguientes convenciones: El nombre de cuenta del Administrador de cuentas de seguridad (SAM). Para especificar un nombre de equipo en este formato, debe agregar un signo de dlar ($) al nombre del equipo. Por ejemplo, para especificar un equipo con el nombre Workstation01, use Workstation01$. El nombre distintivo relativo (tambin conocido como RDN), por ejemplo, cn= Workstation01. Si especifica la cuenta como un nombre distintivo relativo, debe especificar la unidad organizativa de origen.
15
Nota El nombre cannico. Puede especificar el nombre cannico como nombre dominio DNS/ruta_ou/nombre_objeto o ruta_ou/nombre_objeto, por ejemplo, Asia.trccorp.treyresearch.net/Computers/Workstation01 o Computers/Workstation01. En las secciones siguientes se describen los campos de un archivo de inclusin y se proporcionan ejemplos de cada campo:
Campo SourceName
El campo SourceName especifica el nombre del objeto de origen. Puede especificar un nombre de cuenta o un nombre distintitvo relativo. Si slo especifica nombres de origen, es opcional definir un encabezado en la primera lnea del archivo. En el ejemplo siguiente se muestra una lnea de encabezado que especifica el campo SourceName. En el ejemplo tambin se muestra un nombre de objeto de origen que se especifica en varios formatos. La segunda lnea especifica un nombre de cuenta. La tercera lnea especifica un nombre distintivo relativo. SourceName name CN=name
Campo TargetName
Puede utilizar el campo TargetName para especificar un nombre base que se utilice para generar un nombre distintivo relativo de destino, un nombre de cuenta del Administrador de cuentas de seguridad (SAM) y un nombre principal de usuario de destino (UPN). El campo TargetName no se puede combinar con otros campos de nombre de destino que se describen ms adelante en esta seccin. El UPN de destino se genera slo para los objetos de usuario y slo se genera un prefijo de UPN. Se anexa un sufijo de UPN mediante un algoritmo que depende de si se define un sufijo UPN para el OU de destino o para el bosque de destino. Si el objeto es un equipo, el nombre de cuenta del SAM de destino incluye un sufijo "$". En el ejemplo siguiente de entrada se genera un nombre distintivo relativo de destino, un nombre de cuenta del SAM de destino y un UPN de destino como "CN= newname", "newname" y "newname" respectivamente. SourceName,TargetName oldname, newname
Nota TargetSAM especifica el nombre de cuenta del SAM de destino del objeto. En los equipos, el nombre debe incluir un sufijo "$" para que sea un nombre de cuenta de SAM vlido. TargetUPN especifica el UPN de destino del objeto. Puede especificar slo el prefijo de UPN o un nombre completo de UPN (prefix@suffix). Si el nombre especificado contiene un espacio o una coma, debe incluir el nombre entre comillas dobles (" "). SourceName,TargetRDN oldname, CN=newname SourceName,TargetRDN,TargetSAM oldname, "CN=New RDN", newsamname SourceName,TargetRDN,TargetSAM,TargetUPN oldname, "CN=last\, first", newsamname, newupnname Una coma dentro del valor CN debe ir precedida de un carcter de escape ("\") o la operacin producir un error y ADMT registrar un error de sintaxis no vlida en el archivo de registro. SourceName,TargetSAM,TargetUPN,TargetRDN oldname, newsamname, newupnname@targetdomain, "CN=New Name"
Importante Esta entrada del archivo de inclusin cambia el TargetRDN para el usuario abc a CN=def y TargetUPNo a def@contoso.com. TargetSAM para el usuario abc no cambia como resultado de la migracin. Debe especificar CN= antes usando un valor RDN.
A continuacin, especifique el nombre del archivo de exclusin cuando ejecute el comando admt. Por ejemplo:
admt managedserviceaccount /ef:nombre de archivo de exclusin
18
= &H0001 = &H0002
' Observe que la siguiente constante no se puede especificar por s sola. ' Se debe especificar junto con admtComplexPassword o admtCopyPassword. Const admtDoNotUpdatePasswordsForExisting = &H0010
Const admtIgnoreConflicting Const admtMergeConflicting Const admtRemoveExistingUserRights Const admtRemoveExistingMembers Const admtMoveMergedAccounts
= &H0000 = &H0001
Const admtNoExpiration = -1
19
Const admtReportMigratedAccounts
= 0
Const admtNone Const admtData Const admtFile Const admtDomain Const admtRecurse
= 0 = 1 = 2 = 3 = &H0100 = &H0000
Const admtFlattenHierarchy
Los El nivel funcional mnimo del dominios dominio de destino es de Windows 2000 nativo. origen pueden contener controlad
Migra los equipos que ejecutan Windows 2000 Profes sional, Windows XP, 20
Versin de ADMT
Platafor ma de instalaci n
ores de dominio que ejecuten Windows NT, Windows 2000 Server o Windows Server 2003, no requiere n un nivel funcional mnimo de dominio. ADMT v3.1 (http://go.microsoft.com/fw link/?LinkId=121732) Window s Server 2 008 Los dominios de origen pueden contener controlad ores que ejecuten Windows 2000 Server, Windows Server 2003 o Windows Server 2 008. Aunque un El nivel funcional mnimo del dominio de destino es Windows 2000 nativo. Si el dominio de destino tiene controladores de dominio que ejecutan Windows Server 2008 R2, utilice ADMT v3.2. Nota Existen problemas conocidos cuando se utiliza ADMT v3.1 para migrar objetos a un dominio que tiene controladores de dominio de Windows Server 2008 R2. Para obtener ms informacin, consulte
Migra los equipos que ejecutan Windows 2000 Profes sional, Windows XP, Windows Vista, Windows 20 00 Server, Windows Server 2003 yWindows Server 2008.
21
Versin de ADMT
Platafor ma de instalaci n
dominio de origen no requiere un nivel funcional mnimo de dominio, ADMT v3.1 no se puede utilizar para migrar objetos de dominios de Windows NT 4. ADMT v3.2 (http://go.microsoft.com/fw link/?LinkId=186197) Window s Server 2 008 R2
El nivel El nivel funcional mnimo del funcional dominio de destino es mnimo Windows Server 2003 nativo. del dominio de origen es Windows Server 2003 nati vo.
Migra los equipos que ejecutan Windows XP, Windows Vis ta, Windows 7, Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2.
22
Se pueden migrar mediante el Asistente para migracin de cuentas de servicio administradas o el comando admt managedserviceaccount. Las cuentas de usuario que estn habilitadas para la seguridad del mecanismo de autenticacin, se deben migrar mediante un archivo de inclusin Importante El Nombre principal del usuario (UPN) cambia cuando se migra un usuario, lo que impide que funcione la seguridad del mecanismo de autenticacin. Para solucionar este problema, debe mantener un registro de los UPN de las cuentas de usuario que estn habilitadas para la seguridad del mecanismo de autenticacin y migrarlas mediante un archivo de inclusin. En un archivo de inclusin, puede especificar los UPN de destino de estos usuarios que se van a migrar. De esta manera, puede reemplazar los nombres UPN de ese dominio de destino con los UPN originales del dominio de origen. Para obtener ms informacin acerca del uso de un archivo de inclusin, consulte Uso de un archivo de inclusin.
Sin efecto 23
Caracterstica
24
Descifre los archivos cifrados por medio del Sistema de cifrado de archivos (EFS). Si no se descifran los archivos cifrados, se perder el acceso a los archivos cifrados despus de la migracin. Asegrese de comunicar a los usuarios finales que deben descifrar cualquier archivo cifrado o perdern el acceso a esos archivos. Asegrese de que la hora del sistema est sincronizada en cada dominio del que se van a migrar objetos. La autenticacin Kerberos fallar si la hora no coincide.
Coloque los grupos globales en grupos locales para otorgar a los miembros de los grupos globales acceso a un recurso. Cumpla las reglas de la siguiente tabla cuando convierta perfiles de usuario.
25
Importante
Tipo de perfil Reglas de conversin
Perfiles mviles
Seleccione la opcin Convertir perfiles mviles en la pgina Opciones de usuario del Asistente para migracin de cuentas de usuario. A continuacin, convierta los perfiles de usuario locales de un lote de usuarios inmediatamente despus de la migracin de dichos usuarios. Convierta los perfiles locales como un paso independiente del proceso de migracin de cuentas de usuario. Seleccione la opcin Perfiles de usuario en la pgina Convertir objetos del Asistente para conversin de seguridad. Convierta los perfiles de usuario locales de un lote de usuarios inmediatamente despus de la migracin de dichos usuarios. Los usuarios pierden sus perfiles existentes cuando se migran sus cuentas de usuario.
Perfiles locales
Perfiles no administrados
Es importante comprobar que la conversin de perfil local se ha producido correctamente antes de que los usuarios intenten iniciar sesin en el dominio de destino. Si los usuarios inician sesin en el dominio de destino mediante sus nuevas cuentas de destino y sus perfiles no se han convertido correctamente, dichos usuarios se debern volver a migrar del dominio de origen al de destino. Para obtener ms informacin sobre los pasos que debe seguir si se produce un error en la conversin de perfiles locales, consulte Solucin de problemas relativos a la conversin de seguridad.
Nota
Nota
para Active Directory (ADMT) automatiza el reinicio de las estaciones de trabajo y los servidores miembro, pero utilice la opcin Minutos que habrn de transcurrir para que se reinicien los equipos tras la finalizacin del asistente en el Asistente para migracin de equipos para seleccionar la cantidad de tiempo que transcurre antes de que se reinicie el equipo. Los equipos que no reinician despus de la migracin estn en un estado indeterminado. Comunique a los usuarios finales que sus equipos deben conectarse a la red cuando su equipo est programado para la migracin.
27
28
Tarea
Referencia
Revise las instrucciones de preinstalacin de la Herramienta de migracin Active Directory (ADMT). Para migrar equipos que ejecuten Windows Server 2008, Windows Server 2003, Windows Vista (sin Service Pack 1), Windows XP y Microsoft Windows 2000 (utilizando ADMT 3.1) a un dominio de destino con controladores de dominio que ejecuten Windows Server 2008 R2 o Windows Server 2008, debe configurar primero la siguiente clave del Registro en los controladores de dominio de destino: Nota No es necesario configurar esta clave para migrar los equipos que ejecuten Windows Server 2008 R2, Windows 7 o Windows Vista SP1. Ruta de Registro: HKLM\System\CurrentControlSet\Services\Netlogon \Parameters Valor del Registro: AllowNT4Crypto Tipo: REG_DWORD Datos: 1 Nota Esta configuracin de registro corresponde a la configuracin Permitir algoritmos de cifrado con Windows NT 4.0 en la directiva de grupo. Para cualquier tarea de migracin que use la implementacin de agente y el Firewall de Windows, habilite la excepcin Compartir impresoras y archivos. Esto puede incluir la migracin en las siguientes situaciones: Migracin de equipos de estacin de trabajo y servidores miembro que ejecuten Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 7, Windows Vista o Windows XP. Migracin de configuracin de seguridad o conversin de seguridad Preprese para la reestructuracin de los dominios de
Instalacin de ADMT en el dominio de destino Para obtener ms informacin acerca de cmo realizar cambios mediante la directiva de grupo, consulte Problemas conocidos de instalacin y eliminacin de AD DS (http://go.microsoft.com/fwlink/? LinkId=119321) (en ingls).
Para obtener ms informacin acerca de cmo realizar cambios en el Firewall de Windows, consulte Habilitar o deshabilitar la regla de excepcin de uso compartido de archivos e impresoras (http://go.microsoft.com/fwlink/? LinkID=119315) (en ingls).
Tarea
Referencia
Active Directory dentro de un bosque. Esta tarea contiene las siguientes subtareas: Determine su proceso de migracin de cuentas. Asigne funciones y ubicaciones de objetos. Desarrolle un plan de prueba para la migracin. Cree un plan de reversin.
Administre usuarios, grupos y perfiles de usuario. Cree un plan de comunicacin con los usuarios. Instalacin de ADMT en el dominio de destino Planeamiento para la reestructuracin de dominios de Active Directory entre bosques
Prepare los dominios de origen y destino. Esta tarea contiene las siguientes subtareas: Instale software de cifrado de 128 bits. Establezca las confianzas necesarias para la migracin. Establezca cuentas de migracin para la migracin. Configure los dominios de origen y destino para la migracin del historial de identificadores de seguridad (SID). Configure la estructura de la unidad organizativa (OU) del dominio de destino. Instale ADMT en el dominio de destino. Especifique cuentas de servicio para la migracin. Especifique y realice la transicin de las cuentas de servicio usando el Asistente para migracin de cuentas de servicios o herramientas de lnea de comandos de ADMT. Puede usar la herramienta de lnea de comandos admt service para especificar cuentas de servicio en el dominio de origen. Puede usar la herramienta de lnea de comandos admt user para realizar la transicin de las cuentas de servicio que especifique. Migre los grupos globales usando el Asistente para migracin de cuentas de servicios o la herramienta de lnea de comandos admt group. Migre las cuentas de servicio administradas, las cuentas de usuario y las cuentas de estacin de trabajo
Tarea
Referencia
con sus historiales de SID en lotes. Puede usar el Asistente para migracin de cuentas de grupo o la herramienta de lnea de comandos admt user para migrar cuentas de usuario. Puede usar el Asistente para migracin de cuentas de servicio administradas o la herramienta de lnea de comandos admt managedserviceaccount para migrar cuentas de servicio administradas. Migre los recursos, como servidores miembro y grupos locales de dominios. Puede usar el Asistente para migracin de cuentas de equipo o la herramienta de lnea de comandos admt computer para migrar cuentas de equipo. Puede usar el Asistente para migracin de cuentas de grupo o la herramienta de lnea de comandos admt group para migrar grupos. Convierta la seguridad en servidores para agregar los SID de las cuentas de usuario y grupo en el dominio de destino a las listas de control de acceso (ACL) de los recursos. Puede usar el Asistente para conversin de seguridad o la herramienta de lnea de comandos admt security. Repita una migracin de cuentas de usuario, equipos de estaciones de trabajo y servidores miembro, incluida la conversin de perfiles de usuarios locales a objetos de usuario y equipo que haya migrado previamente. Migre los grupos locales de dominios usando el Asistente para migracin de cuentas de grupo o la herramienta de lnea de comandos admt group. Migre controladores de dominio. Complete las tareas posteriores a la migracin. Esta tarea contiene las siguientes subtareas: Convierta la seguridad de los servidores miembro. Retire los dominios de origen.
historial de SID Migracin de cuentas de servicio administradas Migracin de todas las cuentas de usuario
Repeticin de la migracin de las cuentas de usuario y migracin de las estaciones de trabajo en lotes
Repeticin de la migracin de las cuentas de usuario y migracin de las estaciones de trabajo en lotes Migrar grupos locales compartidos y de dominios Migracin de controladores de dominio Conversin de seguridad en los servidores miembro Cmo dar de baja el dominio de origen
31
32
Informacin general bsica para la reestructuracin de dominios de Active Directory entre bosques
Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 El proceso de migracin entre bosques no se considera destructivo, ya que los objetos de migracin continan existiendo en el dominio de origen hasta que el dominio de origen se d de baja. Dado que los entornos de dominio de origen y destino existen simultneamente durante la migracin, tiene la opcin de retroceder al entorno de origen si se produce un error en la migracin por cualquier motivo, por ejemplo, si un objeto particular no migra o el acceso no se mantiene o conserva en el dominio de destino una vez realizada la migracin. Puede utilizar la Herramienta de migracin para Active Directory (ADMT) para migrar cuentas y recursos entre dominios al mismo tiempo que conserva los permisos de objeto y usuario. Durante el proceso de reestructuracin entre distintos bosques, los usuarios tienen acceso continuo a los recursos necesarios. Adems, puede mover usuarios, grupos y recursos de forma independiente unos de otros. En el resto de secciones de este tema se explica el proceso de migracin de las cuentas y los recursos.
33
Si la ruta de redireccin de carpetas es la misma en el nuevo entorno, los usuarios no pueden tener acceso a la carpeta redireccionada dado que la redireccin de carpetas comprobar la propiedad de la carpeta redireccionada y se produce un error. A continuacin, debe convertir la seguridad en la carpeta redirigida en el servidor. Si utiliza la directiva de grupo para administrar la instalacin de software y el paquete de Windows Installer requiere el acceso al origen inicial de las operaciones como reparar y quitar, debe convertir la seguridad en el punto de distribucin de software despus de migrar usuarios para garantizar que la instalacin de software contina funcionando correctamente en el dominio de destino.
La migracin de las estaciones de trabajo y los servidores de miembros son un proceso sencillo. Los grupos locales que crea para asignar permisos de usuarios se ubican en la base de datos local del Administrador de cuentas de seguridad (SAM) y, a continuacin, se mueven cuando mueve el servidor. No tiene que volver a configurar las listas de control de acceso (ACL), de manera que los usuarios pueden tener acceso a los recursos despus de la migracin. Para migrar controladores de dominio entre dominios, elimine los Servicios de dominio de Active Directory (AD DS) del controlador de dominio, mgrelo como un servidor miembro al dominio de destino y, a continuacin, vuelva a instalar AD DS.
Para preparar el proceso de reestructuracin, el equipo de implementacin de Active Directory debe obtener la informacin de diseo necesaria del equipo de diseo de Active Directory. En la ilustracin siguiente se muestran los pasos implicados en la planeacin de la reestructuracin de dominios de Active Directory entre bosques.
36
Migre las cuentas de usuario mientras utiliza el historial de SID para el acceso a los recursos. Con este mtodo, quita el filtrado de SID en las confianzas entre los dominios para permitir a los usuarios tener acceso a los recursos del dominio de origen por medio de sus credenciales del historial de SID. Si ha establecido una confianza de bosque, quite el filtrado de SID en la confianza de bosque. (Tambin puede invalidar la confianza del bosque creando una confianza externa de manera que el dominio que guarda los recursos confe en el dominio de destino y, a continuacin, quitar el filtrado de SID de la confianza externa). Si no ha establecido una confianza de bosque, establezca confianzas externas entre los dominios de origen y de destino. A continuacin, debe eliminar el filtrado por SID de las confianzas externas si en el controlador de dominio que se utiliza para crear la confianza se ejecuta Windows Server 2008 R2, Windows Server 2008 o Windows Server 2003. Si va a utilizar ADMT v3.1, en el controlador de dominio que se use para crear la confianza se puede estar ejecutando Windows 2000 Service Pack 4 (SP4) o posterior. Para obtener ms informacin sobre este proceso, consulte Migracin de cuentas mientras utiliza el historial de SID, ms adelante en esta gua. Migre todos los usuarios, grupos y recursos al dominio de destino en un paso. Para obtener ms informacin sobre este proceso, consulte Migracin de cuentas mientras utiliza el historial de SID, ms adelante en esta gua. Migre cuentas de usuario sin utilizar el historial de SID para obtener acceso a los recursos, pero convierta la seguridad de todos los recursos antes del proceso de migracin para garantizar el acceso a los recursos. Para obtener ms informacin sobre la migracin de cuentas sin utilizar el historial de SID, consulte Migracin de cuentas sin utilizar el historial de SID, ms adelante en esta gua. Para determinar qu proceso de migracin de cuentas es mejor para su organizacin, primero debe determinar si puede deshabilitar el filtrado de SID y migrar cuentas mientras utiliza el historial de SID para tener acceso a los recursos. Puede realizarlo de forma segura si los administradores del dominio de origen confan plenamente en los administradores del dominio de destino. Es posible que deshabilite el filtrado de SID si se aplica una de las siguientes condiciones: Los administradores del dominio que confa son administradores del dominio de confianza. Los administradores del dominio que confa confan en los administradores del dominio de confianza y estn seguros de que han asegurado el dominio correctamente. Si deshabilita el filtrado de SID, quita el lmite de seguridad entre los bosques, que de lo contrario proporcionara aislamiento de servicios y datos entre los bosques. Por ejemplo, un administrador del dominio de destino que tenga derechos de administrador de servicios o un individuo que tenga acceso fsico a un controlador de dominio puede modificar el historial de SID de una cuenta para incluir el SID de un administrador de dominio en el dominio de origen. Cuando la cuenta de usuario para la que se ha modificado el historial de SID inicia sesin en el dominio de
37
destino, se presentan credenciales de administrador de dominio vlidos para los recursos del dominio de origen, a los que puede obtener acceso. Por este motivo, si no confa en los administradores del dominio de destino o no cree que los controladores de dominio del dominio de destino sean fsicamente seguros, habilite el filtrado de SID entre sus dominios de origen y de destino y migre cuentas de usuario sin utilizar el filtrado de SID para tener acceso a los recursos. La siguiente ilustracin muestra el proceso de decisin implicado en la determinacin del proceso de migracin adecuado para su organizacin.
en un grupo local de dominio para otorgar a los miembros del grupo global acceso al recurso. Un grupo global slo puede contener miembros de su propio dominio. Cuando un usuario se migra entre dominios, cualquier grupo global al que pertenezca el usuario tambin se debe migrar. As se garantiza que los usuarios puedan continuar teniendo acceso a los recursos protegidos por las listas de control de acceso discrecional (DACL) en relacin a los grupos globales. Tras la migracin de una cuenta y el mantenimiento del historial de identificadores de seguridad (SID) de la cuenta del dominio de origen, cuando un usuario inicia sesin en el dominio de destino, tanto el SID nuevo como el SID original del atributo del historial de SID se agregan al token de acceso del usuario. Estos SID determinan la pertenencia del usuario al grupo local. Los SID de los grupos a los que pertenece el usuario se agregan a continuacin para el token de acceso, junto con el historial de SID de dichos grupos. Los recursos dentro de los dominios de origen y de destino resuelven sus listas de control de acceso (ACL) a los SID y, a continuacin, comprueban las coincidencias entre las listas ACL y el token de acceso cuando otorga o deniega acceso. Si el SID o el historial de SID coincide, el acceso al recurso se otorga o deniega, segn el acceso especificado en la lista ACL. Si el recurso est en el dominio de origen y no ha ejecutado una conversin de seguridad, utiliza el historial de SID de la cuenta de usuario para otorgar acceso. Tambin puede conservar el SID original para los grupos globales y los grupos universales en el historial de SID del grupo global o el grupo universal en el dominio de destino. Dado que la pertenencia al grupo local se basa en los SID, cuando migra el SID al historial de SID del grupo global o grupo universal del dominio de destino, la pertenencia al grupo local del grupo global o grupo universal se conservan automticamente. El historial de SID se utiliza para las siguientes tareas: Acceso al perfil de usuario mvil Acceso de autoridad de certificacin Acceso de instalacin de software Acceso a recursos
Si no utiliza el historial de SID para el acceso a los recursos, tendr que migrar el historial de SID para facilitar el acceso a dichos elementos.
Puede habilitar el SID de un usuario en un bosque diferente para tener acceso a un recurso dentro de un bosque que tiene el filtrado de SID habilitado por la conversin de seguridad en el recurso para incluir el SID del usuario en la lista de permisos. El filtrado de SID se aplica de forma predeterminada cuando se establece una confianza de bosque entre dos dominios raz de bosque. Adems, el filtrado por SID se habilita de forma predeterminada cuando se establecen confianzas externas entre controladores de dominio que ejecutan Windows 2000 Service Pack 4 (SP4) o posterior. De este modo, se evitan los posibles ataques a la seguridad por parte de un administrador de un bosque diferente. Puesto que el filtrado de SID no se aplica a la autenticacin dentro de un dominio, tambin es posible permitir el acceso a recursos mediante el historial de SID, si el recurso y la cuenta estn en el mismo dominio. Para permitir que los usuarios o grupos accedan a un recurso mediante el historial de SID, el bosque en el que el recurso est ubicado debe confiar en el bosque en el se encuentra la cuenta. Para obtener ms informacin acerca de los ataques basados en el historial de SID y el filtrado de SID, consulte "Configuring SID Filtering Settings" (Configuracin de los valores del filtrado de SID) (http://go.microsoft.com/fwlink/?LinkId=73446).
40
Para crear una tabla de asignacin de objetos de recursos, identifique las unidades organizativas de origen y destino para cada objeto y observe la ubicacin fsica y la funcin en el dominio de destino. Para obtener una hoja de clculo para ayudarle a crear una tabla de asignacin de objetos de recursos, consulte "Resource Object Assignment Table" (Tabla de asignacin de objetos de recursos) (DSSREER_2.doc) en la descarga Job_Aids_Designing_and_Deploying_Directory_and_Security_Services de Job Aids for Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink?LinkId=14384). La siguiente ilustracin muestra un ejemplo de una tabla de asignacin de objetos de recursos.
41
Utilice el siguiente proceso para comprobar la migracin de su objeto de cuenta y objetos de recursos: 1. Cree un usuario de prueba en el dominio de origen. Incluya este usuario de prueba en sus migraciones. 2. Agregue dicho usuario a los grupos globales apropiados para habilitar el acceso a los recursos. 3. Inicie sesin en el dominio de origen como usuario de prueba y compruebe que puede obtener acceso a los recursos correspondientes. 4. Tras migrar la cuenta de usuario, convierta el perfil de usuario y migre la estacin de trabajo del usuario, inicie sesin en el dominio de destino como el usuario de prueba y compruebe que el usuario conserva todos los accesos y funciones necesarios. Por ejemplo, podr comprobar que: El usuario puede iniciar sesin correctamente. El usuario tiene acceso a todos los recursos apropiados, como usos compartidos de impresiones y archivos; acceso a los servicios como mensajera, as como acceso a las aplicaciones de lnea de negocio (LOB). Es especialmente importante comprobar el acceso a aplicaciones desarrolladas internamente que tienen acceso a servidores de bases de datos. El perfil de usuario se ha convertido correctamente y el usuario conservar la configuracin de escritorio, apariencia de escritorio, accesos directos y acceso a la carpeta Mis documentos. Asimismo, compruebe que las aplicaciones aparecen y se inician desde el men Inicio. No puede migrar cada propiedad de usuario al migrar cuentas de usuario. Para obtener ms informacin sobre las propiedades de usuario que no se pueden migrar, consulte Migrar cuentas de usuario, ms adelante en esta gua. Una vez migrados los recursos, inicie sesin como el usuario de prueba en el dominio de destino y compruebe que puede obtener acceso a los recursos correspondientes. Si cualquier paso del proceso de prueba da error, identifique el origen del problema y determine si puede corregir el problema antes de que se deba tener acceso al objeto en el dominio de destino. Si no puede corregir el problema antes de obtener acceso al objeto necesario, revierta a la configuracin original para asegurar el acceso al objeto de recurso o usuario. Para obtener ms informacin sobre la creacin de un plan de reversin, consulte Creacin de un plan de reversin, ms adelante en esta gua. Como parte de su plan de prueba, cree una matriz de prueba de migracin. Complete una matriz de prueba para cada paso que complete en el proceso de migracin. Por ejemplo, si migra 10 lotes de usuarios, complete 10 veces la matriz de prueba, una para cada lote que migre. Si migra 10 servidores miembro, complete la matriz de prueba para cada uno de los 10 servidores. Para obtener una hoja de clculo para ayudarle a crear una matriz de prueba, consulte Migration Test Matrix (DSSREER_3.doc) en la descarga Job_Aids_Designing_and_Deploying_Directory_and_Security_Services de Job Aids for Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink?LinkId=14384). 43
Nota reversin de la migracin. Es posible que tenga que revertir su migracin si se presenta cualquiera de las condiciones siguientes: Los usuarios no pueden iniciar sesin en sus cuentas tras la migracin. Los usuarios no pueden tener acceso a los recursos tras la migracin.
La migracin de usuarios no est completa; por ejemplo, las contraseas no se han migrado. La migracin de usuarios se ha realizado correctamente, pero se ha producido un error en la migracin de estaciones de trabajo de los usuarios o la conversin de los perfiles locales. Si el impacto de usuario o el tiempo de inactividad alcanza un nivel que ha definido como inaceptable en su organizacin, puede implementar su plan de reversin y continuar el funcionamiento en un entorno de migracin previa. Dado que el dominio de origen se conserva intacto durante la reestructura, puede restaurar el entorno original completando unos pasos clave. Para revertir el entorno de migracin previa despus de la migracin de objetos de cuenta: 1. Habilite las cuentas de usuario en el dominio de origen (si deshabilita las cuentas durante el proceso de migracin). 2. Notifique a los usuarios que cierren sesin en el dominio de destino. 3. Notifique a los usuarios que inicien sesin en el dominio de origen. 4. Compruebe que los usuarios pueden tener acceso a los recursos. 5. Compruebe que las secuencias de comandos de inicio de sesin y los perfiles de usuario funcionan conforme a la configuracin en el dominio de origen. El proceso de reversin de objetos de recursos es similar al de los objetos de cuenta. Para revertir el entorno de migracin previa despus de la migracin de objetos de recurso: 1. Cambie la pertenencia a un dominio del servidor o la estacin de trabajo al dominio de origen. 2. Reinicie el servidor o la estacin de trabajo. 3. Inicie sesin como usuario y compruebe que puede tener acceso al recurso. Si tiene que modificar objetos, como servidores miembro o controladores de dominio, para migrarlos al dominio de destino, realice una copia de seguridad de todos los datos antes de aplicar modificaciones y realizar la migracin.
45
Debe definir cmo se van a administrar los objetos que est migrando durante el proceso de reestructuracin entre distintos bosques. Al establecer procedimientos administrativos para los objetos de migracin, puede conservar los objetos tanto en el dominio de origen como en el dominio de destino. En consecuencia, puede volver al entorno previo a la migracin si el proceso de reestructuracin no es correcto. Plan para la administracin de los tipos siguientes de objetos de migracin de cuentas: Cuentas de usuario, incluyendo identificadores de seguridad (SID) Pertenencia a grupos globales Perfiles de usuario
Importante
Perfiles mviles
Los perfiles de usuario se almacenan centralmente en los servidores. Los perfiles estn disponibles para el usuario, con independencia de la estacin de trabajo en uso.
Si est migrando perfiles mviles que se utilizan en Windows Vista o posterior, preprelos para la migracin. Para obtener ms informacin, consulte Preparacin para la migracin de perfiles mviles con equipos que ejecutan Windows Vista y Windows 7. Durante la migracin de cuentas de usuario, seleccione Convertir perfiles mviles en la pgina Opciones de usuario en el Asistente para migracin de cuentas de usuario. A continuacin, convierta los perfiles de usuario locales para un lote de usuarios inmediatamente despus de la 48
Tipo
Descripcin
Requisitos de la migracin
migracin de dichos usuarios. Perfiles locales Los perfiles de usuario se almacenan de forma local en la estacin de trabajo. Cuando el usuario inicia sesin en otra estacin de trabajo, se crea un perfil de usuario local nico. Convierta los perfiles locales como un paso independiente del proceso de migracin de cuentas de usuario. Seleccione la opcin Perfiles de usuario en la pgina Convertir objetos del Asistente para conversin de seguridad. Convierta los perfiles de usuario locales de un lote de usuarios inmediatamente despus de la migracin de dichos usuarios. Los usuarios pierden sus perfiles existentes cuando se migran sus cuentas de usuario. Migre como un paso separado desde la migracin de cuentas de usuario. Migre los perfiles al nuevo equipo del usuario mediante una herramienta como USMT.
Perfiles no administrados
Actualizacin de hardware
Preparacin para la migracin de perfiles mviles con equipos que ejecutan Windows Vista y Windows 7
La ubicacin de un perfil mvil se configura para una cuenta de usuario del dominio y se especifica de la siguiente manera: \\host.name.fqdn\ProfileShare\<nombredeperfil> <nombredeperfil> suele remplazarse por el %nombredeusuario%. Por tanto, la ubicacin real de un perfil mvil para el usuario RoamUserX es: \\host.name.fqdn\ProfileShare\RoamUserX La carpeta del perfil mvil (en este ejemplo, RoamUserX) se crea en el momento de iniciar sesin por primera vez como RoamUserX, y los datos reales del perfil se almacenan en esa carpeta. En Windows Vista se ha realizado un cambio en los perfiles que provocaban incompatibilidad con versiones anteriores de Windows. Para diferenciar los nuevos perfiles, se ha aadido una extensin .V2 a todos los perfiles mviles de los usuarios de equipos que ejecutan Windows Vista y versiones posteriores. 49
La ubicacin del perfil mvil del mismo usuario RoamUserX en un equipo que ejecute Windows Vista o Windows 7 es: \\host.name.fqdn\ProfileShare\RoamUserX.V2 Esta versin puede coexistir con un perfil mvil de una versin anterior de Windows. nicamente ADMT v3.2 distingue entre los dos nombres de carpeta de perfil diferentes. Las versiones anteriores de ADMT slo buscan la carpeta llamada <nombredeperfil> y no intentan encontrar un perfil V2 en caso de que existiera. Por tanto, las versiones anteriores de ADMT no migran los perfiles mviles de equipos que ejecuten Windows Vista y Windows 7. Para migrar una carpeta de perfil mvil mediante ADMT v3.2, es necesario modificar la lista de control de acceso predeterminada de la carpeta. De manera predeterminada, cuando un usuario inicia sesin y se crean los contenidos y la carpeta del perfil mvil, las carpetas <nombredeperfil> o <nombredeperfil>.V2 reciben las siguientes listas de control de acceso: SYSTEM Control total nombre_de_usuario - Control total Propietario = nombre_de_usuario
Por tanto, el propietario del perfil y el sistema local donde reside el uso compartido son los nicos que tienen acceso a la carpeta <nombredeperfil> o <nombredeperfil>.V2. Cuando se asignen estos permisos predeterminados a la carpeta, ADMT no podr acceder a la carpeta para realizar la conversin de seguridad. Si desea configurar los permisos de carpeta para permitir que ADMT v3.2 migre el perfil mvil, puede habilitar una configuracin de directiva de grupo para el dominio. En Windows Server 2008 R2, la configuracin es: Configuracin del equipo\Directivas\Plantillas administrativas\Sistema\Perfiles de usuario\Agregar el grupo de seguridad Administradores a los perfiles de usuario mviles Si esta configuracin se habilita y propaga antes del primer inicio de sesin del usuario (antes de la creacin del perfil mvil), el directorio de perfil mvil tendr un permiso agregado que concede Control total a los miembros del grupo Administradores del host compartido (host.name.fqdn en este ejemplo). Cuando se haya habilitado esta configuracin, las migraciones pueden realizarse si el usuario que ejecuta ADMT v3.2 se encuentra en el grupo Administradores de uso compartido. El usuario que ejecuta ADMT necesita acceso de Control total a las carpetas de perfiles mviles. Para conseguirlo, puede probar una de las siguientes opciones: 1. 2. Cree un script (utilizando, por ejemplo, Windows PowerShell) que realice lo siguiente: a. Se ejecuta como SYSTEM en el equipo compartido (host.name.fqdn en el ejemplo) b. Agrega el grupo de seguridad Administradores al conjunto de ACL de las carpetas de perfil, propagndose a todas las subcarpetas y archivos c. Agrega el grupo de seguridad Administradores con Control total al conjunto de ACL de las carpetas de perfil y obtiene permisos heredados a todas las subcarpetas y archivos 50
3. Cree un script (utilizando, por ejemplo, Windows PowerShell) que realice lo siguiente: a. Se ejecuta en el contexto de cada usuario mvil (por ejemplo, como una tarea de inicio de sesin). b. Agrega el grupo de seguridad Administradores con Control total al conjunto de ACL de las carpetas de perfil y obtiene permisos heredados a todas las subcarpetas y archivos.
Informacin general
Avise a los usuarios de que sus cuentas de usuario estn programadas para la migracin a un nuevo dominio. Remita a los usuarios a una pgina web o recurso interno donde puedan encontrar informacin adicional y ver una programacin de migracin. Informe a los usuarios del nuevo nombre de dominio. Asegrese de informarles de que sus contraseas de cuentas no cambiarn. Informe a los usuarios de que la cuenta de dominio original se deshabilitar inmediatamente despus de la migracin y la cuenta deshabilitada se eliminar transcurrido un perodo de tiempo especfico. No es necesario si los usuarios inician sesin con nombres principales de usuario (UPN).
Impacto
Asegrese de que los usuarios comprenden que cuando sus cuentas se migran, es posible que no puedan tener acceso a algunos recursos, como sitios web, carpetas compartidas o recursos que los usuarios de su grupo o divisin no utilizan de forma habitual. Proporcione informacin a los usuarios sobre con quin tienen que ponerse en contacto para obtener asistencia para tener acceso a los recursos necesarios. 51
Cambios esperados
Describa otros cambios que los usuarios puedan experimentar despus de la migracin, como cambios en el uso de tarjetas inteligentes, correo electrnico seguro o mensajera instantnea, si procede.
52
53
Para obtener ms informacin acerca de la creacin de confianzas, consulte Creating Domain and Forest Trust (http://go.microsoft.com/fwlink/?LinkId=77381).
grupos globales junto con el historial de SID, equipos y perfiles de usuario tiene credenciales de administrador local o administrador de dominio en el dominio de origen. La cuenta de migracin tambin ha delegado permiso en el usuario, cuenta de servicio administrada, grupo y las unidades organizativas del equipo (OU) en el dominio de destino, con el derecho extendido para migrar el SID History en la unidad organizativa de usuario. El usuario debe ser un administrador local en el equipo del dominio de destino en el que est instalada ADMT. Una cuenta de migracin que utilice para migrar estaciones de trabajo y controladores de dominio debe tener credenciales de administrador local o administrador de dominio de origen en las estaciones de trabajo, o la cuenta debe tener credenciales de administrador de dominio de origen en el controlador de dominio o en ambos. En el dominio de destino, es necesario utilizar una cuenta que tenga permisos delegados en la unidad organizativa de equipo y la unidad organizativa de usuario. Es posible que desee utilizar una cuenta independiente para la migracin de estaciones de trabajo si este proceso de migracin se delega a los administradores de la misma ubicacin que las estaciones de trabajo. La siguiente tabla muestra los credenciales necesarios en los dominios de origen y de destino para los objetos de migracin diferentes.
Objeto de migracin Credenciales necesarios en dominio de origen Credenciales necesarios en dominio de destino
Permiso delegado para Leer toda la informacin del usuario en la unidad organizativa de usuario o unidad organizativa de grupo y credencial de administrador de dominio
Permiso delegado para Crear, eliminar y administrar cuentas de usuario, Crear, eliminar y administrar grupos y Modificar la pertenencia de un grupo para la unidad organizativa de usuario o la unidad organizativa de grupo y administrador local del equipo en el que est instalada ADMT Permiso delegado en la unidad organizativa de usuario o la unidad organizativa de grupo, permiso extendido para migrar historial de SID y administrador local en el equipo en el que est instalada ADMT. Permiso delegado en la unidad organizativa de equipo y administrador local en el equipo en el que est instalada ADMT Nota 55
Permiso delegado para Leer toda la informacin del usuario en la unidad organizativa de usuario o unidad organizativa de grupo y credencial de administrador de dominio Administrador de dominio o administrador en el dominio de origen y en cada equipo
Equipo
Objeto de migracin
Si el equipo tiene una cuenta de servicio administrada instalada, deber proporcionar credenciales que tengan permiso para actualizar el descriptor de seguridad de la cuenta de servicio administrada en el dominio de destino. Perfil Administrador local o administrador de dominio Permiso delegado en la unidad organizativa de usuario y administrador local en el equipo en el que est instalada ADMT. Nota Es posible que tenga que seguir otros pasos adicionales de preparacin si migra perfiles mviles de equipos que ejecutan Windows Vista o Windows 7. Para obtener ms informacin, consulte Preparacin para la migracin de perfiles mviles con equipos que ejecutan Windows Vista y Windows 7. Los siguientes procedimientos proporcionan ejemplos para la creacin de grupos o cuentas para migrar cuentas y recursos. Los procedimientos varan en funcin de si existe una confianza unidireccional o bidireccional. El procedimiento de creacin de grupos de migracin cuando existe confianza unidireccional es ms complejo que el procedimiento cuando existe confianza bidireccional. Lo que se debe a que, con una confianza unidireccional, debe agregar el grupo de migracin al grupo local Administradores de las estaciones de trabajo. El procedimiento de muestra para la creacin de grupos de migracin cuando existe una confianza unidireccional implica la creacin de grupos independientes para la migracin de 56
Creacin de una un grupo cuenta de de migracin migracin de de cuenta recursos recursos cuando cuando cuando existe existe existe una una una confianza confianza confianza unidireccional bidireccional entre en lalos que dominios el dominio de de origen origen y de confa destino. en el dominio de destino cuentas y recursos. No obstante, puede combinar acct_migrators y res_migrators en un grupo, si no tiene que separarlos para delegar diferentes conjuntos de permisos. 1. En el dominio de destino, cree un grupo global denominado acct_migrators. 2. En el dominio de destino, agregue el grupo acct_migrators al grupo Admins. del dominio o delegue la administracin de las unidades organizativas que son destino de la migracin de cuentas a este grupo. 3. Si migra el historial de SID y no coloca el grupo acct_migrators en el grupo Admins. del dominio, conceda al grupo acct_migrators el permiso extendido Migrar historial SID en el objeto de dominio de destino. Para ello, siga estos pasos: a. Inicie Usuarios y equipos de Active Directory, haga clic con el botn secundario en el objeto de dominio y, a continuacin, haga clic en Propiedades. b. Haga clic en la ficha Seguridad y en Agregar, a continuacin, seleccione acct_migrators. Si la ficha Seguridad no aparece, en Usuarios y equipos de Active Directory, haga clic en Ver y, a continuacin, haga clic en Caractersticas avanzadas. c. En Permissions for acct_migrators, haga clic en Permitir para el permiso Migrar historial SID. 4. En el dominio de origen, agregue el grupo acct_migrators al grupo Builtin\Administradores. 5. En cada equipo en el que desee convertir perfiles locales, agregue el grupo acct_migrators al grupo local Administradores.
1. En el dominio de destino, cree un grupo global denominado res_migrators. 2. En el dominio de destino, agregue el grupo res_migrators al grupo Admins. del dominio o delegue la administracin de las unidades organizativas que son destino de la migracin de recursos a este grupo. 3. En el dominio de origen, agregue el grupo res_migrators al grupo Administradores. 4. En cada equipo que desee migrar o en el que desee realizar una conversin de seguridad, agregue el grupo res_migrators al grupo local Administradores. 1. En el dominio de origen, cree una cuenta denominada res_migrator. 2. En el dominio de origen, agregue la cuenta res_migrator al grupo Admins. del dominio. (El grupo Admins. del dominio es un miembro del grupo local Administradores en cada equipo del dominio de forma predeterminada. Por consiguiente, no tiene que agregarlo al grupo local Administradores en cada equipo). 57
3. En el dominio de destino, delegue los permisos en las unidades organizativas que sean destino de la migracin de recursos para la cuenta res_migrator. ADMT tambin incluye funciones de administracin de base de datos que puede utilizar para asignar un subconjunto de permisos a los usuarios que realicen tareas de migracin especficas. Las funciones de administracin de base de datos y las tareas de migracin que pueden realizar se enumeran en la siguiente tabla.
Funcin Tarea de migracin
Tareas de migraciones de cuentas, como migracin de usuarios y grupos. Tareas de migracin de recursos, como migraciones de equipos y conversin de seguridad. Los migradores de cuentas tambin desempean la funcin de migradores de recursos. Consultas en la base de datos. Los migradores de cuentas y los migradores de recursos tambin desempean la funcin de lectores de datos.
Lectores de datos
Los usuarios que tienen la funcin de administrador del sistema de SQL Server asumen todas las funciones de administracin de base de datos de ADMT. Tienen los credenciales para realizar lo siguiente: Mostrar funciones de base de datos y usuarios que asumen dichas funciones Agregar grupos o usuarios a funciones Quitar grupos o usuarios de funciones
De manera predeterminada, se asigna la funcin de administrador del sistema al grupo local Administradores y puede realizar todas las funciones de la base de datos de ADMT.
Configuracin de los dominios de origen y destino para la migracin del historial de SID
Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Puede configurar de forma manual los dominios de origen y de destino para migrar el historial de identificadores de seguridad (SID) antes de comenzar una migracin entre distintos bosques, o bien puede dejar que la Herramienta de migracin para Active Directory (ADMT) configure los dominios automticamente la primera vez que se ejecute. 58
Nota
Para habilitar Creacin Activacin de de un la lagrupo auditora compatibilidad local en en los el de dominios dominio cliente de de TCP/IP origen Windows enpara el emulador Server admitir 2008 la de auditora R2 PDC y del dominio de origen Windows Server 2008
Para configurar los dominios de origen y de destino de forma manual, complete los siguientes procedimientos: Cree un grupo local en el dominio de origen para admitir la auditora. Habilite la compatibilidad de cliente TCP/IP en el emulador del controlador principal de dominio (PDC) del dominio de origen. Si est migrando desde un dominio con controladores de dominio que ejecutan Windows Server 2003 o posterior a otro dominio con controladores de dominio que ejecutan Windows Server 2003 o posterior, la entrada del Registro TcpipClientSupport no debe modificarse. Habilite la auditora de la administracin de cuentas en los dominios de origen y de destino. Para Windows Server 2008 R2 y Windows Server 2008, deber habilitar tambin la auditora del acceso al servicio de directorio con el fin de migrar los usuarios con el SID History entre los bosques. En el dominio de origen, cree un grupo local denominado SourceDomain$$$, donde SourceDomain es el nombre NetBIOS de su dominio de origen, por ejemplo, Boston$$$. No agregue miembros a este grupo; de lo contrario, se producir un error en la migracin del historial de SID.
1. En el controlador de dominio del dominio de origen que realiza el papel de servidor principal de operaciones de emulador PDC (tambin conocidas como operaciones de servidor principal nico flexible o FSMO), haga clic en Inicio y, a continuacin, en Ejecutar. 2. En Abrir, escriba regedit y haga clic en Aceptar. Precaucin La modificacin incorrecta del Registro puede daar gravemente el sistema. Antes de realizar cambios en el Registro, debe hacer una copia de seguridad de los datos valiosos que contenga el equipo. Tambin puede utilizar la opcin de inicio ltima configuracin buena conocida si surgen problemas despus de realizar los cambios. 3. En el Editor del Registro, desplcese a la siguiente subclave del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA 4. Modifique la entrada del registro TcpipClientSupport, del tipo de datos REG_DWORD, estableciendo el valor a 1. 5. Cierre el Editor del Registro y reinicie el equipo. 1. Inicie sesin como administrador en cualquier controlador de dominio del dominio de 59
destino. 2. Haga clic en Inicio, seleccione Todos los programas, Herramientas administrativas y, a continuacin, haga clic en Administracin de directivas de grupo. 3. Desplcese al siguiente nodo: Bosque | Dominios | Dominio | Controladores de dominio | Directiva predeterminada de controladores de dominio 4. Haga clic con el botn secundario en Directiva predeterminada de controladores de dominio y haga clic en Modificar. 5. En el Editor de administracin de directivas de grupo, en el rbol de la consola, desplcese el siguiente nodo: Configuracin del equipo | Directivas | Configuracin de Windows | Configuracin de seguridad | Directivas locales | Directiva de auditora 6. En el panel de detalles, haga clic con el botn secundario en Auditar la administracin de cuentas y, a continuacin, haga clic en Propiedades. 7. Haga clic en Definir esta configuracin de directiva y, a continuacin, haga clic en Correcto y Errneo. 8. Haga clic en Aplicar y, a continuacin, haga clic Aceptar. 9. En el panel de detalles, haga clic con el botn secundario en Auditar el acceso del servicio de directorio y, a continuacin, haga clic en Propiedades. 10. Haga clic en Definir esta configuracin de directiva y, a continuacin, haga clic en Correcto. 11. Haga clic en Aplicar y, a continuacin, haga clic Aceptar. 12. Si es necesario que los cambios se reflejen de forma inmediata en el controlador de dominio, abra un smbolo del sistema con privilegios elevados y escriba gpupdate /force. 13. Repita los pasos del 1 al 12 en el dominio de origen.
Para configurar la estructura de unidades organizativas del dominio de destino para la administracin informacin y el siguiente procedimiento para configurar el dominio de destino para la administracin. 1. Inicie sesin como administrador en cualquier controlador de dominio del dominio de destino. 2. Inicie Usuarios y equipos de Active Directory y, a continuacin, cree la estructura de unidades organizativas que ha especificado su equipo de diseo. 3. Cree grupos administrativos y asigne usuarios a estos grupos. 4. Delegue la administracin de la estructura de unidades organizativas a los grupos tal y como lo haya definido el equipo de diseo.
Separar un archivo de base de datos existente de una versin anterior de ADMT y de SQL Server Reconfigurar la instalacin de la base de datos con Admtdb.exe Reutilizar una base de datos de ADMT existente desde una instalacin anterior
61
62
Accin
La instancia de la base de datos de ADMT (MS_ADMT) se crea en el equipo local. Aunque SQL Server 2005 Express Edition se instala localmente de manera predeterminada lo use o no ADMT, ADMT deshabilita SQL Server 2005 Express Edition si especifica otra instancia de la base de datos en la siguiente pgina del Asistente.
Especifique la instancia de la base de datos a la que desea conectarse. La seleccin recomendada es Usar Microsoft SQL Server Express Edition, que configura ADMT v3.1 para usar la instancia de la base de datos instalada localmente. Si est usando varias consolas de ADMT v3.1 y tiene un servidor de base de datos dedicado donde desea centralizar su base de datos de ADMT, seleccione la opcin Utilizar Microsoft SQL Server existente. Especifique el servidor al que se va a conectar mediante el formato Servidor\instancia. Debera configurar la instancia de la base de datos de SQL Server antes de seleccionar esta opcin. Aunque la instalacin de ADMT v3.1 contine a pesar de no poder ponerse en contacto con la base de datos, no podr usar ADMT para migrar cuentas o recursos hasta que se cree la instancia de la base de datos y est disponible.
63
Accin
Aunque no puede actualizar una instalacin de ADMT v3.0 a ADMT v3.1, puede importar los datos a una base de datos de ADMT v3.1 desde una base de datos de ADMT v3.0. Si no desea importar datos desde una base de datos de ADMT v3.0, seleccione No, no importar los datos desde una base de datos existente (predeterminado). Si desea importar los datos de ADMT v3.0 a la nueva base de datos de ADMT v3.1, seleccione S, importar datos desde una base de datos ADMT v3. Si ha elegido importar datos, especifique la ruta de acceso al archivo de la base de datos de ADMT v3.0.
Aunque no puede actualizar una instalacin de ADMT v2.0 a ADMT v3.1, puede importar los datos a una base de datos de ADMT v3.1 desde una base de datos de ADMT v2.0. Si no desea importar datos desde una base de datos de ADMT v2.0, seleccione No, no importar los datos desde una base de datos de ADMT v2. Si desea importar los datos de ADMT v2.0 a la nueva base de datos de ADMT v3.1, seleccione S, importar datos desde una base de datos ADMT v2. Si ha elegido importar datos, especifique la ruta de acceso al archivo de la base de datos de ADMT v2.0. La base de datos de ADMT v2.0 tiene el nombre de archivo protar.mdb y debera estar ubicada en el directorio anteriormente usado para su instalacin de ADMT v2.0.
64
Nota
Pgina del asistente Accin
Resumen
En esta pgina se resumen las opciones que ha seleccionado. Haga clic en Finalizar para completar la instalacin de ADMT v3.1.
Para instalar ADMT v3.2 Adems de ejecutar Windows Server 2008 R2, no debe instalarse el equipo de servidor utilizado para instalar ADMT v3.2 con la opcin de instalacin de Server Core ni debe estar ejecutndose como un controlador de dominio de slo lectura (RODC). Configure una instalacin de base de datos de SQL Server con una instancia de ADMT. Puede descargar e instalar SQL Server Express localmente o crear una instancia de base de datos para ADMT desde una base de datos existente de SQL Server. Para obtener ms informacin acerca de cmo instalar SQL Server Express, consulte Instalar ADMT v3.2 . Para obtener ms informacin sobre cmo crear una instancia de ADMT en una base de datos existente de SQL Server, consulte Instalar ADMT reconfigurando la instalacin de la base de datos con Admtdb.exe .
(Predeterminado). Si necesita importar datos de una instalacin anterior de ADMT, haga clic en S, importar datos de una base de datos existente de ADMT v3.0 o ADMT v3.1 y, a continuacin, para desplazarse a la ubicacin del archivo de base de datos existente haga clic en Examinar. Antes de importar los datos desde una base de datos existente, debe separar el archivo de base de datos del SQL Server utilizando los comandos de SQL Server. Para obtener ms informacin, consulte Separar un archivo de base de datos existente de una versin anterior de ADMT y de SQL Server. Cuando haya terminado, haga clic en Siguiente. 6. En la pgina Resumen, revise los resultados de la instalacin y, a continuacin, haga clic en Finalizar.
Separar un archivo de base de datos existente de una versin anterior de ADMT y de SQL Server
Si utiliza SQL Server Express, la base de datos se separa automticamente al quitar ADMT. La base de datos de SQL Server Express separada puede reutilizarse para una instalacin de ADMT posterior. En ese caso, ADMT se conecta automticamente con la base de datos existente que especifique durante la instalacin. Puede separar el archivo de base de datos de ADMT desde una instancia completa de SQL Server si tiene otra aplicacin que quiera conectar a la misma base de datos. Por ejemplo, si tiene previsto moverlo desde una instalacin completa de SQL Server a SQL Server Express, o si tiene un archivo de base de datos de ADMT de una instalacin previa que ha conectado a las herramientas de administracin de SQL Server, tendr que separarlo de esa base de datos para que ADMT pueda utilizarlo. Para separar una base de datos, puede completar el procedimiento almacenado de SQL:
sp_detach_db [ @dbname = ] 'dbname'
Para obtener ms informacin acerca de la llamada al procedimiento almacenado, consulte la documentacin de SQL Server. Para obtener ms informacin acerca de cmo usar SQL Server Management Studio para separar la base de datos, consulte Cmo: Separar una base de datos (SQL Server Management Studio (http://go.microsoft.com/fwlink/?LinkId=183994).
67
Puede ejecutar Admtdb.exe desde el smbolo del sistema con privilegios elevados en cualquier servidor que se pueda dirigir al equipo de servidor que ejecute SQL Server para crear una instancia de ADMT en dicho equipo de servidor.
Sintaxis Descripcin
Instala una nueva base de datos de ADMT o prepara una base de datos vaca. El parmetro /server especifica el nombre del servidor SQL Server y la instancia a la que se va a conectar para crear la base de datos. Es un parmetro obligatorio.
Actualiza a una versin anterior de una base de datos de ADMT v3.0 o ADMT v3.1. El parmetro /server, que es obligatorio, especifica el nombre del servidor SQL Server y la instancia a la que se va a conectar para actualizar la base de datos de ADMT v3.0 o ADMT v3.1. Nota Antes de actualizar la base de datos de ADMT, abra la consola de ADMT para comprobar que es compatible con la base de datos.
Conecta una base de datos existente de ADMT a la instancia de SQL Server Express 2005 o SQL Server Express 2008 local. El parmetro /attach, que es obligatorio, especifica la ruta al archivo de base de datos Admt.mdf separado.
Para ver la Ayuda de todas las opciones de la lnea de comandos de Admtdb.exe, en el smbolo del sistema, escriba admtdb /? . Si ha empezado la migracin mediante una base de datos local de SQL Server Express y luego ha configurado la instancia remota de una base de datos de SQL Server, y necesita volver a utilizar una base de datos local de SQL Server Express, complete el siguiente procedimiento. En este caso, el archivo de base de datos de ADMT ya est conectado a la instancia de SQL Express. Por lo tanto, no es necesario que se vuelva a conectar. Si ha empezado la migracin mediante SQL Server y desea cambiar a SQL Server Express, consulte Reutilizar una base de datos de ADMT existente desde una instalacin anterior . 68
Para utilizar reutilizar una la base de datos de local ADMT despus existente de configurar (separada) una con instancia la instancia remota de de una base Server SQL de datos local de SQL Server Para llevar a cabo este procedimiento, se requiere como mnimo pertenecer a Administradores o a un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en Grupos predeterminados locales y de dominio (http://go.microsoft.com/fwlink/?LinkId=83477). 1. En el equipo local, haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Servicios. 2. En el panel de Detalles, asegrese de que el servicio que aloja la instancia de SQL Server Express se est ejecutando y que el Tipo de inicio se haya establecido en Automtico. Si va a utilizar ADMT v3.1 y tena instalado ADMT con SQL Server Express, el nombre del servicio es MSSQL$MS_ADMT. Si el servicio no se inicia o si no est configurado para iniciarse automticamente en el inicio del sistema, haga clic en Iniciado, haga clic con el botn secundario en el nombre del servicio y, a continuacin, haga clic en Propiedades. 3. En la ficha General, de la lista Tipo de inicio, haga clic en Automtico. 4. En Estado del servicio, haga clic en Inicio y, a continuacin, haga clic en Aceptar. 5. Cierre Servicios. 6. En el smbolo del sistema, escriba los siguientes comandos: Nota El comando admtdb attach es necesario slo si anteriormente ha ejecutado comandos SQL para que separen la instancia local de SQL Server Express.
admtdb attach /{s | Server}:Instancia de SQL Server Express local admt config setdatabase /s:Servidor\Instancia.
Nota
Reutilizar una base de datos de ADMT existente desde una instalacin anterior
Si desea utilizar una base de datos existente (separada) de una instalacin de ADMT v3.0, ADMT v3.1 o ADMT v3.2 anterior con la instancia de SQL Server local, puede completar el siguiente procedimiento. Para llevar a cabo este procedimiento, se requiere como mnimo pertenecer a Administradores o a un grupo equivalente. Revise los detalles sobre cmo usar las cuentas apropiadas y pertenencia a grupos en Grupos de dominio y locales predeterminados (http://go.microsoft.com/fwlink/?LinkId=83477). 1. En el equipo local, haga clic en Inicio, seleccione Herramientas administrativas y, 69
Nota a continuacin, haga clic en Servicios. 2. En el panel de detalles, asegrese de que el servicio que aloja la instancia de SQL Server Express se est ejecutando y que el Tipo de inicio se haya establecido en Automtico. Si va a utilizar ADMT v3.1 y tena instalado ADMT con SQL Server Express, el nombre del servicio es MSSQL$MS_ADMT. Si el servicio no se inicia o si no est configurado para iniciarse automticamente en el inicio del sistema, haga clic en Iniciado, haga clic con el botn secundario en el nombre del servicio y, a continuacin, haga clic en Propiedades. 3. En la ficha General, de la lista Tipo de inicio, haga clic en Automtico. 4. En Estado del servicio, haga clic en Inicio y, a continuacin, haga clic en Aceptar. 5. Cierre Servicios. 6. En el smbolo del sistema, escriba los siguientes comandos:
admtdb attach /{s | Server}:Instancia de SQL Server Express local /{a | Attach}:Ruta de acceso al archivo de base de datos de ADMT v3.x que desea asociar" admt config setdatabase /s: servidor\instancia
Ahora puede utilizar la base de datos de ADMT existente con la instancia de SQL Server local. No es necesario volver a ejecutar el asistente de instalacin de ADMT. La instalacin de ADMT se puede ejecutar una sola vez. Puede realizar cualquier cambio posterior en la configuracin de la base de datos mediante los comandos admtdb.exe y admt config setdatabase.
70
Creacin de una clave de cifrado Como ADMT no comprueba todas las configuraciones de la directiva de contraseas del dominio de destino, los usuarios tienen que configurar expresamente su contrasea despus de la migracin a menos que estn configurados los indicadores La contrasea nunca caduca o Se requiere una tarjeta inteligente para el inicio de sesin interactivo . La instalacin del servicio PES en el dominio de origen requiere una clave de cifrado. Sin embargo, debe crear la clave de cifrado en el equipo que ejecute ADMT en el dominio de destino. Cuando cree la clave, gurdela en una carpeta compartida en su red o en un medio extrable para poder copiarla en la unidad local del controlador del dominio de origen donde est instalado el servicio PES. Gurdela en una ubicacin segura que pueda volver a formatear una vez finalizada la migracin. El servicio PES se puede instalar despus de ADMT. Los siguientes procedimientos explican cmo instalar y utilizar el servicio PES en equipos que ejecutan Windows Server 2008 R2 o Windows Server 2008. Para llevar a cabo este procedimiento, se requiere como mnimo pertenecer a Administradores o a un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en Grupos predeterminados locales y de dominio (http://go.microsoft.com/fwlink/?LinkId=83477). En una lnea de comandos, escriba el siguiente comando y, a continuacin, presione ENTRAR:
admt key /option:create /sourcedomain:<DominioOrigen> /keyfile:<RutaAccesoArchivoClave> /keypassword:{<contrasea>|*}
Valor
Descripcin
<DominioOrigen>
Especifica el nombre del dominio de origen en el que se instala el servicio PES. Se puede especificar como Sistema de nombres de dominio (DNS) o nombre NetBIOS. Especifica la ruta de acceso a la ubicacin en la que se almacena la clave de cifrado. Una contrasea, que proporcione cifrado de claves, es opcional. Para proteger la clave compartida, escriba la contrasea o un asterisco (*) en la lnea de comandos. El asterisco hace que se le solicite una contrasea que no aparece en la pantalla. 71
<RutaAccesoArchivoClave>
{<contrasea>|*}
Nota
Despus de crear la clave de cifrado, configure el servicio PES en un controlador de dominio del dominio de origen. ADMT proporciona la opcin para ejecutar el servicio PES en la cuenta del sistema local o utilizando las credenciales de un usuario autenticado en el dominio de destino. Recomendamos que ejecute el servicio PES como un usuario autenticado en el dominio de destino. De esta forma, no tendr que agregar el grupo Todos y el grupo Inicio de sesin annimo al grupo Acceso compatible con versiones anteriores de Windows 2000. Si ejecuta el servicio PES en la cuenta del sistema local, asegrese de que el grupo Acceso compatible con versiones anteriores de Windows 2000 del dominio de destino contiene el grupo Todos y el grupo Inicio de sesin annimo. 1. En el controlador de dominio que ejecuta el servicio PES en el dominio de origen, inserte el disco de la clave de cifrado. 2. Ejecute Pwdmig.msi. Si define una contrasea durante el proceso de generacin de clave en el controlador de dominio del dominio de destino, proporcione la contrasea facilitada cuado se cre la clave y, a continuacin, haga clic en Siguiente.
72
Accin
ste es el Asistente de instalacin Haga clic en Siguiente. de DLL de migracin de contraseas de ADMT Archivo de cifrado Para instalar la biblioteca de vnculos dinmicos (DLL) de migracin de contraseas de ADMT, debe especificar un archivo que contenga una clave de cifrado de contrasea vlida para este dominio de origen. El archivo de clave debe estar ubicado en una unidad local. Utiliza el comando admt key para generar los archivos de clave. Para obtener ms informacin, consulte el procedimiento anterior "Creacin de una clave de cifrado". Ejecutar el servicio como Especifique la cuenta que desea ejecutar en el servicio PES. Puede especificar una de las siguientes cuentas: La cuenta del sistema local Una cuenta de usuario especificada Nota Si prev ejecutar el servicio PES como una cuenta de usuario autenticado, especifique la cuenta en el formato domain\nombre_usuario. Resumen Haga clic en Finalizar para completar la instalacin del servicio PES. Nota Para utilizar la migracin de contraseas de ADMT, debe reiniciar el servidor donde ha instalado el servicio PES. 3. Tras completar la instalacin, reinicie el controlador de dominio. 4. Una vez reiniciado el controlador de dominio, para iniciar el servicio PES, elija Inicio, Todos los programas, Herramientas administrativas y, a continuacin, en Servicios. 5. En el panel de detalles, haga clic con el botn secundario en Servicio de servidor 73
Advertencia
de exportacin de contraseas y, a continuacin, haga clic en Inicio. Nota Ejecute el servicio PES slo cuando migre contraseas. Detenga el servicio PES despus de completar la migracin de contraseas.
completando los pasos de la tabla siguiente. Acepte la configuracin predeterminada si no se especifica informacin alguna.
75
Accin
Seleccin de dominio
En la opcin Origen de la lista desplegable Dominio, escriba o seleccione el nombre de DNS (Sistema de nombres de dominio) o NetBIOS del dominio de origen. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio. En la opcin Destino de la lista desplegable Dominio, escriba o seleccione el nombre de DNS o NetBIOS del dominio de destino. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio y, a continuacin, haga clic en Siguiente.
Seleccin de grupo
Haga clic en Seleccionar grupos desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de grupo, haga clic en Agregar para seleccionar los grupos del dominio de origen que desea migrar, haga clic en Aceptar y, a continuacin, haga clic en Siguiente. O bien Haga clic en Leer objetos de un archivo de inclusin y, a continuacin, haga clic en Siguiente. Especifique la ubicacin del archivo de inclusin y, a continuacin, haga clic en Siguiente.
Escriba el nombre de la unidad organizativa o haga clic en Examinar. En el cuadro de dilogo Buscar un contenedor, busque el contenedor del dominio de destino al que desea mover los grupos globales y, a continuacin, haga clic en Aceptar.
76
Accin
Opciones de grupo
Active la casilla de verificacin Migrar SID de grupo al dominio de destino. Asegrese de que no estn seleccionadas todas las opciones.
Cuenta de usuario
Escriba el nombre de usuario, contrasea y el dominio de una cuenta que tenga derechos administrativos en el dominio de origen. Haga clic en No migrar el objeto de origen si se detecta un conflicto en el dominio de destino.
Gestin de conflictos
2. Cuando el asistente haya terminado de ejecutarse, haga clic en Ver registro y, a continuacin, revise si hay errores en el registro de migracin.
Identificacin de cuentas de servicio mediante el complemento de ADMT posteriormente en el proceso de migracin, las cuentas se migran cuando otras cuentas de usuario se migran con el Asistente para migracin de cuentas de usuario. El Asistente para migracin de cuentas de servicios busca servicios configurados para utilizar una cuenta de dominio para la autenticacin en una lista de servidores definida por el administrador. Las cuentas se marcan entonces como cuentas de servicios en la base de datos de ADMT. La contrasea nunca se migra al mismo tiempo que la cuenta de servicios. En su lugar, ADMT utiliza una representacin de texto no cifrado de la contrasea para configurar los servicios tras la migracin de las cuentas de servicios. A continuacin, se almacena una versin cifrada de la contrasea en el archivo password.txt de la carpeta de instalacin de ADMT. Un administrador de una estacin de trabajo o servidor puede instalar cualquier servicio y configurar el servicio con cualquier cuenta de dominio. Si un usuario malintencionado que posee privilegios de administrador configura un servicio para autenticarse con una contrasea que no es correcta (por ejemplo, una que no cumple los requisitos de complejidad), el servicio no se inicia. Una vez migrada la cuenta de servicio, ADMT configura el servicio en la estacin de trabajo o el servidor para utilizar la nueva contrasea y as el servicio se inicia con la cuenta de usuario del dominio de destino. Por lo tanto, slo debe incluir en el Asistente para migracin de cuentas de servicio los servidores que administren los administradores de confianza. No utilice el asistente para detectar las cuentas de servicio en equipos que los administradores de confianza no administran, como las estaciones de trabajo. Distribuya agentes en todos los servidores que administren los administradores de confianza en el dominio para garantizar que no olvida ninguna cuenta de servicio. Si pierde una cuenta de servicio que comparte una cuenta con un servicio que ya se ha migrado, ADMT no puede sincronizar las cuentas de servicio. Debe cambiar manualmente la contrasea de la cuenta de servicio y, a continuacin, restablecer la contrasea de la cuenta de servicio en cada servidor que ejecute ese servicio. Cuando las cuentas que el Asistente para migracin de cuentas de servicios identifica en la base de datos de ADMT como en ejecucin en el contexto de una cuenta de usuario se migran al dominio de destino, ADMT otorga a cada cuenta el derecho de iniciar sesin como servicio. Si a la cuenta de servicio se asignan derechos por medio de su pertenencia a un grupo, el Asistente para conversin de seguridad actualiza la cuenta para asignar dichos derechos. Para obtener ms informacin sobre la ejecucin del Asistente para conversin de seguridad, consulte Transicin de cuentas de servicio en su migracin, ms adelante en esta gua. Puede identificar las cuentas de servicio mediante el complemento de ADMT, la opcin de lnea de comandos de ADMT o una secuencia de comandos. 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En el complemento de ADMT, haga clic en Accin y, a continuacin, haga clic en Asistente para migracin de cuentas de servicios . 78
3. Complete el Asistente para migracin de cuentas de servicios con la informacin que se proporciona en la tabla siguiente.
79
Accin
Seleccin de dominio
En la opcin Origen de la lista desplegable Dominio, escriba o seleccione el nombre de DNS (Sistema de nombres de dominio) o NetBIOS del dominio de origen. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio. En la opcin Destino de la lista desplegable Dominio, escriba o seleccione el nombre de DNS o NetBIOS del dominio de destino. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio y, a continuacin, haga clic en Siguiente.
Haga clic en S, actualizar la informacin. Haga clic en Seleccionar equipos desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de cuentas de servicio, haga clic en Agregar para seleccionar las cuentas del dominio de origen que desea migrar, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
80
Dilogo de agente
En Acciones de agente seleccione Ejecutar comprobacin previa y operacin de agente y, a continuacin, haga clic en Inicio. Aparecer un mensaje en Resumen de agente cuando se completen las operaciones de agente. Una vez finalizadas las operaciones de agente, haga clic en Cerrar. Seleccione cualquier cuenta de usuario que no tenga que estar marcada como cuenta de servicio en la base de datos de ADMT y, a continuacin, haga clic en Omitir/Incluir para marcar las cuentas como Omitir. Revise sus selecciones y, a continuacin, haga clic en Finalizar.
El asistente se conecta a los equipos seleccionados y, a continuacin, enva un agente para comprobar cada servicio en los equipos remotos. La pgina Informacin de cuentas de servicios muestra los servicios que se ejecutan en el contexto de una cuenta de usuario y el nombre de dicha cuenta de usuario. ADMT indica en su base de datos que estas cuentas de usuario se tienen que migrar como cuentas de servicio. Si no desea migrar una cuenta de usuario como cuenta de servicio, seleccione la cuenta y, a continuacin, haga clic en Omitir/Incluir para cambiar el estado de Incluir a Omitir. Utiliza Actualizar SCM para actualizar el Administrador de control de servicios con la nueva informacin. A menos que se produzca un error de acceso a un equipo para actualizar el servicio, el botn Actualizar SCM no est disponible. Si tiene problemas al actualizar una cuenta de servicio una vez identificada y migrada la cuenta, asegrese de que el equipo al que intenta tener acceso est disponible y, a continuacin, reinicie el Asistente para migracin de cuentas de servicios. En el asistente, haga clic en Actualizar SCM para intentar actualizar el servicio. Si ya ha ejecutado el Asistente para migracin de cuentas de servicios anteriormente y el botn Actualizar SCM no est disponible, examine los archivos de registro de ADMT para determinar la causa del problema. Una vez corregido el problema y cuando el agente se pueda conectar correctamente, el botn Actualizar SCM estar disponible. 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el siguiente comando y, a continuacin, presione 81
Donde <nombre_equipo1> y <nombre_equipo2> son nombres de equipos del dominio de origen que ejecutan cuentas de servicio. Como alternativa, puede incluir parmetros en un archivo de opcin que se especifique en la lnea de comandos como se muestra a continuacin:
ADMT SERVICE /N "<nombre_equipo1>" "<nombre_equipo2>" /O:" <archivo_opcin>.txt"
La siguiente tabla enumera los parmetros comunes que se utilizan para la identificacin de cuentas de servicio, junto con el parmetro de lnea de comandos y los equivalentes de archivo de opciones.
Valores Sintaxis de lnea de comandos Sintaxis del archivo de opciones
/SD:"dominio_origen"
SourceDomain="dominio_origen"
/TD:"dominio_destino"
TargetDomain="dominio_destino"
3. Revise si hay errores en los resultados que se muestran en la pantalla. Cree una secuencia de comandos que incorpore los comandos de ADMT y las opciones para la identificacin de cuentas de servicio utilizando la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id="IdentifyingServiceAccounts" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
82
Migracin de cuentas
Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 El proceso de migracin de objetos de cuenta de un dominio de origen a uno de destino en otro bosque de Active Directory implica en primer lugar la migracin de cuentas de servicio y, a continuacin, la migracin de los grupos globales. Una vez que los grupos estn en su lugar en el dominio de destino, puede migrar usuarios segn el proceso que haya seleccionado, ya sea usando el historial de identificadores de seguridad (SID) para el acceso a los recursos o sin usar el historial de SID para el acceso a los recursos. Cuando el proceso de migracin de objetos de cuenta haya terminado, puede instruir a los usuarios del dominio de origen que inicien sesin en el dominio de destino. La siguiente ilustracin muestra el proceso de migracin de cuentas entre dominios en diferentes bosques. 83
84
Transicin de cuentas de servicio mediante el complemento de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En el complemento de ADMT, haga clic en Accin y, a continuacin, haga clic en Asistente para migracin de cuentas de usuario. 3. Complete el Asistente para migracin de cuentas de usuarios con la informacin que se proporciona en la tabla siguiente.
85
Accin
Seleccin de dominio
En la opcin Origen de la lista desplegable Dominio, escriba o seleccione el nombre de DNS (Sistema de nombres de dominio) o NetBIOS del dominio de origen. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio. En la opcin Destino de la lista desplegable Dominio, escriba o seleccione el nombre de DNS o NetBIOS del dominio de destino. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio y, a continuacin, haga clic en Siguiente.
Seleccin de usuario
Haga clic en Seleccionar usuarios desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de usuario, haga clic en Agregar para seleccionar las cuentas del dominio de origen que desea migrar, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Haga clic en Examinar. En Buscar un contenedor, busque el dominio de origen, seleccione el contenedor para las cuentas de servicio y, a continuacin, haga clic en Aceptar.
86
Accin
Opciones de contrasea
Haga clic en Generar contraseas complejas. Nota Si realiza una transicin de cuentas de servicio mediante el Asistente para migracin de cuentas de usuario, se generar automticamente una contrasea compleja, independientemente de la opcin seleccionada en la pgina de este asistente. Incluso si se ha seleccionado No actualizar contraseas de usuarios existentes, se generar una contrasea compleja.
Haga clic en Habilitar cuentas de destino. Active la casilla de verificacin Migrar SID de usuario para el dominio de destino.
Cuenta de usuario
Escriba el nombre de usuario, la contrasea y el dominio de una cuenta de usuario que tenga credenciales administrativas. Active la casilla de verificacin Actualizar derechos de usuario. Asegrese de que no ha seleccionado otra configuracin, incluida Migrar grupos de usuario asociados.
Opciones de usuario
Gestin de conflictos
87
Haga clic en Migrar todas las cuentas de servicio y actualizar SCM de los elementos marcados para incluir. Si tambin migra otras cuentas de usuario que no son cuentas de servicio, esta pgina del asistente le indica que ha seleccionado algunas cuentas marcadas como cuentas de servicio en la base de datos de ADMT. De forma predeterminada, las cuentas se marcan como Incluir. Para cambiar el estado de la cuenta, seleccinela y haga clic en Omitir/Incluir. Haga clic en Siguiente para migrar las cuentas.
4. Cuando haya finalizado la ejecucin del asistente, haga clic en Ver registro y revise si hay errores en el registro de migracin. 5. Inicie Usuarios y equipos de Active Directory, desplcese a la unidad organizativa que ha creado para las cuentas de servicio y, a continuacin, compruebe que las cuentas de servicio existen en la unidad organizativa del dominio de destino. 6. Confirme que cada aplicacin para la que la cuenta de servicio se reubic contina funcionando correctamente. 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el siguiente comando y, a continuacin, presione ENTRAR:
ADMT USER /N "<nombre_servidor1>" "<nombre_servidor2>" /SD:" <dominio_origen>" /TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /MSS:YES
Donde Nombre_servidor1 y Nombre_servidor2 son los nombres de servidores del dominio de origen que ejecutan cuentas de servicio. Como alternativa, puede incluir parmetros en un archivo de opcin que se especifica en la lnea de comandos, de la manera siguiente:
ADMT USER /N "<nombre_servidor1>" "<nombre_servidor2>" /O: "<archivo_opcin>.txt"
La siguiente tabla enumera los parmetros comunes que se utilizan para la transicin de cuentas de servicios, junto con el parmetro de lnea de comandos y los equivalentes de archivo de opciones.
88
<Dominio de origen> <Dominio de destino> Ubicacin de la <Unidad organizativa de destino> Deshabilitar cuentas Migrar contrasea Migrar los SID de usuario = YES Actualizar derechos de usuario=YE S Gestin de conflictos
/TD:"dominio_destino"
TargetDomain="dominio_destino"
/ TO:"unidad_organizativa_destin
TargetOU="unidad_organizativa_destin
o"
o"
/DOT:ENABLETARGET
(valor
DisableOption=ENABLETARGET
(valor
predeterminado)
PasswordOption=COMPLEX
MigrateSIDs=YES
/UUR:YES
UpdateUserRights=YES
(valor predeterminado)
/CO:IGNORE
ConflictOptions=IGNORE
(valor
predeterminado)
3. Revise si hay errores en los resultados que se muestran en la pantalla. 4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa de la cuenta de servicio de destino. Compruebe que las cuentas de servicio existen en la unidad organizativa del dominio de destino. Prepare una secuencia de comandos que incorpore los comandos de ADMT y las opciones para la transicin de cuentas de servicio utilizando la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" TransitioningServiceAccountsBetweenForests" > <Script language=" VBScript" <Script language="VBScript" > src="AdmtConstants.vbs" />
89
Option Explicit
objMigration.SourceDomain = "dominio de origen" objMigration.SourceOu = "contenedor de origen" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "contenedor de destino" objMigration.ConflictOptions = admtIgnoreConflicting
90
Nota
Nota
la cuenta de migracin de cuentas ADMT. 2. Utilice el Asistente para migracin de cuentas de grupo realizando los pasos de la tabla siguiente.
92
Accin
Seleccin de dominio
En la opcin Origen de la lista desplegable Dominio, escriba o seleccione el nombre de DNS (Sistema de nombres de dominio) o NetBIOS del dominio de origen. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio. En la opcin Destino de la lista desplegable Dominio, escriba o seleccione el nombre de DNS o NetBIOS del dominio de destino. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio y, a continuacin, haga clic en Siguiente.
Seleccin de grupo
Haga clic en Seleccionar grupos desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de grupo, haga clic en Agregar para seleccionar los grupos del dominio de origen que desea migrar, haga clic en Aceptar y, a continuacin, haga clic en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Escriba el nombre de la unidad organizativa o haga clic en Examinar. En el cuadro de dilogo Buscar un contenedor, busque el contenedor del dominio de destino al que desea mover los grupos globales y, a continuacin, haga clic en Aceptar.
93
Opciones de grupo
Haga clic en Migrar SID de grupo al dominio de destino. Asegrese de que no estn seleccionadas todas las opciones.
Cuenta de usuario
Escriba el nombre de usuario, contrasea y el dominio de una cuenta que tenga derechos administrativos en el dominio de origen. Haga clic en No migrar el objeto de origen si se detecta un conflicto en el dominio de destino.
Gestin de conflictos
3. Cuando haya finalizado la ejecucin del asistente, haga clic en Ver registro y revise si hay errores en el registro de migracin. 4. Abra el complemento Usuarios y equipos de Active Directory y, a continuacin, localice la unidad organizativa del dominio de destino. Compruebe que los grupos globales existen en la unidad organizativa del dominio de destino. 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el comando ADMT GROUP con los parmetros apropiados y, a continuacin, presione ENTRAR:
ADMT GROUP /N "<nombre_grupo1>" "<nombre_grupo2>" /SD:" <dominio_origen>" /TD:" <dominio de destino>" /TO:" <unidad organizativa de destino>" /MSS:YES
Como alternativa, puede incluir parmetros en un archivo de opcin que se especifica en la lnea de comandos como se muestra a continuacin:
ADMT GROUP /N "<nombre_grupo1>" "<nombre_grupo2>" /O: "<archivo_opcin>.txt"
En la tabla siguiente se muestran los parmetros comunes que se utilizan para migrar grupos globales, junto con los parmetros de lnea de comandos y los equivalentes del archivo de opciones.
94
<Dominio de origen> Ubicacin de la <Unidad organizativ a de origen> <Dominio de destino> Ubicacin de la <Unidad organizativ a de destino> Migrar SID de GG Gestin de conflictos
/ SO:"unidad_organizativa_origen"
SourceOU="unidad_organizativa_origen
"
/TD:"dominio_destino"
TargetDomain="dominio_destino"
/ TO:"unidad_organizativa_destino
TargetOU="unidad_organizativa_destin
o"
"
/MSS:YES
MigrateSIDs=YES
(valor predeterminado)
/CO:IGNORE
ConflictOptions=IGNORE
3. Revise si hay errores en los resultados que se muestran en la pantalla. 4. Abra el complemento Usuarios y equipos de Active Directory y, a continuacin, localice la unidad organizativa del dominio de destino. Compruebe que los grupos globales existen en la unidad organizativa del dominio de destino. Prepare una secuencia de comandos que incorpore las opciones y comandos de ADMT para migrar grupos globales utilizando la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" MigratingGlobalGroupsBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
95
objMigration.SourceDomain = "dominio de origen" objMigration.SourceOu = "contenedor de origen" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "contenedor de destino"
objGroupMigration.MigrateSIDs = True
96
</Script> </Job>
Las claves privadas asociadas con EFS, Extensiones seguras multipropsito al correo de Internet (S/MIME) y otros certificados Los datos de programa protegidos mediante la funcin CryptProtectData() Por este motivo, es importante para comprobar las migraciones de usuarios. Utilice su cuenta de migracin de prueba para identificar cualquier propiedad que no se haya migrado y actualice las configuraciones en el dominio de destino consecuentemente. Complete los siguientes pasos para migrar las cuentas de usuario al dominio de destino: 1. Migre las cuentas de servicio administradas. Las cuentas de servicio administradas deben migrarse antes de los equipos. 2. Migre todas las cuentas de usuario con la cuenta activada en el dominio de origen, desactivada en el dominio de destino, con una contrasea compleja seleccionada y sin atributos migrados. 3. Convierta los perfiles locales de usuario para un lote de usuarios
97
4. Migre las estaciones de trabajo en lotes que correspondan a los lotes de cuentas de usuario. 5. Antes de migrar el lote de cuentas de usuarios, compruebe que la migracin de la estacin de trabajo y el perfil local se ha realizado correctamente para todos los usuarios del lote. No migre cualquier cuenta de usuario cuya migracin de estacin de trabajo o perfil haya dado error. Esto har que los usuarios sobrescriban sus perfiles existentes cuando inicien sesin en el dominio de destino. 6. Vuelva a migrar las cuentas de usuario de los lotes con la cuenta definida con un perodo de caducidad de siete das en el dominio de origen, la cuenta de destino desactivada, con una migracin de contrasea seleccionada y con todos los atributos migrados. 7. Despus de cada lote, vuelva a migrar todos los grupos para actualizar cualquier cambio de pertenencia a grupos. 8. Notifique a los usuarios del lote para que inicien sesin en el nuevo dominio. 9. Una vez migrados todos los usuarios, ejecute una migracin final de grupo global para actualizar cualquier cambio de pertenencia a grupos. La migracin de cuentas de usuario en lotes le ayuda a realizar un seguimiento de las cuentas que se hayan migrado y comprobar el xito de cada paso de migracin. Si la estructura de la unidad organizativa para el dominio de destino es la misma que la estructura de unidad organizativa para el dominio de origen, migre los grupos de usuarios basados en unidad organizativa. Si las estructuras de unidad organizativa no son las mismas, seleccione una forma alternativa para agrupar a los usuarios en base a la estructura de su organizacin. Por ejemplo, puede migrar usuarios por unidades de negocio o por planta para permitirle consolidar los recursos de servicio de asistencia. Si planifica retener su estructura de unidad organizativa de dominio de origen, migre las unidades organizativas junto con los usuarios que contenan. Por ejemplo, si su dominio de origen es un entorno Active Directory de Windows Server 2003 que tiene una estructura de unidad organizativa funcional y el dominio de destino no tiene una estructura de unidad organizativa, migre las unidades organizativas del dominio de origen. Si ha creado una nueva estructura de unidad organizativa en el dominio de destino, migre los lotes de usuarios sin las unidades organizativas. Por ejemplo, si su entorno de origen era un dominio de Windows NT 4.0 que actualiz a un dominio de Windows Server 2003, es posible que el dominio de origen no tuviese una estructura de unidad organizativa existente; por consiguiente, puede migrar los usuarios sin migrar las unidades organizativas. Para obtener ms informacin acerca de cmo crear una estructura de unidad organizativa, consulte "Designing Organizational Units for Delegation of Administration" (http://go.microsoft.com/fwlink/?LinkId=76628). Hasta que migre todos los usuarios y cuentas de grupos, contine administrando la pertenencia a grupos globales en el dominio de origen. Para admitir una estrategia de reversin, sincronice de forma manual cualquier cambio que realice a los usuarios del dominio de destino con las cuentas del usuario existente en el dominio de origen. Para obtener ms informacin sobre la administracin de los usuarios y grupos durante el proceso de reestructuracin entre distintos
98
bosques, consulte Administracin de usuarios, grupos y perfiles de usuario, expuesto anteriormente en esta gua. Si migra unidades organizativas durante la migracin de cuentas de usuario, se migran los grupos que pertenecen a dichas unidades organizativas a la unidad organizativa del dominio de destino durante el proceso de migracin de cuentas de usuario. Cuando migre grupos globales mediante el proceso de migracin de grupos globales, estos se colocan en la unidad organizativa de destino del dominio de destino. Si migra unidades organizativas desde el dominio de origen al de destino, seleccione la opcin para mover los grupos globales al dominio de destino al mismo tiempo. De esta forma, los grupos se mueven de la unidad organizativa de destino en la que se colocaron durante la migracin inicial de grupos globales a la unidad organizativa a la que pertenecen. Al utilizar ADMT para migrar las cuentas de usuarios se conservan las pertenencias a los grupos. Dado que los grupos globales pueden contener slo miembros del dominio en el que se site el grupo, cuando los usuarios se migran a un nuevo dominio, las cuentas de usuario del dominio de destino no pueden ser miembro de los grupos globales del dominio de origen. Como parte del proceso de migracin, ADMT identifica los grupos globales del dominio de origen al que pertenecen las cuentas de usuario y, a continuacin, determina si los grupos globales se han migrado. Si ADMT identifica los grupos globales del dominio de destino al que pertenecan los usuarios migrados del dominio de destino, la herramienta agrega los usuarios a los grupos globales apropiados del dominio de destino. Al utilizar ADMT para migrar las cuentas de usuarios tambin se conservan las contraseas de usuario. Una vez migradas las cuentas de usuario y activadas en el dominio de destino, los usuarios pueden iniciar sesin en el dominio de destino utilizando las contraseas originales. Tras iniciar sesin, se pide a los usuarios que cambien la contrasea. Si el proceso de migracin de la cuenta de usuario se realiza correctamente, pero se produce un error en el proceso de migracin de la contrasea, ADMT crea una nueva contrasea compleja para la cuenta de usuario en el dominio de destino. De forma predeterminada, ADMT almacena las nuevas contraseas complejas en el archivo C:\Archivos de programa\Herramienta de migracin para Active Directory\Registros\Password.txt. Si tiene una configuracin de directiva de grupo en el dominio de destino que no permite contraseas en blanco (la configuracin Directiva predeterminada de dominio/Configuracin del equipo/Configuracin de seguridad/Directivas de cuenta/Directiva de contraseas/Longitud mnima de contrasea se define como cualquier nmero distinto de cero), la migracin de contraseas no se producir para cualquier usuario que tenga una contrasea en blanco. ADMT genera una contrasea compleja para ese usuario y escribe un error en el registro de errores. Establezca un mtodo para notificar a los usuarios quin tiene contraseas nuevas asignadas. Por ejemplo, puede crear una secuencia de comandos para enviar un mensaje de correo electrnico a los usuarios para notificarles las nuevas contraseas. La siguiente ilustracin muestra los pasos que implica la migracin de cuentas si utiliza el historial de SID para el acceso a los recursos.
99
Importante
usuario y migracin de las estaciones de trabajo en lotes. Para obtener ms informacin acerca de la migracin de los equipos como parte de una migracin dentro del mismo bosque, consulte Migracin de estaciones de trabajo y servidores miembro. Las cuentas de servicio administradas que se migraron en el paso anterior y que estaban instaladas originalmente en los equipos migrados se identifican durante la migracin del equipo. Cuando la migracin del equipo haya finalizado, las cuentas de servicio administradas vuelven a instalarse en el equipo en el dominio de destino (a menos que solicite ignorarlas). Si ha ejecutado la conversin de seguridad en los servidores miembro que tienen recursos que conceden permisos a las cuentas de servicio administradas, las cuentas tienen los mismos permisos para el acceso a los recursos en el dominio de destino que los que tenan en el dominio de origen. Si migra cuentas de servicio administradas entre dominios dentro del mismo bosque, ejecute la conversin de seguridad en los servidores miembro del dominio de origen que tengan recursos que concedan permisos a las cuentas de servicio administradas. La conversin de seguridad no suele ser necesaria durante una migracin interna del bosque porque se ha movido un SID con una cuenta. No obstante, las cuentas de servicio administradas que se migran entre dominios en el mismo bosque se copian. Se crea una nueva cuenta en el dominio de destino y las propiedades de la cuenta (excepto SID) se copian desde el dominio de origen. Por tanto, ser necesario ejecutar la conversin de seguridad. Si los recursos del dominio de origen que conceden permisos a las cuentas de servicio administradas se hospedan en el mismo equipo que la cuenta de servicio administrada, debera seleccionar la conversin de seguridad en los recursos adecuados (Archivos y carpetas, Grupos locales y as sucesivamente) en la pgina Convertir objetos del Asistente para la migracin de equipos. Si los recursos estn en otros equipos que no se estn migrando, tendr que ejecutar el Asistente para conversin de seguridad en esos equipos y, en la pgina Opciones de conversin de seguridad, seleccione Objetos previamente migrados o proporcione expresamente las cuentas de servicio administradas en un archivo de asignacin de SID. Para obtener ms informacin acerca de la conversin de seguridad, consulte Conversin de seguridad en los servidores miembro. 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En el complemento ADMT, haga clic en Accin y, a continuacin, en Asistente para migracin de cuentas de servicio administradas . 3. Complete el Asistente para migracin de cuentas de servicio administradas con la informacin que se proporciona en la tabla siguiente.
101
Accin
Seleccin de dominio
En la opcin Origen de la lista desplegable Dominio, escriba o seleccione el nombre de DNS (Sistema de nombres de dominio) o NetBIOS del dominio de origen. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio. En la opcin Destino de la lista desplegable Dominio, escriba o seleccione el nombre de DNS o NetBIOS del dominio de destino. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio y, a continuacin, haga clic en Siguiente.
102
Accin
Haga clic en Seleccionar cuentas de servicio administradas del dominio para migrar las cuentas de servicio administradas del dominio mediante el cuadro de dilogo de seleccin de objetos o un archivo de inclusin. Esta es la mejor opcin si se desea migrar todas las cuentas de servicio administradas desde el dominio de origen. O bien Haga clic en Proporcionar equipos para consultar las cuentas de servicio administradas instaladas y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de cuentas de servicio administradas, haga clic en Agregar para seleccionar las cuentas de equipo del dominio de origen que desea consultar para conocer las cuentas de servicio administradas, haga clic en Aceptar y, a continuacin, en Siguiente. Se prefiere esta opcin si se desea migrar slo cuentas de servicio administradas que se han instalado en equipos especficos. Cada equipo que proporciona puede tener varias cuentas de servicio administradas instaladas. Puede elegir una combinacin de estas opciones yendo y viniendo en el asistente. Por ejemplo, puede proporcionar los equipos que se van a consultar y agregar las cuentas de servicio administradas que estn instaladas en esos equipos a la lista de cuentas que se van a migrar. A continuacin, puede hacer clic en Atrs en el asistente para volver a esta pgina y seleccionar cuentas de servicio administradas adicionales del dominio o de un archivo de inclusin.
103
Accin
Opcin de seleccin de cuenta de servicio administrada Esta pgina slo aparece si las cuentas de servicio administradas las selecciona del dominio.
Haga clic en Seleccionar cuentas de servicio administradas del dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de cuentas de servicio administradas, haga clic en Agregar para seleccionar las cuentas del dominio de origen que desea migrar, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Haga clic en Examinar para especificar una ubicacin para las cuentas migradas y, a continuacin, haga clic en Siguiente. Active la casilla de verificacin Actualizar derechos de cuenta. Active la casilla de verificacin Revisar la pertenencia a grupos de cuentas. Si la cuenta se est migrando a un bosque diferente, seleccione la casilla Migrar SID de cuenta al domino de destino. Esta opcin no est disponible para una migracin interna del bosque. Haga clic en Siguiente. Escriba el nombre de usuario, la contrasea y el dominio de una cuenta que tenga credenciales administrativas en el dominio de origen, y haga clic en Siguiente.
4. Cuando el asistente haya terminado de ejecutarse, haga clic en Ver registro y, a continuacin, revise si hay errores en el registro de migracin. 5. Inicie Usuarios y equipos de Active Directory y compruebe que las cuentas de servidor administradas existen en la unidad organizativa apropiada del dominio de destino. 104
Migracin de cuentas de servicio administradas mediante la opcin de lnea de comandos de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el siguiente comando y, a continuacin, presione ENTRAR:
ADMT MANAGEDSERVICEACCOUNT /N "<nombre_cuenta de servicio administrada1>" "<nombre_cuenta de servicio administrada2>" /IF:NO /SD:"<dominio_origen>" /TD:"<dominio_destino>" /UUR:YES /FGM:YES /MSS:YES
Donde <nombre_cuenta de servicio administrada1> y <nombre_cuenta de servicio administrada2> son los nombres de las cuentas de servicio administradas del dominio de origen. Como alternativa, puede incluir parmetros en un archivo de opcin que se especifique en la lnea de comandos como se muestra a continuacin:
ADMT MANAGEDSERVICEACCOUNT /N "<nombre_cuenta de servicio administrada1>" "<nombre_cuenta de servicio administrada2>" /O:"<archivo_opcin>.txt"
En la siguiente tabla se enumeran los parmetros comunes que se utilizan para la migracin de cuentas de servicio administradas, junto con el parmetro de lnea de comandos y los equivalentes de archivo de opciones.
105
Valores
Migracin entre distintos bosques <Dominio de origen> <Dominio de destino> Actualizar derechos de cuenta Actualizar la pertenencia a grupos de cuentas Migrar SID de cuentas Nota Slo puede migrar SID de cuentas de servicio administradas entre bosques. Si utiliza este parmetro durante una migracin dentro del mismo bosque, aparece un error.
/IF:No
Intraforest=No
/FGM:Yes
FixGroupMembership=Yes
/MSS:Yes
MigrateSIDs=Yes
3. Revise si hay errores en los resultados que se muestran en la pantalla. Si las cuentas de servicio administradas estn hospedadas en equipos miembro del dominio de origen, puede incluir el equipo miembro cuando realice la migracin de los equipos y la cuenta de servicio administrada se instalar en el equipo miembro del dominio de destino una vez migrado el equipo.
Nota
Importante
Comience el proceso de migracin de cuentas de usuario migrando todos los usuarios. Esto le ayudar a convertir los perfiles locales y garantizar que los usuarios continuarn teniendo acceso a los recursos apropiados despus de la migracin. Las cuentas integradas (como Administradores, Usuarios o Usuarios avanzados) no pueden ser objetos de migracin de la Herramienta de migracin para Active Directory (ADMT). Ya que los identificadores de seguridad (SID) de la cuenta integrada son idnticos en todos los dominios, la migracin de estas cuentas a un dominio de destino provocar la duplicacin de los SID en un dominio nico. Cada SID de un dominio debe ser exclusivo. Las cuentas conocidas (como Admins. del dominio y Usuarios del dominio) tampoco pueden ser objetos de migracin de ADMT. El proceso de migracin de cuentas de usuarios de ADMT incluye los siguientes pasos: 1. ADMT lee los atributos de los objetos de usuario de origen. 2. ADMT crea un nuevo objeto de usuario en el dominio de destino y un nuevo SID principal para la nueva cuenta de usuario. 3. ADMT agrega el SID original de la cuenta de usuario al atributo del historial de SID de la nueva cuenta de usuario. 4. ADMT migra la contrasea de la cuenta de usuario. 5. Si ADMT identifica los grupos globales del dominio de destino al que pertenecan los usuarios migrados del dominio de destino, la herramienta agrega los usuarios a los grupos globales apropiados del dominio de destino. Durante la migracin, los eventos de auditora inician sesin en los dominios de destino y de origen. Puede migrar cuentas de usuario mediante el complemento de ADMT, la opcin de lnea de comandos de ADMT o una secuencia de comandos. Si va a migrar cuentas de usuario que tienen habilitada la seguridad del mecanismo de autenticacin, use un archivo de inclusin. En el archivo de inclusin, especifique los nombres principales de usuario (UPN) originales del dominio de origen como UPN de destino para poder mantener en funcionamiento la seguridad del mecanismo de autenticacin. Para obtener ms informacin acerca del uso de un archivo de inclusin, consulte Uso de un archivo de inclusin. Cuando inicie una migracin de usuarios con el historial SID desde la lnea de comandos o desde una secuencia comandos, debe realizarla en un controlador de dominio del dominio de destino. 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. Utilice el Asistente para migracin de cuentas de usuario realizando los pasos de la tabla siguiente.
107
Accin
Seleccin de dominio
En la opcin Origen de la lista desplegable Dominio, escriba o seleccione el nombre de DNS (Sistema de nombres de dominio) o NetBIOS del dominio de origen. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio. En la opcin Destino de la lista desplegable Dominio, escriba o seleccione el nombre de DNS o NetBIOS del dominio de destino. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio y, a continuacin, haga clic en Siguiente.
Seleccin de usuario
Haga clic en Seleccionar usuarios desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de usuario, haga clic en Agregar para seleccionar los usuarios del dominio de origen que desea migrar al lote actual, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Asegrese de que ADMT muestra la unidad organizativa de destino correcta. Si no es correcta, escriba la unidad organizativa correcta o haga clic en Examinar. En el cuadro de dilogo Buscar un contenedor, busque el dominio de destino y la unidad organizativa y, a continuacin, haga clic en Aceptar. 108
Accin
Opciones de contrasea
Haga clic en No actualizar contraseas de usuarios existentes. Haga clic en Generar contraseas complejas.
En Estado de la cuenta de destino:, haga clic en Deshabilitar cuentas de destino. En Opciones para deshabilitar la cuenta de origen:, haga clic en Das hasta que caduquen las cuentas de origen: y, a continuacin, escriba el nmero de das que desee conservar la cuenta de origen. Se utiliza comnmente un valor de siete. Active la casilla de verificacin Migrar SID de usuario para el dominio de destino.
Cuenta de usuario
Escriba el nombre de usuario, la contrasea y el dominio de una cuenta de usuario que tenga credenciales administrativas en el dominio de origen. Active la casilla de verificacin Convertir perfiles mviles. Desactive la casilla de verificacin Actualizar derechos de usuario. Desactive la casilla de verificacin Migrar grupos de usuario asociados. Active la casilla de verificacin Revisar la pertenencia a grupos de los usuarios.
Opciones de usuario
109
Gestin de conflictos
Haga clic en No migrar el objeto de origen si se detecta un conflicto en el dominio de destino. Asegrese de que las casillas de verificacin Antes de combinar, quitar los derechos de usuario de las cuentas de destino existentes y Mover objetos combinados a la Unidad organizativa de destino especificada no estn activadas.
3. Cuando el asistente haya terminado de ejecutarse, haga clic en Ver registro y, a continuacin, revise si hay errores en el registro de migracin. 4. Inicie Usuarios y equipos de Active Directory y compruebe que las cuentas de usuarios existen en la unidad organizativa apropiada del dominio de destino. 1. En un controlador de dominio del dominio de destino en el que est instalado ADMT, inicie sesin con la cuenta de migracin de cuentas de ADMT. Importante Cuando inicie una migracin de usuarios con el historial SID desde la lnea de comandos, debe realizarla en un controlador de dominio del dominio de destino. 2. En la lnea de comandos, escriba el comando apropiados y, a continuacin, presione ENTRAR.
ADMT User
/SD:" <dominio_origen>"
Como alternativa, puede incluir parmetros en un archivo de opcin que se especifique en la lnea de comandos como se muestra a continuacin:
ADMT USER /N "<nombre_usuario1>" "<nombre_usuario2>" /O "<archivo_opcin>.txt"
La siguiente tabla enumera los parmetros comunes que se utilizan para migrar cuentas de usuarios, junto con el parmetro de lnea de comandos y los equivalentes de archivo de opciones.
110
<Dominio de origen> <Dominio de destino> Ubicacin de la <Unidad organizativ a de destino> Migrar SID Deshabilita r opcin Caducidad de origen Gestin de conflictos Convertir perfil mvil Actualizar derechos de usuario Opciones de contrasea
/TD:"dominio_destino"
TargetDomain="dominio_destino"
/ TO:"unidad_organizativa_destino
TargetOU="unidad_organizativa_destin
o"
"
/MSS:YES /DOT:DISABLETARGET
MigrateSIDs=YES DISABLEOPTION=DISABLETARGET
/SEP:7
SOURCEEXPIRATION=7
(valor predeterminado)
/CO:IGNORE /TRP:YES
ConflictOptions=IGNORE
(valor predeterminado)
TranslateRoamingProfile=YES
/UUR:NO
UpdateUserRights=NO
/PO:COMPLEX
PasswordOption=COMPLEX
3. Revise si hay errores en los resultados que se muestran en la pantalla. 4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa de destino. Compruebe que los usuarios existen en la unidad organizativa de destino. Prepare una secuencia de comandos que incorpore los comandos de ADMT y las opciones para la migracin de usuarios utilizando la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs. En su secuencia de comandos, especifique los nombres del contenedor de origen y de 111
destino en formato cannico relativo. Por ejemplo, si el contenedor es una unidad organizativa secundaria denominada Ventas y su unidad organizativa principal se denomina Oeste, especifique Oeste/Ventas como el nombre del contenedor. Para obtener ms informacin, consulte TemplateScripts.vbs en la carpeta de instalacin de ADMT.
<Job id=" MigratingAllUserAccountsBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
objMigration.SourceDomain = "dominio de origen" objMigration.SourceOu = "contenedor de origen" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "contenedor de destino" objMigration.PasswordOption = admtComplexPassword objMigration.ConflictOptions = admtIgnoreConflicting
112
objUserMigration.MigrateSIDs = True objUserMigration.TranslateRoamingProfile = True objUserMigration.UpdateUserRights = False objUserMigration.FixGroupMembership = True objUserMigration.MigrateServiceAccounts = False
Repeticin de la migracin de las cuentas de usuario y migracin de las estaciones de trabajo en lotes
Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 La repeticin de la migracin de las cuentas de usuario y las estaciones de trabajo en lotes le ayuda a realizar un registro del proceso de migracin. Para cada lote de usuarios, primero convierta los perfiles de usuario local y, a continuacin, migre las estaciones de trabajo. Compruebe que la migracin de la estacin de trabajo y el perfil se ha realizado correctamente y, a continuacin, migre las cuentas de usuario. Repita la migracin de los grupos globales despus de cada lote. Para obtener ms informacin, consulte Repeticin de la migracin de todos los grupos globales despus de migrar todos los lotes, ms adelante en esta gua.
Nota
para objetos de migracin del equipo en las diferentes versiones de ADMT, consulte Herramienta de migracin Active Directory: versiones y entornos admitidos. Los perfiles de usuario se almacenan de forma local en la estacin de trabajo. Cuando un usuario inicia sesin en otra estacin de trabajo, debe crear un nuevo perfil de usuario local nico. Convierta los perfiles de usuario local del primer lote de usuarios inmediatamente despus de la migracin de todas las cuentas de usuario. Los perfiles locales se convierten en modo Reemplazar porque si realiza la conversin del perfil en modo Agregar, es posible que determinados aspectos de la instalacin del software que utilizan la implementacin del software de la directiva de grupo no funcionen. Es posible que cualquier aplicacin incluida con Windows Installer versin 2.0 (incluida en las estaciones de trabajo con Windows 2000 Server Service Pack 3 (SP3) o Service Pack 4 (SP4) y Windows XP Service Pack 1 (SP1) o Service Pack 2 (SP2), as como en muchos paquetes de software comunes) no funcione despus de la conversin del perfil. Por ejemplo, puede que los archivos ejecutables de la aplicacin no se eliminen una vez que el ltimo usuario quite la aplicacin. Cuando el Asistente para conversin de seguridad de ADMT convierta perfiles locales en modo Reemplazar, volver al modo Agregar si se bloquea un perfil. Puede resultar en una conversin de perfil correcta. No obstante, es posible que las instalaciones de aplicacin no funcionen despus de convertir el perfil. La noche anterior a la notificacin a los usuarios para que inicien sesin con sus nuevas cuentas en el dominio de destino, convierta los perfiles de usuario local. La conversin de los perfiles la noche antes garantiza que el nuevo perfil de usuario refleje la configuracin de usuario ms actual. Puede convertir los perfiles de usuario local mediante el complemento de ADMT, la opcin de lnea de comandos de ADMT o una secuencia de comandos. 1. Para cada estacin de trabajo del dominio de origen que migre, agregue la cuenta de migracin de recursos de ADMT al grupo de administradores locales. 2. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 3. Utilice el Asistente para la conversin de seguridad siguiendo los pasos de la tabla siguiente.
114
Accin
Haga clic en Objetos previamente migrados. En la opcin Origen de la lista desplegable Dominio, escriba o seleccione el nombre de DNS (Sistema de nombres de dominio) o NetBIOS del dominio de origen. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio. En la opcin Destino de la lista desplegable Dominio, escriba o seleccione el nombre de DNS o NetBIOS del dominio de destino. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio y, a continuacin, haga clic en Siguiente.
Haga clic en Seleccionar equipos desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de equipo, haga clic en Agregar para seleccionar los equipos del dominio de origen para los que desea convertir la seguridad, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Seleccione Ejecutar comprobacin previa y operacin de agente y, a continuacin, haga clic en Inicio. 115
Conversin de perfiles de usuarios locales mediante la opcin de lnea de comandos de ADMT 4. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez finalizado el asistente, haga clic en Ver registro de migracin para ver la lista de equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\Agents.
1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el comando apropiados y, a continuacin, presione ENTRAR.
ADMT Security
ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:" <dominio_origen>" /TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /TOT:Replace /TUP:YES
Como alternativa, puede incluir parmetros en un archivo de opciones que se especifica en la lnea de comandos como se muestra a continuacin:
ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /O "<archivo_opcin>.txt"
En la tabla siguiente se muestran los parmetros comunes que se utilizan para migrar cuentas de usuario, junto con los parmetros de lnea de comandos y los equivalentes del archivo de opciones.
Parmetros Sintaxis de lnea de comandos Sintaxis del archivo de opciones
<Dominio de origen> <Dominio de destino> Opciones de conversin de seguridad Modificar la seguridad de perfil de usuario local
/SD:"dominio_origen"
SourceDomain="dominio_origen"
/TD:"dominio_destino"
TargetDomain="dominio_destino"
/TOT:REPLACE
TranslateOption=REPLACE
/TUP:YES
TranslateUserProfiles=YES
3. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez finalizado el asistente, haga clic en Ver registro de migracin para ver la lista de 116
Conversin de perfiles de usuarios locales mediante una secuencia de comandos equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\Agents. Prepare una secuencia de comandos que incorpore los comandos de ADMT y las opciones para convertir perfiles de usuarios locales utilizando la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" TranslatingLocalProfilesBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
117
Nota
'
118
Migracin de estaciones de trabajo mediante el complemento de ADMT 1. En el equipo del dominio de destino en el que instala ADMT, inicie sesin utilizando la cuenta de migracin de recursos de ADMT. 2. Utilice el Asistente para migracin de equipos siguiendo los pasos de la tabla siguiente.
119
Accin
Seleccin de dominio
En la opcin Origen de la lista desplegable Dominio, escriba o seleccione el nombre de DNS (Sistema de nombres de dominio) o NetBIOS del dominio de origen. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio. En la opcin Destino de la lista desplegable Dominio, escriba o seleccione el nombre de DNS o NetBIOS del dominio de destino. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio y, a continuacin, haga clic en Siguiente.
Seleccin de equipo
Haga clic en Seleccionar equipos desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de equipo, haga clic en Agregar para seleccionar los equipos del dominio de origen que desea migrar, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Informacin sobre la cuenta de servicio administrada (aparece si el equipo tiene alguna cuenta de servicio administrada instalada)
Seleccione cualquier cuenta de servicio administrada que no se tenga que instalar en el equipo migrado en el dominio de destino y, a continuacin, haga clic en Omitir/Incluir para marcar las cuentas como Omitir.
120
Accin
Haga clic en Examinar. En el cuadro de dilogo Buscar un contenedor, busque el contenedor Equipos del dominio de destino o la unidad organizativa apropiada y, a continuacin, haga clic en Aceptar.
Convertir objetos
Active la casilla de verificacin Grupos locales. Active la casilla de verificacin Derechos de usuarios.
Haga clic en Agregar. En la casilla Minutos que habrn de transcurrir para que se reinicien los equipos tras la finalizacin del asistente, acepte el valor predeterminado de 5 minutos o escriba un valor distinto. Para excluir determinadas propiedades de objeto de la migracin, active la casilla de verificacin Excluir propiedades de objeto especficas de la migracin, seleccione las propiedades de objeto que desee excluir y muvalas a Propiedades excluidas y, a continuacin, haga clic en Siguiente. Haga clic en No migrar el objeto de origen si se detecta un conflicto en el dominio de destino. Seleccione Ejecutar comprobacin previa y operacin de agente y, a continuacin, haga clic en Inicio.
Gestin de conflictos
3. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez finalizado el asistente, haga clic en Ver registro de migracin para ver la lista de equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\Agents. 121
Migracin de estaciones de trabajo mediante la opcin de lnea de comandos de ADMT 4. Abra Usuarios y equipos de Active Directory y compruebe que las estaciones de trabajo existen en la unidad organizativa apropiada del dominio de destino. 1. En el equipo del dominio de destino en el que se instala ADMT, inicie sesin utilizando la cuenta de migracin de recursos de ADMT. 2. En la lnea de comandos, escriba el comando ADMT Computer con los parmetros apropiados y, a continuacin, presione ENTRAR.
ADMT COMPUTER /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:"<dominio_origen>" /TD:"<dominio_destino>" /TO:"<unidad_organizativa_destino>" [/M: <nombre de cuenta de servicio administrada 1> <nombre de cuenta de servicio administrada 2>] [/UALLMSA:Yes] /RDL:5
Como alternativa, puede incluir parmetros en un archivo de opcin que se especifique en la lnea de comandos, de la manera siguiente:
ADMT COMPUTER /N "<nombre_equipo1>" "<nombre_equipo2>" /O:" <archivo_opcin>.txt"
La siguiente tabla enumera los parmetros comunes que se utilizan para migrar estaciones de trabajo, junto con el parmetro de lnea de comandos y los equivalentes del archivo de opciones.
122
Parmetros
<Dominio de origen> Ubicacin de la <Unidad organizativa de origen> <Dominio de destino> Actualizar todas las cuentas de servicio administradas Actualizar las cuentas de servicio administradas especificadas Nota El parme tro /M tiene prefere ncia sobre el parme tro /UALL MSA. Ubicacin de la <Unidad organizativa de destino> Retraso de reinicio (minutos) Opcin de conversin de seguridad
/SD:"dominio_origen"
SourceDomain="dominio_origen"
/ SO:"unidad_organizativa_ori
SourceOU="unidad_organizativa_o
rigen"
gen"
/TD:"dominio_destino" TargetDomain="dominio_destino"
/UALLMSA: YES
UpdateAllManagedServiceAccounts =Yes
/M
nombre 1 nombre 2
UPDATEMSANAME=
nombre 1
nombre 2
/ TO:"unidad_organizativa_de
TargetOU="unidad_organizativa_d
estino"
stino"
/RDL:5
RestartDelay=5
/TOT:ADD
TranslationOption=ADD
123
/TUR:YES
TranslateUserRights=YES
/TLG:YES
TranslateLocalGroups=YES
3. Revise si hay errores en los resultados que se muestran en la pantalla. El registro de migracin muestra los equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina Migration TaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\Agents. 4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa de destino. Compruebe que las estaciones de trabajo y los servidores miembro existen en la unidad organizativa de destino. Prepare una secuencia de comandos que incorpore los comandos de ADMT y las opciones para la migracin de estaciones de trabajo utilizando la siguiente secuencia de comandos Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs..
<Job id="MigratingWorkstationsBwtweenForest" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
124
objMigration.SourceDomain = "dominio de origen" objMigration.SourceOu = "Equipos" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "Equipos"
125
Importante
126
Accin
Seleccin de dominio
En la opcin Origen de la lista desplegable Dominio, escriba o seleccione el nombre de DNS (Sistema de nombres de dominio) o NetBIOS del dominio de origen. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio. En la opcin Destino de la lista desplegable Dominio, escriba o seleccione el nombre de DNS o NetBIOS del dominio de destino. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio y, a continuacin, haga clic en Siguiente.
Seleccin de usuario
Haga clic en Seleccionar usuarios desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de usuario, haga clic en Agregar para seleccionar los usuarios del dominio de origen que desea migrar al lote actual, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Asegrese de que ADMT muestra la unidad organizativa de destino correcta. Si no es correcta, escriba la unidad organizativa correcta o haga clic en Examinar. En el cuadro de dilogo Buscar un contenedor, busque el dominio de destino y la unidad organizativa y, a continuacin, haga clic en Aceptar. 127
Accin
Opciones de contrasea
Haga clic en Migrar contraseas. En Controlador de dominio origen de migracin de contrasea:, escriba el nombre del servidor de exportacin de contraseas o acepte el valor predeterminado.
En Estado de la cuenta de destino:, haga clic en Habilitar cuentas de destino. En Opciones para deshabilitar la cuenta de origen:, haga clic en Das hasta que caduquen las cuentas de origen: y, a continuacin, escriba el nmero de das que desee conservar la cuenta de origen. Se utiliza comnmente un valor de siete. Active la casilla de verificacin Migrar SID de usuario para el dominio de destino.
Cuenta de usuario
Escriba el nombre de usuario, la contrasea y el dominio de una cuenta de usuario que tenga credenciales administrativas. Active la casilla de verificacin Convertir perfiles mviles. Active la casilla de verificacin Actualizar derechos de usuario. Desactive la casilla de verificacin Migrar grupos de usuario asociados. Active la casilla de verificacin Revisar la pertenencia a grupos de los usuarios.
Opciones de usuario
128
Migracin del lote actual de usuarios mediante la opcin de lnea de comandos de ADMT
Pgina del asistente Accin
Gestin de conflictos
Active la casilla de verificacin Migrar y combinar objetos en conflicto. Desactive la casilla de verificacin Antes de combinar, quitar los derechos de usuario de las cuentas de destino existentes. Desactive la casilla de verificacin Mover objetos combinados a la Unidad organizativa de destino especificada.
3. Cuando el asistente haya terminado, haga clic en Ver registro y revise si hay errores en el registro de migracin. 4. Abra Usuarios y equipos de Active Directory y compruebe que las cuentas de usuarios existen en la unidad organizativa apropiada del dominio de destino. 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el comando ADMT User con los parmetros apropiados y, a continuacin, presione ENTRAR.
ADMT USER /N "<nombre_usuario1>" "<nombre_usuario2>" /UUR:YES /SD:" <dominio_origen>" /TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /MSS:YES /TRP:YES
Como alternativa, puede incluir parmetros en un archivo de opcin que se especifique en la lnea de comandos, de la manera siguiente:
ADMT USER /N "<nombre_usuario1>" "<nombre_usuario2>" /O "<archivo_opcin>.txt"
En la tabla siguiente se muestran los parmetros comunes que se utilizan para migrar cuentas de usuario, junto con los parmetros de lnea de comandos y los equivalentes del archivo de opciones.
129
Migracin del lote actual de cuentas de usuario mediante una secuencia de comandos
Parmetros Sintaxis de lnea de comandos
/SD:"dominio_origen"
<Dominio de origen> Ubicacin de la <Unidad organizativ a de origen> <Dominio de destino> Ubicacin de la <Unidad organizativ a de destino> Migrar SID Gestin de conflictos Convertir perfil mvil Actualizar derechos de usuario Opciones de contrasea Caducidad de origen
/ SO:"unidad_organizativa_origen"
SourceOU="unidad_organizativa_origen
"
/TD:"dominio_destino"
TargetDomain="dominio_destino"
/ TO:"unidad_organizativa_destino
TargetOU="unidad_organizativa_destin
o"
"
/MSS:YES /CO:REPLACE
MigrateSIDs=YES ConflictOptions=REPLACE
/TRP:YES
(valor predeterminado)
TranslateRoamingProfile=YES
/UUR:YES
UpdateUserRights=YES
/PO:COPY /PS:<nombre
de
PasswordOption=COPY PasswordServer=:<nombre
servidor PES>
de servidor
PES>
/SEP:7 SourceExpiration=7
3. Revise si hay errores en los resultados que se muestran en la pantalla. 4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa de destino. Compruebe que los usuarios existen en la unidad organizativa de destino.
Prepare una secuencia de comandos que incorpore los comandos de ADMT y las 130
opciones para la migracin de usuarios utilizando la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id="MigratingUserAccountsInBatchesBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
objMigration.SourceDomain = "dominio de origen" objMigration.SourceOu = "contenedor de origen" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "contenedor de destino" objMigration.PasswordOption = admtCopyPassword objMigration.PasswordServer = "nombre de servidor de exportacin de contrasea" objMigration.ConflictOptions = admtReplaceConflicting ' 'Especificar opciones especficas de migracin del usuario. ' objUserMigration.SourceExpiration = 7 objUserMigration.MigrateSIDs = True
131
Repeticin de la migracin de todos los grupos globales despus de la migracin de cuenta de usuario
Una migracin de cuentas de usuarios de gran tamao puede tener lugar durante un amplio perodo de tiempo. Por este motivo, es posible que tenga que repetir la migracin de grupos globales desde el dominio de origen al de destino despus de migrar cada lote de usuarios, para reflejar los cambios realizados en la pertenencia de grupos del dominio de origen tras producirse la migracin inicial de grupo global. Para obtener ms informacin y procedimientos para la repeticin de la migracin de los grupos globales, consulte Repeticin de la migracin de todos los grupos globales despus de migrar todos los lotes, ms adelante en esta gua.
Repeticin de la migracin de todos los grupos globales despus de migrar todos los lotes
Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Despus de que se hayan migrado todos los lotes, realice una nueva migracin de grupos globales final para garantizar que cualquier cambio de ltima hora que se efecte en la 132
Importante
pertenencia a un grupo global en el dominio de origen se refleja en el dominio de destino. Puede volver a migrar grupos globales mediante el complemento de la Herramienta de migracin para Active Directory (ADMT), la opcin de lnea de comandos de ADMT o una secuencia de comandos. Cuando inicie una migracin del grupo global con SID History desde la lnea de comandos o desde una secuencia comandos, debe realizarla en un controlador de dominio del dominio de destino. 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. Utilice el Asistente para migracin de cuentas de grupo realizando los pasos de la tabla siguientes:
133
Accin
Seleccin de dominio
En la opcin Origen de la lista desplegable Dominio, escriba o seleccione el nombre de DNS (Sistema de nombres de dominio) o NetBIOS del dominio de origen. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio. En la opcin Destino de la lista desplegable Dominio, escriba o seleccione el nombre de DNS o NetBIOS del dominio de destino. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio y, a continuacin, haga clic en Siguiente.
Seleccin de grupo
Haga clic en Seleccionar grupos desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de grupo, haga clic en Agregar para seleccionar los grupos del dominio de origen que desea migrar, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Escriba el nombre de la unidad organizativa o haga clic en Examinar. En el cuadro de dilogo Buscar un contenedor, busque el contenedor en el dominio de destino al que desee mover los grupos globales y, a continuacin, haga clic en Aceptar.
134
Opciones de grupo
Haga clic en Actualizar derechos de usuario Asegrese de que Copiar miembros de grupo no est seleccionada. Asegrese de que Actualizar objetos previamente migrados no est seleccionada. Haga clic en Revisar la pertenencia al grupo. Haga clic en Migrar SID de grupo al dominio de destino.
Cuenta de usuario
Escriba el nombre de usuario, contrasea y el dominio de una cuenta que tenga derechos administrativos en el dominio de origen. Desactive la casilla de verificacin Excluir propiedades de objeto especficas de la migracin. Active la casilla de verificacin Migrar y combinar objetos en conflicto (el resto de opciones estn desactivadas).
Gestin de conflictos
3. Cuando haya finalizado la ejecucin del asistente, haga clic en Ver registro y revise si hay errores en el registro de migracin. 4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa de destino. Compruebe que los grupos globales existen en la unidad organizativa del dominio de destino.
1. En un controlador de dominio del dominio de destino en el que est instalado ADMT, inicie sesin con la cuenta de migracin de cuentas de ADMT. Importante Cuando inicie una migracin del grupo global con SID History desde la lnea de comandos, debe realizarla en un controlador de dominio del dominio de destino. 2. En la lnea de comandos, escriba el comando apropiados y, a continuacin, presione ENTRAR.
ADMT Group
135
Como alternativa, puede incluir parmetros en un archivo de opcin que se especifica en la lnea de comandos como se muestra a continuacin:
ADMT GROUP /N "<nombre_grupo1>" "<nombre_grupo2>" /O: "<archivo_opcin>.txt"
En la tabla siguiente se muestran los parmetros comunes que se utilizan para migrar grupos globales, junto con los parmetros de lnea de comandos y los equivalentes del archivo de opciones.
Parmetros Sintaxis de lnea de comandos
/SD:"dominio_origen"
<Dominio de origen> Ubicacin de la <Unidad organizativ a de origen> <Dominio de destino> Ubicacin de la <Unidad organizativ a de destino> Migrar SID de GG Gestin de conflictos
/ SO:"unidad_organizativa_origen"
SourceOU="unidad_organizativa_origen
"
/TD:"dominio_destino"
TargetDomain="dominio_destino"
/ TO:"unidad_organizativa_destino
TargetOU="unidad_organizativa_destin
o"
"
/MSS:YES
MigrateSIDs=YES
/CO:REPLACE
ConflictOptions=REPLACE
3. Revise si hay errores en los resultados que se muestran en la pantalla. 4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa de destino. Compruebe que los grupos globales existen en la unidad organizativa del dominio de destino. Prepare una secuencia de comandos que incorpore las opciones y comandos de ADMT para migrar de grupos globales utilizando la siguiente secuencia de comandos de 136
muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" RemigratingGlobalGroupsBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
objMigration.SourceDomain = "dominio de origen" objMigration.SourceOu = "contenedor de origen" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "contenedor de destino" objMigration.ConflictOptions = admtReplaceConflicting
objGroupMigration.MigrateSIDs = True
137
'
migracin de usuario inicial, deje la cuenta de usuario habilitada en el dominio de origen y deshabilitada en el dominio de destino. 3. Convierta la seguridad en modo Agregar para los archivos, recursos compartidos, impresoras, grupos locales y grupos locales de dominios. 4. Convierta los perfiles locales de usuario para un lote de usuarios 5. Migre las estaciones de trabajo en lotes que correspondan a los lotes de cuentas de usuario. 6. Antes de migrar el lote de cuentas de usuarios, compruebe que la migracin de la estacin de trabajo y el perfil local se ha realizado correctamente para todos los usuarios del lote. No migre ninguna cuenta de usuario cuya migracin de estacin de trabajo o perfil haya dado error, porque provocar que los usuarios sobrescriban sus perfiles existentes cuando inicien sesin en el dominio de destino. 7. Vuelva a migrar las cuentas de usuario en lotes pequeos con las cuentas en el dominio de origen definidas con un perodo de caducidad de siete das con las cuentas de destino habilitadas, la migracin de contrasea seleccionada y con todos los atributos seleccionados para la migracin. 8. Despus de cada lote, vuelva a migrar todos los grupos para actualizar cualquier cambio de pertenencia a grupos. 9. Una vez migrados todos los usuarios, ejecute una migracin final de grupo global para actualizar cualquier cambio de pertenencia a grupos. 10. Convierta la seguridad en modo Quitar para los archivos, recursos compartidos, impresoras, grupos locales y grupos locales de dominios. 11. Notifique a los usuarios del lote para que inicien sesin en el nuevo dominio. Hasta que migre todos los usuarios y cuentas de grupos, contine administrando la pertenencia a grupos globales en el dominio de origen. La siguiente ilustracin muestra los pasos que implica la migracin de cuentas que no usa el historial de SID para el acceso a los recursos.
139
140
Importante
Migracin de cuentas de servicio administradas con el complemento ADMT en otros equipos que no se estn migrando, tendr que ejecutar el Asistente para conversin de seguridad en esos equipos y, en la pgina Opciones de conversin de seguridad, seleccione Objetos previamente migrados o proporcione expresamente las cuentas de servicio administradas en un archivo de asignacin de SID. Para obtener ms informacin acerca de la conversin de seguridad, consulte Conversin de seguridad en los servidores miembro. 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En el complemento ADMT, haga clic en Accin y, a continuacin, en Asistente para migracin de cuentas de servicio administradas . 3. Complete el Asistente para migracin de cuentas de servicio administradas con la informacin que se proporciona en la tabla siguiente.
142
Accin
Seleccin de dominio
En la opcin Origen de la lista desplegable Dominio, escriba o seleccione el nombre de DNS (Sistema de nombres de dominio) o NetBIOS del dominio de origen. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio. En la opcin Destino de la lista desplegable Dominio, escriba o seleccione el nombre de DNS o NetBIOS del dominio de destino. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio y, a continuacin, haga clic en Siguiente.
143
Accin
Haga clic en Seleccionar cuentas de servicio administradas del dominio para migrar las cuentas de servicio administradas del dominio mediante el cuadro de dilogo de seleccin de objetos o un archivo de inclusin. Esta es la mejor opcin si se desea migrar todas las cuentas de servicio administradas desde el dominio de origen. O bien Haga clic en Proporcionar equipos para consultar las cuentas de servicio administradas instaladas y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de cuentas de servicio administradas, haga clic en Agregar para seleccionar las cuentas de equipo del dominio de origen que desea consultar para conocer las cuentas de servicio administradas, haga clic en Aceptar y, a continuacin, en Siguiente. Se prefiere esta opcin si se desea migrar slo cuentas de servicio administradas que se han instalado en equipos especficos. Cada equipo que proporciona puede tener varias cuentas de servicio administradas instaladas. Puede elegir una combinacin de estas opciones yendo y viniendo en el asistente. Por ejemplo, puede proporcionar los equipos que se van a consultar y agregar las cuentas de servicio administradas que estn instaladas en esos equipos a la lista de cuentas que se van a migrar. A continuacin, puede hacer clic en Atrs en el asistente para volver a esta pgina y seleccionar cuentas de servicio administradas adicionales del dominio o de un archivo de inclusin.
144
Accin
Opcin de seleccin de cuenta de servicio administrada Esta pgina slo aparece si las cuentas de servicio administradas las selecciona del dominio.
Haga clic en Seleccionar cuentas de servicio administradas del dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de cuentas de servicio administradas, haga clic en Agregar para seleccionar las cuentas del dominio de origen que desea migrar, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Haga clic en Examinar para especificar una ubicacin para las cuentas migradas y, a continuacin, haga clic en Siguiente. Active la casilla de verificacin Actualizar derechos de cuenta. Active la casilla de verificacin Revisar la pertenencia a grupos de cuentas. Si la cuenta se est migrando a un bosque diferente, seleccione la casilla Migrar SID de cuenta al domino de destino. Esta opcin no est disponible para una migracin interna del bosque. Haga clic en Siguiente. Escriba el nombre de usuario, la contrasea y el dominio de una cuenta que tenga credenciales administrativas en el dominio de origen, y haga clic en Siguiente.
4. Cuando el asistente haya terminado de ejecutarse, haga clic en Ver registro y, a continuacin, revise si hay errores en el registro de migracin. 5. Inicie Usuarios y equipos de Active Directory y compruebe que las cuentas de servidor administradas existen en la unidad organizativa apropiada del dominio de destino. 145
Migracin de cuentas de servicio administradas mediante la opcin de lnea de comandos de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el siguiente comando y, a continuacin, presione ENTRAR:
ADMT MANAGEDSERVICEACCOUNT /N "<nombre_cuenta de servicio administrada1>" "<nombre_cuenta de servicio administrada2>" /IF:NO /SD:"<dominio_origen>" /TD:"<dominio_destino>" /UUR:YES /FGM:YES /MSS:YES
Donde <nombre_cuenta de servicio administrada1> y <nombre_cuenta de servicio administrada2> son los nombres de las cuentas de servicio administradas del dominio de origen. Como alternativa, puede incluir parmetros en un archivo de opcin que se especifique en la lnea de comandos como se muestra a continuacin:
ADMT MANAGEDSERVICEACCOUNT /N "<nombre_cuenta de servicio administrada1>" "<nombre_cuenta de servicio administrada2>" /O:"<archivo_opcin>.txt"
En la siguiente tabla se enumeran los parmetros comunes que se utilizan para la migracin de cuentas de servicio administradas, junto con el parmetro de lnea de comandos y los equivalentes de archivo de opciones.
146
Valores
Migracin entre distintos bosques <Dominio de origen> <Dominio de destino> Actualizar derechos de cuenta Actualizar la pertenencia a grupos de cuentas Migrar SID de cuentas Nota Slo puede migrar SID de cuentas de servicio administradas entre bosques. Si utiliza este parmetro durante una migracin dentro del mismo bosque, aparece un error.
/IF:No
Intraforest=No
/FGM:Yes
FixGroupMembership=Yes
/MSS:Yes
MigrateSIDs=Yes
3. Revise si hay errores en los resultados que se muestran en la pantalla. Si las cuentas de servicio administradas estn hospedadas en equipos miembro del dominio de origen, puede incluir el equipo miembro cuando realice la migracin de los equipos y la cuenta de servicio administrada se instalar en el equipo miembro del dominio de destino una vez migrado el equipo.
Nota
Comience el proceso de migracin de cuentas de usuario migrando todos los usuarios. A continuacin, puede convertir la seguridad en todos los archivos, impresoras, carpetas compartidas, grupos locales y grupos locales de dominio. De esta forma se garantiza que los usuarios continan con el acceso adecuado a los recursos despus de la migracin. Las cuentas integradas (como Administradores, Usuarios o Usuarios avanzados) no pueden ser objetos de migracin de la Herramienta de migracin para Active Directory (ADMT). Ya que los identificadores de seguridad (SID) de la cuenta integrada son idnticos en todos los dominios, la migracin de estas cuentas a un dominio de destino provocar la duplicacin de los SID en un dominio nico. Cada SID de un dominio debe ser exclusivo. Las cuentas conocidas (como Admins. del dominio y Usuarios del dominio) tampoco pueden ser objetos de migracin de ADMT. El proceso de migracin de cuentas de usuarios de ADMT incluye los siguientes pasos: 1. ADMT lee los atributos de los objetos de usuario de origen. 2. ADMT crea un nuevo objeto de usuario en el dominio de destino y un nuevo SID principal para la nueva cuenta de usuario. 3. ADMT agrega el SID original de la cuenta de usuario al atributo del historial de SID de la nueva cuenta de usuario. 4. ADMT migra la contrasea de la cuenta de usuario. 5. Si ADMT identifica los grupos globales del dominio de destino al que pertenecan los usuarios migrados del dominio de destino, la herramienta agrega los usuarios a los grupos globales apropiados del dominio de destino. Durante la migracin, los eventos de auditora inician sesin en los dominios de destino y de origen. Puede migrar las cuentas de usuario mediante el complemento de ADMT, la opcin de lnea de comandos de ADMT o una secuencia de comandos. Si va a migrar cuentas de usuario que tienen habilitada la seguridad del mecanismo de autenticacin, use un archivo de inclusin. En el archivo de inclusin, especifique los nombres principales de usuario (UPN) originales del dominio de origen como UPN de destino para poder mantener en funcionamiento la seguridad del mecanismo de autenticacin. Para obtener ms informacin acerca del uso de un archivo de inclusin, consulte Uso de un archivo de inclusin. 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. Utilice el Asistente para migracin de cuentas de usuario realizando los pasos de la tabla siguiente.
148
Accin
Seleccin de dominio
En la opcin Origen de la lista desplegable Dominio, escriba o seleccione el nombre de DNS (Sistema de nombres de dominio) o NetBIOS del dominio de origen. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio. En la opcin Destino de la lista desplegable Dominio, escriba o seleccione el nombre de DNS o NetBIOS del dominio de destino. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio y, a continuacin, haga clic en Siguiente.
Seleccin de usuario
Haga clic en Seleccionar usuarios desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de usuario, haga clic en Agregar para seleccionar los usuarios del dominio de origen que desea migrar al lote actual, haga clic en Aceptar y, a continuacin, en Siguiente. O bien En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT.
Asegrese de que ADMT muestra la unidad organizativa de destino correcta. Si no es correcta, escriba la unidad organizativa correcta o haga clic en Examinar. En el cuadro de dilogo Buscar un contenedor, busque el dominio de destino y la unidad organizativa y, a continuacin, haga clic en Aceptar.
149
Accin
Opciones de contrasea
Haga clic en No actualizar contraseas de usuarios existentes. Haga clic en Generar contraseas complejas.
En Estado de la cuenta de destino:, haga clic en Deshabilitar cuentas de destino. En Opciones para deshabilitar la cuenta de origen:, haga clic en Das hasta que caduquen las cuentas de origen: y, a continuacin, escriba el nmero de das que desee conservar la cuenta de origen. Se utiliza comnmente un valor de 7. Active la casilla de verificacin Migrar SID de usuario para el dominio de destino.
Cuenta de usuario
Escriba el nombre de usuario, la contrasea y el dominio de una cuenta de usuario que tenga credenciales administrativas en el dominio de origen. Active la casilla de verificacin Convertir perfiles mviles. Active la casilla de verificacin Actualizar derechos de usuario. Desactive la casilla de verificacin Migrar grupos de usuario asociados. Seleccione Revisar la pertenencia a grupos de los usuarios.
Opciones de usuario
150
Gestin de conflictos
Active la casilla de verificacin No migrar el objeto de origen si se detecta un conflicto en el dominio de destino. Asegrese de que las casillas de verificacin Antes de combinar, quitar los derechos de usuario de las cuentas de destino existentes y Mover objetos combinados a la Unidad organizativa de destino especificada no estn activadas.
3. Cuando el asistente termine, haga clic en Ver registro y revise si hay errores en el registro de migracin. 4. Abra Usuarios y equipos de Active Directory y compruebe que las cuentas de usuarios existen en la unidad organizativa apropiada del dominio de destino. 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el comando apropiados y, a continuacin, presione ENTRAR:
ADMT User
/SD:" <dominio_origen>"
Como alternativa, puede incluir parmetros en un archivo de opcin que se especifica en la lnea de comandos, de la manera siguiente:
ADMT USER /N "<nombre_usuario1>" "<nombre_usuario2>" /O "<archivo_opcin>.txt"
En la tabla siguiente se muestran los parmetros comunes que se utilizan para migrar cuentas de usuario, junto con los parmetros de lnea de comandos y los equivalentes del archivo de opciones.
151
<Dominio de origen> Ubicacin de la <Unidad organizativ a de origen> <Dominio de destino> Ubicacin de la <Unidad organizativ a de destino> Migrar SID Gestin de conflictos Convertir perfil mvil Actualizar derechos de usuario Opciones de contrasea
/ SO:"unidad_organizativa_origen"
SourceOU="unidad_organizativa_origen
"
/TD:"dominio_destino"
TargetDomain="dominio_destino"
/ TO:"unidad_organizativa_destino
TargetOU="unidad_organizativa_destin
o"
"
/MSS:YES
MigrateSIDs=YES ConflictOptions=IGNORE
(valor predeterminado)
/CO:IGNORE /TRP:YES
(valor predeterminado)
TranslateRoamingProfile=YES
/UUR:YES
UpdateUserRights=YES
(valor predeterminado)
/PO:COMPLEX
PasswordOption=COMPLEX
3. Revise si hay errores en los resultados que se muestran en la pantalla. 4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa de destino. Compruebe que los usuarios existen en la unidad organizativa de destino. Prepare una secuencia de comandos que incorpore los comandos de ADMT y las opciones para la migracin de usuarios utilizando la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo 152
objMigration.SourceDomain = "dominio de origen" objMigration.SourceOu = "contenedor de origen" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "contenedor de destino" objMigration.PasswordOption = admtComplexPassword objMigration.ConflictOptions = admtIgnoreConflicting
153
154
Accin
Haga clic en Objetos previamente migrados. En la opcin Origen de la lista desplegable Dominio, escriba o seleccione el nombre de DNS (Sistema de nombres de dominio) o NetBIOS del dominio de origen. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio. En la opcin Destino de la lista desplegable Dominio, escriba o seleccione el nombre de DNS o NetBIOS del dominio de destino. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio y, a continuacin, haga clic en Siguiente.
Seleccin de equipo
Haga clic en Seleccionar equipos desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de equipo, haga clic en Agregar para seleccionar los equipos para los que desea convertir la seguridad, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Convertir objetos
Haga clic en Agregar. Seleccione Ejecutar comprobacin previa y operacin de agente y, a continuacin, haga clic en Inicio. 155
Conversin de seguridad en el modo Agregar en objetos mediante la opcin de lnea de comandos de ADMT 3. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez finalizado el asistente, haga clic en Ver registro de migracin para ver la lista de equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\Agents.
1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el comando ADMT Security con los parmetros apropiados y, a continuacin, presione ENTRAR.
ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:" <dominio_origen>" /TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /TOT:Add
Como alternativa, puede incluir parmetros en un archivo de opcin que se especifique en la lnea de comandos como se muestra a continuacin:
ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /O "<archivo_opcin>.txt"
En la tabla siguiente se muestran los parmetros comunes que se utilizan para migrar cuentas de usuario, junto con los parmetros de lnea de comandos y los equivalentes del archivo de opciones.
Parmetros Sintaxis de lnea de comandos Sintaxis del archivo de opciones
/SD:"dominio_origen"
SourceDomain="dominio_origen"
/TD:"dominio_destino"
TargetDomain="dominio_destino"
/TOT:Add
TranslateOption=ADD
3. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez finalizado el asistente, haga clic en Ver registro de migracin para ver la lista de equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\Agents. 156
Conversin de seguridad en modo Agregar en objetos mediante una secuencia de comandos Prepare una secuencia de comandos que incorpore los comandos de ADMT y las opciones para convertir seguridad en modo Agregar en objetos utilizando la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" TranslatingSecurityInAddModeOnObjectsBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
objSecurityTranslation.TranslationOption = admtTranslateAdd
157
objSecurityTranslation.TranslateFilesAndFolders = True objSecurityTranslation.TranslateLocalGroups = True objSecurityTranslation.TranslatePrinters = True objSecurityTranslation.TranslateRegistry = True objSecurityTranslation.TranslateShares = True objSecurityTranslation.TranslateUserProfiles = False objSecurityTranslation.TranslateUserRights = True
Repeticin de la migracin de las cuentas de usuario y migracin de las estaciones de trabajo en lotes
Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 La repeticin de la migracin de las cuentas de usuario y las estaciones de trabajo en lotes le ayuda a realizar un registro del proceso de migracin. Para cada lote de usuarios, primero convierta los perfiles de usuarios locales y, a continuacin, migre las estaciones de trabajo. Compruebe que la migracin de la estacin de trabajo y el perfil se ha realizado correctamente y, a continuacin, migre las cuentas de usuario. Repita la migracin de los grupos globales despus de cada lote. Para obtener ms informacin, consulte Repeticin de la migracin de todos los grupos globales despus de migrar todos los lotes, ms adelante en esta gua.
158
Nota
159
Accin
Haga clic en Objetos previamente migrados. En la opcin Origen de la lista desplegable Dominio, escriba o seleccione el nombre de DNS (Sistema de nombres de dominio) o NetBIOS del dominio de origen. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio. En la opcin Destino de la lista desplegable Dominio, escriba o seleccione el nombre de DNS o NetBIOS del dominio de destino. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio y, a continuacin, haga clic en Siguiente.
Seleccin de equipo
Haga clic en Seleccionar equipos desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de equipo, haga clic en Agregar para seleccionar los equipos del dominio de origen para los que desea convertir la seguridad, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Haga clic en Perfiles de usuario. Haga clic en Reemplazar. Seleccione Ejecutar comprobacin previa y operacin de agente y, a continuacin, haga clic en Inicio.
160
Conversin de perfiles de usuarios locales mediante la opcin de lnea de comandos de ADMT 4. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez finalizado el asistente, haga clic en Ver registro de migracin para ver la lista de equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\Agents. 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el comando apropiados y, a continuacin, presione ENTRAR:
ADMT Security
ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:" <dominio_origen>" /TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /TOT:Replace /TUP:YES
Como alternativa, puede incluir parmetros en un archivo de opcin que se especifique en la lnea de comandos como se muestra a continuacin:
ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /O "<archivo_opcin>.txt"
La siguiente tabla enumera los parmetros comunes que se utilizan para migrar cuentas de usuarios, junto con el parmetro de lnea de comandos y los equivalentes de archivo de opciones.
Parmetros Sintaxis de lnea de comandos Sintaxis del archivo de opciones
<Dominio de origen> <Dominio de destino> Opciones de conversin de seguridad Modificar la seguridad de perfil de usuario local
/SD:"dominio_origen"
SourceDomain="dominio_origen"
/TD:"dominio_destino"
TargetDomain="dominio_destino"
/TOT:REPLACE
TranslateOption=REPLACE
/TUP:YES
TranslateUserProfiles=YES
3. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez finalizado el asistente, haga clic en Ver registro de migracin para ver la lista de equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se 161
Conversin de perfiles de usuarios locales mediante una secuencia de comandos informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\Agents. Prepare una secuencia de comandos que incorpore los comandos de ADMT y las opciones para convertir perfiles de usuarios locales utilizando la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" TranslatingLocalProfilesBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
162
Nota
la cuenta de migracin de recursos de ADMT. 2. Utilice el Asistente para migracin de equipos siguiendo los pasos de la tabla siguiente.
164
Accin
Seleccin de dominio
En la opcin Origen de la lista desplegable Dominio, escriba o seleccione el nombre de DNS (Sistema de nombres de dominio) o NetBIOS del dominio de origen. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio. En la opcin Destino de la lista desplegable Dominio, escriba o seleccione el nombre de DNS o NetBIOS del dominio de destino. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio y, a continuacin, haga clic en Siguiente.
Seleccin de equipo
Haga clic en Seleccionar equipos desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de equipo, haga clic en Agregar para seleccionar los equipos del dominio de origen que desea migrar, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Informacin sobre la cuenta de servicio administrada (aparece si el equipo tiene alguna cuenta de servicio administrada instalada)
Seleccione cualquier cuenta de servicio administrada que no se tenga que instalar en el equipo migrado en el dominio de destino y, a continuacin, haga clic en Omitir/Incluir para marcar las cuentas como Omitir.
165
Accin
Haga clic en Examinar. En el cuadro de dilogo Buscar un contenedor, busque el contenedor Equipos del dominio de destino o la unidad organizativa apropiada y, a continuacin, haga clic en Aceptar.
Convertir objetos
Active la casilla de verificacin Grupos locales. Active la casilla de verificacin Derechos de usuarios.
Haga clic en Agregar. En la casilla Minutos que habrn de transcurrir para que se reinicien los equipos tras la finalizacin del asistente, acepte el valor predeterminado de 5 minutos o escriba un valor distinto. Para excluir determinadas propiedades de objeto de la migracin, active la casilla de verificacin Excluir propiedades de objeto especficas de la migracin, seleccione las propiedades de objeto que desee excluir y muvalas a la casilla Propiedades excluidas y, a continuacin, haga clic en Siguiente. Haga clic en No migrar el objeto de origen si se detecta un conflicto en el dominio de destino. Seleccione Ejecutar comprobacin previa y operacin de agente y, a continuacin, haga clic en Inicio.
Gestin de conflictos
3. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez finalizado el asistente, haga clic en Ver registro de migracin para ver la lista de equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\Agents. 166
Migracin de estaciones de trabajo mediante la opcin de lnea de comandos de ADMT 4. Abra Usuarios y equipos de Active Directory y compruebe que las estaciones de trabajo existen en la unidad organizativa apropiada del dominio de destino. 1. En el equipo del dominio de destino en el que se instala ADMT, inicie sesin utilizando la cuenta de migracin de recursos de ADMT. 2. En la lnea de comandos, escriba el comando apropiados y, a continuacin, presione ENTRAR:
ADMT Computer
ADMT COMPUTER /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:"<dominio_origen>" /TD:"<dominio_destino>" /TO:"<unidad_organizativa_destino>" [/M: <nombre de cuenta de servicio administrada 1> <nombre de cuenta de servicio administrada 2>] [/UALLMSA:Yes] /RDL:5
Como alternativa, puede incluir parmetros en un archivo de opcin que se especifique en la lnea de comandos, de la manera siguiente:
ADMT COMPUTER /N "<nombre_equipo1>" "<nombre_equipo2>" /O:" <archivo_opcin>.txt"
La siguiente tabla enumera los parmetros comunes que se utilizan para la migracin de estaciones de trabajo, junto con el parmetro de lnea de comandos y los equivalentes de archivo de opciones.
167
Parmetros
<Dominio de origen> Ubicacin de la <Unidad organizativa de origen> <Dominio de destino> Actualizar todas las cuentas de servicio administradas Actualizar cuentas de servicio administradas especficas Nota El parme tro /M tiene prefere ncia sobre el parme tro /UALL MSA. Ubicacin de la <Unidad organizativa de destino> Retraso de reinicio (minutos) Opcin de conversin de seguridad
SD:"dominio_origen"
SourceDomain="dominio_origen"
/ SO:"unidad_organizativa_ori
SourceOU="unidad_organizativa_o
rigen"
gen"
/TD:"dominio_destino" TargetDomain="dominio_destino"
/UALLMSA: YES
UpdateAllManagedServiceAccounts =Yes
/M:
nombre 1 nombre 2
UPDATEMSANAME=
nombre 1
nombre 2
/ TO:"unidad_organizativa_de
TargetOU="unidad_organizativa_d
estino"
stino"
/RDL:5
RestartDelay=5
/TOT:ADD
TranslationOption=ADD
168
/TUR:YES
TranslateUserRights=YES
/TLG:YES
TranslateLocalGroups=YES
3. Revise si hay errores en los resultados que se muestran en la pantalla. El registro de migracin muestra los equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina Migration TaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\Agents. 4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa de destino. Compruebe que las estaciones de trabajo existen en la unidad organizativa de destino. Prepare una secuencia de comandos que incorpore los comandos de ADMT y las opciones para la migracin de estaciones de trabajo utilizando la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id="MigratingWorkstationsBwtweenForest" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
169
objMigration.SourceDomain = "dominio de origen" objMigration.SourceOu = "Equipos" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "Equipos"
170
Repeticin de la migracin del lote actual de cuentas de usuario mediante el complemento de ADMT
171
Accin
Seleccin de dominio
En la opcin Origen de la lista desplegable Dominio, escriba o seleccione el nombre de DNS (Sistema de nombres de dominio) o NetBIOS del dominio de origen. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio. En la opcin Destino de la lista desplegable Dominio, escriba o seleccione el nombre de DNS o NetBIOS del dominio de destino. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio y, a continuacin, haga clic en Siguiente.
Seleccin de usuario
Haga clic en Seleccionar usuarios desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de usuario, haga clic en Agregar para seleccionar los usuarios del dominio de origen que desea migrar al lote actual, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Asegrese de que ADMT muestra la unidad organizativa de destino correcta. Si no es correcta, escriba la unidad organizativa correcta o haga clic en Examinar. En el cuadro de dilogo Buscar un contenedor, busque el dominio de destino y la unidad organizativa y, a continuacin, haga clic en Aceptar. 172
Accin
Opciones de contrasea
Haga clic en Migrar contraseas. En Controlador de dominio origen de migracin de contrasea:, escriba el nombre del servidor de exportacin de contraseas o acepte el valor predeterminado.
En Estado de la cuenta de destino:, haga clic en Habilitar cuentas de destino. En Opciones para deshabilitar la cuenta de origen:, haga clic en Das hasta que caduquen las cuentas de origen: y, a continuacin, escriba el nmero de das que desee conservar la cuenta de origen. Se utiliza comnmente un valor de 7. Active la casilla de verificacin Migrar SID de usuario para el dominio de destino.
Cuenta de usuario
Escriba el nombre de usuario, la contrasea y el dominio de una cuenta de usuario que tenga credenciales administrativas. Active la casilla de verificacin Convertir perfiles mviles. Active la casilla de verificacin Actualizar derechos de usuario. Active la casilla de verificacin Migrar grupos de usuario asociados. Active la casilla de verificacin Revisar la pertenencia a grupos de los usuarios.
Opciones de usuario
173
Repeticin de la migracin del lote actual de usuarios mediante la opcin de lnea de comandos de ADMT
Pgina del asistente Accin
Gestin de conflictos
Haga clic en Migrar y combinar objetos en conflicto. Desactive la casilla de verificacin Antes de combinar, quitar los derechos de usuario de las cuentas de destino existentes. Desactive la casilla de verificacin Mover objetos combinados a la Unidad organizativa de destino especificada.
3. Cuando el asistente termine, haga clic en Ver registro y revise si hay errores en el registro de migracin. 4. Abra Usuarios y equipos de Active Directory y compruebe que las cuentas de usuarios existen en la unidad organizativa apropiada del dominio de destino. 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el comando apropiados y, a continuacin, presione ENTRAR:
ADMT User
/SD:" <dominio_origen>"
Como alternativa, puede incluir parmetros en un archivo de opcin que se especifique en la lnea de comandos, de la manera siguiente:
ADMT USER /N "<nombre_usuario1>" "<nombre_usuario2>" /O "<archivo_opcin>.txt"
En la tabla siguiente se muestran los parmetros comunes que se utilizan para migrar cuentas de usuario, junto con los parmetros de lnea de comandos y los equivalentes del archivo de opciones.
174
Parmetros
<Dominio de origen> Ubicacin de la <Unidad organizativ a de origen> <Dominio de destino> Ubicacin de la <Unidad organizativ a de destino> Migrar SID Gestin de conflictos Convertir perfil mvil Actualizar derechos de usuario Opciones de contrasea Caducidad de origen
/ SO:"unidad_organizativa_origen"
SourceOU="unidad_organizativa_origen
"
/TD:"dominio_destino"
TargetDomain="dominio_destino"
/ TO:"unidad_organizativa_destino
TargetOU="unidad_organizativa_destin
o"
"
/MSS:YES /CO:REPLACE
MigrateSIDs=YES ConflictOptions=REPLACE
/TRP:YES
(valor predeterminado)
TranslateRoamingProfile=YES
/UUR:YES
UpdateUserRights=YES
/PO:COPY /PS:<nombre
de
PasswordOption=COPY PasswordServer=:<nombre
servidor PES>
de servidor
PES>
/SEP:30 SourceExpiration=30
3. Revise si hay errores en los resultados que se muestran en la pantalla. 4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa de destino. Compruebe que los usuarios existen en la unidad organizativa de destino.
175
Repeticin de la migracin del lote actual de cuentas de usuario mediante una secuencia de comandos Prepare una secuencia de comandos que incorpore los comandos de ADMT y las opciones para la migracin de usuarios utilizando la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id="MigratingUserAccountsInBatchesBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
objMigration.SourceDomain = "dominio de origen" objMigration.SourceOu = "contenedor de origen" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "contenedor de destino" objMigration.PasswordOption = admtCopyPassword objMigration.PasswordServer = "nombre de servidor de exportacin de contrasea" objMigration.ConflictOptions = admtReplaceConflicting ' 'Especificar opciones especficas de migracin del usuario.
176
' objUserMigration.SourceExpiration = 7 objUserMigration.MigrateSIDs = True objUserMigration.TranslateRoamingProfile = True objUserMigration.UpdateUserRights = False objUserMigration.FixGroupMembership = True objUserMigration.MigrateServiceAccounts = False
Repeticin de la migracin de todos los grupos globales despus de la migracin de cuenta de usuario
Una migracin de cuentas de usuarios de gran tamao puede tener lugar durante un amplio perodo de tiempo. Por este motivo, es posible que tenga que repetir la migracin de los grupos globales desde el dominio de origen al de destino despus de migrar cada lote de usuarios. El objetivo es reflejar los cambios realizados en la pertenencia a un grupo del dominio de origen despus de la migracin inicial de grupos globales. Para obtener ms informacin y procedimientos para la repeticin de la migracin de los grupos globales, consulte Repeticin de la migracin de todos los grupos globales despus de migrar todos los lotes, ms adelante en esta gua.
177
Repeticin de la migracin de todos los grupos globales despus de migrar todos los lotes
Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Despus de que se hayan migrado todos los lotes, realice una nueva migracin de grupos globales final para garantizar que cualquier cambio de ltima hora que se efecte en la pertenencia a un grupo global en el dominio de origen se refleja en el dominio de destino. Puede volver a migrar grupos globales mediante el complemento de la Herramienta de migracin para Active Directory (ADMT), la opcin de lnea de comandos de ADMT o una secuencia de comandos. 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. Utilice el Asistente para migracin de cuentas de grupo realizando los pasos de la tabla siguientes:
178
Accin
Seleccin de dominio
En la opcin Origen de la lista desplegable Dominio, escriba o seleccione el nombre de DNS (Sistema de nombres de dominio) o NetBIOS del dominio de origen. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio. En la opcin Destino de la lista desplegable Dominio, escriba o seleccione el nombre de DNS o NetBIOS del dominio de destino. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio y, a continuacin, haga clic en Siguiente.
Seleccin de grupo
Haga clic en Seleccionar grupos desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de grupo, haga clic en Agregar para seleccionar los grupos del dominio de origen que desea migrar, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Escriba el nombre de la unidad organizativa o haga clic en Examinar. En el cuadro de dilogo Buscar un contenedor, busque el contenedor en el dominio de destino al que desee mover los grupos globales y, a continuacin, haga clic en Aceptar.
179
Opciones de grupo
Active la casilla de verificacin Actualizar derechos de usuario. Asegrese de que la casilla de verificacin Copiar miembros de grupo no est activada. Asegrese de que la casilla de verificacin Actualizar objetos previamente migrados no est activada. Active la casilla de verificacin Revisar la pertenencia al grupo. Active la casilla de verificacin Migrar SID de grupo al dominio de destino.
Cuenta de usuario
Escriba el nombre de usuario, la contrasea y el dominio de una cuenta que tenga derechos administrativos en el dominio de origen. Desactive la casilla de verificacin Excluir propiedades de objeto especficas de la migracin. Active la casilla de verificacin Migrar y combinar objetos en conflicto (el resto de opciones estn desactivadas).
Gestin de conflictos
3. Cuando haya finalizado la ejecucin del asistente, haga clic en Ver registro y revise si hay errores en el registro de migracin. 4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa de destino. Compruebe que los grupos globales existen en la unidad organizativa del dominio de destino.
1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el comando apropiados y, a continuacin, presione ENTRAR:
ADMT Group
ADMT GROUP /N "<nombre_grupo1>" "<nombre_grupo2>" /SD:" <dominio_origen>" /TD:" <dominio de destino>" /TO:" <unidad organizativa de destino>" /MSS:YES /CO:REPLACE
Como alternativa, puede incluir parmetros en un archivo de opcin que se especifica en 180
Nueva migracin de grupos universales mediante una secuencia de comandos la lnea de comandos, de la manera siguiente:
ADMT GROUP /N "<nombre_grupo1>" "<nombre_grupo2>" /O: "<archivo_opcin>.txt"
En la tabla siguiente se muestran los parmetros comunes que se utilizan para migrar grupos globales, junto con los parmetros de lnea de comandos y los equivalentes del archivo de opciones.
Parmetros Sintaxis de lnea de comandos
/SD:"dominio_origen"
<Dominio de origen> Ubicacin de la <Unidad organizativ a de origen> <Dominio de destino> Ubicacin de la <Unidad organizativ a de destino> Migrar SID de GG Gestin de conflictos
/ SO:"unidad_organizativa_origen"
SourceOU="unidad_organizativa_origen
"
/TD:"dominio_destino"
TargetDomain="dominio_destino"
/ TO:"unidad_organizativa_destino
TargetOU="unidad_organizativa_destin
o"
"
/MSS:YES
MigrateSIDs=YES
/CO:REPLACE
ConflictOptions=REPLACE
3. Revise si hay errores en los resultados que se muestran en la pantalla. 4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa de destino. Compruebe que los grupos globales existen en la unidad organizativa del dominio de destino. Prepare una secuencia de comandos que incorpore las opciones y comandos de ADMT para migrar grupos globales utilizando la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs. 181
<Job id=" RemigratingGlobalGroupsBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
objMigration.SourceDomain = "dominio de origen" objMigration.SourceOu = "contenedor de origen" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "contenedor de destino" objMigration.ConflictOptions = admtReplaceConflicting
objGroupMigration.MigrateSIDs = True
182
183
Accin
Haga clic en Objetos previamente migrados. En la opcin Origen de la lista desplegable Dominio, escriba o seleccione el nombre de DNS (Sistema de nombres de dominio) o NetBIOS del dominio de origen. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio. En la opcin Destino de la lista desplegable Dominio, escriba o seleccione el nombre de DNS o NetBIOS del dominio de destino. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio y, a continuacin, haga clic en Siguiente.
Seleccin de equipo
Haga clic en Seleccionar equipos desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de equipo, haga clic en Agregar para seleccionar los equipos para los que desea convertir la seguridad, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Convertir objetos
184
Para convertir Conversin de la seguridad seguridad en en modo modo Quitar Quitar en en objetos objetos mediante mediante la una opcin secuencia de lnea de de comandos de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el comando ADMT Security con los parmetros apropiados y, a continuacin, presione ENTRAR:
ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:" <dominio_origen>" /TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /TOT:Remove
Como alternativa, puede incluir parmetros en un archivo de opciones que se especifica en la lnea de comandos, de la manera siguiente:
ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /O "<archivo_opcin>.txt"
En la tabla siguiente se muestran los parmetros comunes que se utilizan para migrar cuentas de usuario, junto con los parmetros de lnea de comandos y los equivalentes del archivo de opciones.
Parmetros Sintaxis de lnea de comandos Sintaxis del archivo de opciones
/SD:"dominio_origen"
SourceDomain="dominio_origen"
/TD:"dominio_destino"
TargetDomain="dominio_destino"
/TOT:Remove
TranslateOption=REMOVE
3. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez finalizado el Asistente, haga clic en Ver registro de migracin para ver la lista de equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\Agents. Prepare una secuencia de comandos que incorpore los comandos y opciones de ADMT para convertir la seguridad en modo Quitar en objetos mediante la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" TranslatingSecurityInRemoveModeOnObjectsBetweenForests" >
185
src="AdmtConstants.vbs" />
objSecurityTranslation.TranslationOption = admtTranslateRemove objSecurityTranslation.TranslateFilesAndFolders = True objSecurityTranslation.TranslateLocalGroups = True objSecurityTranslation.TranslatePrinters = True objSecurityTranslation.TranslateRegistry = True objSecurityTranslation.TranslateShares = True objSecurityTranslation.TranslateUserProfiles = False objSecurityTranslation.TranslateUserRights = True
186
Migracin de recursos
Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 El proceso de la migracin de recursos entre los dominios de Active Directory en distintos bosques implica la finalizacin de la migracin de lo siguiente: Cuentas de estaciones de trabajo y servidores miembro Grupos locales del dominio y compartidos Controladores de dominio
Una vez migrados correctamente todos los objetos de recursos al dominio de destino, puede dar de baja el dominio de origen. En la ilustracin siguiente se muestra el proceso para la migracin de objetos de recursos entre los dominios de Active Directory en distintos bosques.
187
188
Nota
Como la migracin requiere el reinicio de las estaciones de trabajo y de los servidores miembro, es importante programar la migracin cuando el servidor no est realizando solicitudes. Reinicie las estaciones de trabajo inmediatamente despus de unirlas al dominio de destino, seleccionando un nmero bajo (como 1) para el parmetro RestartDelay. Los recursos que no se han reiniciado despus de la migracin se encuentran en un estado indeterminado. Puede migrar estaciones de trabajo y servidores miembro mediante el complemento de la Herramienta de migracin para Active Directory (ADMT), la opcin de lnea de comandos de ADMT o secuencia de comandos. 1. En el equipo del dominio de destino en el que instala ADMT, inicie sesin utilizando la cuenta de migracin de recursos de ADMT. 2. Utilice el Asistente para migracin de cuentas de equipo siguiendo los pasos de la tabla siguiente.
189
Accin
Seleccin de dominio
En la opcin Origen de la lista desplegable Dominio, escriba o seleccione el nombre de DNS (Sistema de nombres de dominio) o NetBIOS del dominio de origen. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio. En la opcin Destino de la lista desplegable Dominio, escriba o seleccione el nombre de DNS o NetBIOS del dominio de destino. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio y, a continuacin, haga clic en Siguiente.
Seleccin de equipo
Haga clic en Seleccionar equipos desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de equipo, haga clic en Agregar para seleccionar los equipos del dominio de origen que desea migrar, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Informacin sobre la cuenta de servicio administrada (aparece si el equipo cuenta con alguna cuenta de servicio administrada instalada)
Seleccione cualquier cuenta de servicio administrada que no se tenga que instalar en el equipo migrado en el dominio de destino y, a continuacin, haga clic en Omitir/Incluir para marcar las cuentas como Omitir.
190
Accin
Haga clic en Examinar. En el cuadro de dilogo Buscar un contenedor, busque el contenedor Equipos del dominio de destino o la unidad organizativa apropiada y, a continuacin, haga clic en Aceptar.
Active la casilla de verificacin Grupos locales. Active la casilla de verificacin Derechos de usuario.
Haga clic en Agregar. En Minutos que habrn de transcurrir para que se reinicien los equipos tras la finalizacin del asistente, acepte el valor predeterminado de 5 minutos o escriba un valor distinto. Para excluir determinadas propiedades de objetos de la migracin, active la casilla de verificacin Excluir propiedades de objeto especficas de la migracin, seleccione las propiedades de objeto que desee excluir y muvalas a Propiedades excluidas y, a continuacin, haga clic en Siguiente. Haga clic en No migrar el objeto de origen si se detecta un conflicto en el dominio de destino. Seleccione Ejecutar comprobacin previa y operacin de agente y, a continuacin, haga clic en Inicio.
Gestin de conflictos
3. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez finalizado el Asistente, haga clic en Ver registro de migracin para ver la lista de equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\Agents. 191
Migracin de estaciones de trabajo y servidores miembro mediante la opcin de lnea de comandos de ADMT 4. Abra Usuarios y equipos de Active Directory y compruebe que las estaciones de trabajo existen en la unidad organizativa apropiada del dominio de destino. 1. En el equipo del dominio de destino en el que se instala ADMT, inicie sesin utilizando la cuenta de migracin de recursos de ADMT. 2. En la lnea de comandos, escriba el comando apropiados y, a continuacin, presione ENTRAR:
ADMT Computer
ADMT COMPUTER /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:"<dominio_origen>" /TD:"<dominio_destino>" /TO:"<unidad_organizativa_destino>" [/M: <nombre de cuenta de servicio administrada 1> <nombre de cuenta de servicio administrada 2>] [/UALLMSA:Yes] /RDL:5
Como alternativa, puede incluir parmetros en un archivo de opciones que se especifica en la lnea de comandos, de la manera siguiente:
ADMT COMPUTER /N "<nombre_equipo1>" "<nombre_equipo2>" /O:" <archivo_opcin>.txt"
La siguiente tabla enumera los parmetros comunes que se utilizan para migrar estaciones de trabajo, junto con el parmetro de lnea de comandos y los equivalentes del archivo de opciones.
192
Parmetros
<Dominio de origen> Ubicacin de la <Unidad organizativa de origen> <Dominio de destino> Actualizar cuentas de servicio administradas Actualizar cuentas de servicio administradas especficas Nota El parme tro /M tiene prefere ncia sobre el parme tro /UALL MSA.
SD:"dominio_origen"
SourceDomain="dominio_origen"
/ SO:"unidad_organizativa_ori
SourceOU="unidad_organizativa_o
rigen"
gen"
/TD:"dominio_destino" TargetDomain="dominio_destino"
/UALLMSA: YES
UpdateAllManagedServiceAccounts =Yes
/M
nombre 1 nombre 2
UPDATEMSANAME=
nombre 1
nombre 2
/ TO:"unidad_organizativa_de
TargetOU="unidad_organizativa_d
estino"
stino"
/RDL:5
RestartDelay=5
193
/TOT:ADD
TranslationOption=ADD
/TUR:YES
TranslateUserRights=YES
/TLG:YES
TranslateLocalGroups=YES
3. Revise si hay errores en los resultados que se muestran en la pantalla. El registro de migracin muestra los equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina Migration TaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\Agents. 4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa de destino. Compruebe que las estaciones de trabajo existen en la unidad organizativa de destino. Prepare una secuencia de comandos que incorpore las opciones y comandos de ADMT para migrar estaciones de trabajo y servidores miembro utilizando la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id="MigratingWorkstationsMemberServersBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
194
objMigration.SourceDomain = "dominio de origen" objMigration.SourceOu = "Equipos" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "Equipos"
195
196
Accin
Seleccin de dominio
En la opcin Origen de la lista desplegable Dominio, escriba o seleccione el nombre de DNS (Sistema de nombres de dominio) o NetBIOS del dominio de origen. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio. En la opcin Destino de la lista desplegable Dominio, escriba o seleccione el nombre de DNS o NetBIOS del dominio de destino. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio y, a continuacin, haga clic en Siguiente.
Seleccin de grupo
Haga clic en Seleccionar grupos desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de grupo, haga clic en Agregar para seleccionar los grupos del dominio de origen que desea migrar, haga clic en Aceptar y, a continuacin, haga clic en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Escriba el nombre de la unidad organizativa o haga clic en Examinar. En el cuadro de dilogo Buscar un contenedor, busque el contenedor del dominio de destino al que desea mover los grupos globales y, a continuacin, haga clic en Aceptar.
197
Opciones de grupo
Active la casilla de verificacin Migrar SID de grupo al dominio de destino. Asegrese de que no estn seleccionadas todas las opciones.
Cuenta de usuario
Escriba el nombre de usuario, la contrasea y el dominio de una cuenta que tenga derechos administrativos en el dominio de origen. Desactive la casilla de verificacin Excluir propiedades de objeto especficas de la migracin. Active la casilla de verificacin Migrar y combinar objetos en conflicto. (Todas las opciones estn desactivadas).
Gestin de conflictos
3. Cuando el asistente finalice su ejecucin, haga clic en Ver registro. Revise si hay errores en el registro de migracin. 4. Abra Usuarios y equipos de Active Directory, busque la unidad organizativa de destino y, a continuacin, compruebe que los grupos locales compartidos existen en la unidad organizativa del dominio de destino. Prepare una secuencia de comandos que incorpore los comandos de ADMT y las opciones para la migracin de grupos locales compartidos y de dominios utilizando la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" MigratingDomainAndSharedLocalGroupsBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
'
198
objMigration.SourceDomain = "dominio de origen" objMigration.SourceOu = "contenedor de origen" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "contenedor de destino"
objGroupMigration.MigrateSIDs = True
199
Si el servidor ejecuta Windows 2000 Server, no podr instalar Active Directory o AD DS en el dominio de destino si ste ya est en el nivel funcional de Windows Server 2003. En este caso, debe actualizar el servidor a Windows Server 2003 antes de instalar Active Directory o AD DS. Los mismos pasos que se requieren para migrar un RODC son necesarios para migrar un controlador de dominio de escritura.
Finalizacin de la migracin
Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Despus de migrar todas las cuentas y recursos del dominio de origen al de destino, realice las siguientes tareas para completar el proceso de reestructuracin: Transfiera la administracin de cuentas de usuario y cuentas de grupo del dominio de origen al de destino. Asegrese de que, al menos, dos controladores de dominio siguen funcionando en el dominio de origen hasta que el proceso de migracin de recursos haya terminado. Haga una copia de seguridad de los dos controladores de dominio en el dominio de origen. Una vez complete estos pasos, puede convertir la seguridad en los servidores miembros del dominio de destino y dar de baja el dominio de origen. La siguiente ilustracin muestra el proceso para completar la migracin de dominios de Active Directory entre bosques.
200
201
Conversin de seguridad en los servidores miembro mediante el complemento de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. Utilice el Asistente para la conversin de seguridad siguiendo los pasos de la tabla siguiente.
202
Accin
Haga clic en Objetos previamente migrados. En la opcin Origen de la lista desplegable Dominio, escriba o seleccione el nombre de DNS (Sistema de nombres de dominio) o NetBIOS del dominio de origen. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio. En la opcin Destino de la lista desplegable Dominio, escriba o seleccione el nombre de DNS o NetBIOS del dominio de destino. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio y, a continuacin, haga clic en Siguiente.
Seleccin de equipo
Haga clic en Seleccionar equipos desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de equipo, haga clic en Agregar para seleccionar los equipos para los que desea convertir la seguridad, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Convertir objetos
Desactive la casilla de verificacin Perfiles de usuarios. Seleccione todas las dems opciones.
203
Conversin de seguridad en servidores los servidores miembro miembro mediante mediante unala secuencia opcin de de lnea comandos de comandos de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el comando apropiados y, a continuacin, presione ENTRAR:
ADMT Security
ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:" <dominio_origen>" /TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /TOT:Replace
Como alternativa, puede incluir parmetros en un archivo de opcin que se especifica en la lnea de comandos, de la manera siguiente:
ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /O "<archivo_opcin>.txt"
La siguiente tabla enumera los parmetros comunes que se utilizan para migrar cuentas de usuarios, junto con el parmetro de lnea de comandos y los equivalentes de archivo de opciones.
Parmetros Sintaxis de lnea de comandos Sintaxis del archivo de opciones
/SD:"dominio_origen"
SourceDomain="dominio_origen"
/TD:"dominio_destino"
TargetDomain="dominio_destino"
/TOT:Replace
TranslateOption=REPLACE
3. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez finalizado el asistente, haga clic en Ver registro de migracin para ver la lista de equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\Agents. Prepare una secuencia de comandos que incorpore los comandos de ADMT y las opciones para convertir la seguridad en los servidores miembro mediante la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" TranslatingSecurityOnMemberServersBetweenForests" >
204
src="AdmtConstants.vbs" />
objSecurityTranslation.TranslationOption = admtTranslateReplace objSecurityTranslation.TranslateFilesAndFolders = True objSecurityTranslation.TranslateLocalGroups = True objSecurityTranslation.TranslatePrinters = True objSecurityTranslation.TranslateRegistry = True objSecurityTranslation.TranslateShares = True objSecurityTranslation.TranslateUserProfiles = False objSecurityTranslation.TranslateUserRights = True
205
seguridad (SID). Ejecute al Asistente para la conversin de seguridad para quitar estas entradas.
Si los usuarios se cambian con frecuencia a ubicaciones que forman parte de diferentes dominios, tambin puede migrar objetos entre dominios con regularidad. El proceso de reestructuracin de dominios de Active Directory dentro de un bosque es diferente del proceso de reestructuracin de los dominios de Active Directory entre bosques. Este proceso requiere un atento planeamiento y realizacin de pruebas.
Si cambia con frecuencia la asignacin de usuarios a diferentes dominios, tambin puede migrar objetos entre dominios con regularidad. La reestructuracin de los dominios de Active Directory dentro de un bosque es diferente a la migracin entre bosques y requiere un atento planeamiento y realizacin de pruebas.
207
Tarea
Referencia
Revise las instrucciones de instalacin de la Herramienta de migracin Active Directory (ADMT). Para migrar equipos que ejecuten Windows Server 2008, Windows Server 2003, Windows Vista (sin Service Pack 1(SP1)), Windows XP y Microsoft Windows 2000 (utilizando ADMT 3.1) a un dominio de destino con controladores de dominio que ejecuten Windows Server 2008 R2 o Windows Server 2008, debe configurar primero la siguiente clave del Registro en los controladores de dominio de destino: Nota No es necesario configurar esta clave para migrar los equipos que ejecuten Windows Vista SP1, Windows 7 o Windows Server 2008 R2. Ruta de Registro: HKLM\System\CurrentControlSet\Services\Netlogon \Parameters Valor del Registro: AllowNT4Crypto Tipo: REG_DWORD Datos: 1 Nota Esta configuracin de registro corresponde a la configuracin Permitir algoritmos de cifrado con Windows NT 4.0 en la directiva de grupo. Para cualquier tarea de migracin que use la implementacin de agente y el Firewall de Windows, habilite la excepcin Compartir impresoras y archivos. Esto puede incluir la migracin en las siguientes situaciones: Migracin de equipos de estacin de trabajo y servidores miembro que se ejecutan en Windows Server 2008 R2, Windows Server 2008, Windows 7 o Windows Vista Migracin de configuracin de seguridad o conversin de seguridad Preprese para la reestructuracin de los dominios de
Instalacin de ADMT en el dominio de destino Para obtener ms informacin acerca de cmo realizar cambios mediante la directiva de grupo, consulte "Problemas conocidos de instalacin y eliminacin de AD DS" (http://go.microsoft.com/fwlink/? LinkId=119321).
Para obtener ms informacin, consulte "Habilitar o deshabilitar la regla de excepcin de uso compartido de archivos e impresoras" (http://go.microsoft.com/fwlink/? LinkID=119315).
Tarea
Referencia
Active Directory dentro de un bosque. Esta tarea contiene las siguientes subtareas: Evale la nueva estructura de dominios de Active Directory. Asigne las funciones y ubicaciones de objetos de dominio. Planee la migracin de grupos y texto. Cree un plan de reversin y un plan de comunicacin de usuarios. Cree grupos de cuentas de migracin. Instale ADMT. Planee la transicin de cuentas de servicios.
Migre grupos globales y universales mediante el Asistente para migracin de cuentas de grupo o con la herramienta de lnea de comandos admt group. Migre cuentas de servicios mediante el Asistente para migracin de cuenta de servicios o las herramientas de lnea de comandos de ADMT como, por ejemplo, admt service para identificar cuentas de servicio en el dominio de origen y admt user para migrar las cuentas de servicio especificadas. Migre cuentas de servicio administradas mediante el Asistente para migracin de cuentas de servicio administradas o con la herramienta de lnea de comandos admt managedserviceaccount. Migre cuentas de usuario mediante el Asistente para migracin de cuentas de usuario o con la herramienta de lnea de comandos admt user. Convierta los perfiles locales de usuario mediante el Asistente para conversin de seguridad o bien con la herramienta de lnea de comandos admt security. Migre los equipos de estacin de trabajo y servidores miembro mediante el Asistente para migracin de equipos o bien con la herramienta de lnea de comandos admt computer. Migre los grupos locales de dominios usando el Asistente para migracin de cuentas de grupo o la
Migracin de grupos
209
Tarea
Referencia
herramienta de lnea de comandos admt group. Complete las tareas posteriores a la migracin. Esta tarea contiene las siguientes subtareas: Examine los registros de migracin en busca de errores. Compruebe los tipos de grupo. Convierta la seguridad de los servidores miembro. Retire los dominios de origen. Examen de los registros de migracin en busca de errores Comprobar tipos de grupos Conversin de seguridad en los servidores miembro Baja del dominio de origen
El proceso de reestructuracin de los dominios de Active Directory en un bosque es similar al proceso de migracin de cuentas entre dominios. Cuando migra cuentas y recursos entre dominios, migra objetos del dominio de origen al de destino sin dar de baja el dominio de origen. Al reestructurar dominios de Active Directory, elimina el dominio de origen del bosque despus de completar la migracin de todos los objetos de dominio. Antes de comenzar el proceso de reestructuracin de los dominios de Active Directory de un bosque, asegrese de que los dominios de origen y de destino operen en el nivel funcional mnimo de dominio que es necesario para la versin de ADMT que vaya a utilizar. Si utiliza ADMT v3.1, el nivel funcional mnimo de dominio es Windows 2000 nativo. Si utiliza ADMT v3.2, el nivel funcional mnimo de dominio es Windows Server 2003.
210
Una vez completado el proceso de reestructuracin de los dominios de Active Directory en un bosque, puede dar de baja el dominio de origen para ayudar a reducir la sobrecarga y simplificar la administracin del nivel funcional del dominio en su organizacin.
211
Nota
Usuarios y grupos
El primer tipo de conjunto cerrado incluye lo siguiente: Cuentas de usuario Todos los grupos globales a los que pertenecen los usuarios Todos los dems miembros de los grupos globales
Los grupos globales estn limitados a los miembros del dominio donde existen los grupos globales. Por tanto, si migra una cuenta de usuario a un nuevo dominio pero no migra los grupos globales a los que pertenece el usuario, ste dejar de ser un miembro vlido de dichos grupos globales y no podr tener acceso a los recursos que estn basados en la pertenencia a esos grupos globales. Por consiguiente, cuando est desplazando cuentas entre dominios en un bosque, es necesario desplazar los conjuntos cerrados para que los usuarios conserven el acceso a esos recursos.
212
Aunque las cuentas incorporadas (como administradores, usuarios y usuarios avanzados) y las cuentas conocidas (como administradores de dominio y usuarios de dominio) no pueden ser objetos de migracin de la Herramienta de migracin para Active Directory (ADMT), la migracin de esos grupos en conjuntos cerrados no es un problema comn. Su utilizacin en listas de control de acceso (ACL) o la pertenencia a grupos locales de dominio no es una forma eficaz de asignar permisos de recursos. Cuando se migran usuarios, ADMT convierte al usuario en miembro del grupo de usuarios de dominio del dominio de destino. Sin embargo, no mantiene los permisos de otros grupos incorporados (como operadores de servidor y operadores de copias de seguridad) o de grupos conocidos (como administradores de dominio). Si tiene grupos incorporados o conocidos a los que asignar permisos de recursos, debe reasignar esos permisos a un nuevo grupo local de dominio antes de comenzar la migracin. La reasignacin de permisos incluye la realizacin de los pasos siguientes: 1. Cree un nuevo grupo local de dominio en el dominio de origen. 2. Cree un nuevo grupo local en el dominio de origen que contenga usuarios que necesiten tener acceso al recurso. 3. Agregue el nuevo grupo global al grupo local de dominio. 4. Ejecute la conversin de seguridad con el archivo de asignacin del identificador de seguridad (SID) que asigna el grupo conocido al nuevo grupo local de dominio (creado en el primer paso) en todos los recursos que asignan permisos usando grupos conocidos. Para obtener informacin sobre cmo realizar una conversin de seguridad usando un archivo de asignacin SID, consulte Conversin de seguridad mediante un archivo de asignacin SID, ms adelante en esta gua. En los pequeos entornos de dominio que tienen pocos grupos locales, es posible que pueda identificar los conjuntos cerrados de usuarios y grupos. Si puede identificar los conjuntos cerrados, en este caso puede migrar usuarios y grupos al mismo tiempo. En un entorno de dominio ms grande, un usuario puede pertenecer a varios grupos globales. Por tanto, es difcil identificar y migrar slo conjuntos cerrados de usuarios y grupos. Por este motivo, es mejor migrar los grupos antes de migrar cuentas de usuario. Por ejemplo, el Usuario 1 pertenece a los grupos globales Global A y Global B y es miembro del Dominio 1. Si un administrador desplaza el Usuario 1 y Global A al Dominio 2 del mismo bosque, estas cuentas dejarn de existir en el Dominio 1. Slo existirn en el Dominio 2 del mismo bosque. El grupo Global B contina en el Dominio 1. Esto crea un conjunto abierto, o un conjunto que incluye usuarios y grupos de ms de un dominio. Como los grupos globales slo pueden contener miembros del dominio en donde existe el grupo global, la pertenencia del Usuario 1 a Global B ya no es vlida, y el Usuario 1 ya no tendr acceso a los recursos basados en la pertenencia a Global B. Por tanto, es mejor migrar ambos grupos globales antes de migrar el Usuario 1. Si est migrando un conjunto abierto de objetos en un entorno en el que el nivel funcional tanto del dominio de origen como de destino est en modo nativo de Windows 2000 y superior, ADMT transforma el grupo global en un grupo universal para que pueda contener usuarios de otros dominios y conserven la pertenencia al grupo. Cuando el conjunto se convierte en un conjunto 213
Nota cerrado, ADMT vuelve a cambiar el grupo a un grupo global. La ventaja de este proceso es que ADMT se asegura que se resuelven todos los problemas con los conjuntos cerrados. Sin embargo, la replicacin del catlogo global aumenta aunque los grupos son grupos universales porque la pertenencia se copia en el catlogo global. Si el nivel funcional del dominio de origen es Windows 2000 mixto, ADMT no puede transformar el grupo global en un grupo universal porque los grupos universales no existen en ese nivel funcional. Sin embargo, aunque el dominio de destino est en modo nativo, los usuarios de los dominios de modo mixto no podran obtener los SID de los grupos universales en sus tokens de acceso, si los grupos proceden de fuera del dominio. Por tanto, ADMT crea una copia del grupo global en el dominio de destino y agrega todos los usuarios migrados a la copia de dicho grupo. Este grupo tiene un nuevo SID y ningn historial de SID. Este mtodo no conserva el acceso a los recursos a no ser que se ejecute el Asistente para conversin de seguridad de ADMT en modo Agregar para actualizar los permisos, lo que retrasa y complica el proceso de migracin. Por este motivo, no recomendamos reestructurar dominios que estn funcionando en el nivel funcional de Windows 2000 mixto o en el nivel funcional de dominio provisional de Windows Server 2003.
Historial de SID
El historial de SID le ayuda a mantener el acceso del usuario a los recursos durante el proceso de reestructuracin de dominios de Active Directory. Cuando migra un objeto a otro dominio, al objeto se le asigna un nuevo SID. Como asigna permisos a objetos basados en SID, cuando el SID cambia, el usuario pierde el acceso a ese recurso hasta que se puedan reasignar los permisos. Cuando usa ADMT para migrar objetos entre dominios del mismo bosque, el historial de SID se conserva automticamente. De esta forma, el SID del dominio de origen permanece como un atributo del objeto despus de que ste migre al dominio de destino. 214
Por ejemplo, una organizacin que est reestructurando sus dominios de Active Directory desplaza los grupos universales y globales de un dominio de origen a un dominio de destino antes de mover las cuentas de usuario. Como es una migracin dentro de un bosque y el nivel funcional del dominio de origen es Windows 2000 nativo, estos grupos dejan de existir en el dominio de origen y slo existen en el dominio de destino. Como se migra el historial de SID de usuarios y grupos, los usuarios siguen teniendo acceso a los recursos del dominio de origen basndose en su pertenencia a un grupo que existe en el dominio de destino.
215
216
grupo y usuario) (DSSREER_1.doc) en la descarga Job_Aids_Designing_and_Deploying_Directory_and_Security_Services de Job Aids for Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/?LinkId=14384). La siguiente ilustracin muestra un ejemplo de una tabla de asignacin de objetos para usuarios y grupos.
Para crear una tabla de asignacin de objetos de recursos, identifique las unidades organizativas de origen y destino para cada objeto y observe la ubicacin fsica y la funcin en el dominio de destino. Para obtener una hoja de clculo para ayudarle a crear una tabla de asignacin de objetos de recursos, consulte "Resource Object Assignment Table" (Tabla de asignacin de objetos de recursos) (DSSREER_2.doc) en la descarga Job_Aids_Designing_and_Deploying_Directory_and_Security_Services de Job Aids for Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/?LinkId=14384). La siguiente ilustracin muestra un ejemplo de una tabla de asignacin de objetos de recursos.
218
Grupo global Grupo universal Grupo local de dominio Grupo local del equipo
Active Directory Active Directory Active Directory Base de datos del equipo local
219
Cada tipo de grupo se migra de forma diferente en funcin de la ubicacin fsica del grupo y de sus reglas para la pertenencia al grupo. Puede migrar los grupos universales y los grupos globales usando la Herramienta de migracin para Active Directory (ADMT). Puede transformarlos en grupos universales durante la duracin de la migracin, si no est migrando conjuntos cerrados. Puede actualizar la pertenencia a grupos locales del equipo usando el Asistente para la conversin de seguridad. Cada tipo de grupo tiene reglas diferentes para la pertenencia y cada tipo de grupo sirve para un propsito diferente. Esto afecta al orden de migracin de los grupos de los dominios de origen a los de destino. En la tabla siguiente se resumen los grupos y sus reglas de pertenencia.
Tipo de grupo Reglas y pertenencia
Grupos universales
Los grupos universales pueden contener miembros de cualquier dominio del bosque y pueden replicar la pertenencia a grupos del catlogo global. Por tanto, puede usarlos para grupos administrativos. Al reestructurar los dominios, migre primero los grupos universales. Los grupos globales slo pueden incluir miembros del dominio al que pertenecen. ADMT cambia automticamente el grupo global en el dominio de origen a un grupo universal cuando se ha migrado al dominio de destino, si el nivel funcional de ambos dominios est en modo nativo de Windows 2000 o superior. ADMT vuelve a cambiar automticamente los grupos universales en grupos globales despus de que todos los miembros del grupo hayan migrado al dominio de destino. Los grupos locales de dominio pueden contener usuarios de cualquier dominio. Se utilizan para asignar permisos a recursos. Al reestructurar los dominios, debe migrar los grupos locales de dominio cuando migra los recursos a los que proporcionan acceso, o debe cambiar el tipo de grupo a grupo universal. Esto minimiza la interrupcin del acceso del usuario a los recursos. ADMT no convierte automticamente los grupos locales de dominio en grupos universales, como lo hace para los grupos globales.
Grupos globales
220
Si cualquier paso del proceso de prueba da error, identifique el origen del problema y determine si puede corregir el problema antes de que se deba tener acceso al objeto en el dominio de destino. Si no puede corregir el problema antes de obtener acceso al objeto necesario, revierta la configuracin original para asegurar el acceso al objeto de recurso o usuario. Para obtener ms informacin sobre la creacin de un plan de reversin, consulte Creacin de un plan de reversin, ms adelante en esta gua. Como parte de su plan de prueba, cree una matriz de prueba de migracin. Complete una matriz de prueba para cada paso que complete en el proceso de migracin. Por ejemplo, si migra 10 lotes de usuarios, complete 10 veces la matriz de prueba, una para cada lote que migre. Si migra 10 servidores miembro, complete la matriz de prueba para cada uno de los 10 servidores. Para obtener una hoja de clculo para ayudarle a crear una matriz de prueba, consulte Migration Test Matrix (DSSREER_3.doc) en la descarga Job_Aids_Designing_and_Deploying_Directory_and_Security_Services de Job Aids for Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/?LinkId=14384). La siguiente ilustracin muestra un ejemplo de una matriz de prueba de migracin completada.
222
Nota reversin en caso de que tenga que volver a migrar las cuentas despus de haber comenzado a reestructurar los dominios. Para crear un plan de reversin, seleccione el mtodo que utilizar para volver a migrar las cuentas. Para garantizar una correcta reversin de una migracin en el mismo bosque, no intente eliminar los objetos en el dominio de destino y restaurarlos en el dominio de origen. No podr recuperar los objetos en el dominio de origen porque se eliminan automticamente por el proxy de movimiento entre dominios si se intenta restaurar. Puede usar la Herramienta de migracin para Active Directory (ADMT) para volver a migrar las cuentas desde el dominio de destino de nuevo al dominio de origen. En este caso, el dominio de destino original se convierte en el nuevo dominio de origen y el dominio de origen original se convierte en el nuevo dominio de destino. Siga los mismos pasos de los asistentes que ha utilizado anteriormente para migrar las cuentas. Si repite la migracin de las cuentas, los objetos que ha migrado en el dominio de destino y luego ha vuelto a migrar dominio de origen tendrn nuevos identificadores de seguridad (SID). Sin embargo, tendrn el SID original en el atributo de historial de SID. Por tanto, no sern idnticas a las cuentas antes de la migracin, sino que tendrn la misma funcionalidad. Si desea revertir una migracin de cuentas de servicios, debe enumerar de nuevo los servicios y, a continuacin, volver a migrar las cuentas de servicio al revertir los dominios de destino y de origen. Si utiliza secuencias de comandos para realizar la migracin original, la utilizacin de secuencias de comandos para volver a migrar las cuentas es el mtodo ms rpido para revertir los cambios. Simplemente revierta los objetos usados en los dominios de origen y destino en la secuencia de comandos para volver a migrar los objetos. Despus de crear su plan de reversin, asegrese de probarlo para identificar y corregir cualquier problema antes de comenzar a reestructurar sus dominios de Active Directory.
Informacin general
Avise a los usuarios de que sus cuentas de usuario estn programadas para la migracin a un nuevo dominio. Remita a los usuarios a una pgina web o recurso interno donde puedan encontrar informacin adicional y ver una programacin de migracin. Informe a los usuarios del nuevo nombre de dominio. Asegrese de informarles de que sus contraseas de cuentas no cambiarn. Informe a los usuarios de que la cuenta de dominio original se deshabilitar inmediatamente despus de la migracin y la cuenta deshabilitada se eliminar transcurrido un perodo de tiempo especfico. Esto no es necesario si inician la sesin con nombres principales de usuario (UPN).
Impacto
Asegrese de que los usuarios comprenden que cuando sus cuentas se migran, es posible que no puedan tener acceso a algunos recursos, como sitios web, carpetas compartidas o recursos que los usuarios de su grupo o divisin no utilizan de forma habitual. Proporcione informacin a los usuarios sobre con quin tienen que ponerse en contacto para obtener asistencia para tener acceso a los recursos necesarios.
Cambios esperados
Describa otros cambios que los usuarios puedan experimentar despus de la migracin, como cambios en el uso de tarjetas inteligentes, correo electrnico seguro o mensajera instantnea, si procede.
225
Usuario/cuenta de servicio de administrada/grupo Nota Las cuentas de servicio administradas no conservan el historial del identificador de seguridad (SID) en una migracin interna del
Administrador local, administrador de dominio y permiso delegado Leer toda la informacin del usuario para la unidad organizativa de origen
Permiso delegado para Crear, eliminar y administrar cuentas de usuario, Crear, eliminar y administrar grupos y Modificar la pertenencia de un grupo para la unidad organizativa de usuario o la unidad organizativa de grupo y administrador local del equipo en el que est 226
Objeto de migracin
bosque. Equipo Administrador de dominio o derechos delegados para eliminar los objetos de la unidad organizativa de origen y miembro del grupo Administradores de cada equipo
instalada ADMT Permiso delegado en la unidad organizativa de equipo y administrador local en el equipo en el que est instalada ADMT Nota Si el equipo tiene una cuenta de servicio administrada instalada, utilice una cuenta que tenga permiso para actualizar el descriptor de seguridad de la cuenta de servicio administrada en el dominio de destino. Permiso delegado para Crear, eliminar y administrar cuentas de usuario para la unidad organizativa del equipo y administrador local del equipo en el que est instalada ADMT Nota Es posible que tenga que seguir otros pasos adicionales de preparacin si migra perfiles mviles de equipos que ejecutan Windows Vista o Windows 7. Para obtener ms informacin, consulte Preparacin para la migracin de perfiles mviles con equipos que ejecutan Windows Vista y Windows 7.
Perfil
Administrador local o administrador de dominio; para perfiles mviles, Administrador del equipo que aloja la carpeta compartida del perfil mvil
227
ADMT tambin incluye funciones de administracin de base de datos que puede utilizar para asignar un subconjunto de permisos a los usuarios que realicen tareas de migracin especficas. Las funciones de administracin de base de datos y las tareas de migracin que pueden realizar se enumeran en la siguiente tabla.
Funcin Tarea de migracin
Tareas de migraciones de cuentas, como migracin de usuarios y grupos Tareas de migracin de recursos, como migraciones de equipos y conversin de seguridad; los migradores de cuentas tambin desempean la funcin de migradores de recursos. Consultas en la base de datos; los migradores de cuentas y los migradores de recursos tambin desempean la funcin de lectores de datos
Lectores de datos
Los usuarios que tienen la funcin de administrador del sistema de SQL Server asumen todas las funciones de administracin de base de datos de ADMT. Tienen permisos para: Mostrar funciones de base de datos y usuarios que asumen dichas funciones. Agregar grupos o usuarios a funciones. Quitar grupos o usuarios de funciones.
De manera predeterminada, se asigna la funcin de administrador del sistema al grupo local Administradores. Este grupo puede realizar todas las funciones de la base de datos de ADMT.
Para instalar ADMT usando el almacn de la base de datos predeterminado Separar un archivo de base de datos existente de una versin anterior de ADMT y de SQL Server Reconfigurar la instalacin de la base de datos con Admtdb.exe Reutilizar una base de datos de ADMT existente desde una instalacin anterior
LinkId=121732) o ADMT v3.2 (http://go.microsoft.com/fwlink/?LinkId=186197). Para obtener ms informacin acerca de qu versin de ADMT se debe utilizar, consulte Herramienta de migracin Active Directory: versiones y entornos admitidos. En la ubicacin de descarga, haga doble clic en admtsetup.exe para abrir el asistente de instalacin.
230
231
Accin
Aunque no puede actualizar una instalacin de ADMT v3.0 a ADMT v3.1, puede importar los datos a una base de datos de ADMT v3.1 desde una base de datos de ADMT v3.0. Si no desea importar datos desde una base de datos de ADMT v3.0, seleccione No, no importar los datos desde una base de datos existente (predeterminado). Si desea importar los datos de ADMT v3.0 a la nueva base de datos de ADMT v3.1, seleccione S, importar datos desde una base de datos ADMT v3. Si ha elegido importar datos, especifique la ruta de acceso al archivo de la base de datos de ADMT v3.0.
Aunque no puede actualizar una instalacin de ADMT v2.0 a ADMT v3.1, puede importar los datos a una base de datos de ADMT v3.1 desde una base de datos de ADMT v2.0. Si no desea importar datos desde una base de datos de ADMT v2.0, seleccione No, no importar los datos desde una base de datos de ADMT v2. Si desea importar los datos de ADMT v2.0 a la nueva base de datos de ADMT v3.1, seleccione S, importar datos desde una base de datos ADMT v2. Si ha elegido importar datos, especifique la ruta de acceso al archivo de la base de datos de ADMT v2.0. La base de datos de ADMT v2.0 tiene el nombre de archivo protar.mdb y debera estar ubicada en el directorio anteriormente usado para su instalacin de ADMT v2.0.
232
Nota
Pgina del asistente Accin
Resumen
En esta pgina se resumen las opciones que ha seleccionado. Haga clic en Finalizar para completar la instalacin de ADMT v3.1.
Para instalar ADMT v3.2 Adems de ejecutar Windows Server 2008 R2, no debe instalarse el equipo de servidor utilizado para instalar ADMT v3.2 con la opcin de instalacin de Server Core ni debe estar ejecutndose como un controlador de dominio de slo lectura (RODC). Configure una instalacin de base de datos de SQL Server con una instancia de ADMT. Puede descargar e instalar SQL Server Express localmente o crear una instancia de base de datos para ADMT desde una base de datos existente de SQL Server. Para obtener ms informacin acerca de cmo instalar SQL Server Express, consulte Instalar ADMT v3.2 . Para obtener ms informacin sobre cmo crear una instancia de ADMT en una base de datos existente de SQL Server, consulte Instalar ADMT reconfigurando la instalacin de la base de datos con Admtdb.exe .
(Predeterminado). Si necesita importar datos de una instalacin anterior de ADMT, haga clic en S, importar datos de una base de datos existente de ADMT v3.0 o ADMT v3.1 y, a continuacin, para desplazarse a la ubicacin del archivo de base de datos existente haga clic en Examinar. Antes de importar los datos desde una base de datos existente, debe separar el archivo de base de datos del SQL Server utilizando los comandos de SQL Server. Para obtener ms informacin, consulte Separar un archivo de base de datos existente de una versin anterior de ADMT y de SQL Server. Cuando haya terminado, haga clic en Siguiente. 6. En la pgina Resumen, revise los resultados de la instalacin y, a continuacin, haga clic en Finalizar.
Separar un archivo de base de datos existente de una versin anterior de ADMT y de SQL Server
Si utiliza SQL Server Express, la base de datos se separa automticamente al quitar ADMT. La base de datos de SQL Server Express separada puede reutilizarse para una instalacin de ADMT posterior. En ese caso, ADMT se conecta automticamente con la base de datos existente que especifique durante la instalacin. Puede separar el archivo de base de datos de ADMT desde una instancia completa de SQL Server si tiene otra aplicacin que quiera conectar a la misma base de datos. Por ejemplo, si tiene previsto moverlo desde una instalacin completa de SQL Server a SQL Server Express, o si tiene un archivo de base de datos de ADMT de una instalacin previa que ha conectado a las herramientas de administracin de SQL Server, tendr que separarlo de esa base de datos para que ADMT pueda utilizarlo. Para separar una base de datos, puede completar el procedimiento almacenado de SQL:
sp_detach_db [ @dbname = ] 'dbname'
Para obtener ms informacin acerca de la llamada al procedimiento almacenado, consulte la documentacin de SQL Server. Para obtener ms informacin acerca de cmo usar SQL Server Management Studio para separar la base de datos, consulte Cmo: Separar una base de datos (SQL Server Management Studio (http://go.microsoft.com/fwlink/?LinkId=183994).
235
Puede ejecutar Admtdb.exe desde el smbolo del sistema con privilegios elevados en cualquier servidor que se pueda dirigir al equipo de servidor que ejecute SQL Server para crear una instancia de ADMT en dicho equipo de servidor.
Sintaxis Descripcin
Instala una nueva base de datos de ADMT o prepara una base de datos vaca. El parmetro /server especifica el nombre del servidor SQL Server y la instancia a la que se va a conectar para crear la base de datos. Es un parmetro obligatorio.
Actualiza a una versin anterior de una base de datos de ADMT v3.0 o ADMT v3.1. El parmetro /server, que es obligatorio, especifica el nombre del servidor SQL Server y la instancia a la que se va a conectar para actualizar la base de datos de ADMT v3.0 o ADMT v3.1. Nota Antes de actualizar la base de datos de ADMT, abra la consola de ADMT para comprobar que es compatible con la base de datos.
Conecta una base de datos existente de ADMT a la instancia de SQL Server Express 2005 o SQL Server Express 2008 local. El parmetro /attach, que es obligatorio, especifica la ruta al archivo de base de datos Admt.mdf separado.
Para ver la Ayuda de todas las opciones de la lnea de comandos de Admtdb.exe, en el smbolo del sistema, escriba admtdb /? . Si ha empezado la migracin mediante una base de datos local de SQL Server Express y luego ha configurado la instancia remota de una base de datos de SQL Server, y necesita volver a utilizar una base de datos local de SQL Server Express, complete el siguiente procedimiento. En este caso, el archivo de base de datos de ADMT ya est conectado a la instancia de SQL Express. Por lo tanto, no es necesario que se vuelva a conectar. Si ha empezado la migracin mediante SQL Server y desea cambiar a SQL Server Express, consulte Reutilizar una base de datos de ADMT existente desde una instalacin anterior . 236
Para utilizar reutilizar una la base de datos de local ADMT despus existente de configurar (separada) una con instancia la instancia remota de de una base Server SQL de datos local de SQL Server Para llevar a cabo este procedimiento, se requiere como mnimo pertenecer a Administradores o a un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en Grupos predeterminados locales y de dominio (http://go.microsoft.com/fwlink/?LinkId=83477). 1. En el equipo local, haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Servicios. 2. En el panel de Detalles, asegrese de que el servicio que aloja la instancia de SQL Server Express se est ejecutando y que el Tipo de inicio se haya establecido en Automtico. Si va a utilizar ADMT v3.1 y tena instalado ADMT con SQL Server Express, el nombre del servicio es MSSQL$MS_ADMT. Si el servicio no se inicia o si no est configurado para iniciarse automticamente en el inicio del sistema, haga clic en Iniciado, haga clic con el botn secundario en el nombre del servicio y, a continuacin, haga clic en Propiedades. 3. En la ficha General, de la lista Tipo de inicio, haga clic en Automtico. 4. En Estado del servicio, haga clic en Inicio y, a continuacin, haga clic en Aceptar. 5. Cierre Servicios. 6. En el smbolo del sistema, escriba los siguientes comandos: Nota El comando admtdb attach es necesario slo si anteriormente ha ejecutado comandos SQL para que separen la instancia local de SQL Server Express.
admtdb attach /{s | Server}:Instancia de SQL Server Express local admt config setdatabase /s:Servidor\Instancia.
Nota
Reutilizar una base de datos de ADMT existente desde una instalacin anterior
Si desea utilizar una base de datos existente (separada) de una instalacin de ADMT v3.0, ADMT v3.1 o ADMT v3.2 anterior con la instancia de SQL Server local, puede completar el siguiente procedimiento. Para llevar a cabo este procedimiento, se requiere como mnimo pertenecer a Administradores o a un grupo equivalente. Revise los detalles sobre cmo usar las cuentas apropiadas y pertenencia a grupos en Grupos de dominio y locales predeterminados (http://go.microsoft.com/fwlink/?LinkId=83477). 1. En el equipo local, haga clic en Inicio, seleccione Herramientas administrativas y, 237
a continuacin, haga clic en Servicios. 2. En el panel de detalles, asegrese de que el servicio que aloja la instancia de SQL Server Express se est ejecutando y que el Tipo de inicio se haya establecido en Automtico. Si va a utilizar ADMT v3.1 y tena instalado ADMT con SQL Server Express, el nombre del servicio es MSSQL$MS_ADMT. Si el servicio no se inicia o si no est configurado para iniciarse automticamente en el inicio del sistema, haga clic en Iniciado, haga clic con el botn secundario en el nombre del servicio y, a continuacin, haga clic en Propiedades. 3. En la ficha General, de la lista Tipo de inicio, haga clic en Automtico. 4. En Estado del servicio, haga clic en Inicio y, a continuacin, haga clic en Aceptar. 5. Cierre Servicios. 6. En el smbolo del sistema, escriba los siguientes comandos:
admtdb attach /{s | Server}:Instancia de SQL Server Express local /{a | Attach}:Ruta de acceso al archivo de base de datos de ADMT v3.x que desea asociar" admt config setdatabase /s: servidor\instancia
Ahora puede utilizar la base de datos de ADMT existente con la instancia de SQL Server local. No es necesario volver a ejecutar el asistente de instalacin de ADMT. La instalacin de ADMT se puede ejecutar una sola vez. Puede realizar cualquier cambio posterior en la configuracin de la base de datos mediante los comandos admtdb.exe y admt config setdatabase.
Ejecucin del Asistente para migracin de cuentas de servicio migracin, las cuentas se migran cuando otras cuentas de usuario se migran con el Asistente para migracin de cuentas de usuario. El Asistente para migracin de cuentas de servicios comprueba cada servicio de un equipo para identificar los servicios que se ejecutan en el contexto de una cuenta de usuario. Puede producirse una carencia de seguridad durante la migracin de cuentas de servicio si alguien distinto del administrador de servicio entra en una cuenta con permisos administrativos en el dominio de origen, pero utiliza una contrasea no vlida en el equipo para iniciar el servicio. El servicio no se iniciar antes de la migracin de la cuenta, dado que la contrasea no es correcta, pero funcionar despus de la migracin, porque ADMT restablece la contrasea de la cuenta de servicio y configura todos los servicios que utilizan dicha cuenta de servicio con la nueva contrasea. Para eliminar este posible problema de seguridad, es importante incluir en el Asistente para migracin de cuentas de servicios slo los servidores cuya administracin depende de administradores de confianza. No utilice el Asistente para migracin de cuentas de servicios para detectar las cuentas de servicio en equipos que los administradores de confianza no administran, como las estaciones de trabajo. Si no identifica ni realiza una transicin de un equipo de confianza que, por consiguiente, no actualiza su cuenta de servicio, tendr que definir de forma manual la nueva contrasea que crea ADMT. Para ello, obtenga la contrasea del archivo Password.txt y, a continuacin, introduzca de forma manual la informacin de la contrasea y la cuenta para el servicio del equipo al que no se le ha realizado la transicin. Cuando las cuentas que el Asistente para migracin de cuentas de servicios identifica en la base de datos de ADMT como en ejecucin en el contexto de una cuenta de usuario se migran al dominio de destino, ADMT otorga a cada cuenta el derecho de iniciar sesin como servicio. 1. En ADMT, inicie el Asistente para migracin de cuentas de servicios. 2. Utilice el asistente siguiendo los pasos de la tabla siguiente.
239
240
Dilogo de agente
En Acciones de agente seleccione Ejecutar comprobacin previa y operacin de agente y, a continuacin, haga clic en Inicio. Aparecer un mensaje en Resumen de agente cuando se completen las operaciones de agente. Una vez finalizadas las operaciones de agente, haga clic en Cerrar. Seleccione cualquier cuenta de usuario que no tenga que estar marcada como cuenta de servicio en la base de datos de ADMT y, a continuacin, haga clic en Omitir/Incluir para marcar las cuentas como Omitir.
El asistente se conecta a los equipos seleccionados y, a continuacin, enva un agente para comprobar cada servicio en los equipos remotos. La pgina Informacin de cuentas de servicios muestra los servicios que se ejecutan en el contexto de una cuenta de usuario y el nombre de dicha cuenta de usuario. ADMT indica en su base de datos que estas cuentas de usuario se tienen que migrar como cuentas de servicio. Si no desea migrar una cuenta de usuario como cuenta de servicio, seleccione la cuenta y, a continuacin, haga clic en Omitir/Incluir para cambiar el estado de Incluir a Omitir. 3. Utiliza Actualizar SCM para actualizar el Administrador de control de servicios con la nueva informacin. A menos que se produzca un error de acceso a un equipo para actualizar el servicio, el botn Actualizar SCM no est disponible. Si tiene problemas al actualizar una cuenta de servicio una vez identificada y migrada la cuenta, asegrese de que el equipo al que intenta tener acceso est disponible y, a continuacin, reinicie el Asistente para migracin de cuentas de servicios. En el asistente, haga clic en Actualizar SCM para intentar actualizar el servicio. Si ya ha ejecutado el Asistente para migracin de cuentas de servicios anteriormente y el botn Actualizar SCM no est disponible, examine los archivos de registro de ADMT para determinar la causa del problema. Una vez corregido el problema y cuando el agente se pueda conectar correctamente, el botn Actualizar SCM estar disponible.
1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el siguiente comando y, a continuacin, presione ENTRAR:
ADMT SERVICE /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:"<dominio_origen>" /TD:"
241
Donde <nombre_equipo1> y <nombre_equipo2> son los nombres de equipos del dominio de origen que ejecutan cuentas de servicio. Como alternativa, puede incluir parmetros en un archivo de opcin que se especifique en la lnea de comandos como se muestra a continuacin:
ADMT SERVICE /N "<nombre_equipo1>" "<nombre_equipo2>" /O:" <archivo_opcin>.txt"
La siguiente tabla enumera los parmetros comunes que se utilizan para la identificacin de cuentas de servicio, junto con el parmetro de lnea de comandos y los equivalentes de archivo de opciones.
Parmetros Sintaxis de lnea de comandos Sintaxis del archivo de opciones
/SD:"dominio_origen"
SourceDomain="dominio_origen"
/TD:"dominio_destino"
TargetDomain="dominio_destino"
3. Revise si hay errores en los resultados que se muestran en la pantalla. Cree una secuencia de comandos que incorpore los comandos de ADMT y las opciones para la identificacin de cuentas de servicio utilizando la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id="IdentifyingServiceAccounts" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
242
243
Como Contoso Corporation es una gran organizacin con varios grupos globales, los grupos cerrados son difciles de identificar. Por tanto, la compaa decide migrar los grupos globales como grupos universales. La compaa puede hacerlo porque la infraestructura de la corporacin puede manejar la replicacin aumentada de los grupos universales, y porque tanto los dominios de frica como los de EMEA estn funcionando a nivel funcional de Windows 2000 nativo. La compaa ha creado estructuras idnticas de la unidad organizativa idntica (OU) en los dominios frica y EMEA. Por tanto, no tienen que crear una nueva estructura de la unidad organizativa ni migrar las unidades organizativas. Contoso Corporation ha creado una lista de equipos que ejecutan cuentas de servicios, por lo que puede usar el Asistente para la migracin de cuentas de servicios para identificar los servicios que se ejecutan en el contexto de las cuentas de usuario. La compaa est ms preocupada por un conjunto de cuentas que tienen acceso a una base de datos de SQL Server. El acceso a esta base de datos es una parte importante de su negocio. La compaa ha decidido usar la Herramienta de migracin para Active Directory (ADMT) como su herramienta de migracin y para usar los asistentes. La compaa instala ADMT y crea dos grupos de migracin de cuentas que se utilizarn para el proceso de migracin. La compaa asigna permisos de alto nivel al primer grupo y despus agrega los miembros del equipo de implementacin apropiados a dicho grupo. El equipo de implementacin centralizado usar esta cuenta para migrar usuarios. La compaa asigna los permisos de la estacin de trabajo y recursos locales al segundo grupo. El equipo de implementacin usar el segundo grupo para migrar recursos en las ubicaciones remotas.
244
Migracin de grupos
Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Para proteger su sistema frente al problema de los conjuntos abiertos cuando reestructura los dominios de Active Directory en un bosque, migre los grupos antes de migrar las cuentas de usuario que pertenezcan a esos grupos. Si migra grupos de forma simultnea a la migracin de usuarios, es posible que no pueda migrar los grupos anidados, lo que crea un conjunto abierto. Adems, siga las estas indicaciones para la migracin de grupos: Migre primero los grupos universales y despus los grupos globales. Migre los grupos locales del dominio cuando migre los recursos (controladores de dominio y servidores miembros) en los que se usan para asignar permisos. Puede elegir migrar los grupos locales del equipo cuando migre el equipo ms adelante en el proceso de reestructuracin.
245
Nota
246
247
Escriba el nombre de la unidad organizativa o haga clic en Examinar. En el cuadro de dilogo Buscar un contenedor, busque el contenedor del dominio de destino al que desea mover los grupos universales y, a continuacin, haga clic en Aceptar.
Opciones de grupo
Se activan las casillas de verificacin Migrar los identificadores de seguridad (SID) de grupos hacia el dominio de destino y Corregir pertenencia a grupo, y aparecen atenuadas. Asegrese de que no se seleccionan otras opciones.
Gestin de conflictos
1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. Nota Cuando inicie una migracin de grupos con la migracin del SIDHistory desde la lnea de comandos, el comando se debe ejecutar en un controlador de dominio del dominio de destino. 2. En la lnea de comandos, escriba el comando adecuados y, a continuacin, presione ENTRAR:
ADMT GROUP
ADMT GROUP /N "<nombre_grupo1>" "<nombre_grupo2>" /IF:YES /SD:" <dominio_origen>" /TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>"
Como alternativa, puede incluir parmetros en un archivo de opcin que se especifique en la lnea de comandos como se muestra a continuacin:
ADMT GROUP /N "<nombre_grupo1>" "<nombre_grupo2>" /O: "<archivo_opcin>.txt"
La siguiente tabla muestra los parmetros necesarios para migrar grupos universales, los parmetros de lnea de comandos y los equivalentes del archivo de opciones. Para obtener una lista completa de todos los parmetros disponibles, consulte la Ayuda de ADMT v3.1.
248
249
objMigration.IntraForest = True objMigration.SourceDomain = "dominio de origen" objMigration.SourceOu = "source container" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "contenedor de destino"
Para migrar grupos globales usando el complemento de ADMT conjuntos abiertos, consulte Informacin general para la reestructuracin de dominios de Active Directory dentro de un bosque, anteriormente en esta gua). Cuando los grupos globales hayan migrado al dominio de destino, dejan de existir en el dominio de origen si ste tiene un nivel funcional de modo nativo Windows 2000 o superior. Como los grupos globales slo contienen miembros de su propio dominio, no puede migrarlos de un dominio a otro. La Herramienta de migracin para Active Directory (ADMT) cambia los grupos globales a grupos universales cuando se migran. El grupo universal del dominio de destino conserva el historial de identificadores de seguridad (SID) del grupo global en el dominio de origen, que permite a los usuarios continuar teniendo acceso a los recursos del dominio de origen despus de migrar los grupos globales. ADMT vuelve a cambiar los grupos universales a grupos locales despus de migrar todos los miembros del grupo global desde el dominio de origen al dominio de destino. No tiene que incluir grupos globales integrados y bien conocidos en su migracin porque estos grupos ya existen en el dominio de destino. Si selecciona un grupo integrado o un grupo global bien conocido para la migracin, ADMT no lo migra. En cambio, ADMT lo anota en el registro y contina la migracin de otros grupos globales. El procedimiento para usar el Asistente para migracin de cuentas de grupo para migrar grupos globales es el mismo que el utilizado para migrar grupos universales. Para obtener ms informacin sobre el procedimiento para migrar grupos globales y grupos universales, consulte Migrar grupos universales, anteriormente en esta gua. Despus de completar el proceso de migracin de grupos globales, utilice Usuarios y equipos de Active Directory para comprobar que los grupos globales han migrado correctamente. Compruebe que los grupos globales ya no existen en el dominio de origen y que los grupos aparecen en el dominio de destino en la unidad organizativa (OU) especificada durante el proceso de migracin. Los grupos globales se enumeran como grupos universales en el dominio de destino si todava tienen miembros en el dominio de origen. Para ver una lista de miembros del grupo universal, haga clic con el botn secundario en el grupo, haga clic en Propiedades y, a continuacin, haga clic en la ficha Miembros. Se muestran los miembros originales del grupo global. Sin embargo, observe que las cuentas de usuario todava no se han migrado. Si est migrando las cuentas de usuario durante la migracin dentro del mismo bosque, pero no est migrando los grupos globales del dominio de origen de los que son miembros las cuentas de usuario, ADMT actualiza de cualquier forma los grupos globales en el dominio de origen. ADMT quita las cuentas de usuario migradas de la pertenencia del grupo global en el dominio de origen porque el grupo global slo puede incluir miembros del dominio de origen. Como resultado de ello, es posible que los usuarios no continen teniendo acceso a los recursos del dominio de origen despus de la migracin porque ya no hay miembros de esos grupos. Puede migrar grupos globales usando el complemento de ADMT, la opcin de lnea de comandos ADMT o script. 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con 251
la cuenta de migracin de cuentas ADMT. 2. Utilice el Asistente para migracin de cuentas de grupo realizando los pasos de la tabla siguiente.
252
253
Para migrar grupos globales usando la opcin de lnea de comandos de ADMT 3. Despus de ejecutar el Asistente, haga clic en Ver registro y revise el registro de migracin para buscar si hay algn error. 4. Abra Usuarios y equipos de Active Directory y, a continuacin, localice la unidad organizativa del dominio de destino. Compruebe que los grupos globales existen en la unidad organizativa del dominio de destino.
1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. Nota Cuando inicie una migracin de grupos con la migracin sIDHistory desde la lnea de comandos, debe ejecutar el comando en un controlador del dominio en el dominio de destino. 2. En la lnea de comandos, escriba el comando adecuados y, a continuacin, presione ENTRAR:
ADMT GROUP
ADMT GROUP /N "<nombre_grupo1>" "<nombre_grupo2>" /IF:YES /SD:" <dominio_origen>" /TD:" <dominio de destino>" /TO:" <unidad organizativa de destino>"
Como alternativa, puede incluir parmetros en un archivo de opciones que se especifica en la lnea de comandos, de la manera siguiente:
ADMT GROUP /N "<nombre_grupo1>" "<nombre_grupo2>" /O: "<archivo_opcin>.txt"
En la tabla siguiente se muestran los parmetros necesarios para migrar grupos globales, los parmetros de lnea de comandos y los equivalentes del archivo de opciones.
254
Dentro de un mismo bosque <Dominio de destino> Ubicacin de la <Unidad organizativ a de destino> Gestin de conflictos
/TD:"dominio_destino"
TargetDomain="dominio_destino"
/ TO:"unidad_organizativa_destino
TargetOU="unidad_organizativa_destin
o"
"
(valor predeterminado)
/CO:IGNORE
ConflictOptions=IGNORE
3. Revise los resultados que se muestran en la pantalla en busca de errores. 4. Abra Usuarios y equipos de Active Directory y, a continuacin, localice la unidad organizativa del dominio de destino. Compruebe que los grupos globales existen en la unidad organizativa del dominio de destino.
1. Utilice un script que incorpora comandos y opciones de ADMT para migrar grupos universales. Para obtener ms informacin sobre la migracin de grupos universales, consulte Migrar grupos universales, anteriormente en esta gua. Nota Cuando inicie una migracin de grupos con la migracin sIDHistory desde un script, ste debe ejecutarse en un controlador de dominio del dominio de destino. 2. Despus de haber completado la migracin del grupo global usando un script, vea el registro de migracin. El archivo migration.log se almacena en la carpeta donde ha instalado ADMT, por lo general, Windows\ADMT\Logs. Nota Como los grupos universales se replican en el catlogo global, la conversin de los grupos globales en grupos universales puede afectar al trfico de replicacin. Cuando el bosque est funcionando en el nivel de Windows Server 2003 o Windows Server 2008, este impacto se reduce porque slo se replican los cambios en la pertenencia al grupo universal. Sin embargo, si el bosque no est funcionando en el nivel de Windows Server 2003 o Windows Server 2008, toda 255
Migracin de cuentas de servicio mediante el complemento de ADMT la pertenencia al grupo se replica cada vez que cambia la pertenencia a grupos universal.
256
257
Accin
Escriba el nombre de la unidad organizativa o haga clic en Examinar. En el cuadro de dilogo Buscar un contenedor, busque el contenedor del dominio de destino al que desea mover las cuentas y, a continuacin, haga clic en Aceptar.
Opciones de usuario
Active la casilla de verificacin Actualizar derechos de usuario. Asegrese de que no ha seleccionado otra configuracin, incluida la opcin Migrar grupos de usuario asociados. Aparecer un cuadro de advertencia para informarle de que si los grupos globales a los que pertenecen las cuentas de usuario no se migran tambin, los usuarios perdern el acceso a los recursos. Seleccione Aceptar para continuar con la migracin.
Gestin de conflictos
Seleccione No migrar el objeto de origen si se detecta un conflicto en el dominio de destino. Haga clic en Migrar todas las cuentas de servicio y actualizar SCM de los elementos marcados para incluir. El asistente le muestra una lista de las cuentas de servicio que est migrando (si migra cuentas que no son cuentas de servicio, se migrarn pero no se mostrar en la lista). De forma predeterminada, las cuentas se marcan como Incluir. Para cambiar el estado de la cuenta, seleccinela y haga clic en Omitir/Incluir. Haga clic en Siguiente para migrar las cuentas.
Un cuadro de dilogo Progreso de la migracin le mantiene informado del estado de la migracin. Durante este tiempo, ADMT mueve las cuentas al dominio de destino, genera una nueva contrasea para las cuentas, asigna a las cuentas el derecho de iniciar sesin como un servicio y proporciona esta nueva informacin a los servicios que utilizan las cuentas. Cuando el estado se muestre como Completado en el cuadro de dilogo 258
Migracin de cuentas de servicio mediante la opcin de lnea de comandos de ADMT Progreso de la migracin, puede continuar con el resto de la migracin dentro del mismo bosque. Antes de que se complete la migracin de las cuentas de servicio, es posible que los usuarios experimenten interrupciones al utilizar los servicios. Lo que se debe a que, hasta que el servicio se reinicie, se sigue utilizando la cuenta que se ha estado migrando. Para cualquier servicio que utilice continuamente credenciales, como los servicios de bsqueda, reinicie manualmente los servicios para garantizar resultados ptimos. 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el siguiente comando y, a continuacin, presione ENTRAR:
ADMT USER /N "<nombre_servidor1>" "<nombre_servidor2>" /IF:YES /SD:" <dominio_origen>" /TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /MSA:YES
Donde <Nombre_servidor1> y <Nombre_servidor2> son los nombres de servidores del dominio de origen que ejecutan cuentas de servicio. Como alternativa, puede incluir parmetros en un archivo de opciones que se especifica en la lnea de comandos, de la manera siguiente:
ADMT USER /N "<nombre_servidor1>" "<nombre_servidor2>" /O: "<archivo_opcin>.txt"
La tabla siguiente muestra los parmetros necesarios para migrar cuentas de servicio, la sintaxis de lnea de comandos y los equivalentes del archivo de opciones.
259
260
Dim objUserMigration
objMigration.IntraForest = True objMigration.SourceDomain = "dominio de origen" objMigration.SourceOu = "contenedor de origen" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "contenedor de destino"
261
Importante
Set objMigration = Nothing </Script> </Job>
Migracin de cuentas de servicio administradas con el complemento ADMT propiedades de la cuenta (excepto SID) se copian desde el dominio de origen. Por tanto, ser necesario ejecutar la conversin de seguridad. Si los recursos del dominio de origen que conceden permisos a las cuentas de servicio administradas se hospedan en el mismo equipo que la cuenta de servicio administrada, debera seleccionar la conversin de seguridad en los recursos adecuados (Archivos y carpetas, Grupos locales y as sucesivamente) en la pgina Convertir objetos del Asistente para la migracin de equipos. Si los recursos estn en otros equipos que no se estn migrando, tendr que ejecutar el Asistente para conversin de seguridad en esos equipos y, en la pgina Opciones de conversin de seguridad, seleccione Objetos previamente migrados o proporcione expresamente las cuentas de servicio administradas en un archivo de asignacin de SID. Para obtener ms informacin acerca de la conversin de seguridad, consulte Conversin de seguridad en los servidores miembro. 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En el complemento ADMT, haga clic en Accin y, a continuacin, en Asistente para migracin de cuentas de servicio administradas . 3. Complete el Asistente para migracin de cuentas de servicio administradas con la informacin que se proporciona en la tabla siguiente.
263
Accin
Seleccin de dominio
En la opcin Origen de la lista desplegable Dominio, escriba o seleccione el nombre de DNS (Sistema de nombres de dominio) o NetBIOS del dominio de origen. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio. En la opcin Destino de la lista desplegable Dominio, escriba o seleccione el nombre de DNS o NetBIOS del dominio de destino. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio y, a continuacin, haga clic en Siguiente.
264
Accin
Haga clic en Seleccionar cuentas de servicio administradas del dominio para migrar las cuentas de servicio administradas del dominio mediante el cuadro de dilogo de seleccin de objetos o un archivo de inclusin. Esta es la mejor opcin si se desea migrar todas las cuentas de servicio administradas desde el dominio de origen. O bien Haga clic en Proporcionar equipos para consultar las cuentas de servicio administradas instaladas y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de cuentas de servicio administradas, haga clic en Agregar para seleccionar las cuentas de equipo del dominio de origen que desea consultar para conocer las cuentas de servicio administradas, haga clic en Aceptar y, a continuacin, en Siguiente. Se prefiere esta opcin si se desea migrar slo cuentas de servicio administradas que se han instalado en equipos especficos. Cada equipo que proporciona puede tener varias cuentas de servicio administradas instaladas. Puede elegir una combinacin de estas opciones yendo y viniendo en el asistente. Por ejemplo, puede proporcionar los equipos que se van a consultar y agregar las cuentas de servicio administradas que estn instaladas en esos equipos a la lista de cuentas que se van a migrar. A continuacin, puede hacer clic en Atrs en el asistente para volver a esta pgina y seleccionar cuentas de servicio administradas adicionales del dominio o de un archivo de inclusin.
265
Accin
Opcin de seleccin de cuenta de servicio administrada Esta pgina slo aparece si las cuentas de servicio administradas las selecciona del dominio.
Haga clic en Seleccionar cuentas de servicio administradas del dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de cuentas de servicio administradas, haga clic en Agregar para seleccionar las cuentas del dominio de origen que desea migrar, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Haga clic en Examinar para especificar una ubicacin para las cuentas migradas y, a continuacin, haga clic en Siguiente. Active la casilla de verificacin Actualizar derechos de cuenta. Active la casilla de verificacin Revisar la pertenencia a grupos de cuentas. Si la cuenta se est migrando a un bosque diferente, seleccione la casilla Migrar SID de cuenta al domino de destino. Esta opcin no est disponible para una migracin interna del bosque. Haga clic en Siguiente. Escriba el nombre de usuario, la contrasea y el dominio de una cuenta que tenga credenciales administrativas en el dominio de origen, y haga clic en Siguiente.
4. Cuando el asistente haya terminado de ejecutarse, haga clic en Ver registro y, a continuacin, revise si hay errores en el registro de migracin. 5. Inicie Usuarios y equipos de Active Directory y compruebe que las cuentas de servidor administradas existen en la unidad organizativa apropiada del dominio de destino. 266
Migracin de cuentas de servicio administradas mediante la opcin de lnea de comandos de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el siguiente comando y, a continuacin, presione ENTRAR:
ADMT MANAGEDSERVICEACCOUNT /N "<nombre_cuenta de servicio administrada1>" "<nombre_cuenta de servicio administrada2>" /IF:NO /SD:"<dominio_origen>" /TD:"<dominio_destino>" /UUR:YES /FGM:YES /MSS:YES
Donde <nombre_cuenta de servicio administrada1> y <nombre_cuenta de servicio administrada2> son los nombres de las cuentas de servicio administradas del dominio de origen. Como alternativa, puede incluir parmetros en un archivo de opcin que se especifique en la lnea de comandos como se muestra a continuacin:
ADMT MANAGEDSERVICEACCOUNT /N "<nombre_cuenta de servicio administrada1>" "<nombre_cuenta de servicio administrada2>" /O:"<archivo_opcin>.txt"
En la siguiente tabla se enumeran los parmetros comunes que se utilizan para la migracin de cuentas de servicio administradas, junto con el parmetro de lnea de comandos y los equivalentes de archivo de opciones.
267
268
269
270
271
Asegrese de que ADMT muestra la unidad organizativa de destino correcta. Si no es correcta, escriba la unidad organizativa correcta o haga clic en Examinar. En el cuadro de dilogo Buscar un contenedor, busque el dominio de destino y la unidad organizativa y, a continuacin, haga clic en Aceptar.
Opciones de usuario
Active la casilla de verificacin Convertir perfiles mviles. Active la casilla de verificacin Actualizar derechos de usuario. Desactive la casilla de verificacin Migrar grupos de usuario asociados. Aparecer un cuadro de advertencia que indica que si los grupos globales a los que pertenecen las cuentas de usuario no se migran tambin, el usuario perder el acceso a los recursos. Haga clic en Aceptar para continuar con la migracin.
Gestin de conflictos
Despus de hacer clic en Finalizar en el Asistente para migracin de cuentas de usuario, aparecer el cuadro de dilogo Progreso de la migracin. Una vez que el estado cambia a Completado, vea el registro de migracin para determinar si se han producido errores en el proceso de migracin. En el cuadro de dilogo Progreso de la migracin, haga clic en Cerrar. Las cuentas de usuario migradas pueden iniciar sesin slo en el dominio de destino y se indica que cambien la contrasea la primera vez que inician sesin en el dominio de destino. 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. Nota Cuando inicie una migracin de usuario con la migracin del historial de SID desde la lnea de comandos, debe ejecutar el comando en un controlador de 272
dominio del dominio de destino. 2. En una lnea de comandos, escriba el comando apropiados, por ejemplo:
ADMT User
ADMT USER /N "<nombre_usuario1>" "<nombre_usuario2>" /IF:YES /SD:" <dominio_origen>" /TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /TRP:YES /UUR:YES
Como alternativa, puede incluir parmetros en un archivo de opcin que se especifique en la lnea de comandos, de la manera siguiente:
ADMT USER /N "<nombre_usuario1>" "<nombre_usuario2>" /O "<archivo_opcin>.txt"
La tabla siguiente muestra los parmetros necesarios para la migracin de cuentas de usuario, los parmetros de lnea de comandos y los equivalentes del archivo de opciones.
273
274
en un controlador de dominio del dominio de destino. Utilice la siguiente muestra para preparar una secuencia de comandos que incorpore los comandos de ADMT y las opciones para migrar cuentas de usuario dentro de un bosque. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" MigratingUserAccountsWithinForest" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
objMigration.IntraForest = True objMigration.SourceDomain = "dominio de origen" objMigration.SourceOu = "contenedor de origen" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "contenedor de destino"
objUserMigration.TranslateRoamingProfile = True
275
276
Precaucin
Compruebe que la conversin de perfil de usuario se haya completado correctamente para cada usuario antes de permitir que ese usuario inicie sesin. Si se produce un error en la conversin de perfil de usuario, ese usuario no debe iniciar sesin en el dominio de destino. En ese caso, revierta la cuenta de usuario de forma manual deshabilitando la cuenta de usuario en el dominio de destino y permitiendo la cuenta de usuario en el dominio de origen. 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En el complemento de la Herramienta de migracin para Active Directory (ADMT), haga clic en Accin y, a continuacin, haga clic en Asistente para conversin de seguridad. 3. Complete el Asistente para la conversin de seguridad con la informacin de la tabla siguiente.
277
278
Seleccin de equipo
Haga clic en Seleccionar equipos desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de equipo, haga clic en Agregar para seleccionar los equipos del dominio de origen que contengan los perfiles de usuario que desea migrar, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el comando apropiados y, a continuacin, presione ENTRAR.
/TD:" <dominio_destino>" ADMT Security
Como alternativa, puede incluir parmetros en un archivo de opcin que se especifica en la lnea de comandos, de la manera siguiente:
ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /O "archivo_opcin.txt "
La siguiente tabla muestra los parmetros necesarios para la conversin de perfiles de usuario locales, los parmetros de lnea de comandos y los equivalentes del archivo de opciones.
279
280
Nota
equipos que est migrando con la mayor brevedad posible para completar el proceso de migracin. Reinicie las estaciones de trabajo y los servidores miembro inmediatamente despus de agregarlos al dominio de destino seleccionando un nmero bajo para el parmetro RestartDelay. Los recursos que no se han reiniciado despus de la migracin se encuentran en un estado indeterminado. Los Firewall, como Firewall de Windows en Windows XP Service Pack 2 (SP 2), pueden impedir que se complete la migracin de la cuenta de equipo de la Herramienta de migracin para Active Directory (ADMT). Compruebe rigurosamente la migracin de su equipo en un entorno de laboratorio para descubrir cualquier problema potencial antes de realizar la migracin en el entorno de produccin. Para obtener ms informacin sobre la configuracin del Firewall de Windows, consulte Parece que algunos programas dejan de funcionar despus de instalar el Service Pack 2 de Windows XP (http://go.microsoft.com/fwlink/?LinkId=76705) e Introduccin al servicio y requisitos del puerto de red para el sistema Windows Server(http://go.microsoft.com/fwlink/?LinkId=58432). Las cuentas de equipo se tratan de forma diferente que las cuentas de grupo y usuario durante un proceso de migracin entre dominios en un bosque de Active Directory. Mientras que las cuentas de grupo y usuario del dominio de origen se eliminan durante una migracin interna del bosque, las cuentas de equipo se dejan habilitadas en el dominio de origen y se crea una nueva cuenta de equipo en el dominio de destino. Lo que hace posible revertir la migracin del equipo, en caso necesario. Tras completar la migracin y comprobar que el equipo funciona segn lo esperado, puede eliminar de forma segura la cuenta de equipo en el dominio de origen. Si una estacin de trabajo tiene cuentas de servicio administradas instaladas y esas cuentas se han migrado previamente, ADMT proporciona una opcin que permite reinstalar en el equipo migrado la cuenta de servicio administrada migrada y actualizar el Administrador de control de servicios. Para que ADMT pueda realizar esta operacin, la cuenta que realiza la migracin del equipo debe tener permisos para modificar el descriptor de seguridad de la cuenta de servicio administrada migrada. Puede migrar estaciones de trabajo y servidores miembro mediante el complemento de ADMT, la opcin de lnea de comandos de ADMT o una secuencia de comandos. 1. En el equipo del dominio de destino donde se instala ADMT, inicie sesin utilizando una cuenta de usuario que sea miembro del grupo de migracin de recursos de ADMT. 2. Utilice el Asistente para migracin de cuentas de equipos siguiendo los pasos de la tabla siguiente.
282
283
Accin
Informacin sobre la cuenta de servicio administrada (aparece si el equipo tiene alguna cuenta de servicio administrada instalada)
Seleccione cualquier cuenta de servicio administrada que no se tenga que instalar en el equipo migrado en el dominio de destino y, a continuacin, haga clic en Omitir/Incluir para marcar las cuentas como Omitir. Haga clic en Examinar. En el cuadro de dilogo Buscar un contenedor, haga clic en la unidad organizativa del dominio de destino al que se migran los equipos y, a continuacin, haga clic en Aceptar.
Convertir objetos
Active la casilla de verificacin Grupos locales. Active la casilla de verificacin Derechos de usuarios.
Haga clic en Reemplazar. Al ejecutar una migracin dentro del mismo bosque, ADMT migra el historial de identificadores de seguridad (SID) y elimina el objeto de origen. Por lo tanto, al realizar una migracin en el mismo bosque, ADMT slo permite la conversin de seguridad en el modo Reemplazar.
Opciones de equipo
En la casilla Minutos que habrn de transcurrir para que se reinicien los equipos tras la finalizacin del asistente, acepte el valor predeterminado de 5 minutos o escriba un valor distinto. Para excluir determinadas propiedades de objeto de la migracin, active la casilla de verificacin Excluir propiedades de objeto especficas de la migracin, seleccione las propiedades de objeto que desee excluir y muvalas a Propiedades excluidas y, a continuacin, haga clic en Siguiente.
284
Migracin de estaciones de trabajo y servidores miembro mediante la opcin de lnea de comandos de ADMT
Pgina del asistente Accin
Gestin de conflictos
Haga clic en No migrar el objeto de origen si se detecta un conflicto en el dominio de destino. Seleccione Ejecutar comprobacin previa y operacin de agente y, a continuacin, haga clic en Inicio.
3. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez finalizado el asistente, haga clic en Ver registro para ver la lista de equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\Agents.
1. En el equipo del dominio de destino donde se instala ADMT, inicie sesin utilizando una cuenta de usuario que sea miembro del grupo de migracin de recursos de ADMT. 2. En la lnea de comandos, escriba el comando apropiados y, a continuacin, presione ENTRAR.
ADMT Computer
ADMT COMPUTER /N "<nombre_equipo1>" "<nombre_equipo2>" /IF:YES /SD:"<dominio_origen>" /TD:"<dominio_destino>" /TO:"<unidad_organizativa_destino>" [/M: "nombre de cuenta de servicio administrada 1 nombre de cuenta de servicio administrada 2] [/UALLMSA:Yes] /RDL:1
Como alternativa, puede incluir parmetros en un archivo de opcin que se especifique en la lnea de comandos, de la manera siguiente:
ADMT COMPUTER /N "<nombre_equipo1>" "<nombre_equipo2>" /O:" <archivo_opcin>.txt"
La siguiente tabla enumera los parmetros necesarios para la migracin de estaciones de trabajo y servidores miembro, los parmetros de la lnea de comandos y los equivalentes de archivo de opciones.
285
286
287
Migracin de estaciones de trabajo y servidores miembro mediante una secuencia de comandos la carpeta Windows\ADMT\Logs\Agents. 4. Abra Usuarios y equipos de Active Directory y, a continuacin, localice la unidad organizativa del dominio de destino. Compruebe que las estaciones de trabajo y los servidores miembro existen en la unidad organizativa del dominio destino. Utilice la siguiente lista para preparar una secuencia de comandos que incorpore los comandos de ADMT y las opciones para migrar estaciones de trabajo y servidores miembro dentro de un bosque. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" MigratingWorkstationsMemberServersWithinForest" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
objMigration.IntraForest = True objMigration.SourceDomain = "dominio de origen" objMigration.SourceOu = "Equipos" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "Equipos"
288
tabla siguiente.
290
291
Migracin Para migrar de grupos grupos locales locales de de dominio dominio usando mediante la opcin una secuencia de lnea de comandos de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el comando adecuados y, a continuacin, presione ENTRAR:
ADMT GROUP
ADMT GROUP /N "<nombre_grupo1>" "<nombre_grupo2>" /IF:YES /SD:" <dominio_origen>" /TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>"
Como alternativa, puede incluir parmetros en un archivo de opciones que se especifique en la lnea de comandos, de la manera siguiente:
ADMT GROUP /N "<nombre_grupo1>" "<nombre_grupo2>" /O: "<archivo_opcin>.txt"
En la tabla siguiente se muestran los parmetros necesarios para migrar grupos locales de dominio, los parmetros de lnea de comandos y los equivalentes del archivo de opciones. Para obtener una lista completa de todos los parmetros disponibles, consulte la Ayuda de ADMT v3.1.
Parmetros Sintaxis de lnea de comandos
/IF:YES
Dentro de un mismo bosque <Dominio de destino> Ubicacin de la <Unidad organizativ a de destino> Gestin de conflictos
/TD:"dominio_destino"
TargetDomain="dominio_destino"
/ TO:"unidad_organizativa_destino
TargetOU="unidad_organizativa_destin
o"
"
(valor predeterminado)
/CO:IGNORE
ConflictOptions=IGNORE
3. Revise si hay errores en los resultados que se muestran en la pantalla. 4. Abra Usuarios y equipos de Active Directory y, a continuacin, localice la unidad organizativa del dominio de destino. Compruebe que los grupos locales de dominio existen en la unidad organizativa del dominio de destino. Utilice una secuencia de comandos que incorpora comandos y opciones de ADMT para migrar grupos locales de dominio. Puede usar la misma secuencia de comandos 292
que ha usado para migrar grupos universales. Para obtener ms informacin sobre la migracin de grupos universales, consulte Migrar grupos universales, anteriormente en esta gua.
293
Nota
294
Nota
295
Importante
Use el complemento Usuarios y equipos de Active Directory para comprobar que los grupos universales han migrado correctamente. Si ha cambiado manualmente los grupos locales de dominio en grupos universales, asegrese de que los vuelve a cambiar en grupos locales de dominio cuando todos los recursos hayan migrado.
296
297
Conversin de seguridad en los servidores miembro mediante la opcin de lnea de comandos de ADMT
Pgina del asistente Accin
Seleccin de equipo
Haga clic en Seleccionar equipos desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de cuentas de servicio, haga clic en Agregar para seleccionar las cuentas del dominio de origen que desea migrar, haga clic en Aceptar y, a continuacin, en Siguiente. - o bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Convertir objetos
Haga clic en Archivo y carpetas, Recursos compartidos, Impresoras, Derechos de usuario y Registro. Haga clic en Reemplazar.
1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el siguiente comando y, a continuacin, presione ENTRAR:
ADMT Security /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:" <dominio_origen>" /TD:" <dominio_destino>"
Donde <nombre_equipo1> y <nombre_equipo2> son los nombres de los equipos para los que desea convertir la seguridad. Como alternativa, puede incluir parmetros en un archivo de opciones que se especifica en la lnea de comandos, de la manera siguiente:
ADMT Security /N "<nombre_equipo1>" "<nombre_equipo2>" /O:" <archivo_opcin>.txt"
La siguiente tabla enumera los parmetros comunes que se utilizan para la conversin de seguridad en servidores miembro, junto con el parmetro de lnea de comandos y los equivalentes de archivo de opciones.
298
/SD:"dominio_origen"
SourceDomain="dominio_origen"
/TD:"dominio_destino"
TargetDomain="dominio_destino"
3. Revise si hay errores en los resultados que se muestran en la pantalla. Utilice la siguiente muestra para preparar una secuencia de comandos que incorpore los comandos de ADMT y las opciones para convertir la seguridad en servidores miembro. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" TranslatingSecurityOnMemberServersWithinForest" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
299
objMigration.TargetOu = "Equipos"
objSecurityTranslation.TranslationOption = admtTranslateReplace objSecurityTranslation.TranslateFilesAndFolders = True objSecurityTranslation.TranslateLocalGroups = True objSecurityTranslation.TranslatePrinters = True objSecurityTranslation.TranslateRegistry = True objSecurityTranslation.TranslateShares = True objSecurityTranslation.TranslateUserProfiles = False objSecurityTranslation.TranslateUserRights = True
identificador de seguridad (SID) para asociar las dos cuentas. El archivo de asignacin de SID es un archivo con formato de valores separados por comas (CSV) que enumera pares de cuentas, bien en formato de nombre de cuenta de Windows NT (dominio\nombre) o en formato SID. La cuenta de la izquierda es la cuenta de origen y la de la derecha la cuenta de destino. La conversin de seguridad de la Herramienta de migracin para Active Directory (ADMT) convierte la seguridad de la cuenta de origen a la de destino. Puede hacer referencia al archivo de asignacin SID en el Asistente para conversin de seguridad o desde la lnea de comandos. La opcin es /SMF de forma que toda la lnea de comandos es similar a la siguiente:
ADMT SECURITY /N "<nombre_equipo>" /SMF:"<ruta_acceso_archivo_asignacin_sid>"
de los servidores miembro. Finalmente, los miembros del equipo de implementacin dan de baja el dominio frica al final de la segunda semana quitando Active Directory o AD DS de los controladores de dominio en el dominio frica. A continuacin, migran los controladores de dominio al dominio Europa, Oriente Medio y frica como servidores miembro.
302
Nota
Para borrar configurar los controladores un controlador de de dominio dominio preferidos preferido de en un el dominio dominiode especificado origen destino
Al realizar una migracin dentro de un mismo bosque, el controlador de dominio que almacena la funcin de servidor principal de operaciones de identificador relativo (RID) (tambin concidas como operaciones de servidor principal nico flexible o FSMO) siempre se usa de forma predeterminada. Si selecciona un controlador de dominio distinto del servidor principal de RID como controlador de dominio preferido, ADMT anula su seleccin y siempre utiliza el servidor principal de RID. En un smbolo de sistema, escriba el siguiente comando y, a continuacin, presione ENTRAR:
admt config setdomaincontroller /Domain:<NombreDominio> /sdc:<ControladorDominioOrigen>
Valor
Descripcin
NombreDominio SourceDomainController
Especifica el nombre de un dominio de Active Directory. Especifica el nombre del equipo de un controlador de dominio del dominio de origen.
Valor
Descripcin
NombreDominio TargetDomainController
Especifica el nombre de un dominio de Active Directory. Especifica el nombre del equipo de un controlador de dominio del dominio de destino.
Tambin puede borrar el controlador de dominio preferido que ha configurado en el dominio de origen o destino. En un smbolo de sistema, escriba el siguiente comando y, a continuacin, presione ENTRAR:
admt config cleardomaincontrollers /Domain:<NombreDominio>
303
Para mostrar Cambio de nombre los controladores de objetos mediante de dominio un preferidos archivo de que inclusin ha configurado
Valor Descripcin
NombreDominio
Tambin puede mostrar los controladores de dominio preferidos que ha configurado en el dominio de origen o destino. En un smbolo de sistema, escriba el siguiente comando y, a continuacin, presione ENTRAR:
admt config getdomaincontrollers
Importante Nota
El encabezado de columna TargetUPN slo es relevante durante las migraciones de cuentas de usuario porque las cuentas de grupos y equipos no tienen UPN. A continuacin se incluyen ejemplos de archivos de inclusin vlidos en los que se usa la opcin de cambio de nombre: SourceName,TargetSam abc,def Esta entrada de archivo de inclusin cambia el nombre de cuenta de TargetSam para el usuario "abc" a "def.". TargetRDN y TargetUPN, que no se han especificado en el archivo de inclusin, no cambian como resultado de la migracin. SourceName,TargetRDN,TargetUPN abc,CN=def,def@contoso.com Esta entrada de archivo de inclusin cambia TargetRDN para el usuario abc a CN=def y TargetUPN a def@contoso.com. TargetSAM para el usuario abc no cambia como resultado de la migracin. Debe especificar CN= antes de usar un valor RND.
Nota
La pgina Opcin de seleccin de usuarios del Asistente para migracin de cuentas de usuario La pgina Opcin de seleccin de grupos del Asistente para migracin de cuentas de grupo Haga clic en Leer objetos de un archivo de inclusin. Cuando se muestre un mensaje, especifique la ubicacin del archivo de inclusin. En un smbolo de sistema, escriba el siguiente comando y, a continuacin, presione ENTRAR:
admt computer /sd:<DominioOrigen> /td:<DominioDestino> /F:<NombreArchivoInclusin>
Nota Para obtener la sintaxis de lnea de comandos apropiada para la migracin de usuarios y grupos, busque "admt user" y "admt group" en la Ayuda de ADMT versin 3.1 (v3.1). La siguiente informacin describe los campos de un archivo de inclusin y proporciona ejemplos de cada campo: Campo SourceName El campo SourceName especifica el nombre del objeto de origen. Puede especificar un nombre de cuenta o un nombre distintivo relativo. Si slo especifica nombres de origen, es opcional definir un encabezado en la primera lnea del archivo. Los siguientes ejemplos incluyen una lnea de encabezado que indica el campo SourceName y un nombre de objeto de origen que se especifica en varios formatos. La segunda lnea especifica un nombre de cuenta. La tercera lnea especifica un nombre de cuenta en formato de nombre de cuenta de Windows NT 4.0. La cuarta lnea especifica un nombre distintivo relativo. SourceName name domain\name CN=name Campo TargetName Puede utilizar el campo TargetName para especificar un nombre base que se utilice para generar un nombre distintivo relativo de destino, un nombre de cuenta del Administrador de cuentas de seguridad (SAM) y un nombre principal de usuario de destino (UPN). El campo TargetName no se puede combinar con otros campos de nombre de destino que se describirn a continuacin. El UPN de destino se genera slo para los objetos de usuario y slo se genera un prefijo de UPN. Se anexa un sufijo de UPN mediante un algoritmo que depende de si se define un sufijo de UPN para la unidad organizativa de destino o para el bosque de destino. Si el objeto es un equipo, el nombre de cuenta del SAM de destino incluye un sufijo "$".
306
Nota
Nota
Dada la entrada del siguiente ejemplo, el nombre distintivo relativo de destino, el nombre de cuenta del SAM de destino y el UPN de destino generado son "CN= newname", "newname" y "newname" respectivamente. SourceName,TargetName oldname, newname Campos TargetRDN, TargetSAM y TargetUPN Puede utilizar los campos TargetRDN, TargetSAM y TargetUPN para especificar nombres de destino diferentes para cada uno. Puede especificar una combinacin de estos campos en cualquier orden. TargetRDN especifica el nombre distintivo relativo de destino del objeto. TargetSAM especifica el nombre de cuenta del SAM de destino del objeto. Tenga en cuenta que en los equipos el nombre debe incluir un sufijo "$" para que sea un nombre de cuenta de SAM vlido para un equipo. TargetUPN especifica el nombre principal de usuario (UPN) de destino del objeto. Puede especificar slo el prefijo de UPN o un nombre completo de UPN ( prefix@suffix). Si el nombre que especifica contiene caracteres " "o ",", debe incluir el nombre entre comillas dobles ("). Adems, un carcter "," debe estar precedido de un carcter de espacio "\", de lo contrario se producir un error en la operacin y ADMT registrar un error de sintaxis no vlido en el archivo de registro. SourceName,TargetRDN oldname, CN=newname SourceName,TargetRDN,TargetSAM oldname, "CN=New RDN", newsamname SourceName,TargetRDN,TargetSAM,TargetUPN oldname, "CN=last, first", newsamname, newupnname SourceName,TargetSAM,TargetUPN,TargetRDN Utilice este formato cuando cambie el nombre de objetos de usuario, por ejemplo, para llevar a cabo la especificacin de un dominio de destino de un dominio diferente para el UPN de destino. Para obtener ms informacin, consulte Cambiar los nombres de objetos durante la migracin. oldname, newsamname, newupnname@targetdomain.com, "CN=New Name" Tambin puede cambiar el nombre de objetos durante la migracin mediante un archivo de inclusin. Para obtener ms informacin sobre cmo utilizar un archivo de inclusin, consulte Cambiar los nombres de objetos durante la migracin.
307
Puede usar archivos de opciones para especificar uno o ms parmetros para las tareas de migracin. Un archivo de opciones elimina la necesidad de proporcionar parmetros cada vez que ejecuta una tarea desde la lnea de comandos. Dispone de dos opciones para crear un archivo de opciones. Puede: Crear un nico archivo de opciones que contenga sectores para cada tipo de tarea de migracin. Crear archivos de opciones independientes con configuraciones exclusivas para cada tipo de tarea de migracin. La seccin de migracin del archivo de opcin especifica los parmetros que se aplican a todas las tareas. Las siguientes secciones especifican los parmetros concretos de cada tarea. Use el siguiente archivo de opciones como referencia para personalizar el archivo de opciones de su migracin. [Migracin] IntraForest=No SourceDomain=nombreDeDominioDeOrigen SourceOu=SourceOuPath TargetDomain=nombreDeDominioDeDestino TargetOu=TargetOuPath PasswordOption=Complex PasswordServer="" PasswordFile="" ConflictOptions=Ignore UserPropertiesToExclude="" InetOrgPersonPropertiesToExclude="" GroupPropertiesToExclude="" ComputerPropertiesToExclude="" [Usuario] DisableOption=EnableTarget SourceExpiration=None MigrateSIDs=Yes TranslateRoamingProfile=No UpdateUserRights=No MigrateGroups=No UpdatePreviouslyMigratedObjects=No FixGroupMembership=Yes MigrateServiceAccounts=No UpdateGroupRights=No [Grupo] 308
Nota MigrateSIDs=Yes UpdatePreviouslyMigratedObjects=No FixGroupMembership=Yes UpdateGroupRights=No MigrateMembers=No DisableOption=EnableTarget SourceExpiration=None TranslateRoamingProfile=No MigrateServiceAccounts=No [Seguridad] TranslationOption=Add TranslateFilesAndFolders=No TranslateLocalGroups=No TranslatePrinters=No TranslateRegistry=No TranslateShares=No TranslateUserProfiles=No TranslateUserRights=No SidMappingFile=SidMappingFile Se pueden incluir comentarios para las opciones agregando un punto y coma al comienzo de la lnea. Cuando no se especifica un parmetro, se usa el parmetro predeterminado.
Solucin de problemas relativos a la conversin de seguridad Solucin de problemas relativos a la migracin dentro de un mismo bosque Solucin de problemas relativos a los archivos de registro de ADMT Solucin de problemas relativos a la lnea de comandos de ADMT Solucin de problemas relativos a las operaciones de agentes
Nota Si observa este comportamiento con la versin completa de SQL Server, compruebe que la cuenta que instala ADMT tiene permisos para crear y conectarse a la base de datos en la instancia de SQL Server.
Al migrar un usuario desde un dominio a otro de Active Directory, el Asistente para migracin de cuentas de usuario crea un nuevo descriptor de seguridad en objetos de usuario migrados con opciones de configuracin del dominio de destino. La ficha Seguridad slo es visible si selecciona Ver\Caractersticas avanzadas. Este comportamiento se produce de forma predeterminada porque el dominio de destino, y no el de origen, dicta la configuracin de seguridad de la cuenta de usuario migrada. Se muestra un mensaje de error incorrecto durante la correccin de un grupo de usuarios si se elimina una cuenta Despus de una migracin, si se elimina una cuenta de usuario del dominio de destino y se migra un grupo que contena la cuenta de usuario en el dominio de origen (como miembro de otro grupo) entre los mismos dominios, ADMT registra el siguiente mensaje de error incorrecto: No se puede agregar <cuenta> a <grupo>, porque <cuenta> no ha migrado al dominio de destino. Si recibe este mensaje de error, vuelva a migrar la cuenta de usuario al dominio de destino. Se ha ignorado la exclusin de la propiedad useraccountcontrol La propiedad de usuario userAccountControl siempre se copia cuando migra desde dominios Windows NT 4.0. Incluso si elige excluir esta propiedad en la pgina del asistente Exclusin de propiedad de objetos, se ignora la exclusin y se migra la propiedad. Sin embargo, cuando migra desde dominios Active Directory, la exclusin de esta propiedad se cumple y no se copia durante la migracin de usuario. No ha funcionado la opcin Quitar los derechos de usuario existentes. Causa: no se puede realizar esta operacin si la plantilla Directiva de grupo asociada a un usuario cuyos derechos de usuario se estn quitando contiene el nombre cualificado del usuario que no es del dominio (por ejemplo, si contiene Usuario1 en lugar de DominioA\Usuario1). Solucin: corrija la entrada del nombre de usuario en la plantilla Directiva de grupo. Cuando intenta migrar usuarios con el historial SID, recibe el siguiente error: No se puede migrar usuarios. No se realiz la siguiente configuracin requerida para el historial SID. No se habilit la auditora en el dominio de destino. Error no especificado (0x80004005) Este error se puede deber a que algunas subcategoras de la directiva de auditora del servicio de directorio no estn habilitadas de forma predeterminada en Windows Server 2008 y Windows Server 2008 R2. Para migrar usuarios con su SID History deben estar habilitadas todas las subcategoras. Para obtener ms informacin acerca de cmo habilitarlas, consulte Configuracin de los dominios de origen y destino para la migracin del historial de SID.
312
En este tema se describen problemas conocidos relativos a la migracin de grupo con la Herramienta de migracin Active Directory. El grupo local contiene tanto la cuenta de origen como la cuenta de destino cuando se migra dicha cuenta despus de migrar el grupo local Cuando migra un miembro de un grupo local migrado previamente, la cuenta de origen de ese miembro no se quita al agregar el miembro de destino. Si se migra el miembro antes de migrar el grupo local, slo se agrega el miembro de la cuenta de destino. Este comportamiento se produce de forma predeterminada y slo se aplica a migraciones de un bosque a otro. La lista de miembros de grupo no se actualiza en un grupo que incluye un grupo migrado de otro dominio Si migra un grupo, todo grupo de otro dominio que incluya el grupo original como miembro seguir haciendo referencia al grupo del dominio de origen. Cuando realiza una migracin dentro del mismo bosque, los miembros de grupo mantienen el acceso a los recursos porque el historial de identificadores de seguridad (SID) se migra automticamente. Cuando realiza una migracin dentro del mismo bosque, la pertenencia a un grupo debe corregirse a menos que se migre el historial de SID. Utilizar el Asistente para migracin de grupos para migrar usuarios que pertenecen a grupos anidados Si se selecciona Migrar grupos de usuarios asociados, el Asistente para migracin de cuentas de usuario migra solamente los grupos de los que es miembro directo el usuario. No migra los grupos de los que es miembro el usuario mediante el anidamiento de grupos. Cuando se migran grupos mediante el Asistente para migracin de cuentas de grupo, si se ha seleccionado Copiar miembros de grupo, el asistente migra recursivamente todos los usuarios y grupos que son miembros de ese grupo, incluidos los grupos que lo son mediante el anidamiento de grupos. Si en el dominio de origen se ejecuta Windows 2000 o Windows Server 2003 con anidamiento de grupos, se recomienda migrar los objetos afectados mediante el Asistente para migracin de grupos, si desea conservar la pertenencia a grupos obtenida mediante dicho anidamiento.
Para agregar una excepcin del Firewall de Windows para la Administracin remota de servicios cualquier equipo remoto cuyo Administrador de control de servicios (SCM) se modifique mientras se migra una cuenta de servicios con el Asistente para migracin de cuentas de usuarios. Si la cuenta no tiene el derecho de cambiar el SCM, la cuenta de servicios seguir migrndose al dominio de destino, pero el servicio del equipo remoto no se actualizar para utilizar la cuenta del dominio de destino. Para actualizar el servicio en el equipo remoto, ejecute el Asistente para migracin de cuentas de servicios y seleccione la opcin No, usar la informacin recogida anteriormente en la pgina Actualizar informacin. Puesto que la falta de acceso del usuario no se indica siempre como un error en el Progreso de la migracin, se recomienda consultar el archivo de registro de la migracin para ver si hay errores tras la migracin de cuentas de servicios. Los servicios deben identificarse en todos los equipos antes de migrar cuentas de servicios Si se identifican servicios en servidores usando el Asistente para migracin de cuenta de servicios despus de que haya tenido lugar la migracin de usuario, la configuracin de estos servicios con la cuenta migrada y la contrasea dar lugar a error. Para configurar estos servicios, tiene que volver a ejecutar la migracin de usuarios. La migracin de cuentas de servicios en Windows Server 2008 y Windows Vista emplea ms tiempo del esperado Si est ejecutando una migracin de cuentas de servicios en un equipo que est ejecutando Windows Server 2008 o Windows Vista y est tardando mucho ms tiempo del esperado, puede aumentar el rendimiento habilitando una excepcin del Firewall de Windows para la Administracin remota de servicios en el equipo que se est usando. Para obtener ms informacin, consulte el procedimiento siguiente. 1. Abra el Panel de control (Vista clsica) y, a continuacin, abra el Firewall de Windows. 2. Haga clic en la ficha Excepciones. 3. Asegrese de que se ha seleccionado la casilla de verificacin Administracin remota de servicios. 4. Haga clic en Aceptar.
314
Seguridad
El descriptor de seguridad para la cuenta de servicio administrada '%1' permite que el equipo '%2' restablezca su contrasea y modifique su atributo userAccountControl. El descriptor de seguridad se ha restaurado
ADMT modifica con xito el descriptor de seguridad de una cuenta de servicio administrada. ADMT restaura con xito el descriptor de 315
Para revocar los cambios realizados en el descriptor de seguridad de una cuenta migrada de servicios administrada
Mensaje de registro El mensaje se registra cuando ...
para la cuenta de servicio administrada '%1'. No se puede modificar el descriptor de seguridad para la cuenta de servicio administrada '%1', hr=%2!lx!. La siguiente instalacin de esta cuenta de servicio administrada en el equipo '%3' generar un error. No se restaura el descriptor de seguridad para la cuenta de servicio administrada '%1', hr=%2! lx!.
seguridad de una cuenta de servicio administrada. ADMT no modifica el descriptor de seguridad de una cuenta de servicio administrada.
Complete el siguiente procedimiento para revocar manualmente los cambios realizados en el descriptor de seguridad. 1. Abra Usuarios y equipos de Active Directory. Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y, a continuacin, haga doble clic en Usuarios y equipos de Active Directory. 2. Haga clic en Ver y, a continuacin, haga clic en Caractersticas avanzadas. 3. Desplcese al contenedor donde esta la cuenta de servicio administrada, haga clic con el botn secundario en la cuenta y, a continuacin, haga clic en Propiedades. De forma predeterminada, las cuentas de servicio administradas se crean en el contenedor Cuentas de servicio administradas 4. Haga clic en la ficha Seguridad y, a continuacin, en la entrada de control de acceso al objeto de equipo. 5. Para Restablecer contrasea, desactive la casilla de verificacin Permitir. 6. Haga clic en Avanzadas. 7. Haga clic en la entrada de control de acceso al objeto de equipo, luego en Editar y, a continuacin, para Escribir userAccountCntrol desactive la casilla de verificacin Permitir. 8. Haga doble clic en Aceptar, luego en Aplicar y, a continuacin, de nuevo en Aceptar para cerrar el cuadro de dilogo Propiedades.
316
Nota
317
Para cambiar la pertenencia al a un dominio dominio de de unun equipo equipo que que ejecuta est ejecutando Windows Vista, Windows 7, 2000 Windows (para ADMT Server v3.1) 2008 oo Windows Windows Server Server 2003 2008 R2 ADMT no ha podido cambiar la afiliacin de dominio de un equipo concreto. Este error provoc la prdida de la afiliacin del equipo con todos los dominios. Causa: este error puede ser consecuencia de una configuracin incorrecta del entorno de migracin o del mal funcionamiento de los equipos, ya sean de origen o de destino. Solucin: agregue el equipo a un dominio y cree en l la cuenta de equipo siguiendo los pasos que se describen a continuacin: Para agregarse a un dominio, deber proporcionar credenciales de una cuenta que tenga permisos administrativos en el dominio al que desea agregar el equipo. Debe reiniciar el equipo para terminar de agregar el equipo al dominio. 1. Inicie la sesin en el equipo que usa una cuenta que tiene credenciales locales de administrador. 2. En el escritorio, haga clic con el botn secundario en Mi PC y, despus, haga clic en Propiedades. 3. En la ficha Nombre de equipo, haga clic en Cambiar. 4. En Cambios en el nombre de equipo, seleccione Dominio: y, a continuacin, escriba el nombre del dominio al que quiere agregar este equipo. Haga clic en Aceptar y, cuando se le pida que reinicie el equipo, haga clic de nuevo en Aceptar.
1. Inicie la sesin en el equipo que usa una cuenta que tiene credenciales locales de administrador. 2. Haga clic en Inicio, haga clic con el botn secundario en Equipo y, a continuacin, haga clic en Propiedades. 3. Haga clic en Cambiar configuracin. 4. En la ficha Nombre de equipo, haga clic en Cambiar. 5. En Cambios en el nombre de equipo, seleccione Dominio y, a continuacin, escriba el nombre del dominio al que desea agregar este equipo. Haga clic en Aceptar y, cuando se le pida que reinicie el equipo, haga clic de nuevo en Aceptar.
Para quitar habilitar el la indicador posibilidad El usuario de cambiar debela cambiar contrasea la contrasea de usuario Las contraseas migradas podran no cumplir la directiva de contraseas del dominio de destino. La migracin de contraseas en ADMT omite las comprobaciones de la directiva de contraseas. Si se establece una directiva de contraseas, no se puede implementar hasta que la contrasea se cambie. Por este motivo, ADMT siempre requiere que los usuarios migrados cambien sus contraseas la prxima vez que inicien sesin. Despus de una migracin entre distintos bosques, los usuarios no pueden iniciar sesin en su nuevo dominio. Causa: al realizar una migracin entre distintos bosques, ADMT siempre establece la opcin El usuario debe cambiar la contrasea para los usuarios migrados. Si la cuenta de usuario tiene activada la opcin El usuario no puede cambiar la contrasea, la cuenta de destino no podr iniciar sesin hasta que se cambie una o ambas opciones. Solucin: cambie las opciones siguiendo uno de los siguientes procedimientos: 1. En Usuarios y equipos de Active Directory, en el men Ver, haga clic en Caractersticas avanzadas. 2. Haga clic con el botn del mouse (ratn) secundario en el usuario y, a continuacin, haga clic en Propiedades. 3. En la ficha Seguridad, conceda el permiso de Cambiar contrasea a Todos y al usuario. En Usuarios y equipos de Active Directory, haga clic con el botn secundario en el usuario y, a continuacin, haga clic en Restablecer contrasea. Despus de una migracin dentro del mismo bosque, los usuarios no pueden iniciar sesin en su nuevo dominio. Causa: puede que las contraseas de cuentas de usuario que se utilizaban en el antiguo dominio infrinjan las restricciones de contrasea del nuevo dominio. En una migracin dentro del mismo bosque, las contraseas de cuentas de usuario del dominio de origen se migran al dominio de destino. Si las cuentas de usuario del dominio de origen tienen contraseas que infringen las restricciones de contrasea (como el nmero mnimo de caracteres, por ejemplo) del de destino, los usuarios migrados afectados no podrn iniciar sesin, a menos que la contrasea se haya configurado con un valor que se ajuste a las directivas de contrasea del dominio de destino. Si los usuarios intentan utilizar las contraseas incorrectas, sus nuevas cuentas de usuario se bloquearn. Si seleccion Deshabilitar cuentas de destino en el Asistente para migracin de cuentas de usuario, las nuevas cuentas de usuario se deshabilitarn. El resultado ser que los usuarios migrados quiz no puedan iniciar sesin hasta que sus cuentas se desbloqueen o se marquen como habilitadas.
319
Solucin: restablezca las contraseas de cuentas de usuario en un valor que se ajuste a la directiva de contrasea del nuevo dominio y habilite las cuentas de usuario si anteriormente haban sido deshabilitadas como resultado de continuos errores de contrasea. A los usuarios migrados les aparece un error indicando que su nombre o contrasea de usuario es incorrecto. Causa: los usuarios migrados no pueden iniciar sesin debido a la directiva de contrasea, aunque parezca que las directivas de contrasea estn deshabilitadas. Durante una migracin, algunos administradores pueden decidir deshabilitar las directivas de contrasea en el dominio de destino. Si intentan llevar esto a cabo desactivando la directiva de caracteres mnimos de la contrasea sin establecer la directiva de contrasea en cero, es posible que, al haber an una directiva de contrasea activa, los usuarios no puedan iniciar sesin. Solucin: establezca la directiva de caracteres mnimos de la contrasea en cero. Una vez que la directiva de longitud est establecida en cero, podr desactivarse la directiva de longitud mnima de la contrasea.
Nota Solucin: abra el archivo de registro de la migracin y busque la cuenta que migr con el historial de identificadores de seguridad (SID). Si se agreg el historial de SID a la cuenta, debera ver una entrada similar a la siguiente: 06.10.05 18:28:50-SID para nombreDeCuentaDeUsuario agregada al historial de SID de nombreDeCuentaDeUsuario Si aparece un mensaje de error, seguramente no habr configurado el entorno correctamente y deber consultar los temas de configuracin antes de volver a intentar la migracin. No funciona la migracin del historial de SID. Causa: para que se la migracin del historial de SID funcione, deben cumplirse una serie de condiciones. Solucin: Configure el entorno de migracin correctamente antes de ejecutar ADMT y revise los temas de configuracin antes de continuar con la migracin. Al migrar un principal de seguridad anteriormente migrado a un nuevo dominio, los tres dominios deben tener establecidos los criterios para migrar el historial de SID. Por ejemplo, supongamos que tenemos estos tres dominios: DominioA, DominioB y DominioC. El Usuario1 del DominioA (DominioA\Usuario1) se migra al DominioB como DominioB\Usuario1 y se convierte el historial de SID. El DominioB\Usuario1 tiene ahora el SID principal para el DominioB\Usuario1 y el valor del historial de SID para el DominioA\Usuario1. Si un administrador quiere migrar el DominioB\Usuario1 al DominioC\Usuario1 y preservar todos los SID del DominioB\Usuario1, deber establecerse la configuracin apropiada para posibilitar la migracin del DominioA al DominioC y del DominioB al DominioC. Si se ha dado de baja el DominioA o si no se puede establecer la configuracin apropiada entre el DominioA y el DominioC, ADMT migrar el SID para el DominioB\Usuario1 al DominioC\Usuario1 y registra el hecho de que no pudo migrar el SID del DominioA\Usuario1. Si no existe el DominioA, ADMT generar un mensaje de error en el registro, pero la migracin se habr realizado correctamente. Puede ignorar este mensaje de error. Despus de la migracin, las nuevas cuentas de usuario del dominio de destino no pueden obtener acceso a los recursos en los que tienen permisos las cuentas del dominio de origen. Causa: La configuracin necesaria para ejecutar ADMT no se ha establecido correctamente. La mayora de los problemas de migracin son ocasionados por un entorno de migracin mal configurado. Solucin: abra el archivo de registro de la migracin y busque la cuenta que migr con el historial de SID. Si se agreg el historial de SID a la cuenta, debera ver una entrada similar a la siguiente: 2005-10-06 18:28:50-SID para nombreDeCuentaDeUsuario agregada al historial de SID de nombreDeCuentaDeUsuario Si aparece un mensaje de error, seguramente no habr configurado el entorno correctamente y deber consultar los temas de configuracin antes de volver a intentar la migracin. 321
Me aparece el siguiente error: "La Papelera de reciclaje de C:\ est daada o no es vlida. Desea vaciar la Papelera de reciclaje de esta unidad?" Causa: Este comportamiento se produce de forma predeterminada. Por razones de seguridad, cada usuario que inicia sesin en un equipo de Windows 2000 o Windows Server 2003 tiene una Papelera de reciclaje especfica propia. La lista de control de acceso (ACL) slo puede contener un SID por usuario por cada instancia de Papelera de reciclaje. Cuando se migra el perfil de un usuario mediante la opcin Agregar, el SID del usuario del dominio de origen se agrega al historial de SID de la Papelera de reciclaje. Lo que se consigue con esto es colocar dos SID por usuario en la lista ACL de la Papelera de reciclaje. Este problema no se produce si migra los perfiles mediante la opcin Reemplazar. Solucin: en el mensaje de error, haga clic en S y la Papelera de reciclaje se vaciar sin problemas. Si hace clic en No, el error seguir apareciendo hasta que la Papelera de reciclaje se vace. Los usuarios de dominios que no son de confianza no pueden tener acceso a los recursos compartidos del sistema de archivos distribuido (DFS) en dominios de Active Directory. Causa: Este comportamiento se produce de forma predeterminada. Solucin: si planea utilizar recursos compartidos de DFS en el dominio, migre los equipos que pertenecen a usuarios que antes tienen acceso a los recursos compartidos de DFS, o migre los equipos y los usuarios en la misma sesin de migracin.
322
Importante
Importante
Se recomienda migrar usuarios y grupos slo de un dominio en modo nativo a otro dominio tambin en modo nativo. Los grupos globales se copian sin el atributo del historial de SID en las migraciones dentro del mismo bosque si no se migran con miembros del grupo y el dominio de origen est en modo mixto. Al migrar un grupo global en un dominio de modo mixto para realizar una migracin dentro del mismo bosque mediante el Asistente para migracin de cuentas de grupo, si no est seleccionada la opcin Copiar miembros de grupo, ese grupo global no se migrar, sino que se copiar sin el historial de SID en lugar de moverse. Esto ocurre por las reglas de pertenencia a grupos globales. Si ADMT mueve el grupo global en lugar de copiarlo, los miembros del grupo sern "hurfanos" con respecto al grupo y perdern todo acceso a recursos concedido mediante la pertenencia al grupo porque los grupos globales no pueden contener miembros de otros dominios. Al migrarse posteriormente los miembros de ese grupo, la pertenencia al grupo se restaura. Sin embargo, como el historial de SID no se migra con el grupo, deber ejecutar el Asistente para conversin de seguridad para actualizar las listas de control de acceso (ACL), al igual que en una migracin entre distintos bosques sin historial de SID. Se recomienda migrar usuarios y grupos slo de un dominio en modo nativo a otro dominio tambin en modo nativo. La tabla de objetos migrados no se sincroniza Si el administrador del dominio de destino elimina un grupo migrado tras la migracin, las entradas del grupo migrado no se quitan de la tabla de objetos migrados. Si se migra un grupo desde el dominio de origen con el mismo nombre que el del grupo eliminado en el dominio de destino, puede producirse un error. Este error slo se produce si los usuarios se migran con el grupo. El mensaje de error es el siguiente:
ERR2:7422 Error al mover objeto <objeto_RDN>, hr=80070057 El parmetro no es correcto.
323
todos los registros de ADMT en la base de datos mediante el comando admt task en una lnea de comandos. No puedo leer las entradas del registro de eventos para el agente ADMT. Causa: no est en un equipo que tenga instalado ADMT. Solucin: el agente puede escribir entradas de registro de eventos en el equipo en el que se ejecuta. Sin embargo, el software del agente se quita cuando la tarea del agente ha terminado. Puede ver las entradas del registro de eventos en el equipo al que se distribuy al agente ejecutando el Visor de sucesos desde el equipo en el que ADMT est instalado. Necesito ms informacin de los registros de ADMT. Causa: configuracin incorrecta del nivel de registro. De forma predeterminada, ADMT escribe la informacin de resumen en sus archivos de registro. Puede aumentar el nivel de detalle cambiando la entrada del registro que controla el nivel de registro. Solucin: En el equipo en el que ADMT est instalado, establezca en 7 el valor de la clave del registro HKEY_LOCAL_MACHINE\Software\Microsoft\ADMT\TranslationLogLevel . Puede utilizar el modo de registro detallado para el diagnstico y la solucin de problemas. El modo de registro detallado puede crear archivos de registro muy grandes, especialmente en los casos en los que el equipo de destino tiene muchos archivos u otros objetos cuyas listas de control de acceso (ACL) deban actualizarse. Dado que los registros del agente se escriben en la carpeta especificada por la variable de entorno %TEMP%, el volumen al que se dirige dicha variable de entorno debe contar con bastante espacio en disco. Cuando inicia sesin con el modo detallado, puede que tenga que cambiar el valor de la variable de entorno %TEMP% antes de distribuir a un agente. Los informes generados no aparecen en ADMT. Causa: cuando ADMT genera informes, no actualiza automticamente la consola. Solucin: Para ver los informes, cierre y vuelva a abrir ADMT. Ejecucin de varias instancias de ADMT en varios idiomas Cuando ejecuta varias instancias de ADMT en las que distintas instancias utilizan diferentes idiomas, los archivos de registro se generan en el idioma en el que se ejecuta la instancia. Esto no afecta a la funcionalidad de ADMT en modo alguno. Sin embargo, recomendamos que utilice un lenguaje unificado cuando ejecute varias instancias de ADMT.
Los parmetros duplicados de la lnea de comandos prevalecen sobre cualquier aparicin anterior Si se especifica varias veces un parmetro de la lnea de comandos, el ltimo valor prevalece sobre el valor anterior. Este comportamiento se produce de forma predeterminada. La interfaz de lnea de comandos no muestra caracteres extendidos La interfaz de lnea de comandos de ADMT no convierte caracteres Unicode. Por lo tanto, los caracteres extendidos como la diresis no se muestran correctamente. La opcin de habilitar la cuenta de origen no est deshabilitada en las migraciones dentro de un mismo bosque Cuando realiza migraciones dentro de un mismo bosque, las cuentas se mueven de un dominio a otro en lugar de copiarse. La cuenta de origen se quita durante el proceso. No obstante, la opcin de habilitar una cuenta de origen se encuentra disponible por medio de la interfaz de lnea de comandos de ADMT. Cuando use esta opcin, recibir la siguiente advertencia:
WRN1: 7362: <nombre_de_objeto>: no se pudo habilitar la cuenta de origen. El parmetro es incorrecto.
Las operaciones de distribucin del agente fallan por errores de conflicto de credenciales. Causa: tiene una conexin activa, como una unidad asignada o una impresora, en un equipo en el que se est instalando un agente. La operacin de distribucin falla porque las credenciales de la instalacin del agente entran en conflicto con el actual conjunto de credenciales. Solucin: quite todas las conexiones activas que haya entre el equipo que ejecuta ADMT y el equipo en el que se est distribuyendo el agente. Cuando intento ver los resultados de una operacin de agente remoto, aparece el siguiente error: "No se puede abrir el archivo \\NombreDelEquipo\(%SystemRoot%) $\temp\dctlog.txt." Causa: el recurso compartido administrativo predeterminado para el volumen de sistema del equipo en el que se distribuy el agente no est habilitado. Al no estar habilitado el recurso compartido predeterminado, ADMT no puede leer el archivo de registro. Solucin: vuelva a habilitar el recurso compartido predeterminado del volumen de sistema. Al generar informes, aparece el error 3107 IDispatch. Causa: este error puede surgir cuando se cierra el Agente de supervisin antes de que todos los agentes hayan terminado de escribir de nuevo sus resultados en la base de datos de informe de ADMT. Solucin: para evitar este problema, espere a que todos los agentes terminen sus tareas antes de cerrar el Agente de supervisin. Necesito saber qu protocolos y puertos utiliza ADMT para establecer la comunicacin de la consola con los controladores de dominio y los agentes de ADMT que se ejecutan en las estaciones de trabajo. Causa: cuando ejecuta ADMT en entornos con firewall, es posible que tenga que establecer excepciones de puertos de firewall para permitir el trfico relacionado con ADMT en su red. Solucin: la consola de ADMT utiliza el puerto de Protocolo ligero de acceso a directorios (LDAP) 389 para comunicarse con los controladores de dominio y Llamada a procedimiento remoto (RPC) para comunicarse con los agentes de ADMT. Para la comunicacin RPC, se puede utilizar cualquier puerto RPC disponible en el intervalo comprendido entre 1024 y 5000. Para obtener ms informacin, consulte el artculo 836429 de Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkId=122010). Por qu no se quitan los archivos que genera ADMT para la implementacin del agente despus de su uso? Los archivos generados en los equipos cliente donde se ejecut el servicio de agente de ADMT para la conversin de seguridad de grupos locales se colocan en %windir %\onepointdomainagent: Los archivos de esta ubicacin pueden conservarse despus de reiniciar debido a los siguientes motivos: Si el equipo an tiene instalada ADMT. Si tras quitar ADMT del equipo, no realiza una limpieza de registro para quitar cualquier entrada desde la ruta de acceso HKLM\Software\Microsoft\ADMT. 326
Si reinicia el equipo sin esperar a que los procesos del agente de ADMT se cierren o completen. Para comprobar que los procesos de ADMT se han cerrado, puede usar el Administrador de tareas para comprobar que ADMTAgnt.exe y DctAgentServices.exe no se muestran en la ficha Procesos. Si se muestra alguno de estos procesos, utilice el Administrador de tareas para finalizarlos antes de reiniciar.
Recursos adicionales
Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Estos recursos contienen ayudas para tareas, herramientas e informacin adicionales relacionadas con esta gua.
Informacin relacionada
Designing and Deploying Directory and Security Services (Diseo e implantacin de Directory y los servicios de seguridad) (http://go.microsoft.com/fwlink/?LinkId=76005)
Herramientas relacionadas
Artculo 295758 de Microsoft Knowledge Base (http://go.microsoft.com/fwlink/? LinkId=77553)
327