Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ADMTmigguide
ADMTmigguide
Resumen
En esta guía se explica cómo usar la Herramienta de migración para Active Directory® Migration
Tool versión 3.1 (ADMT v3.1) o ADMT v3.2 para migrar usuarios, grupos, cuentas de servicio
administradas y equipos entre dominios de Active Directory en bosques diferentes (migración
entre bosques) o entre dominios de Active Directory en el mismo bosque (migración interna del
bosque). También se muestra cómo usar ADMT para realizar la conversión de seguridad entre
distintos bosques de Active Directory.
La información contenida en este documento, incluidas las direcciones URL y las referencias a
otros sitios Web de Internet, está sujeta a cambios sin previo aviso. A menos que se indique lo
contrario, los nombres de las compañías, organizaciones, productos, nombre de dominio,
direcciones de correo electrónico, logotipos, personas, lugares y acontecimientos aquí
mencionados son ficticios y no representan de ningún modo a ninguna compañía, organización,
producto, nombre de dominio, dirección de correo electrónico, logotipo, persona, lugar o
acontecimiento real. Es responsabilidad del usuario el cumplimiento de todas las leyes de
derechos de autor aplicables. Sin limitación en los derechos de autor, ninguna parte de este
documento puede reproducirse o transmitirse de ninguna forma, ni por ningún medio, ya sea
electrónico, mecánico, fotocopiado, grabado o cualquier otro, con ningún propósito, sin la previa
autorización por escrito de Microsoft Corporation.
Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y
otros derechos de propiedad intelectual sobre el contenido de este documento. El suministro de
este documento no le otorga ninguna licencia sobre estas patentes, marcas, derechos de autor u
otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato por escrito
de licencia de Microsoft.
© 2010 Microsoft Corporation. Reservados todos los derechos.
Active Directory, Microsoft, Windows y Windows Server son marcas registradas o marcas
comerciales de Microsoft Corporation en EE.UU. y/o en otros países.
Los nombres de compañías reales y productos que se mencionan aquí pueden ser marcas
registradas de sus respectivos propietarios.
Contenido
Guía de ADMT: Migración y reestructuración de dominios de Active Directory.............................10
Reestructuración de dominios de Active Directory entre bosques.............................................11
Reestructuración de dominios de Active Directory dentro de un mismo bosque.......................11
Términos y definiciones............................................................................................................. 12
Herramienta de migración para Active Directory.......................................................................13
Uso de un archivo de inclusión..............................................................................................15
Campo SourceName.......................................................................................................... 16
Campo TargetName............................................................................................................ 16
Campos TargetRDN, TargetSAM y TargetUPN...................................................................17
Cambio de nombre de objetos............................................................................................17
Uso de un archivo de exclusión..........................................................................................18
Uso de secuencias de comandos..........................................................................................18
Configuración de los dominios de origen y destino para la migración del historial de SID...........59
Migración de cuentas.................................................................................................................... 81
Repetición de la migración de todos los grupos globales después de migrar todos los lotes.....125
Repetición de la migración de todos los grupos globales después de migrar todos los lotes.....165
Conversión de seguridad en modo Quitar..................................................................................169
10
Importante Importante
Reestructuración de dominios de Active Directory
entre bosques
Es posible que desee realizar una reestructuración entre distintos bosques por cambios
empresariales, como fusiones, adquisiciones o desinversiones, en los que las organizaciones
deben combinar o dividir recursos. Como parte del proceso de reestructuración, cuando migra
objetos entre bosques, tanto los entornos de dominio de origen como el de destino existen
simultáneamente. Esto hace posible que, si fuera necesario, se pueda revertir al entorno de
origen durante la migración.
No se admite la división o clonación de bosques, por ejemplo, para acomodar la desinversión de
una organización. Para obtener más información, consulte Limitaciones de la reestructuración
(http://go.microsoft.com/fwlink/?LinkId=121736).
Si utiliza ADMT v3.1, todos los dominios de destino deben estar al menos en el nivel
funcional nativo de Microsoft Windows® 2000. Si utiliza ADMT v3.2, todos los dominios
de origen y destino deben estar al menos en el nivel funcional de Windows
Server® 2003.
Preservación de Los objetos se clonan más que migran. El Los objetos de grupo y
objetos objeto original permanece en la ubicación de de usuario se migran y
origen para mantener el acceso a los recursos ya no existen en la
para los usuarios. ubicación de origen.
Los objetos de la
cuenta de servicio
administrada y del
11
Consideración de Restructuración entre distintos bosques Restructuración dentro
migración del mismo bosque
Migración de perfiles Debe usar herramientas como ADMT para Los perfiles locales se
locales migrar perfiles locales. migran
automáticamente dado
que se preserva el
identificador único
global (GUID) del
usuario.
Conjuntos cerrados No tiene que migrar cuentas en conjuntos Debe migrar las
cerrados. Para obtener más información, cuentas en conjuntos
consulte Información general para la cerrados.
reestructuración de dominios de Active
Directory dentro de un bosque
(http://go.microsoft.com/fwlink/?LinkId=122123).
Términos y definiciones
Los términos siguientes se aplican al proceso de reestructuración de dominios de Active
Directory.
Migración Proceso de mover o copiar un objeto de un dominio de origen a un dominio de
destino, a la vez que se mantienen o modifican las características del objeto para hacerlo
accesible en el nuevo dominio.
Reestructuración de dominios Proceso de migración que implica el cambio de la estructura
de dominios de un bosque. Una reestructuración de dominios puede implicar la consolidación o
adición de dominios, y puede producirse entre bosques o dentro de un bosque.
12
Objetos de migración Objetos del dominio que se mueven desde el dominio de origen al
dominio de destino durante el proceso de migración. Los objetos de migración pueden ser
cuentas de usuario, cuentas de servicio, grupos o equipos.
Dominio de origen El dominio desde el que se mueven los objetos durante una migración. Al
reestructurar dominios de Active Directory entre bosques, el dominio de origen es un dominio de
Active Directory en un bosque diferente del dominio de destino.
Dominio de destino El dominio al que se mueven los objetos durante una migración.
Cuentas integradas Grupos de seguridad predeterminados con conjuntos comunes de
derechos y permisos. Puede usar cuentas integradas para conceder permisos a cuentas o
grupos que designe como miembro de dichos grupos. Los SID de cuentas integradas son
idénticos en todos los dominios. Por lo tanto, las cuentas integradas no pueden ser objetos de
migración.
;IntraForest=No
;SourceDomain="nombre_dominio_origen"
;SourceOu="ruta_acceso_unidad_organizativa_origen"
;TargetDomain="nombre_dominio_destino"
;TargetOu="ruta_acceso_unidad_organizativa_destino"
;PasswordOption=Complex
;PasswordServer=""
;PasswordFile=""
13
;ConflictOptions=Ignore
;UserPropertiesToExclude=""
;InetOrgPersonPropertiesToExclude=""
;GroupPropertiesToExclude=""
;ComputerPropertiesToExclude=""
[Usuario]
;DisableOption=EnableTarget
;SourceExpiration=None
;MigrateSIDs=Yes
;TranslateRoamingProfile=No
;UpdateUserRights=No
;MigrateGroups=No
;UpdatePreviouslyMigratedObjects=No
;FixGroupMembership=Yes
;MigrateServiceAccounts=No
;UpdateGroupRights=No
[Grupo]
;MigrateSIDs=Yes
;UpdatePreviouslyMigratedObjects=No
;FixGroupMembership=Yes
;UpdateGroupRights=No
;MigrateMembers=No
;DisableOption=EnableTarget
;SourceExpiration=None
;TranslateRoamingProfile=No
;MigrateServiceAccounts=No
[Seguridad]
;TranslationOption=Add
;TranslateFilesAndFolders=No
;TranslateLocalGroups=No
;TranslatePrinters=No
14
;TranslateRegistry=No
;TranslateShares=No
;TranslateUserProfiles=No
;TranslateUserRights=No
;SidMappingFile="SidMappingFile.txt"
Cuando ejecuta ADMT en la línea de comandos, no tiene que incluir una opción en el comando si
desea aceptar el valor predeterminado. Sin embargo, en esta guía, se incluyen como referencia
las tablas que muestran los posibles parámetros y valores. En las tablas se enumera el
equivalente en línea de comandos de cada opción que se muestra en el procedimiento
correspondiente de la consola de ADMT, incluyendo esas opciones para las que acepta el valor
predeterminado.
Puede copiar la referencia del archivo de opciones en el Bloc de notas y guardarla con una
extensión de nombre de archivo .txt.
Como ejemplo, para migrar un número pequeño de equipos, debería escribir el nombre de cada
equipo en la línea de comandos, usando la opción /N y, a continuación, enumerar otras opciones
de migración dentro de un archivo de opciones de la forma siguiente:
ADMT COMPUTER /N "<nombre_equipo1>" "<nombre_equipo2>" /O:"<archivo_opción>.txt"
Para especificar los nombres de los usuarios, grupos o equipos, use una de las siguientes
convenciones:
El nombre de cuenta del Administrador de cuentas de seguridad (SAM). Para especificar un
nombre de equipo en este formato, debe agregar un signo de dólar ($) al nombre del equipo.
Por ejemplo, para especificar un equipo con el nombre Workstation01, use Workstation01$.
El nombre distintivo relativo (también conocido como RDN), por ejemplo, cn= Workstation01.
Si especifica la cuenta como un nombre distintivo relativo, debe especificar la unidad
organizativa de origen.
15
Nota
Campo SourceName
El campo SourceName especifica el nombre del objeto de origen. Puede especificar un nombre
de cuenta o un nombre distintitvo relativo. Si sólo especifica nombres de origen, es opcional
definir un encabezado en la primera línea del archivo.
En el ejemplo siguiente se muestra una línea de encabezado que especifica el campo
SourceName. En el ejemplo también se muestra un nombre de objeto de origen que se
especifica en varios formatos. La segunda línea especifica un nombre de cuenta. La tercera línea
especifica un nombre distintivo relativo.
SourceName
name
CN=name
Campo TargetName
Puede utilizar el campo TargetName para especificar un nombre base que se utilice para generar
un nombre distintivo relativo de destino, un nombre de cuenta del Administrador de cuentas de
seguridad (SAM) y un nombre principal de usuario de destino (UPN). El campo TargetName no
se puede combinar con otros campos de nombre de destino que se describen más adelante en
esta sección.
El UPN de destino se genera sólo para los objetos de usuario y sólo se genera un prefijo
de UPN. Se anexa un sufijo de UPN mediante un algoritmo que depende de si se define
un sufijo UPN para el OU de destino o para el bosque de destino. Si el objeto es un
equipo, el nombre de cuenta del SAM de destino incluye un sufijo "$".
En el ejemplo siguiente de entrada se genera un nombre distintivo relativo de destino, un nombre
de cuenta del SAM de destino y un UPN de destino como "CN=newname", "newname" y
"newname" respectivamente.
SourceName,TargetName
oldname, newname
16
Nota
TargetSAM especifica el nombre de cuenta del SAM de destino del objeto. En los equipos, el
nombre debe incluir un sufijo "$" para que sea un nombre de cuenta de SAM válido.
TargetUPN especifica el UPN de destino del objeto. Puede especificar sólo el prefijo de UPN o
un nombre completo de UPN (prefix@suffix). Si el nombre especificado contiene un espacio o
una coma, debe incluir el nombre entre comillas dobles (" ").
SourceName,TargetRDN
oldname, CN=newname
SourceName,TargetRDN,TargetSAM
oldname, "CN=New RDN", newsamname
SourceName,TargetRDN,TargetSAM,TargetUPN
oldname, "CN=last\, first", newsamname, newupnname
Una coma dentro del valor CN debe ir precedida de un carácter de escape ("\") o la
operación producirá un error y ADMT registrará un error de sintaxis no válida en el
archivo de registro.
SourceName,TargetSAM,TargetUPN,TargetRDN
oldname, newsamname, newupnname@targetdomain, "CN=New Name"
SourceName,TargetRDN,TargetUPN
abc,CN=def,def@contoso.com
17
Importante
Esta entrada del archivo de inclusión cambia el TargetRDN para el usuario abc a CN=def y
TargetUPNo a def@contoso.com. TargetSAM para el usuario abc no cambia como resultado de
la migración.
Debe especificar CN= antes usando un valor RDN.
MSA_USER6$
A continuación, especifique el nombre del archivo de exclusión cuando ejecute el comando admt.
Por ejemplo:
admt managedserviceaccount /ef:”nombre de archivo de exclusión”
'----------------------------------------------------------------------------
'----------------------------------------------------------------------------
18
Const admtComplexPassword = &H0001
Const admtNoExpiration = -1
Const admtTranslateReplace = 0
Const admtTranslateAdd = 1
Const admtTranslateRemove = 2
19
Const admtReportMigratedAccounts = 0
Const admtReportMigratedComputers = 1
Const admtReportExpiredComputers = 2
Const admtReportAccountReferences = 3
Const admtReportNameConflicts = 4
Const admtNone = 0
Const admtData = 1
Const admtFile = 2
Const admtDomain = 3
ADMT v3.0 Window Los El nivel funcional mínimo del Migra los
(http://go.microsoft.com/fw s Server dominios dominio de destino es equipos que
link/?LinkID=68791) 2003 de Windows 2000 nativo. ejecutan
origen Windows
pueden 2000 Profes
contener sional,
controlad Windows XP,
20
Versión de ADMT Platafor Requisito Requisitos del dominio de Objetos de
ma de s del destino migración de
instalaci dominio equipo
ón de origen admitidos
ores de Windows NT
dominio 4,
que Windows 20
ejecuten 00 Server y
Windows Windows
NT, Server 2003.
Windows
2000
Server o
Windows
Server
2003, no
requiere
n un
nivel
funcional
mínimo
de
dominio.
ADMT v3.1 Window Los El nivel funcional mínimo del Migra los
(http://go.microsoft.com/fw s dominios dominio de destino es equipos que
link/?LinkId=121732) Server 2 de Windows 2000 nativo. ejecutan
008 origen Si el dominio de destino tiene Windows
pueden controladores de dominio que 2000 Profes
contener ejecutan Windows sional,
controlad Server 2008 R2, utilice Windows XP,
ores que ADMT v3.2. Windows
ejecuten Vista,
Windows Nota Windows 20
2000 Existen problemas 00 Server,
Server, conocidos cuando se Windows
Windows utiliza ADMT v3.1 para Server 2003
Server migrar objetos a un yWindows
2003 o dominio que tiene Server 2008.
Windows controladores de
Server 2 dominio de Windows
008. Server 2008 R2. Para
Aunque obtener más
un información, consulte
21
Versión de ADMT Platafor Requisito Requisitos del dominio de Objetos de
ma de s del destino migración de
instalaci dominio equipo
ón de origen admitidos
ADMT v3.2 Window El nivel El nivel funcional mínimo del Migra los
(http://go.microsoft.com/fw s funcional dominio de destino es equipos que
link/?LinkId=186197) Server 2 mínimo Windows Server 2003 nativo. ejecutan
008 R2 del Windows XP,
dominio Windows Vis
de ta,
origen es Windows 7,
Windows Windows
Server Server 2003,
2003 nati Windows
vo. Server 2008
y Windows
Server 2008
R2.
22
Compatibilidad con características de Windows
Server
No se puede instalar ninguna versión de ADMT en un controlador de dominio de sólo lectura
(RODC) o en una instalación de Server Core. Un RODC no se puede utilizar como controlador
de dominio de origen o de destino para la migración.
Además, ADMT v3.2 proporciona la siguiente compatibilidad con las nuevas características de
Active Directory en Windows Server 2008 R2.
Seguridad del mecanismo de autenticación Las cuentas de usuario que están habilitadas
para la seguridad del mecanismo de
autenticación, se deben migrar mediante un
archivo de inclusión
Importante
El Nombre principal del usuario (UPN)
cambia cuando se migra un usuario, lo
que impide que funcione la seguridad
del mecanismo de autenticación. Para
solucionar este problema, debe
mantener un registro de los UPN de las
cuentas de usuario que están
habilitadas para la seguridad del
mecanismo de autenticación y
migrarlas mediante un archivo de
inclusión. En un archivo de inclusión,
puede especificar los UPN de destino
de estos usuarios que se van a migrar.
De esta manera, puede reemplazar los
nombres UPN de ese dominio de
destino con los UPN originales del
dominio de origen. Para obtener más
información acerca del uso de un
archivo de inclusión, consulte Uso de
un archivo de inclusión.
23
Característica Efecto de uso de ADMT v3.2
24
migración. Asegúrese de comunicar a los usuarios finales que deben descifrar cualquier
archivo cifrado o perderán el acceso a esos archivos.
Asegúrese de que la hora del sistema está sincronizada en cada dominio del que se van a
migrar objetos. La autenticación Kerberos fallará si la hora no coincide.
25
Importante
Tipo de perfil Reglas de conversión
26
Nota Nota
para Active Directory (ADMT) automatiza el reinicio de las estaciones de trabajo y los
servidores miembro, pero utilice la opción Minutos que habrán de transcurrir para que se
reinicien los equipos tras la finalización del asistente en el Asistente para migración de
equipos para seleccionar la cantidad de tiempo que transcurre antes de que se reinicie el
equipo. Los equipos que no reinician después de la migración están en un estado
indeterminado.
Comunique a los usuarios finales que sus equipos deben conectarse a la red cuando su
equipo esté programado para la migración.
27
Reestructuración de dominios de Active
Directory entre distintos bosques
Afecta a: Herramienta de migración Active Directory 3.1 (ADMT 3.1) y ADMT 3.2
La reestructuración de dominios de Active Directory entre bosques implica la reubicación de
objetos desde dominios de origen en un bosque a dominios de destino en otro bosque. Puede
que tenga que reestructurar los dominios de Active Directory entre bosques para:
Migrar un dominio piloto al entorno de producción.
Combinar usuarios y recursos con otra organización debido a una fusión corporativa y a la
necesidad de consolidar las dos infraestructuras de tecnología de la información (TI).
Reubicar usuarios y recursos de forma regular debido a una implantación en varios bosques
planificada.
Quitar objetos de su bosque debido a una desinversión a otra organización o para
combinarlos más adelante en un bosque nuevo o existente para esa organización.
En esta sección
Lista de comprobación: Realización de una migración entre bosques
Introducción a la reestructuración de dominios de Active Directory entre bosques
Limitaciones de la reestructuración
Planeamiento para la reestructuración de dominios de Active Directory entre bosques
Preparación de los dominios de origen y destino
Migración de cuentas
Migración de recursos
Finalización de la migración
28
Tarea Referencia
Para migrar equipos que ejecuten Windows Para obtener más información acerca
Server 2008, Windows Server 2003, Windows Vista (sin de cómo realizar cambios mediante la
Service Pack 1), Windows XP y Microsoft directiva de grupo, consulte Problemas
Windows 2000 (utilizando ADMT 3.1) a un dominio de conocidos de instalación y eliminación
destino con controladores de dominio que ejecuten de AD DS
Windows Server 2008 R2 o Windows Server 2008, (http://go.microsoft.com/fwlink/?
debe configurar primero la siguiente clave del Registro LinkId=119321) (en inglés).
en los controladores de dominio de destino:
Nota
No es necesario configurar esta clave para
migrar los equipos que ejecuten Windows
Server 2008 R2, Windows 7 o
Windows Vista SP1.
Ruta de Registro:
HKLM\System\CurrentControlSet\Services\Netlogon
\Parameters
Valor del Registro: AllowNT4Crypto
Tipo: REG_DWORD
Datos: 1
Nota
Esta configuración de registro corresponde a la
configuración Permitir algoritmos de cifrado
con Windows NT 4.0 en la directiva de grupo.
Para cualquier tarea de migración que use la Para obtener más información acerca
implementación de agente y el Firewall de Windows, de cómo realizar cambios en el
habilite la excepción Compartir impresoras y archivos. Firewall de Windows, consulte Habilitar
Esto puede incluir la migración en las siguientes o deshabilitar la regla de excepción de
situaciones: uso compartido de archivos e
Migración de equipos de estación de trabajo y impresoras
servidores miembro que ejecuten Windows (http://go.microsoft.com/fwlink/?
Server 2008 R2, Windows Server 2008, Windows LinkID=119315) (en inglés).
Server 2003, Windows 7, Windows Vista o
Windows XP.
Migración de configuración de seguridad o
conversión de seguridad
29
Tarea Referencia
Prepare los dominios de origen y destino. Esta tarea Instalación de ADMT en el dominio de
contiene las siguientes subtareas: destino
Instale software de cifrado de 128 bits. Planeamiento para la reestructuración
Establezca las confianzas necesarias para la de dominios de Active Directory entre
migración. bosques
Migre los grupos globales usando el Asistente para Migración de grupos globales
migración de cuentas de servicios o la herramienta de
línea de comandos admt group.
Migre las cuentas de servicio administradas, las Migración de cuentas mientras utiliza el
cuentas de usuario y las cuentas de estación de trabajo historial de SID
con sus historiales de SID en lotes. Puede usar el Migración de cuentas de servicio
Asistente para migración de cuentas de grupo o la administradas
herramienta de línea de comandos admt user para
30
Tarea Referencia
migrar cuentas de usuario. Puede usar el Asistente para Migración de todas las cuentas de
migración de cuentas de servicio administradas o la usuario
herramienta de línea de comandos admt
managedserviceaccount para migrar cuentas de
servicio administradas.
Migre los recursos, como servidores miembro y grupos Repetición de la migración de las
locales de dominios. Puede usar el Asistente para cuentas de usuario y migración de las
migración de cuentas de equipo o la herramienta de estaciones de trabajo en lotes
línea de comandos admt computer para migrar
cuentas de equipo. Puede usar el Asistente para
migración de cuentas de grupo o la herramienta de
línea de comandos admt group para migrar grupos.
Migre los grupos locales de dominios usando el Migrar grupos locales compartidos y de
Asistente para migración de cuentas de grupo o la dominios
herramienta de línea de comandos admt group.
Introducción a la reestructuración de
dominios de Active Directory entre
bosques
Afecta a: Herramienta de migración Active Directory 3.1 (ADMT 3.1) y ADMT 3.2
31
Cuando reestructura dominios entre bosques, puede reducir el número de dominios en la
organización, lo que ayudará a reducir la complejidad administrativa y los costos de sobrecarga
asociados de su entorno de Active Directory. La reestructuración de los dominios supone copiar
las cuentas y los recursos de un dominio de origen a un dominio de destino en un bosque
diferente de Active Directory. Si utiliza la versión 3.1 de la Herramienta de migración
Active Directory (ADMT), el dominio de destino debe estar al menos en el nivel funcional nativo
de Windows 2000. Si utiliza la versión 3.2 de ADMT, los dominios de origen y de destino deben
estar al menos en el nivel funcional de Windows Server 2003.
Si su organización se ha fusionado recientemente con otra organización o infraestructura de
tecnología de la información (TI), puede reestructurar dominios o consolidar cuentas y recursos
entre dos infraestructuras.
En esta sección
Proceso para la reestructuración de Active Directory entre bosques
Información general básica para la reestructuración de dominios de Active Directory entre
bosques
32
Información general básica para la
reestructuración de dominios de Active
Directory entre bosques
Afecta a: Herramienta de migración Active Directory 3.1 (ADMT 3.1) y ADMT 3.2
El proceso de migración entre bosques no se considera destructivo, ya que los objetos de
migración continúan existiendo en el dominio de origen hasta que el dominio de origen se dé de
baja. Dado que los entornos de dominio de origen y destino existen simultáneamente durante la
migración, tiene la opción de retroceder al entorno de origen si se produce un error en la
migración por cualquier motivo, por ejemplo, si un objeto particular no migra o el acceso no se
mantiene o conserva en el dominio de destino una vez realizada la migración. Puede utilizar la
Herramienta de migración para Active Directory (ADMT) para migrar cuentas y recursos entre
dominios al mismo tiempo que conserva los permisos de objeto y usuario. Durante el proceso de
reestructuración entre distintos bosques, los usuarios tienen acceso continuo a los recursos
necesarios. Además, puede mover usuarios, grupos y recursos de forma independiente unos de
otros.
En el resto de secciones de este tema se explica el proceso de migración de las cuentas y los
recursos.
33
Proceso de migración de cuenta
La reestructuración de cuentas entre los bosques de Active Directory implica la copia de
usuarios, grupos y perfiles locales desde el dominio de origen al dominio de destino, al mismo
tiempo que conserva los derechos de acceso y atributos de dichos objetos.
Cuando las cuentas de usuarios migran entre dominios de Active Directory de diferentes
bosques, la cuenta original permanece en el lugar del dominio de origen y se crea una nueva
cuenta en el dominio de destino. Dado que el identificador de seguridad (SID) de un principal de
seguridad (usuario o grupo) siempre contiene un identificador para el dominio en el que se sitúa
el principal de seguridad, se crea un nuevo SID para el usuario en el dominio de destino. Ya que
la ADMT puede migrar la SID del principal de seguridad inicial al principal de seguridad del
dominio de destino, no tiene que realizar tareas adicionales para garantizar el acceso a los
recursos, a menos que utilice el filtrado de la SID entre los bosques.
Si utiliza ADMT v3.1 y Microsoft Exchange Server versión 5.5, use el Asistente para migración de
Exchange Server de ADMT para convertir la seguridad de los buzones de correo de los usuarios
migrados. Si utiliza los servidores Exchange 2000, la ADMT no proporciona herramientas de
migración de buzones de correo. En este caso, piense en migrar primero los buzones de correo
utilizando la herramienta de migración de buzones de correo de Exchange 2000 y, a
continuación, migrar las cuentas de usuarios.
Si utiliza la directiva de grupo para administrar la redirección de la carpeta o la distribución de
software, asegúrese de que estas directivas continuarán aplicándose cuando migre cuentas de
usuarios a un nuevo bosque. Asimismo, si utiliza un objeto de directiva de grupo para conceder o
denegar acceso remoto al dominio de origen y no al dominio de destino, la ADMT no puede
determinar qué acceso remoto desea asignar al usuario.
Si utiliza directivas de grupo para administrar la redirección de carpetas, los archivos sin
conexión no funcionarán después de que la cuenta del usuario se migre a un nuevo bosque. Los
archivos sin conexión almacenan el SID del usuario como propietario; el SID cambia cuando la
cuenta de usuario se migra. Para restaurar la propiedad de los archivos sin conexión, utilice el
Asistente de conversión de seguridad de la ADMT para reemplazar los permisos de los archivos
y carpetas del equipo cliente que contiene la caché de los archivos sin conexión.
Para asegurarse de que los usuarios continúan teniendo acceso a los archivos sin conexión
después de haber migrado las cuentas de usuarios al dominio de destino, puede realizar las
siguientes acciones:
1. Convertir la seguridad de los equipos cliente para actualizar los archivos sin conexión.
2. Si el historial de SID de la cuenta de usuario no se ha migrado al dominio de destino,
convierta la seguridad del servidor que alberga carpetas redirigidas.
Si utiliza la redirección de carpetas, se dará una de las siguientes situaciones:
Si la ruta de redirección de carpetas es diferente en el nuevo entorno, los usuarios pueden
tener acceso a la carpeta si el historial de SID de la cuenta del usuario se migró al dominio
de destino. La extensión de redirección de carpetas copia los archivos de la ubicación
original del dominio de origen en la nueva ubicación del dominio de destino. El historial de
SID permite a la cuenta de usuario tener acceso a las carpetas de origen.
34
Si la ruta de redirección de carpetas es la misma en el nuevo entorno, los usuarios no
pueden tener acceso a la carpeta redireccionada dado que la redirección de carpetas
comprobará la propiedad de la carpeta redireccionada y se produce un error. A continuación,
debe convertir la seguridad en la carpeta redirigida en el servidor.
Si utiliza la directiva de grupo para administrar la instalación de software y el paquete de
Windows Installer requiere el acceso al origen inicial de las operaciones como reparar y quitar,
debe convertir la seguridad en el punto de distribución de software después de migrar usuarios
para garantizar que la instalación de software continúa funcionando correctamente en el dominio
de destino.
35
Para preparar el proceso de reestructuración, el equipo de implementación de Active Directory
debe obtener la información de diseño necesaria del equipo de diseño de Active Directory.
En la ilustración siguiente se muestran los pasos implicados en la planeación de la
reestructuración de dominios de Active Directory entre bosques.
36
Migre las cuentas de usuario mientras utiliza el historial de SID para el acceso a los recursos.
Con este método, quita el filtrado de SID en las confianzas entre los dominios para permitir a
los usuarios tener acceso a los recursos del dominio de origen por medio de sus
credenciales del historial de SID.
Si ha establecido una confianza de bosque, quite el filtrado de SID en la confianza de
bosque. (También puede invalidar la confianza del bosque creando una confianza
externa de manera que el dominio que guarda los recursos confíe en el dominio de
destino y, a continuación, quitar el filtrado de SID de la confianza externa).
Si no ha establecido una confianza de bosque, establezca confianzas externas entre los
dominios de origen y de destino. A continuación, debe eliminar el filtrado por SID de las
confianzas externas si en el controlador de dominio que se utiliza para crear la confianza
se ejecuta Windows Server 2008 R2, Windows Server 2008 o Windows Server 2003. Si
va a utilizar ADMT v3.1, en el controlador de dominio que se use para crear la confianza
se puede estar ejecutando Windows 2000 Service Pack 4 (SP4) o posterior.
Para obtener más información sobre este proceso, consulte Migración de cuentas mientras
utiliza el historial de SID, más adelante en esta guía.
Migre todos los usuarios, grupos y recursos al dominio de destino en un paso. Para obtener
más información sobre este proceso, consulte Migración de cuentas mientras utiliza el
historial de SID, más adelante en esta guía.
Migre cuentas de usuario sin utilizar el historial de SID para obtener acceso a los recursos,
pero convierta la seguridad de todos los recursos antes del proceso de migración para
garantizar el acceso a los recursos. Para obtener más información sobre la migración de
cuentas sin utilizar el historial de SID, consulte Migración de cuentas sin utilizar el historial de
SID, más adelante en esta guía.
Para determinar qué proceso de migración de cuentas es mejor para su organización, primero
debe determinar si puede deshabilitar el filtrado de SID y migrar cuentas mientras utiliza el
historial de SID para tener acceso a los recursos. Puede realizarlo de forma segura si los
administradores del dominio de origen confían plenamente en los administradores del dominio de
destino. Es posible que deshabilite el filtrado de SID si se aplica una de las siguientes
condiciones:
Los administradores del dominio que confía son administradores del dominio de confianza.
Los administradores del dominio que confía confían en los administradores del dominio de
confianza y están seguros de que han asegurado el dominio correctamente.
Si deshabilita el filtrado de SID, quita el límite de seguridad entre los bosques, que de lo contrario
proporcionaría aislamiento de servicios y datos entre los bosques. Por ejemplo, un administrador
del dominio de destino que tenga derechos de administrador de servicios o un individuo que
tenga acceso físico a un controlador de dominio puede modificar el historial de SID de una
cuenta para incluir el SID de un administrador de dominio en el dominio de origen. Cuando la
cuenta de usuario para la que se ha modificado el historial de SID inicia sesión en el dominio de
destino, se presentan credenciales de administrador de dominio válidos para los recursos del
dominio de origen, a los que puede obtener acceso.
37
Por este motivo, si no confía en los administradores del dominio de destino o no cree que los
controladores de dominio del dominio de destino sean físicamente seguros, habilite el filtrado de
SID entre sus dominios de origen y de destino y migre cuentas de usuario sin utilizar el filtrado de
SID para tener acceso a los recursos.
La siguiente ilustración muestra el proceso de decisión implicado en la determinación del
proceso de migración adecuado para su organización.
38
entre dominios, cualquier grupo global al que pertenezca el usuario también se debe migrar. Así
se garantiza que los usuarios puedan continuar teniendo acceso a los recursos protegidos por
las listas de control de acceso discrecional (DACL) en relación a los grupos globales. Tras la
migración de una cuenta y el mantenimiento del historial de identificadores de seguridad (SID) de
la cuenta del dominio de origen, cuando un usuario inicia sesión en el dominio de destino, tanto
el SID nuevo como el SID original del atributo del historial de SID se agregan al token de acceso
del usuario. Estos SID determinan la pertenencia del usuario al grupo local. Los SID de los
grupos a los que pertenece el usuario se agregan a continuación para el token de acceso, junto
con el historial de SID de dichos grupos.
Los recursos dentro de los dominios de origen y de destino resuelven sus listas de control de
acceso (ACL) a los SID y, a continuación, comprueban las coincidencias entre las listas ACL y el
token de acceso cuando otorga o deniega acceso. Si el SID o el historial de SID coincide, el
acceso al recurso se otorga o deniega, según el acceso especificado en la lista ACL. Si el
recurso está en el dominio de origen y no ha ejecutado una conversión de seguridad, utiliza el
historial de SID de la cuenta de usuario para otorgar acceso.
También puede conservar el SID original para los grupos globales y los grupos universales en el
historial de SID del grupo global o el grupo universal en el dominio de destino. Dado que la
pertenencia al grupo local se basa en los SID, cuando migra el SID al historial de SID del grupo
global o grupo universal del dominio de destino, la pertenencia al grupo local del grupo global o
grupo universal se conservan automáticamente.
El historial de SID se utiliza para las siguientes tareas:
Acceso al perfil de usuario móvil
Acceso de autoridad de certificación
Acceso de instalación de software
Acceso a recursos
Si no utiliza el historial de SID para el acceso a los recursos, tendrá que migrar el historial de SID
para facilitar el acceso a dichos elementos.
39
Puede habilitar el SID de un usuario en un bosque diferente para tener acceso a un recurso
dentro de un bosque que tiene el filtrado de SID habilitado por la conversión de seguridad en el
recurso para incluir el SID del usuario en la lista de permisos.
El filtrado de SID se aplica de forma predeterminada cuando se establece una confianza de
bosque entre dos dominios raíz de bosque. Además, el filtrado por SID se habilita de forma
predeterminada cuando se establecen confianzas externas entre controladores de dominio que
ejecutan Windows 2000 Service Pack 4 (SP4) o posterior. De este modo, se evitan los posibles
ataques a la seguridad por parte de un administrador de un bosque diferente.
Puesto que el filtrado de SID no se aplica a la autenticación dentro de un dominio, también es
posible permitir el acceso a recursos mediante el historial de SID, si el recurso y la cuenta están
en el mismo dominio. Para permitir que los usuarios o grupos accedan a un recurso mediante el
historial de SID, el bosque en el que el recurso está ubicado debe confiar en el bosque en el se
encuentra la cuenta.
Para obtener más información acerca de los ataques basados en el historial de SID y el filtrado
de SID, consulte "Configuring SID Filtering Settings" (Configuración de los valores del filtrado de
SID) (http://go.microsoft.com/fwlink/?LinkId=73446).
40
Para crear una tabla de asignación de objetos de recursos, identifique las unidades organizativas
de origen y destino para cada objeto y observe la ubicación física y la función en el dominio de
destino. Para obtener una hoja de cálculo para ayudarle a crear una tabla de asignación de
objetos de recursos, consulte "Resource Object Assignment Table" (Tabla de asignación de
objetos de recursos) (DSSREER_2.doc) en la descarga
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services de Job Aids for
Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink?LinkId=14384).
La siguiente ilustración muestra un ejemplo de una tabla de asignación de objetos de recursos.
41
Desarrollo de un plan de prueba para la
migración
Afecta a: Herramienta de migración Active Directory 3.1 (ADMT 3.1) y ADMT 3.2
La Herramienta de migración Active Directory no incluye una opción de migración de prueba. Sin
embargo, puede desarrollar un plan de prueba para probar sistemáticamente cada objeto
después de que haya migrado al nuevo entorno y para identificar y solucionar cualquier problema
que pueda ocurrir. La comprobación de que la migración se ha realizado correctamente le ayuda
a asegurar que los usuarios que se migran del dominio de origen al de destino puedan iniciar
sesión, tener acceso a los recursos en base a la pertenencia a un grupo y tener acceso a los
recursos en base a sus credenciales de usuario. La comprobación también le ayuda a asegurar
que los usuarios puedan obtener acceso a los recursos que migre.
Una vez completada la comprobación, puede seguir con la migración de pequeños grupos piloto
y, a continuación, ir aumentando gradualmente el tamaño de cada lote de objetos de migración
en su entorno de producción.
42
Utilice el siguiente proceso para comprobar la migración de su objeto de cuenta y objetos de
recursos:
1. Cree un usuario de prueba en el dominio de origen. Incluya este usuario de prueba en sus
migraciones.
2. Agregue dicho usuario a los grupos globales apropiados para habilitar el acceso a los
recursos.
3. Inicie sesión en el dominio de origen como usuario de prueba y compruebe que puede
obtener acceso a los recursos correspondientes.
4. Tras migrar la cuenta de usuario, convierta el perfil de usuario y migre la estación de trabajo
del usuario, inicie sesión en el dominio de destino como el usuario de prueba y compruebe
que el usuario conserva todos los accesos y funciones necesarios. Por ejemplo, podrá
comprobar que:
El usuario puede iniciar sesión correctamente.
El usuario tiene acceso a todos los recursos apropiados, como usos compartidos de
impresiones y archivos; acceso a los servicios como mensajería, así como acceso a las
aplicaciones de línea de negocio (LOB). Es especialmente importante comprobar el
acceso a aplicaciones desarrolladas internamente que tienen acceso a servidores de
bases de datos.
El perfil de usuario se ha convertido correctamente y el usuario conservar la
configuración de escritorio, apariencia de escritorio, accesos directos y acceso a la
carpeta Mis documentos. Asimismo, compruebe que las aplicaciones aparecen y se
inician desde el menú Inicio.
No puede migrar cada propiedad de usuario al migrar cuentas de usuario. Para obtener
más información sobre las propiedades de usuario que no se pueden migrar, consulte
Migrar cuentas de usuario, más adelante en esta guía.
Una vez migrados los recursos, inicie sesión como el usuario de prueba en el dominio de destino
y compruebe que puede obtener acceso a los recursos correspondientes.
Si cualquier paso del proceso de prueba da error, identifique el origen del problema y determine
si puede corregir el problema antes de que se deba tener acceso al objeto en el dominio de
destino. Si no puede corregir el problema antes de obtener acceso al objeto necesario, revierta a
la configuración original para asegurar el acceso al objeto de recurso o usuario. Para obtener
más información sobre la creación de un plan de reversión, consulte Creación de un plan de
reversión, más adelante en esta guía.
Como parte de su plan de prueba, cree una matriz de prueba de migración. Complete una matriz
de prueba para cada paso que complete en el proceso de migración. Por ejemplo, si migra 10
lotes de usuarios, complete 10 veces la matriz de prueba, una para cada lote que migre. Si migra
10 servidores miembro, complete la matriz de prueba para cada uno de los 10 servidores.
Para obtener una hoja de cálculo para ayudarle a crear una matriz de prueba, consulte Migration
Test Matrix (DSSREER_3.doc) en la descarga
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services de Job Aids for
Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink?LinkId=14384).
43
La siguiente ilustración muestra un ejemplo de una matriz de prueba de migración completada.
44
Nota
45
dominio de destino. En consecuencia, puede volver al entorno previo a la migración si el proceso
de reestructuración no es correcto.
Plan para la administración de los tipos siguientes de objetos de migración de cuentas:
Cuentas de usuario, incluyendo identificadores de seguridad (SID)
Pertenencia a grupos globales
Perfiles de usuario
46
Atributos que el sistema excluye siempre
ADMT siempre excluye de la migración algunos atributos y no se pueden configurar para su
migración. De este modo se protegen los atributos que pertenecen al sistema. Estos atributos
incluyen lo siguiente:
Identificador único global del objeto (GUID)
SID (aunque los SID se pueden agregar al SID History del objeto del dominio de destino).
LegacyExchangeDN
47
Importante
Planeamiento para la migración de perfil de
usuario
Los perfiles de usuario almacenan los datos e información sobre la configuración del escritorio
del usuario. Los perfiles de usuario pueden ser móvil o local. El proceso de migración es
diferente para los perfiles locales o móviles.
La conversión del perfil es un tipo de conversión de seguridad, y los perfiles se convierten
durante el proceso de migración. Si realiza la conversión de seguridad en modo Agregar, los SID
en los dominios de origen y destino deben tener ambos acceso al perfil. Por tanto, si tiene que
revertir al entorno de origen, el SID del dominio de origen puede usar el perfil. Si realiza la
conversión de seguridad en el modo de reemplazar, debe volver a convertir el perfil usando un
archivo de asignación SID (deshaciendo la conversión de seguridad) para revertir al entorno de
origen.
Si tiene que revertir a la configuración original, notifique a los usuarios que los cambios
de perfil realizados en el dominio de destino no se reflejan en el dominio de origen.
Algunas organizaciones pueden optar por no migrar los perfiles de usuario. Otras organizaciones
podrían elegir reemplazar las estaciones de trabajo de los usuarios durante el proceso de
migración de cuentas de usuario, y utilizan una herramienta como la Herramienta de migración
de estado de usuario (USMT) para migrar los datos de usuario y la configuración a los nuevos
equipos de los usuarios. En la tabla siguiente se resumen los requisitos de migración para los
perfiles de usuario.
48
Tipo Descripción Requisitos de la migración
Perfiles no administrados Igual para los perfiles locales. Los usuarios pierden sus
perfiles existentes cuando se
migran sus cuentas de usuario.
49
La ubicación del perfil móvil del mismo usuario RoamUserX en un equipo que ejecute
Windows Vista o Windows 7 es:
\\host.name.fqdn\ProfileShare\RoamUserX.V2
Esta versión puede coexistir con un perfil móvil de una versión anterior de Windows.
Únicamente ADMT v3.2 distingue entre los dos nombres de carpeta de perfil diferentes. Las
versiones anteriores de ADMT sólo buscan la carpeta llamada <nombredeperfil> y no intentan
encontrar un perfil V2 en caso de que existiera. Por tanto, las versiones anteriores de ADMT no
migran los perfiles móviles de equipos que ejecuten Windows Vista y Windows 7.
Para migrar una carpeta de perfil móvil mediante ADMT v3.2, es necesario modificar la lista de
control de acceso predeterminada de la carpeta. De manera predeterminada, cuando un usuario
inicia sesión y se crean los contenidos y la carpeta del perfil móvil, las carpetas <nombredeperfil>
o <nombredeperfil>.V2 reciben las siguientes listas de control de acceso:
SYSTEM – Control total
nombre_de_usuario - Control total
Propietario = nombre_de_usuario
Por tanto, el propietario del perfil y el sistema local donde reside el uso compartido son los únicos
que tienen acceso a la carpeta <nombredeperfil> o <nombredeperfil>.V2. Cuando se asignen
estos permisos predeterminados a la carpeta, ADMT no podrá acceder a la carpeta para realizar
la conversión de seguridad.
Si desea configurar los permisos de carpeta para permitir que ADMT v3.2 migre el perfil móvil,
puede habilitar una configuración de directiva de grupo para el dominio. En Windows
Server 2008 R2, la configuración es:
Configuración del equipo\Directivas\Plantillas administrativas\Sistema\Perfiles de
usuario\Agregar el grupo de seguridad Administradores a los perfiles de usuario móviles
Si esta configuración se habilita y propaga antes del primer inicio de sesión del usuario (antes de
la creación del perfil móvil), el directorio de perfil móvil tendrá un permiso agregado que concede
Control total a los miembros del grupo Administradores del host compartido (host.name.fqdn en
este ejemplo).
Cuando se haya habilitado esta configuración, las migraciones pueden realizarse si el usuario
que ejecuta ADMT v3.2 se encuentra en el grupo Administradores de uso compartido.
El usuario que ejecuta ADMT necesita acceso de Control total a las carpetas de perfiles móviles.
Para conseguirlo, puede probar una de las siguientes opciones:
1.
2. Cree un script (utilizando, por ejemplo, Windows PowerShell) que realice lo siguiente:
a. Se ejecuta como SYSTEM en el equipo compartido (host.name.fqdn en el ejemplo)
b. Agrega el grupo de seguridad Administradores al conjunto de ACL de las carpetas de
perfil, propagándose a todas las subcarpetas y archivos
c. Agrega el grupo de seguridad Administradores con Control total al conjunto de ACL de
las carpetas de perfil y obtiene permisos heredados a todas las subcarpetas y archivos
3. Cree un script (utilizando, por ejemplo, Windows PowerShell) que realice lo siguiente:
50
a. Se ejecuta en el contexto de cada usuario móvil (por ejemplo, como una tarea de inicio
de sesión).
b. Agrega el grupo de seguridad Administradores con Control total al conjunto de ACL de
las carpetas de perfil y obtiene permisos heredados a todas las subcarpetas y archivos.
Información general
Avise a los usuarios de que sus cuentas de usuario están programadas para la migración a un
nuevo dominio. Remita a los usuarios a una página web o recurso interno donde puedan
encontrar información adicional y ver una programación de migración.
Informe a los usuarios del nuevo nombre de dominio. Asegúrese de informarles de que sus
contraseñas de cuentas no cambiarán. Informe a los usuarios de que la cuenta de dominio
original se deshabilitará inmediatamente después de la migración y la cuenta deshabilitada se
eliminará transcurrido un período de tiempo específico. No es necesario si los usuarios inician
sesión con nombres principales de usuario (UPN).
Impacto
Asegúrese de que los usuarios comprenden que cuando sus cuentas se migran, es posible que
no puedan tener acceso a algunos recursos, como sitios web, carpetas compartidas o recursos
que los usuarios de su grupo o división no utilizan de forma habitual.
Proporcione información a los usuarios sobre con quién tienen que ponerse en contacto para
obtener asistencia para tener acceso a los recursos necesarios.
51
Estado de inicio de sesión durante la migración
Asegúrese de que los usuarios comprenden que durante el proceso de migración no podrán
iniciar sesión en el dominio o tener acceso al correo electrónico u otros recursos. Asegúrese de
que especifica el período de tiempo durante el que no podrán iniciar sesión.
Cambios esperados
Describa otros cambios que los usuarios puedan experimentar después de la migración, como
cambios en el uso de tarjetas inteligentes, correo electrónico seguro o mensajería instantánea, si
procede.
52
Instalación de software de cifrado alto de 128
bits
Afecta a: Herramienta de migración Active Directory 3.1 (ADMT 3.1) y ADMT 3.2
El equipo en el que esté instalada la Herramienta de migración para Active Directory (ADMT)
necesita cifrado alto de 128 bits. Este cifrado es estándar en los equipos que ejecutan
Windows 2000 Server Service Pack 3 (SP3) o Service Pack 4 (SP4), Windows Server 2003,
Windows Server 2008 o Windows Server 2008 R2. Si planea instalar ADMT en un equipo que no
admite de forma predeterminada el cifrado de nivel superior de 128 bits, debe instalar el paquete
de cifrado de nivel superior de 128 bits.
Puede descargar el paquete de cifrado desde Windows 2000 High Encryption Pack (Paquete de
cifrado elevado de Windows 2000) (http://go.microsoft.com/fwlink/?LinkId=76037).
53
Establecimiento de confianzas necesarias
para la migración
Afecta a: Herramienta de migración Active Directory 3.1 (ADMT 3.1) y ADMT 3.2
Antes de poder migrar cuentas y recursos desde un dominio de origen a un dominio de destino
en otro bosque de Active Directory, debe asegurarse de que existen las confianzas apropiadas
entre los bosques. Las relaciones de confianza entre los bosques que está reestructurando
permiten que la Herramienta de migración para Active Directory (ADMT) migre usuarios y
cuentas de servicio y convierta perfiles de usuarios locales de los dominios de origen a los
dominios de destino. Además, dependiendo de cómo estén configuradas las relaciones de
confianza, los usuarios del dominio de origen pueden tener acceso a recursos del dominio de
destino. Es más, los usuarios de los dominios de destino pueden tener acceso a los recursos del
dominio de origen que todavía no se han migrado.
Para migrar usuarios y grupos globales, debe establecer una confianza unidireccional entre el
dominio de origen y el dominio de destino, de forma que el dominio de origen confíe en el
dominio de destino.
Para migrar recursos o convertir perfiles locales, debe realizar uno de los siguientes
procedimientos:
Crear una confianza unidireccional entre el dominio de origen y el dominio de destino.
Crear una confianza bidireccional entre los dominios de origen y destino.
Para obtener más información acerca de la creación de confianzas, consulte Creating Domain
and Forest Trust (http://go.microsoft.com/fwlink/?LinkId=77381).
54
grupos globales junto con el historial de SID, equipos y perfiles de usuario tiene credenciales de
administrador local o administrador de dominio en el dominio de origen. La cuenta de migración
también ha delegado permiso en el usuario, cuenta de servicio administrada, grupo y las
unidades organizativas del equipo (OU) en el dominio de destino, con el derecho extendido para
migrar el SID History en la unidad organizativa de usuario. El usuario debe ser un administrador
local en el equipo del dominio de destino en el que esté instalada ADMT. Una cuenta de
migración que utilice para migrar estaciones de trabajo y controladores de dominio debe tener
credenciales de administrador local o administrador de dominio de origen en las estaciones de
trabajo, o la cuenta debe tener credenciales de administrador de dominio de origen en el
controlador de dominio o en ambos.
En el dominio de destino, es necesario utilizar una cuenta que tenga permisos delegados en la
unidad organizativa de equipo y la unidad organizativa de usuario. Es posible que desee utilizar
una cuenta independiente para la migración de estaciones de trabajo si este proceso de
migración se delega a los administradores de la misma ubicación que las estaciones de trabajo.
La siguiente tabla muestra los credenciales necesarios en los dominios de origen y de destino
para los objetos de migración diferentes.
Nota
55
Objeto de migración Credenciales necesarios en Credenciales necesarios en
dominio de origen dominio de destino
Nota
Es posible que tenga que
seguir otros pasos
adicionales de
preparación si migra
perfiles móviles de
equipos que ejecutan
Windows Vista o
Windows 7. Para obtener
más información,
consulte Preparación
para la migración de
perfiles móviles con
equipos que ejecutan
Windows Vista y
Windows 7.
Los siguientes procedimientos proporcionan ejemplos para la creación de grupos o cuentas para
migrar cuentas y recursos. Los procedimientos varían en función de si existe una confianza
unidireccional o bidireccional. El procedimiento de creación de grupos de migración cuando
existe confianza unidireccional es más complejo que el procedimiento cuando existe confianza
bidireccional. Lo que se debe a que, con una confianza unidireccional, debe agregar el grupo de
migración al grupo local Administradores de las estaciones de trabajo.
El procedimiento de muestra para la creación de grupos de migración cuando existe una
confianza unidireccional implica la creación de grupos independientes para la migración de
56
Creación de una
un grupo
cuentadede
migración
migración
dede
cuenta
recursos
recursos
cuando
cuando
cuando
existe
existe
existe
una
una
una
confianza
confianza
confianza
unidireccionalentre
bidireccional en lalos
quedominios
el dominio
de de
origen
origen
y de
confía
destino.
en el dominio de
destino
57
3. En el dominio de destino, delegue los permisos en las unidades organizativas que sean
destino de la migración de recursos para la cuenta res_migrator.
ADMT también incluye funciones de administración de base de datos que puede utilizar para
asignar un subconjunto de permisos a los usuarios que realicen tareas de migración específicas.
Las funciones de administración de base de datos y las tareas de migración que pueden realizar
se enumeran en la siguiente tabla.
Los usuarios que tienen la función de administrador del sistema de SQL Server asumen todas
las funciones de administración de base de datos de ADMT. Tienen los credenciales para realizar
lo siguiente:
Mostrar funciones de base de datos y usuarios que asumen dichas funciones
Agregar grupos o usuarios a funciones
Quitar grupos o usuarios de funciones
De manera predeterminada, se asigna la función de administrador del sistema al grupo local
Administradores y puede realizar todas las funciones de la base de datos de ADMT.
58
Nota
Para habilitar
Creación
Activación
dedeunla
lagrupo
auditoría
compatibilidad
local
enen
loselde
dominios
dominio
cliente de
de
TCP/IP
origen
Windows
enpara
el emulador
Server
admitir
2008
la
deauditoría
R2
PDCy del dominio de
origen
Windows Server 2008
Para configurar los dominios de origen y de destino de forma manual, complete los siguientes
procedimientos:
Cree un grupo local en el dominio de origen para admitir la auditoría.
Habilite la compatibilidad de cliente TCP/IP en el emulador del controlador principal de
dominio (PDC) del dominio de origen.
Si está migrando desde un dominio con controladores de dominio que ejecutan
Windows Server 2003 o posterior a otro dominio con controladores de dominio que
ejecutan Windows Server 2003 o posterior, la entrada del Registro
TcpipClientSupport no debe modificarse.
Habilite la auditoría de la administración de cuentas en los dominios de origen y de destino.
Para Windows Server 2008 R2 y Windows Server 2008, deberá habilitar también la auditoría
del acceso al servicio de directorio con el fin de migrar los usuarios con el SID History entre
los bosques.
Precaución
La modificación incorrecta del Registro puede dañar gravemente el sistema.
Antes de realizar cambios en el Registro, debe hacer una copia de seguridad de
los datos valiosos que contenga el equipo. También puede utilizar la opción de
inicio Última configuración buena conocida si surgen problemas después de
realizar los cambios.
3. En el Editor del Registro, desplácese a la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
4. Modifique la entrada del registro TcpipClientSupport, del tipo de datos REG_DWORD,
estableciendo el valor a 1.
5. Cierre el Editor del Registro y reinicie el equipo.
59
destino.
2. Haga clic en Inicio, seleccione Todos los programas, Herramientas administrativas y,
a continuación, haga clic en Administración de directivas de grupo.
3. Desplácese al siguiente nodo:
Bosque | Dominios | Dominio | Controladores de dominio | Directiva predeterminada de
controladores de dominio
4. Haga clic con el botón secundario en Directiva predeterminada de controladores de
dominio y haga clic en Modificar.
5. En el Editor de administración de directivas de grupo, en el árbol de la consola,
desplácese el siguiente nodo:
Configuración del equipo | Directivas | Configuración de Windows | Configuración de
seguridad | Directivas locales | Directiva de auditoría
6. En el panel de detalles, haga clic con el botón secundario en Auditar la administración
de cuentas y, a continuación, haga clic en Propiedades.
7. Haga clic en Definir esta configuración de directiva y, a continuación, haga clic en
Correcto y Erróneo.
8. Haga clic en Aplicar y, a continuación, haga clic Aceptar.
9. En el panel de detalles, haga clic con el botón secundario en Auditar el acceso del
servicio de directorio y, a continuación, haga clic en Propiedades.
10. Haga clic en Definir esta configuración de directiva y, a continuación, haga clic en
Correcto.
11. Haga clic en Aplicar y, a continuación, haga clic Aceptar.
12. Si es necesario que los cambios se reflejen de forma inmediata en el controlador de
dominio, abra un símbolo del sistema con privilegios elevados y escriba gpupdate
/force.
13. Repita los pasos del 1 al 12 en el dominio de origen.
60
Para configurar la estructura de unidades organizativas del dominio de destino para la
administración
61
Para instalar ADMT usando el almacén de la base de datos predeterminado
con Service Pack 4 (SP4) Standard o Enterprise Edition o una instalación SQL Server 2005
Standard o Enterprise Edition anteriormente creada.
Antes de instalar ADMT v3.1, complete los siguientes requisitos previos:
Instale Windows Server 2008.
Quite todas las versiones anteriores de ADMT mediante Agregar o quitar programas del
Panel de control. Si intenta instalar ADMT v3.1 en un servidor con una versión anterior de
ADMT, recibirá un mensaje de error y la instalación se detendrá. Si es necesario, puede
importar la base de datos de la versión anterior de ADMT (como ADMT v2.0 o ADMT v3.0) en
ADMT v3.1 durante la instalación.
Si no piensa usar la instalación de la base de datos local predeterminada, asegúrese de que
está configurada otra instalación de la base de datos SQL Server 2000 o SQL Server 2005
con una instancia de ADMT. Para obtener más información sobre cómo crear una instancia
de ADMT en una base de datos de SQL Server, consulte Instalación de ADMT usando una
base de datos de SQL Server preconfigurada.
62
Página del asistente Acción
63
Página del asistente Acción
64
Nota
65
Para instalar ADMT v3.2
Instalar ADMT v3.2
Descargue SQL Server 2005 Express (http://go.microsoft.com/fwlink/?LinkId=181159), o cree una
nueva instancia de base de datos en una instalación existente de SQL Server para utilizar con
ADMT v3.2. Durante el proceso de instalación de SQL Server, seleccioneModo de
autenticación de Windows. Después de instalar SQL Server, complete el siguiente
procedimiento para instalar ADMT v3.2.
Para llevar a cabo este procedimiento, se requiere como mínimo pertenecer a Administradores
o a un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y
pertenencias a grupos en Grupos predeterminados locales y de dominio
(http://go.microsoft.com/fwlink/?LinkId=83477).
66
Separar un archivo de base de datos existente de
una versión anterior de ADMT y de SQL Server
Si utiliza SQL Server Express, la base de datos se separa automáticamente al quitar ADMT. La
base de datos de SQL Server Express separada puede reutilizarse para una instalación de
ADMT posterior. En ese caso, ADMT se conecta automáticamente con la base de datos existente
que especifique durante la instalación.
Puede separar el archivo de base de datos de ADMT desde una instancia completa de
SQL Server si tiene otra aplicación que quiera conectar a la misma base de datos. Por ejemplo,
si tiene previsto moverlo desde una instalación completa de SQL Server a SQL Server Express,
o si tiene un archivo de base de datos de ADMT de una instalación previa que ha conectado a
las herramientas de administración de SQL Server, tendrá que separarlo de esa base de datos
para que ADMT pueda utilizarlo.
Para separar una base de datos, puede completar el procedimiento almacenado de SQL:
sp_detach_db [ @dbname = ] 'dbname'
Sintaxis Descripción
admtdb upgrade /s|server: Server\Instance Actualiza a una versión anterior de una base de
67
Para reutilizar la base de datos local después
Sintaxis de configurar una instancia remota de una
Descripción
base de datos de SQL Server
datos de ADMT v3.0 o ADMT v3.1.
El parámetro /server, que es obligatorio,
especifica el nombre del servidor SQL Server y
la instancia a la que se va a conectar para
actualizar la base de datos de ADMT v3.0 o
ADMT v3.1.
Nota
Antes de actualizar la base de datos de
ADMT, abra la consola de ADMT para
comprobar que es compatible con la
base de datos.
admtdb attach [/{a|attach}: "ruta de acceso a Conecta una base de datos existente de ADMT
la base de datos v3x" a la instancia de SQL Server Express 2005 o
SQL Server Express 2008 local.
El parámetro /attach, que es obligatorio,
especifica la ruta al archivo de base de datos
Admt.mdf separado.
Para ver la Ayuda de todas las opciones de la línea de comandos de Admtdb.exe, en el símbolo
del sistema, escriba admtdb /? .
Si ha empezado la migración mediante una base de datos local de SQL Server Express y luego
ha configurado la instancia remota de una base de datos de SQL Server, y necesita volver a
utilizar una base de datos local de SQL Server Express, complete el siguiente procedimiento. En
este caso, el archivo de base de datos de ADMT ya está conectado a la instancia de
SQL Express. Por lo tanto, no es necesario que se vuelva a conectar.
Si ha empezado la migración mediante SQL Server y desea cambiar a SQL Server Express,
consulte Reutilizar una base de datos de ADMT existente desde una instalación anterior.
Para llevar a cabo este procedimiento, se requiere como mínimo pertenecer a Administradores
o a un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y
pertenencias a grupos en Grupos predeterminados locales y de dominio
(http://go.microsoft.com/fwlink/?LinkId=83477).
68
Nota
inicioPara utilizar una
del sistema, hagabase de Iniciado,
clic en datos de haga
ADMT existente
clic (separada)
con el botón con en
secundario la instancia
el nombre de
SQL Server
del servicio local
y, a continuación, haga clic en Propiedades.
3. En la ficha General, de la lista Tipo de inicio, haga clic en Automático.
4. En Estado del servicio, haga clic en Inicio y, a continuación, haga clic en Aceptar.
5. Cierre Servicios.
6. En el símbolo del sistema, escriba los siguientes comandos:
Nota
El comando admtdb attach es necesario sólo si anteriormente ha ejecutado
comandos SQL para que separen la instancia local de SQL Server Express.
admtdb attach /{s | Server}:”Instancia de SQL Server Express local”
69
Nota
asociar"
Ahora puede utilizar la base de datos de ADMT existente con la instancia de SQL Server
local. No es necesario volver a ejecutar el asistente de instalación de ADMT. La
instalación de ADMT se puede ejecutar una sola vez. Puede realizar cualquier cambio
posterior en la configuración de la base de datos mediante los comandos admtdb.exe y
admt config setdatabase.
Valor Descripción
Después de crear la clave de cifrado, configure el servicio PES en un controlador de dominio del
dominio de origen.
ADMT proporciona la opción para ejecutar el servicio PES en la cuenta del sistema local o
utilizando las credenciales de un usuario autenticado en el dominio de destino. Recomendamos
que ejecute el servicio PES como un usuario autenticado en el dominio de destino. De esta
forma, no tendrá que agregar el grupo Todos y el grupo Inicio de sesión anónimo al grupo Acceso
compatible con versiones anteriores de Windows 2000.
Si ejecuta el servicio PES en la cuenta del sistema local, asegúrese de que el grupo
Acceso compatible con versiones anteriores de Windows 2000 del dominio de destino
contiene el grupo Todos y el grupo Inicio de sesión anónimo.
71
Página del asistente Acción
Nota
Si prevé ejecutar el servicio PES
como una cuenta de usuario
autenticado, especifique la
cuenta en el formato
domain\nombre_usuario.
Nota
Para utilizar la migración de
contraseñas de ADMT, debe
reiniciar el servidor donde ha
instalado el servicio PES.
72
Advertencia
Para inicializar ADMT ejecutando una migración de prueba de un grupo global
Nota
Ejecute el servicio PES sólo cuando migre contraseñas. Detenga el servicio PES
después de completar la migración de contraseñas.
73
Página del asistente Acción
74
Página del asistente Acción
75
Identificación de cuentas de servicio mediante el complemento de ADMT
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. En el complemento de ADMT, haga clic en Acción y, a continuación, haga clic en
Asistente para migración de cuentas de servicios.
76
3. Complete el Asistente para migración de cuentas de servicios con la información que se
proporciona en la tabla siguiente.
77
Identificación de cuentas de servicio mediante la opción de línea de comandos de
ADMT
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. En la línea de comandos, escriba el siguiente comando y, a continuación, presione
ENTRAR:
ADMT SERVICE /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:" <dominio_origen>"
78
Identificación de cuentas de servicio mediante una secuencia de comandos
/TD:" <dominio_destino>"
La siguiente tabla enumera los parámetros comunes que se utilizan para la identificación
de cuentas de servicio, junto con el parámetro de línea de comandos y los equivalentes
de archivo de opciones.
Cree una secuencia de comandos que incorpore los comandos de ADMT y las opciones
para la identificación de cuentas de servicio utilizando la siguiente secuencia de
comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el
archivo con la extensión .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id="IdentifyingServiceAccounts" >
Option Explicit
Dim objMigration
Dim objServiceAccountEnumeration
'
'
Set objServiceAccountEnumeration = _
79
objMigration.CreateServiceAccountEnumeration
'
'
'
'
objServiceAccountEnumeration.Enumerate admtData, _
</Script>
</Job>
Migración de cuentas
Afecta a: Herramienta de migración Active Directory 3.1 (ADMT 3.1) y ADMT 3.2
El proceso de migración de objetos de cuenta de un dominio de origen a uno de destino en otro
bosque de Active Directory implica en primer lugar la migración de cuentas de servicio y, a
continuación, la migración de los grupos globales. Una vez que los grupos estén en su lugar en
el dominio de destino, puede migrar usuarios según el proceso que haya seleccionado, ya sea
usando el historial de identificadores de seguridad (SID) para el acceso a los recursos o sin usar
el historial de SID para el acceso a los recursos. Cuando el proceso de migración de objetos de
cuenta haya terminado, puede instruir a los usuarios del dominio de origen que inicien sesión en
el dominio de destino. La siguiente ilustración muestra el proceso de migración de cuentas entre
dominios en diferentes bosques.
80
Transición de cuentas de servicio en su
migración
Afecta a: Herramienta de migración Active Directory 3.1 (ADMT 3.1) y ADMT 3.2
Para comenzar el proceso de migración de objetos, migre las cuentas de servicio que se
ejecutan como controladores de dominio. Para obtener más información sobre la identificación
de cuentas de servicio para la migración, consulte Transición de cuentas de servicio en su
migración. Este tema no se aplica a las cuentas de servicio administradas. Las cuentas de
servicio administradas se pueden migrar con el Asistente para migración de cuentas de servicio
administradas y el Asistente para migración de equipos.
Para realizar la transición de cuentas de servicio, utilice la Herramienta de migración para
Active Directory (ADMT) para completar las tareas siguientes:
Migre las cuentas de servicio desde el dominio de origen al dominio de destino.
Modifique los servicios de cada servidor en el dominio de origen de manera que los servicios
utilicen la cuenta de servicio en el dominio de destino en lugar de en el dominio de origen.
Puede realizar la transición de cuentas de servicio mediante el complemento de ADMT, la opción
de línea de comandos de ADMT o una secuencia de comandos.
81
Transición de cuentas de servicio mediante el complemento de ADMT
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. En el complemento de ADMT, haga clic en Acción y, a continuación, haga clic en
Asistente para migración de cuentas de usuario.
3. Complete el Asistente para migración de cuentas de usuarios con la información que se
proporciona en la tabla siguiente.
Nota
Si realiza una transición de
cuentas de servicio mediante el
Asistente para migración de
cuentas de usuario, se generará
automáticamente una
contraseña compleja,
independientemente de la
opción seleccionada en la
página de este asistente.
Incluso si se ha seleccionado
No actualizar contraseñas de
usuarios existentes, se
generará una contraseña
compleja.
83
Transición de cuentas de servicio mediante la opción de línea de comandos de ADMT
4. Cuando haya finalizado la ejecución del asistente, haga clic en Ver registro y revise si
hay errores en el registro de migración.
5. Inicie Usuarios y equipos de Active Directory, desplácese a la unidad organizativa que ha
creado para las cuentas de servicio y, a continuación, compruebe que las cuentas de
servicio existen en la unidad organizativa del dominio de destino.
6. Confirme que cada aplicación para la que la cuenta de servicio se reubicó continúa
funcionando correctamente.
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. En la línea de comandos, escriba el siguiente comando y, a continuación, presione
ENTRAR:
ADMT USER /N "<nombre_servidor1>" "<nombre_servidor2>" /SD:" <dominio_origen>"
/TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /MSS:YES
La siguiente tabla enumera los parámetros comunes que se utilizan para la transición de
cuentas de servicios, junto con el parámetro de línea de comandos y los equivalentes de
archivo de opciones.
84
Transición de cuentas de servicio mediante una secuencia de comandos
de destino>
Ubicación / TargetOU="unidad_organizativa_destin
de la TO:"unidad_organizativa_destin o"
<Unidad o"
organizativa
de destino>
Prepare una secuencia de comandos que incorpore los comandos de ADMT y las
opciones para la transición de cuentas de servicio utilizando la siguiente secuencia de
comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el
archivo con la extensión .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" TransitioningServiceAccountsBetweenForests" >
Option Explicit
85
Dim objMigration
Dim objUserMigration
'
'
'
'
objMigration.ConflictOptions = admtIgnoreConflicting
'
'
objUserMigration.MigrateSIDs = True
objUserMigration.UpdateUserRights = True
objUserMigration.MigrateServiceAccounts = True
'
'
objUserMigration.Migrate admtData, _
86
Nota Nota
Para migrar grupos globales usando el complemento de ADMT
Set objUserMigration = Nothing
</Script>
</Job>
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. Utilice el Asistente para migración de cuentas de grupo realizando los pasos de la tabla
siguiente.
87
Página del asistente Acción
88
Para migrar grupos globales usando la opción de línea de comandos de ADMT
3. Cuando haya finalizado la ejecución del asistente, haga clic en Ver registro y revise si
hay errores en el registro de migración.
4. Abra el complemento Usuarios y equipos de Active Directory y, a continuación, localice la
unidad organizativa del dominio de destino. Compruebe que los grupos globales existen
en la unidad organizativa del dominio de destino.
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. En la línea de comandos, escriba el comando ADMT GROUP con los parámetros
apropiados y, a continuación, presione ENTRAR:
ADMT GROUP /N "<nombre_grupo1>" "<nombre_grupo2>" /SD:" <dominio_origen>" /TD:"
<dominio de destino>" /TO:" <unidad organizativa de destino>" /MSS:YES
En la tabla siguiente se muestran los parámetros comunes que se utilizan para migrar
grupos globales, junto con los parámetros de línea de comandos y los equivalentes del
archivo de opciones.
Ubicación / SourceOU="unidad_organizativa_origen
de la SO:"unidad_organizativa_origen" "
<Unidad
organizativ
89
Para migrar grupos globales usando un script
a de
origen>
Ubicación / TargetOU="unidad_organizativa_destin
de la TO:"unidad_organizativa_destino o"
<Unidad "
organizativ
a de
destino>
Prepare una secuencia de comandos que incorpore las opciones y comandos de ADMT
para migrar grupos globales utilizando la siguiente secuencia de comandos de muestra.
Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la
extensión .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" MigratingGlobalGroupsBetweenForests" >
Option Explicit
Dim objMigration
Dim objGroupMigration
'
90
'Crear instancia de objetos de migración de ADMT.
'
'
'
'
'
objGroupMigration.MigrateSIDs = True
'
'
</Script>
</Job>
91
Migración de cuentas mientras utiliza el
historial de SID
Afecta a: Herramienta de migración Active Directory 3.1 (ADMT 3.1) y ADMT 3.2
Para migrar cuentas mientras utiliza el historial de identificadores de seguridad (SID), primero
migre todas las cuentas de usuario (pero no las active en el dominio de destino) para rellenar el
dominio de destino y permitir la migración de perfiles de usuario. Una vez se hayan migrado
todas las cuentas de usuario correctamente, inicie la migración de usuarios en lotes, empezando
por la migración del perfil de usuario, la estación de trabajo y, a continuación, la cuenta de
usuario. Antes de migrar todas las cuentas de usuarios, asegúrese de que ha creado cuentas de
prueba que pueda incluir en cada lote para comprobar el éxito de la migración para dicho lote.
No puede migrar cada propiedad de usuario al migrar cuentas de usuario. Por ejemplo, el
contenido de Almacenamiento protegido (Pstore) para las estaciones de trabajo de
Windows NT 4.0, incluidas las claves privadas de Sistema de cifrado de archivos (EFS), no se
migra con la Herramienta de migración para Active Directory (ADMT) al migrar cuentas de
usuarios. Para migrar el contenido de Pstore, debe exportar e importar claves durante el proceso
de migración.
Para clientes con Windows 2000 Server o posterior, los datos protegidos por la API de protección
de datos (DPAPI) tampoco se migran. DPAPI ayuda a proteger los siguientes elementos:
Los credenciales de página Web (por ejemplo, contraseñas)
Credenciales de recurso compartido de archivo
Las claves privadas asociadas con EFS, Extensiones seguras multipropósito al correo de
Internet (S/MIME) y otros certificados
Los datos de programa protegidos mediante la función CryptProtectData()
Por este motivo, es importante para comprobar las migraciones de usuarios. Utilice su cuenta de
migración de prueba para identificar cualquier propiedad que no se haya migrado y actualice las
configuraciones en el dominio de destino consecuentemente.
Complete los siguientes pasos para migrar las cuentas de usuario al dominio de destino:
1. Migre las cuentas de servicio administradas. Las cuentas de servicio administradas deben
migrarse antes de los equipos.
2. Migre todas las cuentas de usuario con la cuenta activada en el dominio de origen,
desactivada en el dominio de destino, con una contraseña compleja seleccionada y sin
atributos migrados.
3. Convierta los perfiles locales de usuario para un lote de usuarios
4. Migre las estaciones de trabajo en lotes que correspondan a los lotes de cuentas de usuario.
5. Antes de migrar el lote de cuentas de usuarios, compruebe que la migración de la estación
de trabajo y el perfil local se ha realizado correctamente para todos los usuarios del lote. No
migre cualquier cuenta de usuario cuya migración de estación de trabajo o perfil haya dado
error. Esto hará que los usuarios sobrescriban sus perfiles existentes cuando inicien sesión
en el dominio de destino.
92
6. Vuelva a migrar las cuentas de usuario de los lotes con la cuenta definida con un período de
caducidad de siete días en el dominio de origen, la cuenta de destino desactivada, con una
migración de contraseña seleccionada y con todos los atributos migrados.
7. Después de cada lote, vuelva a migrar todos los grupos para actualizar cualquier cambio de
pertenencia a grupos.
8. Notifique a los usuarios del lote para que inicien sesión en el nuevo dominio.
9. Una vez migrados todos los usuarios, ejecute una migración final de grupo global para
actualizar cualquier cambio de pertenencia a grupos.
La migración de cuentas de usuario en lotes le ayuda a realizar un seguimiento de las cuentas
que se hayan migrado y comprobar el éxito de cada paso de migración. Si la estructura de la
unidad organizativa para el dominio de destino es la misma que la estructura de unidad
organizativa para el dominio de origen, migre los grupos de usuarios basados en unidad
organizativa. Si las estructuras de unidad organizativa no son las mismas, seleccione una forma
alternativa para agrupar a los usuarios en base a la estructura de su organización. Por ejemplo,
puede migrar usuarios por unidades de negocio o por planta para permitirle consolidar los
recursos de servicio de asistencia.
Si planifica retener su estructura de unidad organizativa de dominio de origen, migre las
unidades organizativas junto con los usuarios que contenían. Por ejemplo, si su dominio de
origen es un entorno Active Directory de Windows Server 2003 que tiene una estructura de
unidad organizativa funcional y el dominio de destino no tiene una estructura de unidad
organizativa, migre las unidades organizativas del dominio de origen.
Si ha creado una nueva estructura de unidad organizativa en el dominio de destino, migre los
lotes de usuarios sin las unidades organizativas. Por ejemplo, si su entorno de origen era un
dominio de Windows NT 4.0 que actualizó a un dominio de Windows Server 2003, es posible que
el dominio de origen no tuviese una estructura de unidad organizativa existente; por
consiguiente, puede migrar los usuarios sin migrar las unidades organizativas.
Para obtener más información acerca de cómo crear una estructura de unidad organizativa,
consulte "Designing Organizational Units for Delegation of Administration"
(http://go.microsoft.com/fwlink/?LinkId=76628).
Hasta que migre todos los usuarios y cuentas de grupos, continúe administrando la pertenencia
a grupos globales en el dominio de origen. Para admitir una estrategia de reversión, sincronice
de forma manual cualquier cambio que realice a los usuarios del dominio de destino con las
cuentas del usuario existente en el dominio de origen. Para obtener más información sobre la
administración de los usuarios y grupos durante el proceso de reestructuración entre distintos
bosques, consulte Administración de usuarios, grupos y perfiles de usuario, expuesto
anteriormente en esta guía.
Si migra unidades organizativas durante la migración de cuentas de usuario, se migran los
grupos que pertenecen a dichas unidades organizativas a la unidad organizativa del dominio de
destino durante el proceso de migración de cuentas de usuario. Cuando migre grupos globales
mediante el proceso de migración de grupos globales, estos se colocan en la unidad organizativa
de destino del dominio de destino. Si migra unidades organizativas desde el dominio de origen al
de destino, seleccione la opción para mover los grupos globales al dominio de destino al mismo
93
tiempo. De esta forma, los grupos se mueven de la unidad organizativa de destino en la que se
colocaron durante la migración inicial de grupos globales a la unidad organizativa a la que
pertenecen.
Al utilizar ADMT para migrar las cuentas de usuarios se conservan las pertenencias a los grupos.
Dado que los grupos globales pueden contener sólo miembros del dominio en el que se sitúe el
grupo, cuando los usuarios se migran a un nuevo dominio, las cuentas de usuario del dominio de
destino no pueden ser miembro de los grupos globales del dominio de origen. Como parte del
proceso de migración, ADMT identifica los grupos globales del dominio de origen al que
pertenecen las cuentas de usuario y, a continuación, determina si los grupos globales se han
migrado. Si ADMT identifica los grupos globales del dominio de destino al que pertenecían los
usuarios migrados del dominio de destino, la herramienta agrega los usuarios a los grupos
globales apropiados del dominio de destino.
Al utilizar ADMT para migrar las cuentas de usuarios también se conservan las contraseñas de
usuario. Una vez migradas las cuentas de usuario y activadas en el dominio de destino, los
usuarios pueden iniciar sesión en el dominio de destino utilizando las contraseñas originales.
Tras iniciar sesión, se pide a los usuarios que cambien la contraseña.
Si el proceso de migración de la cuenta de usuario se realiza correctamente, pero se produce un
error en el proceso de migración de la contraseña, ADMT crea una nueva contraseña compleja
para la cuenta de usuario en el dominio de destino. De forma predeterminada, ADMT almacena
las nuevas contraseñas complejas en el archivo C:\Archivos de programa\Herramienta de
migración para Active Directory\Registros\Password.txt.
Si tiene una configuración de directiva de grupo en el dominio de destino que no permite
contraseñas en blanco (la configuración Directiva predeterminada de dominio/Configuración
del equipo/Configuración de seguridad/Directivas de cuenta/Directiva de
contraseñas/Longitud mínima de contraseña se define como cualquier número distinto de
cero), la migración de contraseñas no se producirá para cualquier usuario que tenga una
contraseña en blanco. ADMT genera una contraseña compleja para ese usuario y escribe un
error en el registro de errores.
Establezca un método para notificar a los usuarios quién tiene contraseñas nuevas asignadas.
Por ejemplo, puede crear una secuencia de comandos para enviar un mensaje de correo
electrónico a los usuarios para notificarles las nuevas contraseñas.
La siguiente ilustración muestra los pasos que implica la migración de cuentas si utiliza el
historial de SID para el acceso a los recursos.
94
Migración de cuentas de servicio
administradas
Una cuenta de servicio administrada es un objeto de cuenta de dominio que está disponible en el
esquema de Active Directory Windows Server 2008 R2. Una cuenta de servicio administrada
puede instalarse en equipos que ejecutan Windows 7 o Windows Server 2008 R2. Las cuentas
de servicio administradas sólo se pueden migrar con ADMT v3.2.
El proceso para identificar y migrar cuentas de servicio administradas mediante ADMT v3.2
consta de dos pasos:
1. Utilice el Asistente para migración de cuentas de servicio administradas o la herramienta de
línea de comandos admt managedserviceaccount para migrar objetos de cuenta de
servicio administrada al dominio de destino como se explica en este tema.
2. Utilice el Asistente para migración de equipos o la herramienta de línea de comandos admt
computer para migrar los equipos que hospedan las cuentas de servicio administradas.
Para obtener más información acerca de la migración de los equipos como parte de una
migración entre bosques, consulte Repetición de la migración de las cuentas de usuario y
95
Importante
Migración de cuentas de servicio administradas con el complemento ADMT
migración de las estaciones de trabajo en lotes. Para obtener más información acerca de la
migración de los equipos como parte de una migración dentro del mismo bosque, consulte
Migración de estaciones de trabajo y servidores miembro.
Las cuentas de servicio administradas que se migraron en el paso anterior y que estaban
instaladas originalmente en los equipos migrados se identifican durante la migración del
equipo. Cuando la migración del equipo haya finalizado, las cuentas de servicio
administradas vuelven a instalarse en el equipo en el dominio de destino (a menos que
solicite ignorarlas). Si ha ejecutado la conversión de seguridad en los servidores miembro
que tienen recursos que conceden permisos a las cuentas de servicio administradas, las
cuentas tienen los mismos permisos para el acceso a los recursos en el dominio de destino
que los que tenían en el dominio de origen.
Si migra cuentas de servicio administradas entre dominios dentro del mismo bosque,
ejecute la conversión de seguridad en los servidores miembro del dominio de origen
que tengan recursos que concedan permisos a las cuentas de servicio
administradas. La conversión de seguridad no suele ser necesaria durante una
migración interna del bosque porque se ha movido un SID con una cuenta. No
obstante, las cuentas de servicio administradas que se migran entre dominios en el
mismo bosque se copian. Se crea una nueva cuenta en el dominio de destino y las
propiedades de la cuenta (excepto SID) se copian desde el dominio de origen. Por
tanto, será necesario ejecutar la conversión de seguridad.
Si los recursos del dominio de origen que conceden permisos a las cuentas de
servicio administradas se hospedan en el mismo equipo que la cuenta de servicio
administrada, debería seleccionar la conversión de seguridad en los recursos
adecuados (Archivos y carpetas, Grupos locales y así sucesivamente) en la página
Convertir objetos del Asistente para la migración de equipos. Si los recursos están
en otros equipos que no se están migrando, tendrá que ejecutar el Asistente para
conversión de seguridad en esos equipos y, en la página Opciones de conversión de
seguridad, seleccione Objetos previamente migrados o proporcione expresamente
las cuentas de servicio administradas en un archivo de asignación de SID. Para
obtener más información acerca de la conversión de seguridad, consulte Conversión
de seguridad en los servidores miembro.
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. En el complemento ADMT, haga clic en Acción y, a continuación, en Asistente para
migración de cuentas de servicio administradas.
3. Complete el Asistente para migración de cuentas de servicio administradas con la
información que se proporciona en la tabla siguiente.
96
Página del asistente Acción
97
Página del asistente Acción
98
Migración de cuentas de servicio administradas mediante la opción de línea de
comandos de ADMT
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. En la línea de comandos, escriba el siguiente comando y, a continuación, presione
ENTRAR:
ADMT MANAGEDSERVICEACCOUNT /N "<nombre_cuenta de servicio administrada1>"
"<nombre_cuenta de servicio administrada2>" /IF:NO /SD:"<dominio_origen>"
/TD:"<dominio_destino>" /UUR:YES /FGM:YES /MSS:YES
99
Valores Sintaxis de línea de Sintaxis del archivo de opciones
comandos
Nota
Sólo puede
migrar SID de
cuentas de
servicio
administradas
entre
bosques. Si
utiliza este
parámetro
durante una
migración
dentro del
mismo
bosque,
aparece un
error.
Si las cuentas de servicio administradas están hospedadas en equipos miembro del dominio de
origen, puede incluir el equipo miembro cuando realice la migración de los equipos y la cuenta de
servicio administrada se instalará en el equipo miembro del dominio de destino una vez migrado
el equipo.
100
Nota Importante
Migración del lote actual de usuarios mediante el complemento de ADMT
Comience el proceso de migración de cuentas de usuario migrando todos los usuarios. Esto le
ayudará a convertir los perfiles locales y garantizar que los usuarios continuarán teniendo acceso
a los recursos apropiados después de la migración.
Las cuentas integradas (como Administradores, Usuarios o Usuarios avanzados) no
pueden ser objetos de migración de la Herramienta de migración para Active Directory
(ADMT). Ya que los identificadores de seguridad (SID) de la cuenta integrada son
idénticos en todos los dominios, la migración de estas cuentas a un dominio de destino
provocará la duplicación de los SID en un dominio único. Cada SID de un dominio debe
ser exclusivo. Las cuentas conocidas (como Admins. del dominio y Usuarios del dominio)
tampoco pueden ser objetos de migración de ADMT.
El proceso de migración de cuentas de usuarios de ADMT incluye los siguientes pasos:
1. ADMT lee los atributos de los objetos de usuario de origen.
2. ADMT crea un nuevo objeto de usuario en el dominio de destino y un nuevo SID principal
para la nueva cuenta de usuario.
3. ADMT agrega el SID original de la cuenta de usuario al atributo del historial de SID de la
nueva cuenta de usuario.
4. ADMT migra la contraseña de la cuenta de usuario.
5. Si ADMT identifica los grupos globales del dominio de destino al que pertenecían los
usuarios migrados del dominio de destino, la herramienta agrega los usuarios a los grupos
globales apropiados del dominio de destino.
Durante la migración, los eventos de auditoría inician sesión en los dominios de destino y de
origen.
Puede migrar cuentas de usuario mediante el complemento de ADMT, la opción de línea de
comandos de ADMT o una secuencia de comandos. Si va a migrar cuentas de usuario que
tienen habilitada la seguridad del mecanismo de autenticación, use un archivo de inclusión. En el
archivo de inclusión, especifique los nombres principales de usuario (UPN) originales del dominio
de origen como UPN de destino para poder mantener en funcionamiento la seguridad del
mecanismo de autenticación. Para obtener más información acerca del uso de un archivo de
inclusión, consulte Uso de un archivo de inclusión.
Cuando inicie una migración de usuarios con el historial SID desde la línea de comandos
o desde una secuencia comandos, debe realizarla en un controlador de dominio del
dominio de destino.
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. Utilice el Asistente para migración de cuentas de usuario realizando los pasos de la tabla
siguiente.
101
Página del asistente Acción
102
Página del asistente Acción
103
Migración de cuentas de usuario mediante la opción de línea de comandos de ADMT
Importante
Cuando inicie una migración de usuarios con el historial SID desde la línea de
comandos, debe realizarla en un controlador de dominio del dominio de destino.
2. En la línea de comandos, escriba el comando ADMT User con los parámetros apropiados
y, a continuación, presione ENTRAR.
ADMT USER /N "<nombre_usuario1>" "<nombre_usuario2>" /SD:" <dominio_origen>"
/TD:" <dominio_destino>" /TO:"<unidad_organizativa_destino>" /MSS:YES /TRP:YES
/UUR:NO
La siguiente tabla enumera los parámetros comunes que se utilizan para migrar cuentas
de usuarios, junto con el parámetro de línea de comandos y los equivalentes de archivo
de opciones.
Ubicación / TargetOU="unidad_organizativa_destin
de la TO:"unidad_organizativa_destino o"
<Unidad "
organizativ
a de
destino>
104
Migración de cuentas de usuario mediante una secuencia de comandos
Prepare una secuencia de comandos que incorpore los comandos de ADMT y las
opciones para la migración de usuarios utilizando la siguiente secuencia de comandos
de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo
con la extensión .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
En su secuencia de comandos, especifique los nombres del contenedor de origen y de
destino en formato canónico relativo. Por ejemplo, si el contenedor es una unidad
organizativa secundaria denominada Ventas y su unidad organizativa principal se
denomina Oeste, especifique Oeste/Ventas como el nombre del contenedor. Para
obtener más información, consulte TemplateScripts.vbs en la carpeta de instalación de
ADMT.
<Job id=" MigratingAllUserAccountsBetweenForests" >
Option Explicit
105
Dim objMigration
Dim objUserMigration
'
'
'
'
objMigration.PasswordOption = admtComplexPassword
objMigration.ConflictOptions = admtIgnoreConflicting
'
'
objUserMigration.MigrateSIDs = True
objUserMigration.TranslateRoamingProfile = True
objUserMigration.UpdateUserRights = False
objUserMigration.FixGroupMembership = True
objUserMigration.MigrateServiceAccounts = False
'
106
'
</Script>
</Job>
107
Nota
Conversión de perfiles de usuarios locales mediante el complemento de ADMT
trabajo con Windows 2000 Server Service Pack 3 (SP3) o Service Pack 4 (SP4) y
Windows XP Service Pack 1 (SP1) o Service Pack 2 (SP2), así como en muchos paquetes de
software comunes) no funcione después de la conversión del perfil. Por ejemplo, puede que los
archivos ejecutables de la aplicación no se eliminen una vez que el último usuario quite la
aplicación. Cuando el Asistente para conversión de seguridad de ADMT convierta perfiles locales
en modo Reemplazar, volverá al modo Agregar si se bloquea un perfil. Puede resultar en una
conversión de perfil correcta. No obstante, es posible que las instalaciones de aplicación no
funcionen después de convertir el perfil.
La noche anterior a la notificación a los usuarios para que inicien sesión con sus nuevas
cuentas en el dominio de destino, convierta los perfiles de usuario local. La conversión
de los perfiles la noche antes garantiza que el nuevo perfil de usuario refleje la
configuración de usuario más actual.
Puede convertir los perfiles de usuario local mediante el complemento de ADMT, la opción de
línea de comandos de ADMT o una secuencia de comandos.
1. Para cada estación de trabajo del dominio de origen que migre, agregue la cuenta de
migración de recursos de ADMT al grupo de administradores locales.
2. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
3. Utilice el Asistente para la conversión de seguridad siguiendo los pasos de la tabla
siguiente.
4. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez
finalizado el asistente, haga clic en Ver registro de migración para ver la lista de
equipos, estado de conclusión y la ruta al archivo de registro para cada equipo. Si se
informa de un error en un equipo, tendrá que consultar el archivo de registro de dicho
equipo para revisar cualquier problema con los grupos locales. El archivo de registro de
cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta
Windows\ADMT\Logs\Agents.
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. En la línea de comandos, escriba el comando ADMT Security con los parámetros
apropiados y, a continuación, presione ENTRAR.
ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:" <dominio_origen>"
109
Conversión de perfiles de usuarios
/TD:" <dominio_destino>" /TO:" locales mediante una secuencia/TOT:Replace
<unidad_organizativa_destino>" de comandos
/TUP:YES
En la tabla siguiente se muestran los parámetros comunes que se utilizan para migrar
cuentas de usuario, junto con los parámetros de línea de comandos y los equivalentes
del archivo de opciones.
3. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez
finalizado el asistente, haga clic en Ver registro de migración para ver la lista de
equipos, estado de conclusión y la ruta al archivo de registro para cada equipo. Si se
informa de un error en un equipo, tendrá que consultar el archivo de registro de dicho
equipo para revisar cualquier problema con los grupos locales. El archivo de registro de
cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta
Windows\ADMT\Logs\Agents.
Prepare una secuencia de comandos que incorpore los comandos de ADMT y las
opciones para convertir perfiles de usuarios locales utilizando la siguiente secuencia de
comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el
archivo con la extensión .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" TranslatingLocalProfilesBetweenForests" >
Option Explicit
110
Dim objMigration
Dim objSecurityTranslation
'
'
'
'
objMigration.TargetOu = "Equipos"
'
'
objSecurityTranslation.TranslationOption = admtTranslateReplace
objSecurityTranslation.TranslateUserProfiles = True
'
'
objSecurityTranslation.Translate admtData, _
111
Nota
Migración
</Script> de estaciones de trabajo mediante el complemento de ADMT
</Job>
1. En el equipo del dominio de destino en el que instala ADMT, inicie sesión utilizando la
cuenta de migración de recursos de ADMT.
2. Utilice el Asistente para migración de equipos siguiendo los pasos de la tabla siguiente.
112
Página del asistente Acción
113
Migración de estaciones de trabajo mediante la opción de línea de comandos de ADMT
Página del asistente Acción
3. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez
finalizado el asistente, haga clic en Ver registro de migración para ver la lista de
equipos, estado de conclusión y la ruta al archivo de registro para cada equipo. Si se
informa de un error en un equipo, tendrá que consultar el archivo de registro de dicho
equipo para revisar cualquier problema con los grupos locales. El archivo de registro de
cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta
Windows\ADMT\Logs\Agents.
4. Abra Usuarios y equipos de Active Directory y compruebe que las estaciones de trabajo
existen en la unidad organizativa apropiada del dominio de destino.
1. En el equipo del dominio de destino en el que se instala ADMT, inicie sesión utilizando la
cuenta de migración de recursos de ADMT.
2. En la línea de comandos, escriba el comando ADMT Computer con los parámetros
apropiados y, a continuación, presione ENTRAR.
ADMT COMPUTER /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:"<dominio_origen>"
/TD:"<dominio_destino>" /TO:"<unidad_organizativa_destino>" [/M: “<nombre de
cuenta de servicio administrada 1>” “<nombre de cuenta de servicio administrada
2>”] [/UALLMSA:Yes] /RDL:5
114
La siguiente tabla enumera los parámetros comunes que se utilizan para migrar
estaciones de trabajo, junto con el parámetro de línea de comandos y los equivalentes
del archivo de opciones.
Ubicación de la / SourceOU="unidad_organizativa_o
<Unidad SO:"unidad_organizativa_ori rigen"
organizativa de gen"
origen>
Nota
El
paráme
tro /M
tiene
prefere
ncia
sobre
el
paráme
tro
/UALL
MSA.
Ubicación de la / TargetOU="unidad_organizativa_d
<Unidad TO:"unidad_organizativa_de estino"
organizativa de stino"
destino>
115
Migración de estaciones de trabajo mediante una secuencia de comandos
Prepare una secuencia de comandos que incorpore los comandos de ADMT y las
opciones para la migración de estaciones de trabajo utilizando la siguiente secuencia de
comandos Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con
la extensión .wsf en la misma carpeta que el archivo AdmtConstants.vbs..
<Job id="MigratingWorkstationsBwtweenForest" >
Option Explicit
Dim objMigration
Dim objComputerMigration
'
116
'
'
'
objMigration.SourceOu = "Equipos"
objMigration.TargetOu = "Equipos"
'
'
objComputerMigration.RestartDelay = 1
objComputerMigration.TranslationOption = admtTranslateAdd
objComputerMigration.TranslateLocalGroups = True
objComputerMigration.TranslateUserRights = True
objComputerMigration.UpdateAllManagedServiceAccounts = True
'
'
objComputerMigration.Migrate admtData, _
117
Importante
Migración del
Set objMigration = lote actual
Nothing de cuentas de usuario mediante el complemento de ADMT
</Script>
</Job>
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. Complete el Asistente para migración de cuentas de usuarios siguiendo los pasos de la
tabla siguiente.
118
Página del asistente Acción
119
Página del asistente Acción
3. Cuando el asistente haya terminado, haga clic en Ver registro y revise si hay errores en
el registro de migración.
4. Abra Usuarios y equipos de Active Directory y compruebe que las cuentas de usuarios
existen en la unidad organizativa apropiada del dominio de destino.
120
Migración del lote actual de usuarios mediante la opción de línea de comandos de
ADMT
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. En la línea de comandos, escriba el comando ADMT User con los parámetros
apropiados y, a continuación, presione ENTRAR.
ADMT USER /N "<nombre_usuario1>" "<nombre_usuario2>" /SD:" <dominio_origen>"
/TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /MSS:YES /TRP:YES
/UUR:YES
En la tabla siguiente se muestran los parámetros comunes que se utilizan para migrar
cuentas de usuario, junto con los parámetros de línea de comandos y los equivalentes
del archivo de opciones.
Ubicación / SourceOU="unidad_organizativa_origen
de la SO:"unidad_organizativa_origen" "
<Unidad
organizativ
a de
origen>
Ubicación / TargetOU="unidad_organizativa_destin
de la TO:"unidad_organizativa_destino o"
<Unidad "
organizativ
a de
destino>
121
Migración del lote actual
Parámetros Sintaxisde
decuentas
línea de de usuario mediante
comandos una
Sintaxis del secuencia de comandos
archivo de opciones
Prepare una secuencia de comandos que incorpore los comandos de ADMT y las
opciones para la migración de usuarios utilizando la siguiente secuencia de comandos
de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo
con la extensión .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id="MigratingUserAccountsInBatchesBetweenForests" >
Option Explicit
Dim objMigration
Dim objUserMigration
'
'
'
'
122
objMigration.SourceDomain = "dominio de origen"
objMigration.PasswordOption = admtCopyPassword
objMigration.ConflictOptions = admtReplaceConflicting
'
'
objUserMigration.SourceExpiration = 7
objUserMigration.MigrateSIDs = True
objUserMigration.TranslateRoamingProfile = True
objUserMigration.UpdateUserRights = True
objUserMigration.FixGroupMembership = True
objUserMigration.MigrateServiceAccounts = False
'
'
</Script>
</Job>
123
Importante
Nueva migración de grupos globales mediante el complemento de ADMT
Repetición de la migración de todos los grupos
globales después de la migración de cuenta de
usuario
Una migración de cuentas de usuarios de gran tamaño puede tener lugar durante un amplio
período de tiempo. Por este motivo, es posible que tenga que repetir la migración de grupos
globales desde el dominio de origen al de destino después de migrar cada lote de usuarios, para
reflejar los cambios realizados en la pertenencia de grupos del dominio de origen tras producirse
la migración inicial de grupo global. Para obtener más información y procedimientos para la
repetición de la migración de los grupos globales, consulte Repetición de la migración de todos
los grupos globales después de migrar todos los lotes, más adelante en esta guía.
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. Utilice el Asistente para migración de cuentas de grupo realizando los pasos de la tabla
siguientes:
124
Página del asistente Acción
125
Nueva migración de grupos globales mediante la opción de línea de comandos de
ADMT
3. Cuando haya finalizado la ejecución del asistente, haga clic en Ver registro y revise si
hay errores en el registro de migración.
4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa de destino.
Compruebe que los grupos globales existen en la unidad organizativa del dominio de
destino.
Importante
Cuando inicie una migración del grupo global con SID History desde la línea de
comandos, debe realizarla en un controlador de dominio del dominio de destino.
2. En la línea de comandos, escriba el comando ADMT Group con los parámetros apropiados
y, a continuación, presione ENTRAR.
ADMT GROUP /N "<nombre_grupo1>" "<nombre_grupo2>" /SD:" <dominio_origen>" /TD:"
<dominio de destino>" /TO:" <unidad organizativa de destino>" /MSS:YES /CO:REPLACE
En la tabla siguiente se muestran los parámetros comunes que se utilizan para migrar
126
Nueva migración
grupos de grupos
globales, universales
junto con mediante
los parámetros una
de línea desecuencia
comandosde comandos
y los equivalentes del
archivo de opciones.
Ubicación / SourceOU="unidad_organizativa_origen
de la SO:"unidad_organizativa_origen" "
<Unidad
organizativ
a de
origen>
Ubicación / TargetOU="unidad_organizativa_destin
de la TO:"unidad_organizativa_destino o"
<Unidad "
organizativ
a de
destino>
Prepare una secuencia de comandos que incorpore las opciones y comandos de ADMT
para migrar de grupos globales utilizando la siguiente secuencia de comandos de
muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la
extensión .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" RemigratingGlobalGroupsBetweenForests" >
127
Option Explicit
Dim objMigration
Dim objGroupMigration
'
'
'
'
objMigration.ConflictOptions = admtReplaceConflicting
'
'
objGroupMigration.MigrateSIDs = True
'
'
128
Set objGroupMigration = Nothing
</Script>
</Job>
129
5. Migre las estaciones de trabajo en lotes que correspondan a los lotes de cuentas de usuario.
6. Antes de migrar el lote de cuentas de usuarios, compruebe que la migración de la estación
de trabajo y el perfil local se ha realizado correctamente para todos los usuarios del lote. No
migre ninguna cuenta de usuario cuya migración de estación de trabajo o perfil haya dado
error, porque provocará que los usuarios sobrescriban sus perfiles existentes cuando inicien
sesión en el dominio de destino.
7. Vuelva a migrar las cuentas de usuario en lotes pequeños con las cuentas en el dominio de
origen definidas con un período de caducidad de siete días con las cuentas de destino
habilitadas, la migración de contraseña seleccionada y con todos los atributos seleccionados
para la migración.
8. Después de cada lote, vuelva a migrar todos los grupos para actualizar cualquier cambio de
pertenencia a grupos.
9. Una vez migrados todos los usuarios, ejecute una migración final de grupo global para
actualizar cualquier cambio de pertenencia a grupos.
10. Convierta la seguridad en modo Quitar para los archivos, recursos compartidos, impresoras,
grupos locales y grupos locales de dominios.
11. Notifique a los usuarios del lote para que inicien sesión en el nuevo dominio.
Hasta que migre todos los usuarios y cuentas de grupos, continúe administrando la pertenencia
a grupos globales en el dominio de origen.
La siguiente ilustración muestra los pasos que implica la migración de cuentas que no usa el
historial de SID para el acceso a los recursos.
130
Importante
131
Migración de cuentas de servicio administradas con el complemento ADMT
en otros equipos que no se están migrando, tendrá que ejecutar el Asistente para
conversión de seguridad en esos equipos y, en la página Opciones de conversión de
seguridad, seleccione Objetos previamente migrados o proporcione expresamente
las cuentas de servicio administradas en un archivo de asignación de SID. Para
obtener más información acerca de la conversión de seguridad, consulte Conversión
de seguridad en los servidores miembro.
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. En el complemento ADMT, haga clic en Acción y, a continuación, en Asistente para
migración de cuentas de servicio administradas.
3. Complete el Asistente para migración de cuentas de servicio administradas con la
información que se proporciona en la tabla siguiente.
132
Página del asistente Acción
133
Migración de cuentas de servicio administradas mediante la opción de línea de
comandos de ADMT
O bien
Haga clic en Leer objeto de un archivo
de inclusión y, a continuación, en
Siguiente. Escriba la ubicación del archivo
de inclusión y haga clic en Siguiente.
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. En la línea de comandos, escriba el siguiente comando y, a continuación, presione
ENTRAR:
ADMT MANAGEDSERVICEACCOUNT /N "<nombre_cuenta de servicio administrada1>"
134
"<nombre_cuenta de servicio administrada2>" /IF:NO /SD:"<dominio_origen>"
/TD:"<dominio_destino>" /UUR:YES /FGM:YES /MSS:YES
Nota
Sólo puede
migrar SID de
cuentas de
servicio
administradas
entre
bosques. Si
utiliza este
parámetro
durante una
migración
dentro del
mismo
bosque,
135
Nota
aparece un
error.
Si las cuentas de servicio administradas están hospedadas en equipos miembro del dominio de
origen, puede incluir el equipo miembro cuando realice la migración de los equipos y la cuenta de
servicio administrada se instalará en el equipo miembro del dominio de destino una vez migrado
el equipo.
136
Migración de cuentas de usuario mediante el complemento de ADMT
Puede migrar las cuentas de usuario mediante el complemento de ADMT, la opción de línea de
comandos de ADMT o una secuencia de comandos. Si va a migrar cuentas de usuario que
tienen habilitada la seguridad del mecanismo de autenticación, use un archivo de inclusión. En el
archivo de inclusión, especifique los nombres principales de usuario (UPN) originales del dominio
de origen como UPN de destino para poder mantener en funcionamiento la seguridad del
mecanismo de autenticación. Para obtener más información acerca del uso de un archivo de
inclusión, consulte Uso de un archivo de inclusión.
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. Utilice el Asistente para migración de cuentas de usuario realizando los pasos de la tabla
siguiente.
137
Página del asistente Acción
O bien
En el equipo del dominio de destino en el
que ADMT está instalado, inicie sesión con
la cuenta de migración de cuentas ADMT.
138
Migración de cuentas de usuario mediante la opción de línea de comandos de ADMT
3. Cuando el asistente termine, haga clic en Ver registro y revise si hay errores en el
registro de migración.
4. Abra Usuarios y equipos de Active Directory y compruebe que las cuentas de usuarios
existen en la unidad organizativa apropiada del dominio de destino.
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. En la línea de comandos, escriba el comando ADMT User con los parámetros apropiados
y, a continuación, presione ENTRAR:
ADMT USER /N "<nombre_usuario1>" "<nombre_usuario2>" /SD:" <dominio_origen>"
/TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /MSS:YES /TRP:YES
/UUR:YES
En la tabla siguiente se muestran los parámetros comunes que se utilizan para migrar
cuentas de usuario, junto con los parámetros de línea de comandos y los equivalentes
del archivo de opciones.
139
Migración de cuentas de usuario mediante una secuencia de comandos
de origen>
Ubicación / SourceOU="unidad_organizativa_origen
de la SO:"unidad_organizativa_origen" "
<Unidad
organizativ
a de
origen>
Ubicación / TargetOU="unidad_organizativa_destin
de la TO:"unidad_organizativa_destino o"
<Unidad "
organizativ
a de
destino>
Prepare una secuencia de comandos que incorpore los comandos de ADMT y las
opciones para la migración de usuarios utilizando la siguiente secuencia de comandos
de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo
140
con la extensión .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" MigratingAllUserAccountsBetweenForests" >
Option Explicit
Dim objMigration
Dim objUserMigration
'
'
'
'
objMigration.PasswordOption = admtComplexPassword
objMigration.ConflictOptions = admtIgnoreConflicting
'
'
objUserMigration.MigrateSIDs = True
objUserMigration.TranslateRoamingProfile = True
objUserMigration.UpdateUserRights = True
141
Conversión de seguridad en el modo Agregar en
objUserMigration.FixGroupMembership objetos mediante el complemento de
= True
ADMT
objUserMigration.MigrateServiceAccounts = False
'
'
</Script>
</Job>
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. Utilice el Asistente para la conversión de seguridad siguiendo los pasos de la tabla
siguiente.
142
Página del asistente Acción
migrados.
143
Conversión de seguridad en el modo Agregar en objetos mediante la opción de línea de
comandos de ADMT
3. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez
finalizado el asistente, haga clic en Ver registro de migración para ver la lista de
equipos, estado de conclusión y la ruta al archivo de registro para cada equipo. Si se
informa de un error en un equipo, tendrá que consultar el archivo de registro de dicho
equipo para revisar cualquier problema con los grupos locales. El archivo de registro de
cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta
Windows\ADMT\Logs\Agents.
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. En la línea de comandos, escriba el comando ADMT Security con los parámetros
apropiados y, a continuación, presione ENTRAR.
ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:" <dominio_origen>"
/TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /TOT:Add
En la tabla siguiente se muestran los parámetros comunes que se utilizan para migrar
cuentas de usuario, junto con los parámetros de línea de comandos y los equivalentes
del archivo de opciones.
3. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez
finalizado el asistente, haga clic en Ver registro de migración para ver la lista de
equipos, estado de conclusión y la ruta al archivo de registro para cada equipo. Si se
informa de un error en un equipo, tendrá que consultar el archivo de registro de dicho
equipo para revisar cualquier problema con los grupos locales. El archivo de registro de
cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta
Windows\ADMT\Logs\Agents.
144
Conversión de seguridad en modo Agregar en objetos mediante una secuencia de
comandos
Prepare una secuencia de comandos que incorpore los comandos de ADMT y las
opciones para convertir seguridad en modo Agregar en objetos utilizando la siguiente
secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de
notas y guarde el archivo con la extensión .wsf en la misma carpeta que el archivo
AdmtConstants.vbs.
<Job id=" TranslatingSecurityInAddModeOnObjectsBetweenForests" >
Option Explicit
Dim objMigration
Dim objSecurityTranslation
'
'
'
'
objMigration.TargetOu = "Equipos"
'
'
objSecurityTranslation.TranslationOption = admtTranslateAdd
145
objSecurityTranslation.TranslateFilesAndFolders = True
objSecurityTranslation.TranslateLocalGroups = True
objSecurityTranslation.TranslatePrinters = True
objSecurityTranslation.TranslateRegistry = True
objSecurityTranslation.TranslateShares = True
objSecurityTranslation.TranslateUserProfiles = False
objSecurityTranslation.TranslateUserRights = True
'
'
objSecurityTranslation.Translate admtData, _
</Script>
</Job>
146
Nota
Conversión de perfiles de usuarios locales mediante el complemento de ADMT
Conversión de perfiles de usuarios locales
La Herramienta de migración Active Directory (ADMT) convierte los perfiles para los objetos de
migración de equipo admitidos. Si desea obtener una lista de los sistemas operativos
compatibles para objetos de migración del equipo en las diferentes versiones de ADMT, consulte
Herramienta de migración Active Directory: versiones y entornos admitidos.
Los perfiles locales se convierten en modo Reemplazar porque si realiza la conversión del perfil
en modo Agregar, es posible que la instalación del software mediante la implementación del
software de la directiva de grupo no funcione. Es posible que cualquier aplicación incluida con
Windows Installer versión 2.0 (utilizada en las estaciones de trabajo con
Windows 2000 Server Service Pack 3 (SP3) o Service Pack 4 (SP4) y Windows XP Service
Pack 1 (SP1) o Service Pack 2 (SP2), y en muchos paquetes de software comunes) no funcione
después de la conversión del perfil. Cuando el Asistente para conversión de seguridad de ADMT
convierta perfiles locales en modo Reemplazar, volverá al modo Agregar si se bloquea un perfil.
Puede resultar en una conversión de perfil correcta. No obstante, es posible que las
instalaciones de aplicación no funcionen después de convertir el perfil.
Antes de iniciar la conversión de perfiles de usuarios locales, deje tiempo suficiente para que las
estaciones de trabajo se reinicien después de moverlas al dominio de destino. Tenga en cuenta
el factor de retraso de tiempo de ADMT (cinco minutos de forma predeterminada) más el tiempo
necesario para un ciclo de reinicio de su estación de trabajo.
La noche anterior a la notificación a los usuarios para que inicien sesión con sus nuevas
cuentas en el dominio de destino, convierta los perfiles de usuarios locales. La
conversión de los perfiles la noche antes garantiza que el nuevo perfil de usuario refleje
la configuración de usuario más actual.
Puede convertir los perfiles de usuarios locales mediante el complemento de ADMT, la opción de
línea de comandos de ADMT o una secuencia de comandos.
1. Para cada estación de trabajo del dominio de origen que migre, agregue la cuenta de
migración de recursos de ADMT al grupo de administradores locales.
2. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
3. Utilice el Asistente para la conversión de seguridad siguiendo los pasos de la tabla
siguiente.
4. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez
finalizado el asistente, haga clic en Ver registro de migración para ver la lista de
equipos, estado de conclusión y la ruta al archivo de registro para cada equipo. Si se
informa de un error en un equipo, tendrá que consultar el archivo de registro de dicho
equipo para revisar cualquier problema con los grupos locales. El archivo de registro de
cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta
148
Conversión de perfiles de usuarios locales mediante la opción de línea de comandos de
Windows\ADMT\Logs\Agents.
ADMT
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. En la línea de comandos, escriba el comando ADMT Security con los parámetros
apropiados y, a continuación, presione ENTRAR:
ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:" <dominio_origen>"
/TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /TOT:Replace
/TUP:YES
La siguiente tabla enumera los parámetros comunes que se utilizan para migrar cuentas
de usuarios, junto con el parámetro de línea de comandos y los equivalentes de archivo
de opciones.
3. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez
finalizado el asistente, haga clic en Ver registro de migración para ver la lista de
equipos, estado de conclusión y la ruta al archivo de registro para cada equipo. Si se
informa de un error en un equipo, tendrá que consultar el archivo de registro de dicho
equipo para revisar cualquier problema con los grupos locales. El archivo de registro de
cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta
Windows\ADMT\Logs\Agents.
149
Conversión de perfiles de usuarios locales mediante una secuencia de comandos
Prepare una secuencia de comandos que incorpore los comandos de ADMT y las
opciones para convertir perfiles de usuarios locales utilizando la siguiente secuencia de
comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el
archivo con la extensión .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" TranslatingLocalProfilesBetweenForests" >
Option Explicit
Dim objMigration
Dim objSecurityTranslation
'
'
'
'
objMigration.TargetOu = "Equipos"
'
'
objSecurityTranslation.TranslationOption = admtTranslateReplace
objSecurityTranslation.TranslateUserProfiles = True
150
Nota
Migración
' de estaciones de trabajo mediante el complemento de ADMT
'Realizar conversión de seguridad en objetos de equipo especificados.
'
objSecurityTranslation.Translate admtData, _
</Script>
</Job>
1. En el equipo del dominio de destino en el que instala ADMT, inicie sesión utilizando la
cuenta de migración de recursos de ADMT.
2. Utilice el Asistente para migración de equipos siguiendo los pasos de la tabla siguiente.
151
Página del asistente Acción
152
Página del asistente Acción
3. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez
finalizado el asistente, haga clic en Ver registro de migración para ver la lista de
equipos, estado de conclusión y la ruta al archivo de registro para cada equipo. Si se
informa de un error en un equipo, tendrá que consultar el archivo de registro de dicho
equipo para revisar cualquier problema con los grupos locales. El archivo de registro de
cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta
Windows\ADMT\Logs\Agents.
4. Abra Usuarios y equipos de Active Directory y compruebe que las estaciones de trabajo
existen en la unidad organizativa apropiada del dominio de destino.
153
Migración de estaciones de trabajo mediante la opción de línea de comandos de ADMT
1. En el equipo del dominio de destino en el que se instala ADMT, inicie sesión utilizando la
cuenta de migración de recursos de ADMT.
2. En la línea de comandos, escriba el comando ADMT Computer con los parámetros
apropiados y, a continuación, presione ENTRAR:
ADMT COMPUTER /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:"<dominio_origen>"
/TD:"<dominio_destino>" /TO:"<unidad_organizativa_destino>" [/M: “<nombre de
cuenta de servicio administrada 1>” “<nombre de cuenta de servicio administrada
2>”] [/UALLMSA:Yes] /RDL:5
La siguiente tabla enumera los parámetros comunes que se utilizan para la migración de
estaciones de trabajo, junto con el parámetro de línea de comandos y los equivalentes
de archivo de opciones.
Ubicación de la / SourceOU="unidad_organizativa_o
<Unidad SO:"unidad_organizativa_ori rigen"
organizativa de gen"
origen>
Nota
El
paráme
tro /M
tiene
prefere
154
Migración de estaciones de trabajo mediante una secuencia de comandos
ncia
sobre
el
paráme
tro
/UALL
MSA.
Ubicación de la / TargetOU="unidad_organizativa_d
<Unidad TO:"unidad_organizativa_de estino"
organizativa de stino"
destino>
Prepare una secuencia de comandos que incorpore los comandos de ADMT y las
opciones para la migración de estaciones de trabajo utilizando la siguiente secuencia de
comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el
archivo con la extensión .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id="MigratingWorkstationsBwtweenForest" >
155
<Script language="VBScript" src="AdmtConstants.vbs" />
Option Explicit
Dim objMigration
Dim objComputerMigration
'
'
'
'
objMigration.SourceOu = "Equipos"
objMigration.TargetOu = "Equipos"
'
'
objComputerMigration.RestartDelay = 1
objComputerMigration.TranslationOption = admtTranslateAdd
objComputerMigration.TranslateLocalGroups = True
objComputerMigration.TranslateUserRights = True
objComputerMigration.UpdateAllManagedServiceAccounts = True
156
Repetición'de la migración del lote actual de cuentas de usuario mediante el
complemento de ADMT
'Migrar objetos de equipo en objetos de equipo especificados.
'
objComputerMigration.Migrate admtData, _
</Script>
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. Utilice el Asistente para migración de cuentas de usuario siguiendo los pasos de la tabla
siguiente.
157
Página del asistente Acción
controlador de dominio.
En la opción Destino de la lista
desplegable Dominio, escriba o
seleccione el nombre de DNS o NetBIOS
del dominio de destino. En la lista
desplegable Controlador de dominio,
escriba o seleccione el nombre del
controlador de dominio o seleccione
Cualquier controlador de dominio y, a
continuación, haga clic en Siguiente.
158
Página del asistente Acción
3. Cuando el asistente termine, haga clic en Ver registro y revise si hay errores en el
registro de migración.
4. Abra Usuarios y equipos de Active Directory y compruebe que las cuentas de usuarios
159
Repetición
existende
enlalamigración del lote actual
unidad organizativa de usuarios
apropiada mediante
del dominio la opción de línea de
de destino.
comandos de ADMT
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. En la línea de comandos, escriba el comando ADMT User con los parámetros apropiados
y, a continuación, presione ENTRAR:
ADMT USER /N "<nombre_usuario1>" "<nombre_usuario2>" /SD:" <dominio_origen>"
/TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /MSS:YES /TRP:YES
/UUR:YES
En la tabla siguiente se muestran los parámetros comunes que se utilizan para migrar
cuentas de usuario, junto con los parámetros de línea de comandos y los equivalentes
del archivo de opciones.
Ubicación / SourceOU="unidad_organizativa_origen
de la SO:"unidad_organizativa_origen" "
<Unidad
organizativ
a de
origen>
Ubicación / TargetOU="unidad_organizativa_destin
de la TO:"unidad_organizativa_destino o"
<Unidad "
organizativ
a de
destino>
160
Repetición de la migración del lote actual de cuentas de usuario mediante una
secuencia de comandos
Prepare una secuencia de comandos que incorpore los comandos de ADMT y las
opciones para la migración de usuarios utilizando la siguiente secuencia de comandos
de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo
con la extensión .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id="MigratingUserAccountsInBatchesBetweenForests" >
Option Explicit
Dim objMigration
Dim objUserMigration
'
'
161
Set objUserMigration = objMigration.CreateUserMigration
'
'
objMigration.PasswordOption = admtCopyPassword
objMigration.ConflictOptions = admtReplaceConflicting
'
'
objUserMigration.SourceExpiration = 7
objUserMigration.MigrateSIDs = True
objUserMigration.TranslateRoamingProfile = True
objUserMigration.UpdateUserRights = False
objUserMigration.FixGroupMembership = True
objUserMigration.MigrateServiceAccounts = False
'
'
</Script>
</Job>
162
Nueva migración de grupos globales mediante el complemento de ADMT
Repetición de la migración de todos los grupos
globales después de la migración de cuenta de
usuario
Una migración de cuentas de usuarios de gran tamaño puede tener lugar durante un amplio
período de tiempo. Por este motivo, es posible que tenga que repetir la migración de los grupos
globales desde el dominio de origen al de destino después de migrar cada lote de usuarios. El
objetivo es reflejar los cambios realizados en la pertenencia a un grupo del dominio de origen
después de la migración inicial de grupos globales. Para obtener más información y
procedimientos para la repetición de la migración de los grupos globales, consulte Repetición de
la migración de todos los grupos globales después de migrar todos los lotes, más adelante en
esta guía.
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. Utilice el Asistente para migración de cuentas de grupo realizando los pasos de la tabla
siguientes:
163
Página del asistente Acción
164
Nueva migración de grupos globales mediante la opción de línea de comandos de
ADMT
pertenencia al grupo.
Active la casilla de verificación Migrar SID
de grupo al dominio de destino.
3. Cuando haya finalizado la ejecución del asistente, haga clic en Ver registro y revise si
hay errores en el registro de migración.
4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa de destino.
Compruebe que los grupos globales existen en la unidad organizativa del dominio de
destino.
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. En la línea de comandos, escriba el comando ADMT Group con los parámetros apropiados
y, a continuación, presione ENTRAR:
ADMT GROUP /N "<nombre_grupo1>" "<nombre_grupo2>" /SD:" <dominio_origen>" /TD:"
<dominio de destino>" /TO:" <unidad organizativa de destino>" /MSS:YES /CO:REPLACE
En la tabla siguiente se muestran los parámetros comunes que se utilizan para migrar
grupos globales, junto con los parámetros de línea de comandos y los equivalentes del
archivo de opciones.
165
Nueva migración de grupos universales mediante una secuencia de comandos
Ubicación / SourceOU="unidad_organizativa_origen
de la SO:"unidad_organizativa_origen" "
<Unidad
organizativ
a de
origen>
Ubicación / TargetOU="unidad_organizativa_destin
de la TO:"unidad_organizativa_destino o"
<Unidad "
organizativ
a de
destino>
Prepare una secuencia de comandos que incorpore las opciones y comandos de ADMT
para migrar grupos globales utilizando la siguiente secuencia de comandos de muestra.
Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la
extensión .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" RemigratingGlobalGroupsBetweenForests" >
Option Explicit
166
Dim objMigration
Dim objGroupMigration
'
'
'
'
objMigration.ConflictOptions = admtReplaceConflicting
'
'
objGroupMigration.MigrateSIDs = True
'
'
167
Conversión deobjGroupMigration
Set seguridad en modo Quitar en objetos mediante el complemento de
= Nothing
ADMT
Set objMigration = Nothing
</Script>
</Job>
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. Utilice el Asistente para la conversión de seguridad siguiendo los pasos de la tabla
siguiente.
168
Conversión de seguridad en modo Quitar en objetos mediante la opción de línea de
comandos de ADMT
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. En la línea de comandos, escriba el comando ADMT Security con los parámetros
apropiados y, a continuación, presione ENTRAR:
ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:" <dominio_origen>"
/TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /TOT:Remove
169
Para en
convertir
la líneala
deseguridad
comandos,endemodo Quitar
la manera en objetos mediante una secuencia de
siguiente:
comandos
ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /O "<archivo_opción>.txt"
En la tabla siguiente se muestran los parámetros comunes que se utilizan para migrar
cuentas de usuario, junto con los parámetros de línea de comandos y los equivalentes
del archivo de opciones.
3. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez
finalizado el Asistente, haga clic en Ver registro de migración para ver la lista de
equipos, estado de conclusión y la ruta al archivo de registro para cada equipo. Si se
informa de un error en un equipo, tendrá que consultar el archivo de registro de dicho
equipo para revisar cualquier problema con los grupos locales. El archivo de registro de
cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta
Windows\ADMT\Logs\Agents.
Prepare una secuencia de comandos que incorpore los comandos y opciones de ADMT
para convertir la seguridad en modo Quitar en objetos mediante la siguiente secuencia
de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde
el archivo con la extensión .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" TranslatingSecurityInRemoveModeOnObjectsBetweenForests" >
Option Explicit
Dim objMigration
Dim objSecurityTranslation
'
170
'
'
'
objMigration.TargetOu = "Equipos"
'
'
objSecurityTranslation.TranslationOption = admtTranslateRemove
objSecurityTranslation.TranslateFilesAndFolders = True
objSecurityTranslation.TranslateLocalGroups = True
objSecurityTranslation.TranslatePrinters = True
objSecurityTranslation.TranslateRegistry = True
objSecurityTranslation.TranslateShares = True
objSecurityTranslation.TranslateUserProfiles = False
objSecurityTranslation.TranslateUserRights = True
'
'
objSecurityTranslation.Translate admtData, _
171
Set objMigration = Nothing
</Script>
</Job>
Migración de recursos
Afecta a: Herramienta de migración Active Directory 3.1 (ADMT 3.1) y ADMT 3.2
El proceso de la migración de recursos entre los dominios de Active Directory en distintos
bosques implica la finalización de la migración de lo siguiente:
Cuentas de estaciones de trabajo y servidores miembro
Grupos locales del dominio y compartidos
Controladores de dominio
Una vez migrados correctamente todos los objetos de recursos al dominio de destino, puede dar
de baja el dominio de origen.
En la ilustración siguiente se muestra el proceso para la migración de objetos de recursos entre
los dominios de Active Directory en distintos bosques.
172
Nota
Migración de estaciones de trabajo y servidores miembro mediante el complemento de
ADMT
1. En el equipo del dominio de destino en el que instala ADMT, inicie sesión utilizando la
cuenta de migración de recursos de ADMT.
2. Utilice el Asistente para migración de cuentas de equipo siguiendo los pasos de la tabla
siguiente.
173
Página del asistente Acción
174
Migración de estaciones de trabajo y servidores miembro mediante la opción de línea
de comandos de ADMT
3. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez
finalizado el Asistente, haga clic en Ver registro de migración para ver la lista de
equipos, estado de conclusión y la ruta al archivo de registro para cada equipo. Si se
informa de un error en un equipo, tendrá que consultar el archivo de registro de dicho
equipo para revisar cualquier problema con los grupos locales. El archivo de registro de
cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta
Windows\ADMT\Logs\Agents.
4. Abra Usuarios y equipos de Active Directory y compruebe que las estaciones de trabajo
existen en la unidad organizativa apropiada del dominio de destino.
1. En el equipo del dominio de destino en el que se instala ADMT, inicie sesión utilizando la
cuenta de migración de recursos de ADMT.
175
2. En la línea de comandos, escriba el comando ADMT Computer con los parámetros
apropiados y, a continuación, presione ENTRAR:
ADMT COMPUTER /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:"<dominio_origen>"
/TD:"<dominio_destino>" /TO:"<unidad_organizativa_destino>" [/M: “<nombre de
cuenta de servicio administrada 1>” “<nombre de cuenta de servicio administrada
2>”] [/UALLMSA:Yes] /RDL:5
La siguiente tabla enumera los parámetros comunes que se utilizan para migrar
estaciones de trabajo, junto con el parámetro de línea de comandos y los equivalentes
del archivo de opciones.
Ubicación de la / SourceOU="unidad_organizativa_o
<Unidad SO:"unidad_organizativa_ori rigen"
organizativa de gen"
origen>
Nota
El
paráme
tro /M
tiene
prefere
ncia
sobre
el
paráme
176
Migración de estaciones de trabajo y servidores miembro mediante una secuencia de
comandos
tro
/UALL
MSA.
Ubicación de la / TargetOU="unidad_organizativa_d
<Unidad TO:"unidad_organizativa_de estino"
organizativa de stino"
destino>
Prepare una secuencia de comandos que incorpore las opciones y comandos de ADMT
para migrar estaciones de trabajo y servidores miembro utilizando la siguiente secuencia
de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde
el archivo con la extensión .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id="MigratingWorkstationsMemberServersBetweenForests" >
177
<Script language="VBScript" >
Option Explicit
Dim objMigration
Dim objComputerMigration
'
'
'
'
objMigration.SourceOu = "Equipos"
objMigration.TargetOu = "Equipos"
'
'
objComputerMigration.RestartDelay = 1
objComputerMigration.TranslationOption = admtTranslateAdd
objComputerMigration.TranslateLocalGroups = True
objComputerMigration.TranslateUserRights = True
objComputerMigration.UpdateAllManagedServiceAccounts = True
'
178
Migración 'Migrar
de grupos locales
objetos de compartidos y de dominios
equipo en objetos de equipomediante el complemento de
especificados.
ADMT
'
objComputerMigration.Migrate admtData, _
</Script>
</Job>
1. En el equipo del dominio de destino en el que instala ADMT, inicie sesión utilizando la
cuenta de migración de recursos de ADMT.
2. Utilice el Asistente para migración de cuentas de grupo realizando los pasos de la tabla
siguiente.
179
Página del asistente Acción
180
Migración de grupos locales compartidos y de dominios mediante una secuencia de
comandos
3. Cuando el asistente finalice su ejecución, haga clic en Ver registro. Revise si hay
errores en el registro de migración.
4. Abra Usuarios y equipos de Active Directory, busque la unidad organizativa de destino y,
a continuación, compruebe que los grupos locales compartidos existen en la unidad
organizativa del dominio de destino.
Prepare una secuencia de comandos que incorpore los comandos de ADMT y las
opciones para la migración de grupos locales compartidos y de dominios utilizando la
siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el
Bloc de notas y guarde el archivo con la extensión .wsf en la misma carpeta que el
archivo AdmtConstants.vbs.
<Job id=" MigratingDomainAndSharedLocalGroupsBetweenForests" >
Option Explicit
Dim objMigration
Dim objGroupMigration
181
'
'
'
'
'
'
objGroupMigration.MigrateSIDs = True
'
'
objGroupMigration.Migrate admtData, _
</Script>
</Job>
182
Migración de controladores de dominio
Afecta a: Herramienta de migración Active Directory 3.1 (ADMT 3.1) y ADMT 3.2
En Active Directory o en los Servicios de dominio de Active Directory (AD DS), puede migrar
controladores de dominio entre dominios. Para ello, debe realizar las siguientes acciones:
Quitar Active Directory o AD DS del controlador de dominio.
Migrar el controlador de dominio como servidor miembro al dominio de destino.
Reinstalar Active Directory o AD DS.
Si el servidor ejecuta Windows 2000 Server, no podrá instalar Active Directory o AD DS en el
dominio de destino si éste ya está en el nivel funcional de Windows Server 2003. En este caso,
debe actualizar el servidor a Windows Server 2003 antes de instalar Active Directory o AD DS.
Los mismos pasos que se requieren para migrar un RODC son necesarios para migrar un
controlador de dominio de escritura.
Finalización de la migración
Afecta a: Herramienta de migración Active Directory 3.1 (ADMT 3.1) y ADMT 3.2
Después de migrar todas las cuentas y recursos del dominio de origen al de destino, realice las
siguientes tareas para completar el proceso de reestructuración:
Transfiera la administración de cuentas de usuario y cuentas de grupo del dominio de origen
al de destino.
Asegúrese de que, al menos, dos controladores de dominio siguen funcionando en el
dominio de origen hasta que el proceso de migración de recursos haya terminado.
Haga una copia de seguridad de los dos controladores de dominio en el dominio de origen.
Una vez complete estos pasos, puede convertir la seguridad en los servidores miembros del
dominio de destino y dar de baja el dominio de origen. La siguiente ilustración muestra el
proceso para completar la migración de dominios de Active Directory entre bosques.
183
Conversión de seguridad en los servidores
miembro
Afecta a: Herramienta de migración Active Directory 3.1 (ADMT 3.1) y ADMT 3.2
Convierta la seguridad de los servidores de miembro para limpiar las listas de control de acceso
(ACL) de los recursos. Tras la migración de los objetos al dominio de destino, los recursos
contienen entradas de listas ACL de los objetos del dominio de origen. Si usa el historial de
identificadores de seguridad (SID) para proporcionar acceso a los recursos durante la migración,
los SID del dominio de origen permanecen en las listas ACL de manera que los usuarios pueden
tener acceso a los recursos durante el proceso de migración. Después de finalizar la migración,
los SID del dominio de origen ya no son necesarios. Use el Asistente para conversión de
seguridad de la Herramienta de migración para Active Directory (ADMT) para reemplazar los SID
del dominio de origen por los SID del dominio de destino.
No tiene que realizar este procedimiento si no utiliza el historial de SID para el acceso a los
recursos, puesto que ya debería haber ejecutado la conversión de seguridad en modo Quitar
después de la migración de usuarios.
Puede convertir la seguridad de los servidores miembro mediante el complemento de ADMT, la
opción de línea de comandos de ADMT o una secuencia de comandos.
184
Conversión de seguridad en los servidores miembro mediante el complemento de
ADMT
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. Utilice el Asistente para la conversión de seguridad siguiendo los pasos de la tabla
siguiente.
185
Conversión de seguridad en los servidores miembro mediante la opción de línea de
comandos de ADMT
Perfiles de usuarios.
Seleccione todas las demás opciones.
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. En la línea de comandos, escriba el comando ADMT Security con los parámetros
apropiados y, a continuación, presione ENTRAR:
ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:" <dominio_origen>"
/TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /TOT:Replace
La siguiente tabla enumera los parámetros comunes que se utilizan para migrar cuentas
de usuarios, junto con el parámetro de línea de comandos y los equivalentes de archivo
de opciones.
3. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez
finalizado el asistente, haga clic en Ver registro de migración para ver la lista de
equipos, estado de conclusión y la ruta al archivo de registro para cada equipo. Si se
informa de un error en un equipo, tendrá que consultar el archivo de registro de dicho
equipo para revisar cualquier problema con los grupos locales. El archivo de registro de
cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta
Windows\ADMT\Logs\Agents.
186
Conversión de seguridad en servidores miembro mediante una secuencia de comandos
Prepare una secuencia de comandos que incorpore los comandos de ADMT y las
opciones para convertir la seguridad en los servidores miembro mediante la siguiente
secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de
notas y guarde el archivo con la extensión .wsf en la misma carpeta que el archivo
AdmtConstants.vbs.
<Job id=" TranslatingSecurityOnMemberServersBetweenForests" >
Option Explicit
Dim objMigration
Dim objSecurityTranslation
'
'
'
'
objMigration.TargetOu = "Equipos"
'
'
objSecurityTranslation.TranslationOption = admtTranslateReplace
objSecurityTranslation.TranslateFilesAndFolders = True
187
Para dar de baja el dominio de origen
objSecurityTranslation.TranslateLocalGroups = True
objSecurityTranslation.TranslatePrinters = True
objSecurityTranslation.TranslateRegistry = True
objSecurityTranslation.TranslateShares = True
objSecurityTranslation.TranslateUserProfiles = False
objSecurityTranslation.TranslateUserRights = True
'
'
objSecurityTranslation.Translate admtData, _
</Script>
</Job>
Nota
Cuando dé de baja el dominio de origen, los grupos locales compartidos y los
188
grupos locales que no ha convertido usando el Asistente para conversión de
seguridad mostrarán los miembros de grupo como "cuenta desconocida". Esto
es debido a que los nombres de los miembros del dominio de origen no se
resuelven. Sin embargo esta pertenencia al grupo todavía existe y esto no afecta
a los usuarios. No elimine las entradas de la "cuenta desconocida" porque esto
deshabilita el acceso que se facilita por el historial de identificadores de
seguridad (SID). Ejecute al Asistente para la conversión de seguridad para quitar
estas entradas.
189
Si cambia con frecuencia la asignación de usuarios a diferentes dominios, también puede migrar
objetos entre dominios con regularidad. La reestructuración de los dominios de Active Directory
dentro de un bosque es diferente a la migración entre bosques y requiere un atento
planeamiento y realización de pruebas.
Tarea Referencia
Para migrar equipos que ejecuten Para obtener más información acerca
Windows Server® 2008, Windows Server 2003, de cómo realizar cambios mediante la
Windows Vista® (sin Service Pack 1(SP1)), Windows directiva de grupo, consulte "Problemas
XP y Microsoft® Windows 2000 (utilizando ADMT 3.1) a conocidos de instalación y eliminación
un dominio de destino con controladores de dominio de AD DS"
que ejecuten Windows Server 2008 R2 o Windows (http://go.microsoft.com/fwlink/?
Server 2008, debe configurar primero la siguiente clave LinkId=119321).
del Registro en los controladores de dominio de
destino:
Nota
No es necesario configurar esta clave para
migrar los equipos que ejecuten
Windows Vista SP1, Windows 7 o Windows
Server 2008 R2.
Ruta de Registro:
HKLM\System\CurrentControlSet\Services\Netlogon
\Parameters
Valor del Registro: AllowNT4Crypto
Tipo: REG_DWORD
Datos: 1
Nota
Esta configuración de registro corresponde a la
configuración Permitir algoritmos de cifrado
con Windows NT 4.0 en la directiva de grupo.
Para cualquier tarea de migración que use la Para obtener más información,
implementación de agente y el Firewall de Windows, consulte "Habilitar o deshabilitar la
habilite la excepción Compartir impresoras y archivos. regla de excepción de uso compartido
Esto puede incluir la migración en las siguientes de archivos e impresoras"
situaciones: (http://go.microsoft.com/fwlink/?
Migración de equipos de estación de trabajo y LinkID=119315).
servidores miembro que se ejecutan en Windows
Server 2008 R2, Windows Server 2008, Windows 7
190
Tarea Referencia
o Windows Vista
Migración de configuración de seguridad o
conversión de seguridad
191
Tarea Referencia
Migre los grupos locales de dominios usando el Migrar grupos locales de dominios
Asistente para migración de cuentas de grupo o la
herramienta de línea de comandos admt group.
Introducción a la reestructuración de
dominios de Active Directory dentro de un
bosque mediante
Afecta a: Herramienta de migración Active Directory 3.1 (ADMT 3.1) y ADMT 3.2
El diseño de Active Directory más eficaz incluye el menor número posible de dominios. Al
minimizar el número de dominios en su bosque, puede reducir los costos administrativos y
aumentar la eficacia de su organización.
Es posible que tenga que reestructurar los dominios de su bosque si, por ejemplo, su
organización cierra una ubicación de oficina regional y el dominio regional de dicha ubicación ya
no se necesita. Para simplificar su estructura lógica de Active Directory, en los siguientes casos,
también podrá reestructurar dominios en su bosque:
Si ha actualizado su infraestructura de red.
Si ha aumentado el ancho de banda de red y la capacidad de replicación.
El proceso de reestructuración de los dominios de Active Directory en un bosque es similar al
proceso de migración de cuentas entre dominios. Cuando migra cuentas y recursos entre
dominios, migra objetos del dominio de origen al de destino sin dar de baja el dominio de origen.
Al reestructurar dominios de Active Directory, elimina el dominio de origen del bosque después
de completar la migración de todos los objetos de dominio.
Antes de comenzar el proceso de reestructuración de los dominios de Active Directory de un
bosque, asegúrese de que los dominios de origen y de destino operen en el nivel funcional
mínimo de dominio que es necesario para la versión de ADMT que vaya a utilizar. Si utiliza ADMT
192
v3.1, el nivel funcional mínimo de dominio es Windows 2000 nativo. Si utiliza ADMT v3.2, el nivel
funcional mínimo de dominio es Windows Server 2003.
Una vez completado el proceso de reestructuración de los dominios de Active Directory en un
bosque, puede dar de baja el dominio de origen para ayudar a reducir la sobrecarga y simplificar
la administración del nivel funcional del dominio en su organización.
193
Nota
En el caso de la migración dentro de un mismo bosque, las cuentas del equipo se tratan
de forma diferente que las cuentas de grupos y usuarios. Para facilitar la reversión, se
crea una nueva cuenta de equipo en el dominio de destino y la cuenta del equipo de
origen permanece habilitada en el dominio de origen tras la migración.
Además, la migración de cuentas de usuario, recursos y grupos requiere una consideración
especial cuando reestructura los dominios de Active Directory dentro de un bosque debido a las
reglas de contención que se aplican a los grupos de Active Directory. Por estos motivos, el
desafío cuando se reestructuran dominios de Active Directory en un bosque es asegurar que los
usuarios tienen un acceso continuo a los recursos durante el proceso de migración.
Usuarios y grupos
El primer tipo de conjunto cerrado incluye lo siguiente:
Cuentas de usuario
Todos los grupos globales a los que pertenecen los usuarios
Todos los demás miembros de los grupos globales
Los grupos globales están limitados a los miembros del dominio donde existen los grupos
globales. Por tanto, si migra una cuenta de usuario a un nuevo dominio pero no migra los grupos
globales a los que pertenece el usuario, éste dejará de ser un miembro válido de dichos grupos
globales y no podrá tener acceso a los recursos que están basados en la pertenencia a esos
grupos globales. Por consiguiente, cuando esté desplazando cuentas entre dominios en un
bosque, es necesario desplazar los conjuntos cerrados para que los usuarios conserven el
acceso a esos recursos.
Aunque las cuentas incorporadas (como administradores, usuarios y usuarios avanzados) y las
cuentas conocidas (como administradores de dominio y usuarios de dominio) no pueden ser
objetos de migración de la Herramienta de migración para Active Directory (ADMT), la migración
de esos grupos en conjuntos cerrados no es un problema común. Su utilización en listas de
control de acceso (ACL) o la pertenencia a grupos locales de dominio no es una forma eficaz de
asignar permisos de recursos.
Cuando se migran usuarios, ADMT convierte al usuario en miembro del grupo de usuarios de
dominio del dominio de destino. Sin embargo, no mantiene los permisos de otros grupos
incorporados (como operadores de servidor y operadores de copias de seguridad) o de grupos
conocidos (como administradores de dominio). Si tiene grupos incorporados o conocidos a los
que asignar permisos de recursos, debe reasignar esos permisos a un nuevo grupo local de
194
Nota
195
agrega todos los usuarios migrados a la copia de dicho grupo. Este grupo tiene un nuevo
SID y ningún historial de SID. Este método no conserva el acceso a los recursos a no ser
que se ejecute el Asistente para conversión de seguridad de ADMT en modo Agregar
para actualizar los permisos, lo que retrasa y complica el proceso de migración. Por este
motivo, no recomendamos reestructurar dominios que están funcionando en el nivel
funcional de Windows 2000 mixto o en el nivel funcional de dominio provisional de
Windows Server 2003.
Historial de SID
El historial de SID le ayuda a mantener el acceso del usuario a los recursos durante el proceso
de reestructuración de dominios de Active Directory. Cuando migra un objeto a otro dominio, al
objeto se le asigna un nuevo SID. Como asigna permisos a objetos basados en SID, cuando el
SID cambia, el usuario pierde el acceso a ese recurso hasta que se puedan reasignar los
permisos. Cuando usa ADMT para migrar objetos entre dominios del mismo bosque, el historial
de SID se conserva automáticamente. De esta forma, el SID del dominio de origen permanece
como un atributo del objeto después de que éste migre al dominio de destino.
Por ejemplo, una organización que está reestructurando sus dominios de Active Directory
desplaza los grupos universales y globales de un dominio de origen a un dominio de destino
antes de mover las cuentas de usuario. Como es una migración dentro de un bosque y el nivel
funcional del dominio de origen es Windows 2000 nativo, estos grupos dejan de existir en el
dominio de origen y sólo existen en el dominio de destino. Como se migra el historial de SID de
usuarios y grupos, los usuarios siguen teniendo acceso a los recursos del dominio de origen
basándose en su pertenencia a un grupo que existe en el dominio de destino.
196
2. Colocar grupos globales dentro de grupos locales de dominio
3. Asignar permisos a los grupos locales de dominio
La asignación de permisos a recursos simplifica así el proceso de migración.
197
Evaluación de la nueva estructura de bosque
de Active Directory
Afecta a: Herramienta de migración Active Directory 3.1 (ADMT 3.1) y ADMT 3.2
Evalúe la estructura de dominio de su bosque de Active Directory existente y, a continuación,
identifique los dominios que desea reestructurar consolidándolos con otros dominios. También
deberá:
Identificar los dominios de origen desde los que migra objetos.
Identificar y evaluar la estructura de unidad organizativa (OU) del dominio de destino en el
que ubicará esos objetos.
198
Identificar los dominios de origen
Los dominios de origen son aquéllos desde los que desea migrar objetos y que planea dar de
baja. Cuando reestructura los dominios de Active Directory, lo mejor es migrar el menor número
posible de objetos. Cuando selecciona dominios de origen, identifique los dominios que tienen
menos objetos que migrar.
199
grupo y usuario) (DSSREER_1.doc) en la descarga
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services de Job Aids for
Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/?LinkId=14384).
La siguiente ilustración muestra un ejemplo de una tabla de asignación de objetos para usuarios
y grupos.
Para crear una tabla de asignación de objetos de recursos, identifique las unidades organizativas
de origen y destino para cada objeto y observe la ubicación física y la función en el dominio de
destino. Para obtener una hoja de cálculo para ayudarle a crear una tabla de asignación de
objetos de recursos, consulte "Resource Object Assignment Table" (Tabla de asignación de
objetos de recursos) (DSSREER_2.doc) en la descarga
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services de Job Aids for
Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/?LinkId=14384).
La siguiente ilustración muestra un ejemplo de una tabla de asignación de objetos de recursos.
200
Plan para la migración de grupos
Afecta a: Herramienta de migración Active Directory 3.1 (ADMT 3.1) y ADMT 3.2
A no ser que pueda identificar conjuntos cerrados al reestructurar dominios de Active Directory
dentro de un bosque, debería migrar grupos y usuarios por separado. De esta forma se asegura
de que los usuarios continúan teniendo acceso a los recursos requeridos.
En la tabla siguiente se enumera cada tipo de grupo y dónde se ubica físicamente.
201
Cada tipo de grupo se migra de forma diferente en función de la ubicación física del grupo y de
sus reglas para la pertenencia al grupo. Puede migrar los grupos universales y los grupos
globales usando la Herramienta de migración para Active Directory (ADMT). Puede
transformarlos en grupos universales durante la duración de la migración, si no está migrando
conjuntos cerrados. Puede actualizar la pertenencia a grupos locales del equipo usando el
Asistente para la conversión de seguridad.
Cada tipo de grupo tiene reglas diferentes para la pertenencia y cada tipo de grupo sirve para un
propósito diferente. Esto afecta al orden de migración de los grupos de los dominios de origen a
los de destino. En la tabla siguiente se resumen los grupos y sus reglas de pertenencia.
202
Plan para migraciones de prueba
Afecta a: Herramienta de migración Active Directory 3.1 (ADMT 3.1) y ADMT 3.2
La Herramienta de migración Active Directory (ADTM) no incluye una opción de migración de
prueba. Desarrolle un plan de prueba para ayudarle a la comprobación sistemática de cada
objeto después de migrarlo al nuevo entorno y a la identificación y corrección de cualquier
problema que pueda surgir. La comprobación de que la migración se ha realizado correctamente
le ayuda a asegurar que los usuarios que se migran del dominio de origen al de destino puedan
iniciar sesión, tener acceso a los recursos en base a la pertenencia a un grupo y tener acceso a
los recursos en base a sus credenciales de usuario. La comprobación también le ayuda a
asegurar que los usuarios puedan obtener acceso a los recursos que migre.
Una vez completada la comprobación, puede seguir con la migración de pequeños grupos piloto
y, a continuación, ir aumentando gradualmente el tamaño de cada lote de objetos de migración
en su entorno de producción.
Utilice el siguiente proceso para comprobar la migración de su objeto de cuenta y objetos de
recursos:
1. Cree un usuario de prueba en el dominio de origen. Incluya este usuario de prueba en sus
migraciones.
2. Agregue dicho usuario a los grupos globales apropiados para habilitar el acceso a los
recursos.
3. Inicie sesión en el dominio de origen como el usuario de prueba y compruebe que puede
obtener acceso a los recursos correspondientes.
4. Tras migrar la cuenta de usuario, convierta el perfil de usuario y migre la estación de trabajo
del usuario, inicie sesión en el dominio de destino como el usuario de prueba y compruebe
que el usuario conserva todos los accesos y funciones necesarios. Por ejemplo, podrá
comprobar que:
El usuario puede iniciar sesión correctamente.
El usuario tiene acceso a todos los recursos apropiados, como usos compartidos de
impresiones y archivos; acceso a los servicios como mensajería, así como acceso a las
aplicaciones de línea de negocio (LOB). Es especialmente importante comprobar el
acceso a las aplicaciones desarrolladas internamente que tienen acceso a los servidores
de bases de datos.
El perfil de usuario se ha convertido correctamente y el usuario conserva su
configuración de escritorio, apariencia de escritorio, accesos directos y acceso a la
carpeta Mis documentos. Asimismo, compruebe que las aplicaciones aparecen y se
inician desde el menú Inicio.
No puede migrar cada propiedad de usuario al migrar cuentas de usuario. Para obtener
más información sobre las propiedades de usuario que no se pueden migrar, consulte
Migrar cuentas de usuario, más adelante en esta guía.
Una vez migrados los recursos, inicie sesión como el usuario de prueba en el dominio de destino
y compruebe que puede obtener acceso a los recursos correspondientes.
203
Si cualquier paso del proceso de prueba da error, identifique el origen del problema y determine
si puede corregir el problema antes de que se deba tener acceso al objeto en el dominio de
destino. Si no puede corregir el problema antes de obtener acceso al objeto necesario, revierta la
configuración original para asegurar el acceso al objeto de recurso o usuario. Para obtener más
información sobre la creación de un plan de reversión, consulte Creación de un plan de
reversión, más adelante en esta guía.
Como parte de su plan de prueba, cree una matriz de prueba de migración. Complete una matriz
de prueba para cada paso que complete en el proceso de migración. Por ejemplo, si migra 10
lotes de usuarios, complete 10 veces la matriz de prueba, una para cada lote que migre. Si migra
10 servidores miembro, complete la matriz de prueba para cada uno de los 10 servidores.
Para obtener una hoja de cálculo para ayudarle a crear una matriz de prueba, consulte Migration
Test Matrix (DSSREER_3.doc) en la descarga
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services de Job Aids for
Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/?LinkId=14384).
La siguiente ilustración muestra un ejemplo de una matriz de prueba de migración completada.
204
Crear un plan de reversión
Afecta a: Herramienta de migración Active Directory 3.1 (ADMT 3.1) y ADMT 3.2
Una vez comenzado el proceso de migración, no se pueden revertir los cambios que haya
realizado en los dominios de Active Directory en el bosque. Como las cuentas se mueven y no se
copian de un dominio a otro cuando se reestructuran los dominios, los cambios no son
reversibles. Si sus planes cambian después de comenzar el proceso de migración, la única
forma de devolver las cuentas a su dominio de origen es volver a migrarlas. Cree un plan de
205
Nota
reversión en caso de que tenga que volver a migrar las cuentas después de haber comenzado a
reestructurar los dominios. Para crear un plan de reversión, seleccione el método que utilizará
para volver a migrar las cuentas.
Para garantizar una correcta reversión de una migración en el mismo bosque, no intente
eliminar los objetos en el dominio de destino y restaurarlos en el dominio de origen. No
podrá recuperar los objetos en el dominio de origen porque se eliminan automáticamente
por el proxy de movimiento entre dominios si se intenta restaurar.
Puede usar la Herramienta de migración para Active Directory (ADMT) para volver a migrar las
cuentas desde el dominio de destino de nuevo al dominio de origen. En este caso, el dominio de
destino original se convierte en el nuevo dominio de origen y el dominio de origen original se
convierte en el nuevo dominio de destino. Siga los mismos pasos de los asistentes que ha
utilizado anteriormente para migrar las cuentas. Si repite la migración de las cuentas, los objetos
que ha migrado en el dominio de destino y luego ha vuelto a migrar dominio de origen tendrán
nuevos identificadores de seguridad (SID). Sin embargo, tendrán el SID original en el atributo de
historial de SID. Por tanto, no serán idénticas a las cuentas antes de la migración, sino que
tendrán la misma funcionalidad.
Si desea revertir una migración de cuentas de servicios, debe enumerar de nuevo los servicios y,
a continuación, volver a migrar las cuentas de servicio al revertir los dominios de destino y de
origen.
Si utiliza secuencias de comandos para realizar la migración original, la utilización de secuencias
de comandos para volver a migrar las cuentas es el método más rápido para revertir los
cambios. Simplemente revierta los objetos usados en los dominios de origen y destino en la
secuencia de comandos para volver a migrar los objetos.
Después de crear su plan de reversión, asegúrese de probarlo para identificar y corregir
cualquier problema antes de comenzar a reestructurar sus dominios de Active Directory.
206
Incluya la siguiente información en su comunicación al usuario final.
Información general
Avise a los usuarios de que sus cuentas de usuario están programadas para la migración a un
nuevo dominio. Remita a los usuarios a una página web o recurso interno donde puedan
encontrar información adicional y ver una programación de migración.
Informe a los usuarios del nuevo nombre de dominio. Asegúrese de informarles de que sus
contraseñas de cuentas no cambiarán. Informe a los usuarios de que la cuenta de dominio
original se deshabilitará inmediatamente después de la migración y la cuenta deshabilitada se
eliminará transcurrido un período de tiempo específico. Esto no es necesario si inician la sesión
con nombres principales de usuario (UPN).
Impacto
Asegúrese de que los usuarios comprenden que cuando sus cuentas se migran, es posible que
no puedan tener acceso a algunos recursos, como sitios web, carpetas compartidas o recursos
que los usuarios de su grupo o división no utilizan de forma habitual.
Proporcione información a los usuarios sobre con quién tienen que ponerse en contacto para
obtener asistencia para tener acceso a los recursos necesarios.
Cambios esperados
Describa otros cambios que los usuarios puedan experimentar después de la migración, como
cambios en el uso de tarjetas inteligentes, correo electrónico seguro o mensajería instantánea, si
procede.
207
Programación e información de soporte técnico
Proporcione información sobre dónde se pueden dirigir los usuarios para obtener más
información, por ejemplo, pueden visitar un sitio web interno donde publique información sobre la
migración. Además, proporcione información sobre con quién debe ponerse en contacto el
usuario si la fecha programada para la migración presenta un conflicto para un usuario.
208
Objeto de migración Credenciales necesarias en Credenciales necesarias en el
el dominio de origen dominio de destino
Nota
Es posible que tenga
que seguir otros pasos
adicionales de
preparación si migra
perfiles móviles de
equipos que ejecutan
Windows Vista o
Windows 7. Para
obtener más
información, consulte
Preparación para la
migración de perfiles
móviles con equipos que
ejecutan Windows Vista
y Windows 7.
209
ADMT también incluye funciones de administración de base de datos que puede utilizar para
asignar un subconjunto de permisos a los usuarios que realicen tareas de migración específicas.
Las funciones de administración de base de datos y las tareas de migración que pueden realizar
se enumeran en la siguiente tabla.
Los usuarios que tienen la función de administrador del sistema de SQL Server asumen todas
las funciones de administración de base de datos de ADMT. Tienen permisos para:
Mostrar funciones de base de datos y usuarios que asumen dichas funciones.
Agregar grupos o usuarios a funciones.
Quitar grupos o usuarios de funciones.
De manera predeterminada, se asigna la función de administrador del sistema al grupo local
Administradores. Este grupo puede realizar todas las funciones de la base de datos de ADMT.
210
Para instalar ADMT usando el almacén de la base de datos predeterminado
211
LinkId=121732) o ADMT v3.2 (http://go.microsoft.com/fwlink/?LinkId=186197). Para
obtener más información acerca de qué versión de ADMT se debe utilizar, consulte
Herramienta de migración Active Directory: versiones y entornos admitidos. En la
ubicación de descarga, haga doble clic en admtsetup.exe para abrir el asistente de
instalación.
disponible.
213
Nota
Además de ejecutar Windows Server 2008 R2, no debe instalarse el equipo de servidor
utilizado para instalar ADMT v3.2 con la opción de instalación de Server Core ni debe estar
ejecutándose como un controlador de dominio de sólo lectura (RODC).
Configure una instalación de base de datos de SQL Server con una instancia de ADMT.
Puede descargar e instalar SQL Server Express localmente o crear una instancia de base de
datos para ADMT desde una base de datos existente de SQL Server.
Para obtener más información acerca de cómo instalar SQL Server Express, consulte
Instalar ADMT v3.2 . Para obtener más información sobre cómo crear una instancia de
ADMT en una base de datos existente de SQL Server, consulte Instalar ADMT
reconfigurando la instalación de la base de datos con Admtdb.exe.
215
(Predeterminado). Si necesita importar datos de una instalación anterior de ADMT, haga
clic en Sí, importar datos de una base de datos existente de ADMT v3.0 o
ADMT v3.1 y, a continuación, para desplazarse a la ubicación del archivo de base de
datos existente haga clic en Examinar.
Antes de importar los datos desde una base de datos existente, debe separar el archivo
de base de datos del SQL Server utilizando los comandos de SQL Server. Para obtener
más información, consulte Separar un archivo de base de datos existente de una
versión anterior de ADMT y de SQL Server.
Cuando haya terminado, haga clic en Siguiente.
6. En la página Resumen, revise los resultados de la instalación y, a continuación, haga
clic en Finalizar.
216
Puede ejecutar Admtdb.exe desde el símbolo del sistema con privilegios elevados en cualquier
servidor que se pueda dirigir al equipo de servidor que ejecute SQL Server para crear una
instancia de ADMT en dicho equipo de servidor.
Sintaxis Descripción
admtdb upgrade /s|server: Server\Instance Actualiza a una versión anterior de una base de
datos de ADMT v3.0 o ADMT v3.1.
El parámetro /server, que es obligatorio,
especifica el nombre del servidor SQL Server y
la instancia a la que se va a conectar para
actualizar la base de datos de ADMT v3.0 o
ADMT v3.1.
Nota
Antes de actualizar la base de datos de
ADMT, abra la consola de ADMT para
comprobar que es compatible con la
base de datos.
admtdb attach [/{a|attach}: "ruta de acceso a Conecta una base de datos existente de ADMT
la base de datos v3x" a la instancia de SQL Server Express 2005 o
SQL Server Express 2008 local.
El parámetro /attach, que es obligatorio,
especifica la ruta al archivo de base de datos
Admt.mdf separado.
Para ver la Ayuda de todas las opciones de la línea de comandos de Admtdb.exe, en el símbolo
del sistema, escriba admtdb /? .
Si ha empezado la migración mediante una base de datos local de SQL Server Express y luego
ha configurado la instancia remota de una base de datos de SQL Server, y necesita volver a
utilizar una base de datos local de SQL Server Express, complete el siguiente procedimiento. En
este caso, el archivo de base de datos de ADMT ya está conectado a la instancia de
SQL Express. Por lo tanto, no es necesario que se vuelva a conectar.
Si ha empezado la migración mediante SQL Server y desea cambiar a SQL Server Express,
consulte Reutilizar una base de datos de ADMT existente desde una instalación anterior.
217
Nota
Para utilizar
reutilizar
una
la base de datos de
local
ADMT
después
existente
de configurar
(separada)
una
con
instancia
la instancia
remota
de de una
base Server
SQL de datoslocal
de SQL Server
Para llevar a cabo este procedimiento, se requiere como mínimo pertenecer a Administradores
o a un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y
pertenencias a grupos en Grupos predeterminados locales y de dominio
(http://go.microsoft.com/fwlink/?LinkId=83477).
Nota
El comando admtdb attach es necesario sólo si anteriormente ha ejecutado
comandos SQL para que separen la instancia local de SQL Server Express.
admtdb attach /{s | Server}:”Instancia de SQL Server Express local”
218
continuación, haga clic en Servicios.
2. En el panel de detalles, asegúrese de que el servicio que aloja la instancia de
SQL Server Express se esté ejecutando y que el Tipo de inicio se haya establecido en
Automático. Si va a utilizar ADMT v3.1 y tenía instalado ADMT con SQL Server Express,
el nombre del servicio es MSSQL$MS_ADMT.
Si el servicio no se inicia o si no está configurado para iniciarse automáticamente en el
inicio del sistema, haga clic en Iniciado, haga clic con el botón secundario en el nombre
del servicio y, a continuación, haga clic en Propiedades.
3. En la ficha General, de la lista Tipo de inicio, haga clic en Automático.
4. En Estado del servicio, haga clic en Inicio y, a continuación, haga clic en Aceptar.
5. Cierre Servicios.
6. En el símbolo del sistema, escriba los siguientes comandos:
admtdb attach /{s | Server}:”Instancia de SQL Server Express local” /{a |
Attach}:”Ruta de acceso al archivo de base de datos de ADMT v3.x que desea
asociar"
Ahora puede utilizar la base de datos de ADMT existente con la instancia de SQL Server
local. No es necesario volver a ejecutar el asistente de instalación de ADMT. La
instalación de ADMT se puede ejecutar una sola vez. Puede realizar cualquier cambio
posterior en la configuración de la base de datos mediante los comandos admtdb.exe y
admt config setdatabase.
219
Ejecución del Asistente para migración de cuentas de servicio
migración, las cuentas se migran cuando otras cuentas de usuario se migran con el Asistente
para migración de cuentas de usuario.
El Asistente para migración de cuentas de servicios comprueba cada servicio de un equipo para
identificar los servicios que se ejecutan en el contexto de una cuenta de usuario. Puede
producirse una carencia de seguridad durante la migración de cuentas de servicio si alguien
distinto del administrador de servicio entra en una cuenta con permisos administrativos en el
dominio de origen, pero utiliza una contraseña no válida en el equipo para iniciar el servicio. El
servicio no se iniciará antes de la migración de la cuenta, dado que la contraseña no es correcta,
pero funcionará después de la migración, porque ADMT restablece la contraseña de la cuenta de
servicio y configura todos los servicios que utilizan dicha cuenta de servicio con la nueva
contraseña.
Para eliminar este posible problema de seguridad, es importante incluir en el Asistente para
migración de cuentas de servicios sólo los servidores cuya administración depende de
administradores de confianza. No utilice el Asistente para migración de cuentas de servicios para
detectar las cuentas de servicio en equipos que los administradores de confianza no administran,
como las estaciones de trabajo.
Si no identifica ni realiza una transición de un equipo de confianza que, por consiguiente, no
actualiza su cuenta de servicio, tendrá que definir de forma manual la nueva contraseña que crea
ADMT. Para ello, obtenga la contraseña del archivo Password.txt y, a continuación, introduzca de
forma manual la información de la contraseña y la cuenta para el servicio del equipo al que no se
le ha realizado la transición.
Cuando las cuentas que el Asistente para migración de cuentas de servicios identifica en la base
de datos de ADMT como en ejecución en el contexto de una cuenta de usuario se migran al
dominio de destino, ADMT otorga a cada cuenta el derecho de iniciar sesión como servicio.
220
Página del asistente Acción
221
Identificación de cuentas de servicio mediante la opción de línea de comandos de
El asistente se conecta a los equipos seleccionados y, a continuación, envía un agente
ADMT
para comprobar cada servicio en los equipos remotos. La página Información de cuentas
de servicios muestra los servicios que se ejecutan en el contexto de una cuenta de
usuario y el nombre de dicha cuenta de usuario. ADMT indica en su base de datos que
estas cuentas de usuario se tienen que migrar como cuentas de servicio. Si no desea
migrar una cuenta de usuario como cuenta de servicio, seleccione la cuenta y, a
continuación, haga clic en Omitir/Incluir para cambiar el estado de Incluir a Omitir.
3. Utiliza Actualizar SCM para actualizar el Administrador de control de servicios con la
nueva información. A menos que se produzca un error de acceso a un equipo para
actualizar el servicio, el botón Actualizar SCM no está disponible. Si tiene problemas al
actualizar una cuenta de servicio una vez identificada y migrada la cuenta, asegúrese de
que el equipo al que intenta tener acceso está disponible y, a continuación, reinicie el
Asistente para migración de cuentas de servicios. En el asistente, haga clic en
Actualizar SCM para intentar actualizar el servicio. Si ya ha ejecutado el Asistente para
migración de cuentas de servicios anteriormente y el botón Actualizar SCM no está
disponible, examine los archivos de registro de ADMT para determinar la causa del
problema. Una vez corregido el problema y cuando el agente se pueda conectar
correctamente, el botón Actualizar SCM estará disponible.
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. En la línea de comandos, escriba el siguiente comando y, a continuación, presione
ENTRAR:
ADMT SERVICE /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:"<dominio_origen>" /TD:"
<dominio_destino>"
La siguiente tabla enumera los parámetros comunes que se utilizan para la identificación
de cuentas de servicio, junto con el parámetro de línea de comandos y los equivalentes
de archivo de opciones.
222
Identificación de cuentas de servicio mediante una secuencia de comandos
3. Revise si hay errores en los resultados que se muestran en la pantalla.
Cree una secuencia de comandos que incorpore los comandos de ADMT y las opciones
para la identificación de cuentas de servicio utilizando la siguiente secuencia de
comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el
archivo con la extensión .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id="IdentifyingServiceAccounts" >
Option Explicit
Dim objMigration
Dim objServiceAccountEnumeration
'
'
Set objServiceAccountEnumeration = _
objMigration.CreateServiceAccountEnumeration
'
'
'
'
objServiceAccountEnumeration.Enumerate admtData, _
223
Set objServiceAccountEnumeration = Nothing
</Script>
</Job>
224
recursos locales al segundo grupo. El equipo de implementación usará el segundo grupo para
migrar recursos en las ubicaciones remotas.
Migración de grupos
Afecta a: Herramienta de migración Active Directory 3.1 (ADMT 3.1) y ADMT 3.2
225
Nota
Migración de grupos universales mediante el complemento de ADMT
Para proteger su sistema frente al problema de los conjuntos abiertos cuando reestructura los
dominios de Active Directory en un bosque, migre los grupos antes de migrar las cuentas de
usuario que pertenezcan a esos grupos. Si migra grupos de forma simultánea a la migración de
usuarios, es posible que no pueda migrar los grupos anidados, lo que crea un conjunto abierto.
Además, siga las estas indicaciones para la migración de grupos:
Migre primero los grupos universales y después los grupos globales.
Migre los grupos locales del dominio cuando migre los recursos (controladores de dominio y
servidores miembros) en los que se usan para asignar permisos.
Puede elegir migrar los grupos locales del equipo cuando migre el equipo más adelante en el
proceso de reestructuración.
En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
Utilice el Asistente para migración de cuentas de grupo realizando los pasos de la tabla
siguiente.
226
Página del asistente Acción
227
Migración de grupos universales mediante la opción de línea de comandos de ADMT
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
Nota
Cuando inicie una migración de grupos con la migración del SIDHistory desde la
línea de comandos, el comando se debe ejecutar en un controlador de dominio
del dominio de destino.
2. En la línea de comandos, escriba el comando ADMT GROUP con los parámetros adecuados
y, a continuación, presione ENTRAR:
ADMT GROUP /N "<nombre_grupo1>" "<nombre_grupo2>" /IF:YES /SD:"
<dominio_origen>" /TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>"
La siguiente tabla muestra los parámetros necesarios para migrar grupos universales,
los parámetros de línea de comandos y los equivalentes del archivo de opciones. Para
obtener una lista completa de todos los parámetros disponibles, consulte la Ayuda de
ADMT v3.1.
228
Migración de grupos universales usando una secuencia de comandos
Ubicación / TargetOU="unidad_organizativa_destin
de la TO:"unidad_organizativa_destino o"
<Unidad "
organizativ
a de
destino>
Utilice la siguiente muestra para preparar una secuencia de comandos que incorpore los
comandos de ADMT y las opciones para migrar grupos dentro de un bosque. Copie la
secuencia de comandos en el Bloc de notas y guarde el archivo con la extensión .wsf en
la misma carpeta que el archivo AdmtConstants.vbs.
Nota
Cuando inicie una migración de grupos con la migración sIDHistory desde una
secuencia de comandos, éste debe ejecutarse en comandos en un controlador
de dominio del dominio de destino.
<Job id="MigratingGroupsWithinForest" >
Option Explicit
Dim objMigration
Dim objGroupMigration
'
'
229
Set objMigration = CreateObject("ADMT.Migration" )
'
'
objMigration.IntraForest = True
'
'
</Script>
</Job>
230
Para migrar grupos globales usando el complemento de ADMT
Como los grupos globales sólo contienen miembros de su propio dominio, no puede migrarlos de
un dominio a otro. La Herramienta de migración para Active Directory (ADMT) cambia los grupos
globales a grupos universales cuando se migran. El grupo universal del dominio de destino
conserva el historial de identificadores de seguridad (SID) del grupo global en el dominio de
origen, que permite a los usuarios continuar teniendo acceso a los recursos del dominio de
origen después de migrar los grupos globales. ADMT vuelve a cambiar los grupos universales a
grupos locales después de migrar todos los miembros del grupo global desde el dominio de
origen al dominio de destino.
No tiene que incluir grupos globales integrados y bien conocidos en su migración porque estos
grupos ya existen en el dominio de destino. Si selecciona un grupo integrado o un grupo global
bien conocido para la migración, ADMT no lo migra. En cambio, ADMT lo anota en el registro y
continúa la migración de otros grupos globales.
El procedimiento para usar el Asistente para migración de cuentas de grupo para migrar grupos
globales es el mismo que el utilizado para migrar grupos universales. Para obtener más
información sobre el procedimiento para migrar grupos globales y grupos universales, consulte
Migrar grupos universales, anteriormente en esta guía.
Después de completar el proceso de migración de grupos globales, utilice Usuarios y equipos de
Active Directory para comprobar que los grupos globales han migrado correctamente.
Compruebe que los grupos globales ya no existen en el dominio de origen y que los grupos
aparecen en el dominio de destino en la unidad organizativa (OU) especificada durante el
proceso de migración. Los grupos globales se enumeran como grupos universales en el dominio
de destino si todavía tienen miembros en el dominio de origen. Para ver una lista de miembros
del grupo universal, haga clic con el botón secundario en el grupo, haga clic en Propiedades y, a
continuación, haga clic en la ficha Miembros. Se muestran los miembros originales del grupo
global. Sin embargo, observe que las cuentas de usuario todavía no se han migrado.
Si está migrando las cuentas de usuario durante la migración dentro del mismo bosque, pero no
está migrando los grupos globales del dominio de origen de los que son miembros las cuentas
de usuario, ADMT actualiza de cualquier forma los grupos globales en el dominio de origen.
ADMT quita las cuentas de usuario migradas de la pertenencia del grupo global en el dominio de
origen porque el grupo global sólo puede incluir miembros del dominio de origen. Como resultado
de ello, es posible que los usuarios no continúen teniendo acceso a los recursos del dominio de
origen después de la migración porque ya no hay miembros de esos grupos.
Puede migrar grupos globales usando el complemento de ADMT, la opción de línea de
comandos ADMT o script.
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. Utilice el Asistente para migración de cuentas de grupo realizando los pasos de la tabla
siguiente.
231
Página del asistente Acción
232
Para migrar grupos globales usando la opción de línea de comandos de ADMT
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
Nota
Cuando inicie una migración de grupos con la migración sIDHistory desde la
línea de comandos, debe ejecutar el comando en un controlador del dominio en
el dominio de destino.
2. En la línea de comandos, escriba el comando ADMT GROUP con los parámetros adecuados
y, a continuación, presione ENTRAR:
ADMT GROUP /N "<nombre_grupo1>" "<nombre_grupo2>" /IF:YES /SD:"
<dominio_origen>" /TD:" <dominio de destino>" /TO:" <unidad organizativa de
destino>"
233
Para ADMT
migrar grupos
GROUP globales usando un
/N "<nombre_grupo1>" script
"<nombre_grupo2>" /O: "<archivo_opción>.txt"
Ubicación / TargetOU="unidad_organizativa_destin
de la TO:"unidad_organizativa_destino o"
<Unidad "
organizativ
a de
destino>
1. Utilice un script que incorpora comandos y opciones de ADMT para migrar grupos
universales. Para obtener más información sobre la migración de grupos universales,
consulte Migrar grupos universales, anteriormente en esta guía.
Nota
Cuando inicie una migración de grupos con la migración sIDHistory desde un
script, éste debe ejecutarse en un controlador de dominio del dominio de
destino.
2. Después de haber completado la migración del grupo global usando un script, vea el
registro de migración. El archivo migration.log se almacena en la carpeta donde ha
instalado ADMT, por lo general, Windows\ADMT\Logs.
Nota
Como los grupos universales se replican en el catálogo global, la conversión de
los grupos globales en grupos universales puede afectar al tráfico de replicación.
234
Migración de cuentas
Cuando de servicio
el bosque mediante en
está funcionando el complemento de ADMT
el nivel de Windows Server 2003 o
Windows Server 2008, este impacto se reduce porque sólo se replican los
cambios en la pertenencia al grupo universal. Sin embargo, si el bosque no está
funcionando en el nivel de Windows Server 2003 o Windows Server 2008, toda
la pertenencia al grupo se replica cada vez que cambia la pertenencia a grupos
universal.
En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
Utilice el Asistente para migración de cuentas de usuario realizando los pasos de la tabla
siguiente.
235
Página del asistente Acción
236
Migración de cuentas de servicio mediante la opción de línea de comandos de ADMT
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. En la línea de comandos, escriba el siguiente comando y, a continuación, presione
ENTRAR:
ADMT USER /N "<nombre_servidor1>" "<nombre_servidor2>" /IF:YES /SD:"
237
Migración de cuentas de
<dominio_origen>" servicio
/TD:" mediante una secuencia
<dominio_destino>" de comandos
/TO:" <unidad_organizativa_destino>"
/MSA:YES
La tabla siguiente muestra los parámetros necesarios para migrar cuentas de servicio, la
sintaxis de línea de comandos y los equivalentes del archivo de opciones.
Ubicación / TargetOU="unidad_organizativa_destin
de la TO:"unidad_organizativa_destino o"
<Unidad "
organizativ
a de
destino>
Utilice la siguiente lista para preparar una secuencia de comandos que incorpore los
238
comandos de ADMT y las opciones para migrar cuentas de servicio. Copie la secuencia
de comandos en el Bloc de notas y guarde el archivo con la extensión .wsf en la misma
carpeta que el archivo AdmtConstants.vbs.
<Job id=" MigratingServiceAccountsWithinForest" >
Option Explicit
Dim objMigration
Dim objUserMigration
'
'
'
'
objMigration.IntraForest = True
'
'
objUserMigration.UpdateUserRights = True
objUserMigration.MigrateServiceAccounts = True
239
'
'
objUserMigration.Migrate admtData, _
</Script>
</Job>
240
Importante
Migración de cuentas de servicio administradas con el complemento ADMT
cuentas tienen los mismos permisos para el acceso a los recursos en el dominio de destino
que los que tenían en el dominio de origen.
Si migra cuentas de servicio administradas entre dominios dentro del mismo bosque,
ejecute la conversión de seguridad en los servidores miembro del dominio de origen
que tengan recursos que concedan permisos a las cuentas de servicio
administradas. La conversión de seguridad no suele ser necesaria durante una
migración interna del bosque porque se ha movido un SID con una cuenta. No
obstante, las cuentas de servicio administradas que se migran entre dominios en el
mismo bosque se copian. Se crea una nueva cuenta en el dominio de destino y las
propiedades de la cuenta (excepto SID) se copian desde el dominio de origen. Por
tanto, será necesario ejecutar la conversión de seguridad.
Si los recursos del dominio de origen que conceden permisos a las cuentas de
servicio administradas se hospedan en el mismo equipo que la cuenta de servicio
administrada, debería seleccionar la conversión de seguridad en los recursos
adecuados (Archivos y carpetas, Grupos locales y así sucesivamente) en la página
Convertir objetos del Asistente para la migración de equipos. Si los recursos están
en otros equipos que no se están migrando, tendrá que ejecutar el Asistente para
conversión de seguridad en esos equipos y, en la página Opciones de conversión de
seguridad, seleccione Objetos previamente migrados o proporcione expresamente
las cuentas de servicio administradas en un archivo de asignación de SID. Para
obtener más información acerca de la conversión de seguridad, consulte Conversión
de seguridad en los servidores miembro.
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. En el complemento ADMT, haga clic en Acción y, a continuación, en Asistente para
migración de cuentas de servicio administradas.
3. Complete el Asistente para migración de cuentas de servicio administradas con la
información que se proporciona en la tabla siguiente.
241
Página del asistente Acción
242
Página del asistente Acción
243
Migración de cuentas de servicio administradas mediante la opción de línea de
comandos de ADMT
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. En la línea de comandos, escriba el siguiente comando y, a continuación, presione
ENTRAR:
ADMT MANAGEDSERVICEACCOUNT /N "<nombre_cuenta de servicio administrada1>"
"<nombre_cuenta de servicio administrada2>" /IF:NO /SD:"<dominio_origen>"
/TD:"<dominio_destino>" /UUR:YES /FGM:YES /MSS:YES
244
Valores Sintaxis de línea de Sintaxis del archivo de opciones
comandos
grupos de cuentas
Nota
Sólo puede
migrar SID de
cuentas de
servicio
administradas
entre
bosques. Si
utiliza este
parámetro
durante una
migración
dentro del
mismo
bosque,
aparece un
error.
Si las cuentas de servicio administradas están hospedadas en equipos miembro del dominio de
origen, puede incluir el equipo miembro cuando realice la migración de los equipos y la cuenta de
servicio administrada se instalará en el equipo miembro del dominio de destino una vez migrado
el equipo.
245
Credenciales de recurso compartido de archivo
Las claves privadas asociadas con EFS, Extensiones seguras multipropósito al correo de
Internet (S/MIME) y otros certificados
Los datos de programa protegidos mediante la función CryptProtectData()
Por este motivo, es importante para comprobar las migraciones de usuarios. Utilice su cuenta de
migración de prueba para identificar cualquier propiedad que no se haya migrado y actualice las
configuraciones en el dominio de destino consecuentemente.
Si usa objetos de directiva de grupo para gestionar la instalación del software, recuerde que
algunos archivos de Windows Installer requieren acceso al origen para determinadas
operaciones, como la reparación o la desinstalación. El administrador debe reasignar los
permisos al punto de distribución del software para proporcionar acceso a cualquier cuenta.
Para conservar el acceso a la distribución de software, realice estas tareas:
1. Migre cuentas de usuario mediante la Herramienta de migración para Active Directory
(ADMT).
2. Ejecute el Asistente para conversión de seguridad en el punto de distribución de software.
246
Migración de cuentas de usuario mediante el complemento de ADMT
Migración de cuentas
Afecta a: Herramienta de migración Active Directory 3.1 (ADMT 3.1) y ADMT 3.2
Puede migrar cada lote de cuentas de usuario mediante el complemento de la Herramienta de
migración para Active Directory (ADMT), la opción de línea de comandos de ADMT o una
secuencia de comandos. Si va a migrar cuentas de usuario que tienen habilitada la seguridad del
mecanismo de autenticación, use un archivo de inclusión. En el archivo de inclusión, especifique
el nombre principal de usuario (UPN) original del dominio de origen como UPN de destino para
poder mantener en funcionamiento la seguridad del mecanismo de autenticación. Para obtener
más información acerca del uso de un archivo de inclusión, consulte Uso de un archivo de
inclusión.
En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
Utilice el Asistente para migración de cuentas de usuario realizando los pasos de la tabla
siguiente:
248
Migración de cuentas de usuario mediante la opción de línea de comandos de ADMT
dominio de destino.
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
249
Nota
Cuando inicie una migración de usuario con la migración del historial de SID
desde la línea de comandos, debe ejecutar el comando en un controlador de
dominio del dominio de destino.
2. En una línea de comandos, escriba el comando ADMT User con los parámetros
apropiados, por ejemplo:
ADMT USER /N "<nombre_usuario1>" "<nombre_usuario2>" /IF:YES /SD:"
<dominio_origen>" /TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>"
/TRP:YES /UUR:YES
Ubicación / SourceOU="unidad_organizativa_origen
de la SO:"unidad_organizativa_origen" "
<Unidad
organizativ
a de
origen>
Ubicación / TargetOU="unidad_organizativa_destin
de la TO:"unidad_organizativa_destino o"
<Unidad "
organizativ
a de
destino>
250
Migración de cuentas de usuario mediante una secuencia de comandos
Parámetros Sintaxis de línea de comandos Sintaxis del archivo de opciones
Nota
Cuando inicie una migración de usuario con la migración del historial de SID
desde una secuencia de comandos, se debe ejecutar la secuencia de comandos
en un controlador de dominio del dominio de destino.
Utilice la siguiente muestra para preparar una secuencia de comandos que incorpore los
comandos de ADMT y las opciones para migrar cuentas de usuario dentro de un bosque.
Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la
extensión .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" MigratingUserAccountsWithinForest" >
Option Explicit
Dim objMigration
Dim objUserMigration
'
'
251
'
'
objMigration.IntraForest = True
'
'
objUserMigration.TranslateRoamingProfile = True
objUserMigration.UpdateUserRights = True
objUserMigration.FixGroupMembership = True
objUserMigration.MigrateServiceAccounts = False
'
'
</Script>
</Job>
252
Precaución
Conversión de perfiles de usuarios locales mediante el complemento de ADMT
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. En el complemento de la Herramienta de migración para Active Directory (ADMT), haga
clic en Acción y, a continuación, haga clic en Asistente para conversión de seguridad.
3. Complete el Asistente para la conversión de seguridad con la información de la tabla
siguiente.
253
Página del asistente Acción
254
Conversión de perfiles de usuarios locales mediante una
la opción
secuencia
de línea
de comandos
de comandos de
ADMT
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. En la línea de comandos, escriba el comando ADMT Security con los parámetros
apropiados y, a continuación, presione ENTRAR.
ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:" <dominio_origen>"
/TD:" <dominio_destino>" /TOT:REPLACE /TUP:YES
Utilice la siguiente muestra para preparar una secuencia de comandos que incorpore los
comandos de ADMT y las opciones para convertir perfiles de usuario locales. Copie la
secuencia de comandos en el Bloc de notas y guarde el archivo con la extensión .wsf en
la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" TranslatingLocalProfilesWithinForest" >
255
Option Explicit
Dim objMigration
Dim objSecurityTranslation
'
'
'
'
objMigration.IntraForest = True
'
'
objSecurityTranslation.TranslationOption = admtTranslateReplace
objSecurityTranslation.TranslateUserProfiles = True
'
'
objSecurityTranslation.Translate admtData, _
256
Nota
</Script>
</Job>
257
Migración de estaciones de trabajo y servidores miembro mediante el complemento de
ADMT
servicios. Para que ADMT pueda realizar esta operación, la cuenta que realiza la migración del
equipo debe tener permisos para modificar el descriptor de seguridad de la cuenta de servicio
administrada migrada.
Puede migrar estaciones de trabajo y servidores miembro mediante el complemento de ADMT, la
opción de línea de comandos de ADMT o una secuencia de comandos.
1. En el equipo del dominio de destino donde se instala ADMT, inicie sesión utilizando una
cuenta de usuario que sea miembro del grupo de migración de recursos de ADMT.
2. Utilice el Asistente para migración de cuentas de equipos siguiendo los pasos de la tabla
siguiente.
258
Página del asistente Acción
259
Migración de estaciones de trabajo y servidores miembro mediante la opción de línea
de comandos de ADMT
3. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez
finalizado el asistente, haga clic en Ver registro para ver la lista de equipos, estado de
conclusión y la ruta al archivo de registro para cada equipo. Si se informa de un error en
un equipo, tendrá que consultar el archivo de registro de dicho equipo para revisar
cualquier problema con los grupos locales. El archivo de registro de cada equipo se
denomina MigrationTaskID.log, y se almacena en la carpeta
Windows\ADMT\Logs\Agents.
1. En el equipo del dominio de destino donde se instala ADMT, inicie sesión utilizando una
cuenta de usuario que sea miembro del grupo de migración de recursos de ADMT.
2. En la línea de comandos, escriba el comando ADMT Computer con los parámetros
apropiados y, a continuación, presione ENTRAR.
ADMT COMPUTER /N "<nombre_equipo1>" "<nombre_equipo2>" /IF:YES
/SD:"<dominio_origen>" /TD:"<dominio_destino>" /TO:"<unidad_organizativa_destino>"
[/M: "nombre de cuenta de servicio administrada 1” “nombre de cuenta de servicio
administrada 2”] [/UALLMSA:Yes] /RDL:1
260
La siguiente tabla enumera los parámetros necesarios para la migración de estaciones
de trabajo y servidores miembro, los parámetros de la línea de comandos y los
equivalentes de archivo de opciones.
Nota
El
paráme
tro /M
tiene
prefere
ncia
sobre
el
paráme
tro
/UALL
MSA.
Nota
El
paráme
261
Parámetros Sintaxis de línea de Sintaxis del archivo de opciones
comandos
tro /M
tiene
prefere
ncia
sobre
el
paráme
tro
/UALL
MSA.
Ubicación de la / TargetOU="unidad_organizativa_d
<Unidad TO:"unidad_organizativa_de estino"
organizativa de stino"
destino>
262
Migración de estaciones de trabajo y servidores miembro mediante una secuencia de
comandos
Utilice la siguiente lista para preparar una secuencia de comandos que incorpore los
comandos de ADMT y las opciones para migrar estaciones de trabajo y servidores
miembro dentro de un bosque. Copie la secuencia de comandos en el Bloc de notas y
guarde el archivo con la extensión .wsf en la misma carpeta que el archivo
AdmtConstants.vbs.
<Job id=" MigratingWorkstationsMemberServersWithinForest" >
Option Explicit
Dim objMigration
Dim objComputerMigration
'
'
'
'
objMigration.IntraForest = True
objMigration.SourceOu = "Equipos"
objMigration.TargetOu = "Equipos"
'
'
263
Para migrar grupos locales de dominio usando el complemento de ADMT
objComputerMigration.TranslationOption = admtTranslateAdd
objComputerMigration.TranslateLocalGroups = True
objComputerMigration.TranslateUserRights = True
objComputerMigration.UpdateAllManagedServiceAccounts = True
objComputerMigration.RestartDelay = 1
'
'
objComputerMigration.Migrate admtData, _
</Script>
</Job>
En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
Utilice el Asistente para migración de cuentas de grupo siguiendo los pasos de la tabla
siguiente.
264
Página del asistente Acción
265
Para migrar grupos locales de dominio usando la opción de línea de comandos de
ADMT
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. En la línea de comandos, escriba el comando ADMT GROUP con los parámetros adecuados
y, a continuación, presione ENTRAR:
ADMT GROUP /N "<nombre_grupo1>" "<nombre_grupo2>" /IF:YES /SD:"
<dominio_origen>" /TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>"
En la tabla siguiente se muestran los parámetros necesarios para migrar grupos locales
de dominio, los parámetros de línea de comandos y los equivalentes del archivo de
opciones. Para obtener una lista completa de todos los parámetros disponibles, consulte
la Ayuda de ADMT v3.1.
266
Migración de grupos locales de dominio mediante una secuencia de comandos
Ubicación / TargetOU="unidad_organizativa_destin
de la TO:"unidad_organizativa_destino o"
<Unidad "
organizativ
a de
destino>
Utilice una secuencia de comandos que incorpora comandos y opciones de ADMT para
migrar grupos locales de dominio. Puede usar la misma secuencia de comandos que ha
usado para migrar grupos universales. Para obtener más información sobre la migración
de grupos universales, consulte Migrar grupos universales, anteriormente en esta guía.
267
servicio y se actualizarían los servicios. Jueves, viernes y sábado se reservarían para la
migración de cuentas de usuario. Los servidores se migrarían el domingo de la primera semana.
La segunda semana se dedicaría a la migración de servidores y estaciones de trabajo. Los
grupos locales se migrarían al final de la segunda semana.
268
Nota
269
Importante
Conversión de seguridad en servidores miembro mediante el complemento de ADMT
En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
Utilice el Asistente para la conversión de seguridad siguiendo los pasos de la tabla
siguiente.
270
Página del asistente Acción
271
Conversión de seguridad en servidores
los servidores
miembro
miembro
mediante
mediante
unalasecuencia
opción dedelínea
comandos
de
comandos de ADMT
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. En la línea de comandos, escriba el siguiente comando y, a continuación, presione
ENTRAR:
ADMT Security /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:" <dominio_origen>"
/TD:" <dominio_destino>"
Donde <nombre_equipo1> y <nombre_equipo2> son los nombres de los equipos para los
que desea convertir la seguridad.
Como alternativa, puede incluir parámetros en un archivo de opciones que se especifica
en la línea de comandos, de la manera siguiente:
ADMT Security /N "<nombre_equipo1>" "<nombre_equipo2>" /O:" <archivo_opción>.txt"
La siguiente tabla enumera los parámetros comunes que se utilizan para la conversión
de seguridad en servidores miembro, junto con el parámetro de línea de comandos y los
equivalentes de archivo de opciones.
Utilice la siguiente muestra para preparar una secuencia de comandos que incorpore los
comandos de ADMT y las opciones para convertir la seguridad en servidores miembro.
Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la
extensión .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" TranslatingSecurityOnMemberServersWithinForest" >
Option Explicit
Dim objMigration
Dim objSecurityTranslation
272
'
'
'
'
objMigration.IntraForest = True
objMigration.TargetOu = "Equipos"
'
'
objSecurityTranslation.TranslationOption = admtTranslateReplace
objSecurityTranslation.TranslateFilesAndFolders = True
objSecurityTranslation.TranslateLocalGroups = True
objSecurityTranslation.TranslatePrinters = True
objSecurityTranslation.TranslateRegistry = True
objSecurityTranslation.TranslateShares = True
objSecurityTranslation.TranslateUserProfiles = False
objSecurityTranslation.TranslateUserRights = True
'
'
objSecurityTranslation.Translate admtData, _
273
Array("nombre de equipo1" ,"nombre de equipo2" )
</Script>
</Job>
274
dominio en el dominio de destino. Ejecute la conversión de seguridad en los controladores de
dominio, si en el equipo residen recursos que se usarán como nuevo controlador de dominio.
275
Nota
Para configurar un controlador de dominio preferido en el dominio de destino
origen
Valor Descripción
276
Para mostrar
borrar los
loscontroladores
controladoresdededominio
dominiopreferidos
preferidosdeque
un ha
dominio
configurado
especificado
Valor Descripción
Valor Descripción
Nota
Si el nombre principal de usuario (UPN) de destino de un usuario exige que
especifique un nombre de dominio diferente del UPN del dominio de destino, use
este formato para garantizar que el nombre de usuario se conserva y que ADMT
no lo modifica durante la migración.
Debe especificar el nombre de cuenta como nombre de usuario, nombre distintivo
relativo o nombre canónico. Si especifica el nombre de cuenta como un nombre distintivo
relativo, también debe especificar la unidad organizativa de origen.
Los encabezados de columna TargetRDN, TargetSAM y TargetUPN son opcionales y
puede incluirlos en cualquier orden.
Nota
El encabezado de columna TargetUPN sólo es relevante durante las
migraciones de cuentas de usuario porque las cuentas de grupos y equipos no
tienen UPN.
A continuación se incluyen ejemplos de archivos de inclusión válidos en los que se usa la opción
de cambio de nombre:
SourceName,TargetSam
abc,def
Esta entrada de archivo de inclusión cambia el nombre de cuenta de TargetSam para el usuario
"abc" a "def.". TargetRDN y TargetUPN, que no se han especificado en el archivo de inclusión,
no cambian como resultado de la migración.
SourceName,TargetRDN,TargetUPN
abc,CN=def,def@contoso.com
Esta entrada de archivo de inclusión cambia TargetRDN para el usuario abc a CN=def y
TargetUPN a def@contoso.com. TargetSAM para el usuario abc no cambia como resultado de
la migración.
Debe especificar CN= antes de usar un valor RND.
278
Especificación de un archivo de inclusión desde la
unlínea
asistente
de comandos
de ADMT
usuarios, grupos y equipos juntos en un archivo o puede crear un archivo independiente para
cada tipo de objeto.
Una vez creado el archivo (o archivos) de inclusión, especifique el nombre del archivo durante la
migración. La Herramienta de migración para Active Directory (ADMT) obtiene acceso al archivo
para obtener la información apropiada.
En:
La página Opción de selección de equipos del Asistente para migración de
equipos
La página Opción de selección de usuarios del Asistente para migración de
cuentas de usuario
La página Opción de selección de grupos del Asistente para migración de cuentas
de grupo
Haga clic en Leer objetos de un archivo de inclusión. Cuando se muestre un
mensaje, especifique la ubicación del archivo de inclusión.
Nota
Para obtener la sintaxis de línea de comandos apropiada para la migración de
usuarios y grupos, busque "admt user" y "admt group" en la Ayuda de ADMT
versión 3.1 (v3.1).
279
Nota
SourceName
name
domain\name
CN=name
Campo TargetName
Puede utilizar el campo TargetName para especificar un nombre base que se utilice para generar
un nombre distintivo relativo de destino, un nombre de cuenta del Administrador de cuentas de
seguridad (SAM) y un nombre principal de usuario de destino (UPN). El campo TargetName no
se puede combinar con otros campos de nombre de destino que se describirán a continuación.
El UPN de destino se genera sólo para los objetos de usuario y sólo se genera un prefijo
de UPN. Se anexa un sufijo de UPN mediante un algoritmo que depende de si se define
un sufijo de UPN para la unidad organizativa de destino o para el bosque de destino. Si
el objeto es un equipo, el nombre de cuenta del SAM de destino incluye un sufijo "$".
Dada la entrada del siguiente ejemplo, el nombre distintivo relativo de destino, el nombre de
cuenta del SAM de destino y el UPN de destino generado son "CN=newname", "newname" y
"newname" respectivamente.
SourceName,TargetName
oldname, newname
Campos TargetRDN, TargetSAM y TargetUPN
Puede utilizar los campos TargetRDN, TargetSAM y TargetUPN para especificar nombres de
destino diferentes para cada uno. Puede especificar una combinación de estos campos en
cualquier orden. TargetRDN especifica el nombre distintivo relativo de destino del objeto.
TargetSAM especifica el nombre de cuenta del SAM de destino del objeto. Tenga en cuenta que
en los equipos el nombre debe incluir un sufijo "$" para que sea un nombre de cuenta de SAM
válido para un equipo.
TargetUPN especifica el nombre principal de usuario (UPN) de destino del objeto. Puede
especificar sólo el prefijo de UPN o un nombre completo de UPN (prefix@suffix). Si el nombre
que especifica contiene caracteres " "o ",", debe incluir el nombre entre comillas dobles (").
Además, un carácter "," debe estar precedido de un carácter de espacio "\", de lo contrario se
producirá un error en la operación y ADMT registrará un error de sintaxis no válido en el archivo
de registro.
SourceName,TargetRDN
oldname, CN=newname
SourceName,TargetRDN,TargetSAM
oldname, "CN=New RDN", newsamname
SourceName,TargetRDN,TargetSAM,TargetUPN
oldname, "CN=last, first", newsamname, newupnname
SourceName,TargetSAM,TargetUPN,TargetRDN
280
Nota Nota
Utilice este formato cuando cambie el nombre de objetos de usuario, por ejemplo, para
llevar a cabo la especificación de un dominio de destino de un dominio diferente para el
UPN de destino. Para obtener más información, consulte Cambiar los nombres de
objetos durante la migración.
oldname, newsamname, newupnname@targetdomain.com, "CN=New Name"
También puede cambiar el nombre de objetos durante la migración mediante un archivo
de inclusión. Para obtener más información sobre cómo utilizar un archivo de inclusión,
consulte Cambiar los nombres de objetos durante la migración.
281
Nota
ComputerPropertiesToExclude=""
[Usuario]
DisableOption=EnableTarget
SourceExpiration=None
MigrateSIDs=Yes
TranslateRoamingProfile=No
UpdateUserRights=No
MigrateGroups=No
UpdatePreviouslyMigratedObjects=No
FixGroupMembership=Yes
MigrateServiceAccounts=No
UpdateGroupRights=No
[Grupo]
MigrateSIDs=Yes
UpdatePreviouslyMigratedObjects=No
FixGroupMembership=Yes
UpdateGroupRights=No
MigrateMembers=No
DisableOption=EnableTarget
SourceExpiration=None
TranslateRoamingProfile=No
MigrateServiceAccounts=No
[Seguridad]
TranslationOption=Add
TranslateFilesAndFolders=No
TranslateLocalGroups=No
TranslatePrinters=No
TranslateRegistry=No
TranslateShares=No
TranslateUserProfiles=No
TranslateUserRights=No
SidMappingFile=SidMappingFile
Se pueden incluir comentarios para las opciones agregando un punto y coma al comienzo de la
línea.
Cuando no se especifica un parámetro, se usa el parámetro predeterminado.
282
Solución de problemas de ADMT
Afecta a: Herramienta de migración Active Directory 3.1 (ADMT 3.1) y ADMT 3.2
Para solucionar cualquier problema durante el proceso de migración, siga estas
recomendaciones:
Solución de problemas de instalación de ADMT
Solución de problemas relativos a la migración de usuarios
Solución de problemas relativos a la migración de grupos
Solución de problemas relativos a la migración de cuentas de servicios
Solución de problemas relativos a la migración de cuentas de servicios administradas
Solución de problemas relativos a la migración de equipos
Solución de problemas relativos a la migración de contraseñas
Solución de problemas relativos a la conversión de seguridad
Solución de problemas relativos a la migración dentro de un mismo bosque
Solución de problemas relativos a los archivos de registro de ADMT
Solución de problemas relativos a la línea de comandos de ADMT
Solución de problemas relativos a las operaciones de agentes
283
Nota
284
HAY-BUV). Tras la primera migración, Roberto es miembro de HAY-BUV\Writers. Roberto
también se agrega a los siguientes grupos en el dominio de origen después de su primera
migración:
1. HB-ACCT-WC\Roberto se agrega al grupo HB-ACCT-WC\Editors
2. HAY-BUV\Roberto se agrega a HAY-BUV\TechEditors.
Cuando se vuelva a migrar la cuenta HB-ACCT-WC\Roberto para revisar sus cuentas de grupo,
HAY-BUV\Roberto será miembro de HAY-BUV\Writers.
Para restablecer la cuenta solamente con los grupos del usuario de origen, deberá eliminar la
cuenta de destino y después repetir la migración de la cuenta de origen.
También se pueden volver a migrar grupos con la opción Quitar los miembros existentes.
Los permisos de un usuario migrado desde un dominio de Active Directory se restablecen
a sus valores predeterminados durante la migración.
Al migrar un usuario desde un dominio a otro de Active Directory, el Asistente para migración de
cuentas de usuario crea un nuevo descriptor de seguridad en objetos de usuario migrados con
opciones de configuración del dominio de destino. La ficha Seguridad sólo es visible si
selecciona Ver\Características avanzadas.
Este comportamiento se produce de forma predeterminada porque el dominio de destino, y no el
de origen, dicta la configuración de seguridad de la cuenta de usuario migrada.
Se muestra un mensaje de error incorrecto durante la corrección de un grupo de usuarios
si se elimina una cuenta
Después de una migración, si se elimina una cuenta de usuario del dominio de destino y se
migra un grupo que contenía la cuenta de usuario en el dominio de origen (como miembro de
otro grupo) entre los mismos dominios, ADMT registra el siguiente mensaje de error incorrecto:
No se puede agregar <cuenta> a <grupo>, porque <cuenta> no ha migrado al dominio de
destino.
Si recibe este mensaje de error, vuelva a migrar la cuenta de usuario al dominio de destino.
Se ha ignorado la exclusión de la propiedad useraccountcontrol
La propiedad de usuario userAccountControl siempre se copia cuando migra desde dominios
Windows NT 4.0. Incluso si elige excluir esta propiedad en la página del asistente Exclusión de
propiedad de objetos, se ignora la exclusión y se migra la propiedad.
Sin embargo, cuando migra desde dominios Active Directory, la exclusión de esta propiedad se
cumple y no se copia durante la migración de usuario.
No ha funcionado la opción Quitar los derechos de usuario existentes.
Causa: no se puede realizar esta operación si la plantilla Directiva de grupo asociada a un
usuario cuyos derechos de usuario se están quitando contiene el nombre cualificado del usuario
que no es del dominio (por ejemplo, si contiene Usuario1 en lugar de DominioA\Usuario1).
Solución: corrija la entrada del nombre de usuario en la plantilla Directiva de grupo.
Cuando intenta migrar usuarios con el historial SID, recibe el siguiente error:
No se puede migrar usuarios. No se realizó la siguiente configuración requerida para el historial
SID. No se habilitó la auditoría en el dominio de destino. Error no especificado (0x80004005)
285
Este error se puede deber a que algunas subcategorías de la directiva de auditoría del servicio
de directorio no están habilitadas de forma predeterminada en Windows Server 2008 y Windows
Server 2008 R2. Para migrar usuarios con su SID History deben estar habilitadas todas las
subcategorías. Para obtener más información acerca de cómo habilitarlas, consulte
Configuración de los dominios de origen y destino para la migración del historial de SID.
286
Para agregar una excepción del Firewall de Windows para la Administración remota de
servicios
287
Seguridad
4. Haga clic en Aceptar.
288
Para revocar
Mensaje los cambios realizados en el descriptor
de registro El mensajede
seseguridad de una
registra cuando ... cuenta
migrada de servicios administrada
equipo '%2' restablezca su contraseña y administrada.
modifique su atributo userAccountControl.
1. Abra Usuarios y equipos de Active Directory. Para abrir Usuarios y equipos de Active
Directory, haga clic en Inicio, en Panel de control, haga doble clic en Herramientas
administrativas y, a continuación, haga doble clic en Usuarios y equipos de Active
Directory.
2. Haga clic en Ver y, a continuación, haga clic en Características avanzadas.
3. Desplácese al contenedor donde esta la cuenta de servicio administrada, haga clic con
el botón secundario en la cuenta y, a continuación, haga clic en Propiedades.
De forma predeterminada, las cuentas de servicio administradas se crean en el
contenedor Cuentas de servicio administradas
4. Haga clic en la ficha Seguridad y, a continuación, en la entrada de control de acceso al
objeto de equipo.
5. Para Restablecer contraseña, desactive la casilla de verificación Permitir.
6. Haga clic en Avanzadas.
7. Haga clic en la entrada de control de acceso al objeto de equipo, luego en Editar y, a
continuación, para Escribir userAccountCntrol desactive la casilla de verificación
Permitir.
8. Haga doble clic en Aceptar, luego en Aplicar y, a continuación, de nuevo en Aceptar
para cerrar el cuadro de diálogo Propiedades.
289
Nota
290
Para cambiar la pertenencia al
a un
dominio
dominiode de
unun
equipo
equipo
queque
ejecuta
está ejecutando
Windows Vista,
Windows 7,
2000
Windows
(para ADMT
Server
v3.1)
2008o oWindows
WindowsServer
Server2003
2008 R2
1. Inicie la sesión en el equipo que usa una cuenta que tiene credenciales locales de
administrador.
2. En el escritorio, haga clic con el botón secundario en Mi PC y, después, haga clic en
Propiedades.
3. En la ficha Nombre de equipo, haga clic en Cambiar.
4. En Cambios en el nombre de equipo, seleccione Dominio: y, a continuación, escriba
el nombre del dominio al que quiere agregar este equipo. Haga clic en Aceptar y,
cuando se le pida que reinicie el equipo, haga clic de nuevo en Aceptar.
1. Inicie la sesión en el equipo que usa una cuenta que tiene credenciales locales de
administrador.
2. Haga clic en Inicio, haga clic con el botón secundario en Equipo y, a continuación, haga
clic en Propiedades.
3. Haga clic en Cambiar configuración.
4. En la ficha Nombre de equipo, haga clic en Cambiar.
5. En Cambios en el nombre de equipo, seleccione Dominio y, a continuación, escriba el
nombre del dominio al que desea agregar este equipo. Haga clic en Aceptar y, cuando
se le pida que reinicie el equipo, haga clic de nuevo en Aceptar.
291
Para quitar
habilitar
el la
indicador
posibilidad
El usuario
de cambiar
debela
cambiar
contraseña
la contraseña
de usuario
Después de una migración dentro del mismo bosque, los usuarios no pueden iniciar
sesión en su nuevo dominio.
Causa: puede que las contraseñas de cuentas de usuario que se utilizaban en el antiguo
dominio infrinjan las restricciones de contraseña del nuevo dominio.
En una migración dentro del mismo bosque, las contraseñas de cuentas de usuario del dominio
de origen se migran al dominio de destino. Si las cuentas de usuario del dominio de origen tienen
contraseñas que infringen las restricciones de contraseña (como el número mínimo de
caracteres, por ejemplo) del de destino, los usuarios migrados afectados no podrán iniciar
sesión, a menos que la contraseña se haya configurado con un valor que se ajuste a las
directivas de contraseña del dominio de destino.
Si los usuarios intentan utilizar las contraseñas incorrectas, sus nuevas cuentas de usuario se
bloquearán. Si seleccionó Deshabilitar cuentas de destino en el Asistente para migración de
cuentas de usuario, las nuevas cuentas de usuario se deshabilitarán. El resultado será que los
usuarios migrados quizá no puedan iniciar sesión hasta que sus cuentas se desbloqueen o se
marquen como habilitadas.
292
Solución: restablezca las contraseñas de cuentas de usuario en un valor que se ajuste a la
directiva de contraseña del nuevo dominio y habilite las cuentas de usuario si anteriormente
habían sido deshabilitadas como resultado de continuos errores de contraseña.
A los usuarios migrados les aparece un error indicando que su nombre o contraseña de
usuario es incorrecto.
Causa: los usuarios migrados no pueden iniciar sesión debido a la directiva de contraseña,
aunque parezca que las directivas de contraseña están deshabilitadas.
Durante una migración, algunos administradores pueden decidir deshabilitar las directivas de
contraseña en el dominio de destino. Si intentan llevar esto a cabo desactivando la directiva de
caracteres mínimos de la contraseña sin establecer la directiva de contraseña en cero, es posible
que, al haber aún una directiva de contraseña activa, los usuarios no puedan iniciar sesión.
Solución: establezca la directiva de caracteres mínimos de la contraseña en cero. Una vez que
la directiva de longitud esté establecida en cero, podrá desactivarse la directiva de longitud
mínima de la contraseña.
Solución: abra el archivo de registro de la migración y busque la cuenta que migró con el
historial de identificadores de seguridad (SID). Si se agregó el historial de SID a la cuenta,
debería ver una entrada similar a la siguiente:
06.10.05 18:28:50-SID para nombreDeCuentaDeUsuario agregada al historial de SID de
nombreDeCuentaDeUsuario
Si aparece un mensaje de error, seguramente no habrá configurado el entorno correctamente y
deberá consultar los temas de configuración antes de volver a intentar la migración.
No funciona la migración del historial de SID.
Causa: para que se la migración del historial de SID funcione, deben cumplirse una serie de
condiciones.
Solución: Configure el entorno de migración correctamente antes de ejecutar ADMT y revise los
temas de configuración antes de continuar con la migración.
Al migrar un principal de seguridad anteriormente migrado a un nuevo dominio, los tres
dominios deben tener establecidos los criterios para migrar el historial de SID.
Por ejemplo, supongamos que tenemos estos tres dominios: DominioA, DominioB y DominioC.
El Usuario1 del DominioA (DominioA\Usuario1) se migra al DominioB como DominioB\Usuario1 y
se convierte el historial de SID. El DominioB\Usuario1 tiene ahora el SID principal para el
DominioB\Usuario1 y el valor del historial de SID para el DominioA\Usuario1. Si un administrador
quiere migrar el DominioB\Usuario1 al DominioC\Usuario1 y preservar todos los SID del
DominioB\Usuario1, deberá establecerse la configuración apropiada para posibilitar la migración
del DominioA al DominioC y del DominioB al DominioC. Si se ha dado de baja el DominioA o si
no se puede establecer la configuración apropiada entre el DominioA y el DominioC, ADMT
migrará el SID para el DominioB\Usuario1 al DominioC\Usuario1 y registra el hecho de que no
pudo migrar el SID del DominioA\Usuario1.
Si no existe el DominioA, ADMT generará un mensaje de error en el registro, pero la migración
se habrá realizado correctamente. Puede ignorar este mensaje de error.
Después de la migración, las nuevas cuentas de usuario del dominio de destino no
pueden obtener acceso a los recursos en los que tienen permisos las cuentas del dominio
de origen.
Causa: La configuración necesaria para ejecutar ADMT no se ha establecido correctamente.
La mayoría de los problemas de migración son ocasionados por un entorno de migración mal
configurado.
Solución: abra el archivo de registro de la migración y busque la cuenta que migró con el
historial de SID. Si se agregó el historial de SID a la cuenta, debería ver una entrada similar a la
siguiente:
2005-10-06 18:28:50-SID para nombreDeCuentaDeUsuario agregada al historial de SID de
nombreDeCuentaDeUsuario
Si aparece un mensaje de error, seguramente no habrá configurado el entorno correctamente y
deberá consultar los temas de configuración antes de volver a intentar la migración.
294
Me aparece el siguiente error: "La Papelera de reciclaje de C:\ está dañada o no es válida.
¿Desea vaciar la Papelera de reciclaje de esta unidad?"
Causa: Este comportamiento se produce de forma predeterminada. Por razones de seguridad,
cada usuario que inicia sesión en un equipo de Windows 2000 o Windows Server 2003 tiene una
Papelera de reciclaje específica propia. La lista de control de acceso (ACL) sólo puede contener
un SID por usuario por cada instancia de Papelera de reciclaje. Cuando se migra el perfil de un
usuario mediante la opción Agregar, el SID del usuario del dominio de origen se agrega al
historial de SID de la Papelera de reciclaje. Lo que se consigue con esto es colocar dos SID por
usuario en la lista ACL de la Papelera de reciclaje. Este problema no se produce si migra los
perfiles mediante la opción Reemplazar.
Solución: en el mensaje de error, haga clic en Sí y la Papelera de reciclaje se vaciará sin
problemas. Si hace clic en No, el error seguirá apareciendo hasta que la Papelera de reciclaje se
vacíe.
Los usuarios de dominios que no son de confianza no pueden tener acceso a los recursos
compartidos del sistema de archivos distribuido (DFS) en dominios de Active Directory.
Causa: Este comportamiento se produce de forma predeterminada.
Solución: si planea utilizar recursos compartidos de DFS en el dominio, migre los equipos que
pertenecen a usuarios que antes tienen acceso a los recursos compartidos de DFS, o migre los
equipos y los usuarios en la misma sesión de migración.
295
Importante Importante
296
todos los registros de ADMT en la base de datos mediante el comando admt task en una línea
de comandos.
No puedo leer las entradas del registro de eventos para el agente ADMT.
Causa: no está en un equipo que tenga instalado ADMT.
Solución: el agente puede escribir entradas de registro de eventos en el equipo en el que se
ejecuta. Sin embargo, el software del agente se quita cuando la tarea del agente ha terminado.
Puede ver las entradas del registro de eventos en el equipo al que se distribuyó al agente
ejecutando el Visor de sucesos desde el equipo en el que ADMT está instalado.
Necesito más información de los registros de ADMT.
Causa: configuración incorrecta del nivel de registro.
De forma predeterminada, ADMT escribe la información de resumen en sus archivos de registro.
Puede aumentar el nivel de detalle cambiando la entrada del registro que controla el nivel de
registro.
Solución: En el equipo en el que ADMT está instalado, establezca en 7 el valor de la clave del
registro HKEY_LOCAL_MACHINE\Software\Microsoft\ADMT\TranslationLogLevel.
Puede utilizar el modo de registro detallado para el diagnóstico y la solución de problemas. El
modo de registro detallado puede crear archivos de registro muy grandes, especialmente en los
casos en los que el equipo de destino tiene muchos archivos u otros objetos cuyas listas de
control de acceso (ACL) deban actualizarse. Dado que los registros del agente se escriben en la
carpeta especificada por la variable de entorno %TEMP%, el volumen al que se dirige dicha
variable de entorno debe contar con bastante espacio en disco. Cuando inicia sesión con el
modo detallado, puede que tenga que cambiar el valor de la variable de entorno %TEMP% antes
de distribuir a un agente.
Los informes generados no aparecen en ADMT.
Causa: cuando ADMT genera informes, no actualiza automáticamente la consola.
Solución: Para ver los informes, cierre y vuelva a abrir ADMT.
Ejecución de varias instancias de ADMT en varios idiomas
Cuando ejecuta varias instancias de ADMT en las que distintas instancias utilizan diferentes
idiomas, los archivos de registro se generan en el idioma en el que se ejecuta la instancia. Esto
no afecta a la funcionalidad de ADMT en modo alguno. Sin embargo, recomendamos que utilice
un lenguaje unificado cuando ejecute varias instancias de ADMT.
297
Los parámetros duplicados de la línea de comandos prevalecen sobre cualquier aparición
anterior
Si se especifica varias veces un parámetro de la línea de comandos, el último valor prevalece
sobre el valor anterior. Este comportamiento se produce de forma predeterminada.
La interfaz de línea de comandos no muestra caracteres extendidos
La interfaz de línea de comandos de ADMT no convierte caracteres Unicode. Por lo tanto, los
caracteres extendidos como la diéresis no se muestran correctamente.
La opción de habilitar la cuenta de origen no está deshabilitada en las migraciones dentro
de un mismo bosque
Cuando realiza migraciones dentro de un mismo bosque, las cuentas se mueven de un dominio
a otro en lugar de copiarse. La cuenta de origen se quita durante el proceso. No obstante, la
opción de habilitar una cuenta de origen se encuentra disponible por medio de la interfaz de línea
de comandos de ADMT. Cuando use esta opción, recibirá la siguiente advertencia:
WRN1: 7362: <nombre_de_objeto>: no se pudo habilitar la cuenta de origen. El parámetro
es incorrecto.
298
Las operaciones de distribución del agente fallan por errores de conflicto de credenciales.
Causa: tiene una conexión activa, como una unidad asignada o una impresora, en un equipo en
el que se está instalando un agente. La operación de distribución falla porque las credenciales de
la instalación del agente entran en conflicto con el actual conjunto de credenciales.
Solución: quite todas las conexiones activas que haya entre el equipo que ejecuta ADMT y el
equipo en el que se está distribuyendo el agente.
Cuando intento ver los resultados de una operación de agente remoto, aparece el
siguiente error: "No se puede abrir el archivo \\NombreDelEquipo\(%SystemRoot%)
$\temp\dctlog.txt."
Causa: el recurso compartido administrativo predeterminado para el volumen de sistema del
equipo en el que se distribuyó el agente no está habilitado.
Al no estar habilitado el recurso compartido predeterminado, ADMT no puede leer el archivo de
registro.
Solución: vuelva a habilitar el recurso compartido predeterminado del volumen de sistema.
Al generar informes, aparece el error 3107 IDispatch.
Causa: este error puede surgir cuando se cierra el Agente de supervisión antes de que todos los
agentes hayan terminado de escribir de nuevo sus resultados en la base de datos de informe de
ADMT.
Solución: para evitar este problema, espere a que todos los agentes terminen sus tareas antes
de cerrar el Agente de supervisión.
Necesito saber qué protocolos y puertos utiliza ADMT para establecer la comunicación de
la consola con los controladores de dominio y los agentes de ADMT que se ejecutan en
las estaciones de trabajo.
Causa: cuando ejecuta ADMT en entornos con firewall, es posible que tenga que establecer
excepciones de puertos de firewall para permitir el tráfico relacionado con ADMT en su red.
Solución: la consola de ADMT utiliza el puerto de Protocolo ligero de acceso a directorios
(LDAP) 389 para comunicarse con los controladores de dominio y Llamada a procedimiento
remoto (RPC) para comunicarse con los agentes de ADMT. Para la comunicación RPC, se puede
utilizar cualquier puerto RPC disponible en el intervalo comprendido entre 1024 y 5000. Para
obtener más información, consulte el artículo 836429 de Microsoft Knowledge Base
(http://go.microsoft.com/fwlink/?LinkId=122010).
¿Por qué no se quitan los archivos que genera ADMT para la implementación del agente
después de su uso?
Los archivos generados en los equipos cliente donde se ejecutó el servicio de agente de ADMT
para la conversión de seguridad de grupos locales se colocan en %windir
%\onepointdomainagent:
Los archivos de esta ubicación pueden conservarse después de reiniciar debido a los siguientes
motivos:
Si el equipo aún tiene instalada ADMT.
Si tras quitar ADMT del equipo, no realiza una limpieza de registro para quitar cualquier
entrada desde la ruta de acceso HKLM\Software\Microsoft\ADMT.
299
Si reinicia el equipo sin esperar a que los procesos del agente de ADMT se cierren o
completen. Para comprobar que los procesos de ADMT se han cerrado, puede usar el
Administrador de tareas para comprobar que ADMTAgnt.exe y DctAgentServices.exe no se
muestran en la ficha Procesos. Si se muestra alguno de estos procesos, utilice el
Administrador de tareas para finalizarlos antes de reiniciar.
Recursos adicionales
Afecta a: Herramienta de migración Active Directory 3.1 (ADMT 3.1) y ADMT 3.2
Estos recursos contienen ayudas para tareas, herramientas e información adicionales
relacionadas con esta guía.
Información relacionada
Designing and Deploying Directory and Security Services (Diseño e implantación de
Directory y los servicios de seguridad) (http://go.microsoft.com/fwlink/?LinkId=76005)
Herramientas relacionadas
Artículo 295758 de Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkId=77553)
300