EPFL > VPSI > IT > EXAPP - Site d'information: WinAD (Windows Active Directory)
 

  Affiche tous les articles

 Mode d'emploi du moteur de recherche  Rechercher : 
Moteur de recherche
Home page
Accréditation
Activation MS
AD c'est quoi ?
AD PowerShell
Authentifications
Autorisations DHCP
bugs
Conseils AD
DCs Sécurité
Délégations OUs
Domaine SC
Gaspar
GPO
Grp-Staff
KMS
Migrations
Outils
· Enable the Disk Cleanup tool 2012R2
· Rearming Sysprep
· Apply Images Using DISM
· Désactiver la couche 6to4 (IPV6) sur Windows 7 ,8 ,2008 ,2012
· Check MachineConf
· AD Users & Computers : afficher l'onglet "additional account info" sur OS 64 bits
· CMD for AD 2000/3/8 Dsget
· ShellRunas for VISTA
· Déléguer la gestion des services
· Mise à jour automatique avec Software Update Services pour Windows 2000, XP et 2003
· SUBINACL modifier les permissions & permuter les SID
· ADMT-V2 (Active Directory Migration Toll)
· How-to Migration NT4-2000 with ADMT V2 by Philippe Chammartin(IC-ISC)
· Outils pour la gestion de l'Active Directory (support tools)
· "Replication Access Was Denied"
· LES INDISPENSABLES Outils de support Active Directory
· commandes de Windows 2000
· NETDOM Déplacer des comptes machines d'un domaine à un autre
· MOVETREE pour déplacer des USERS d'un domaine2000 à un autre
· Installation des outils de support de Windows 2000 sur un ordinateur Windows 2000 Server
· Outils de migration de Domaines et OU
Procès verbaux
Profiles Itinérants
PWAD
Règles de nommage
Restaurations DC Fac
ServerAD2003
ServerAD2008
Seven
Students
synchro
toto1
Trucs et Astuces
Win 8.1
WinAD
Windows 10
Windows 8
Windows Server
Wins
Work Shop
  Afficher une version imprimable de ce document dans une nouvelle fenêtre
 
ADMT-V2 (Active Directory Migration Toll)
 

New version ADMT v2 

\\OLYMPE\Distribution\System\Win2003\English\All_Versions\Tools

  http://www.microsoft.com/downloads/details.aspx?FamilyID=788975b1-5849-4707-9817-8c9773c25c6c&DisplayLang=en


Présentation de l’outil de migration Active Directory

Présentation

L’outil de migration Active DirectoryTM (ADMT, Active Directory Migration Tool) fournit un moyen simple, sûr et rapide de migrer de Windows NT au service Active Directory de Windows 2000 Server. Vous pouvez également utiliser ADMT pour restructurer vos domaines Active Directory Windows 2000. Cet outil peut aider un administrateur système à diagnostiquer tout problème éventuel avant de démarrer les opérations de migration. Les assistants basés sur des tâches vous permettront ensuite de migrer des utilisateurs, des groupes et des ordinateurs, de définir les bonnes autorisations de fichiers et de migrer les boîtes aux lettres Microsoft Exchange Server. La fonctionnalité de rapport de cet outil vous permet également d’évaluer l’impact de la migration, à la fois avant et après les opérations de déplacement.

Dans de nombreux cas, si un problème survient, vous pouvez utiliser la fonction de restauration pour restaurer automatiquement les structures précédentes. L’outil prend également en charge les domaines parallèles : vous pouvez ainsi conserver vos domaines Microsoft Windows NT 4.0 existants tout en déployant le système d’exploitation Microsoft Windows 2000.

Avantages

ADMT constitue un outil efficace qui simplifie le processus de migration d’utilisateurs, d’ordinateurs et de groupes vers de nouveaux domaines. Parallèlement, ADMT a été conçu pour être flexible et chaque organisation peut l’utiliser pour implémenter un processus de migration adapté à ses besoins. Cet outil puissant vous permet d’effectuer les opérations suivantes :

    Migrer à partir de Windows NT. Vous pouvez utiliser ADMT pour migrer de Windows NT vers Windows 2000. Cette migration vous permet de bénéficier de plusieurs fonctions importantes introduites par Active Directory, dont :

    • Une évolutivité accrue. L’évolutivité accrue disponible dans une forêt Active Directory (vous pouvez avoir des millions d’objets) vous permet de reconfigurer vos domaines Windows NT en cours en des domaines Active Directory Windows 2000 moins nombreux et plus volumineux. La simplification de votre structure de domaines (souvent en un seul domaine) facilite également l’administration des utilisateurs, des groupes et de la stratégie de groupe.
    • La délégation d’administration. La consolidation des domaines de ressources Windows NT en unités d’organisation (OU) vous permet de déléguer le contrôle administratif d’unités d’organisation spécifiques à des administrateurs qui ont seulement autorité sur une partie d’un domaine.
    • La simplification des relations d’approbation. Si la structure de votre domaine en cours requiert un réseau complexe de relations d’approbation, vous pouvez bénéficier d’une nouvelle conception qui vous permet d’utiliser moins de relations d’approbation grâce aux relations d’approbation transitives bilatérales disponibles dans Windows 2000.
  • Restructurer Windows 2000. Vous pouvez utiliser ADMT pour réorganiser votre structure de domaines Windows 2000. De manière similaire à la migration de Windows NT vers Windows 2000, la migration au sein de Windows 2000 vous permet également de consolider plusieurs domaines en moins de domaines, voire si possible en un seul domaine.
  • Adapter la démarche à vos besoins. ADMT vous permet de spécifier la manière dont vous souhaitez traiter les options concernant les utilisateurs, les mots de passe, les ordinateurs, les groupes, les appartenances aux groupes, ainsi que les options de traduction de sécurité et de surveillance pendant le processus de migration.

Fonctionnalités d’ADMT

ADMT vous permet de gérer efficacement la migration des domaines et d’effectuer un réglage fin des résultats pour répondre à leurs exigences.

    Il n’est plus nécessaire de charger manuellement le logiciel sur tous les ordinateurs.

    • Si vous utilisez ADMT pour migrer des utilisateurs et des groupes, vous pouvez installer généralement cet outil sur la console dans le domaine cible (le domaine dans lequel les entités de sécurité ou les ressources sont migrées). Par ailleurs, ADMT ne requiert l’installation d’aucun logiciel supplémentaire sur les ordinateurs du domaine source (le domaine à partir duquel les entités de sécurité ou les ressources sont migrées).
    • Lors de la migration d’ordinateurs ou de la traduction de sécurité sur les ressources, ADMT installe automatiquement des services (appelés agents) sur les ordinateurs source. Cela signifie que vous n’avez pas besoin d’installer manuellement le logiciel sur chaque ordinateur source pour effectuer la migration. Une fois la tâche de l’agent terminée, celui-ci est automatiquement désinstallé.
  • Les assistants simplifient vos tâches. ADMT vous permet d’utiliser plusieurs assistants, dont l’Assistant Migration des utilisateurs, l’Assistant Migration des ordinateurs, l’Assistant Migration des groupes, l’Assistant Migration des comptes de services, l’Assistant Migration des relations d’approbation et l’Assistant Rapport, qui permettent de simplifier de nombreux éléments du processus de migration.
  • Options personnalisées. Vous pouvez sélectionner les options appropriées parmi les nombreuses options offertes par les différents assistants lors d’une migration. Par exemple, vous pouvez choisir de copier les autorisations des utilisateurs assignées dans le domaine source vers le domaine cible, vous pouvez laisser des comptes utilisateurs actifs dans le domaine source et le domaine cible, vous pouvez copier les profils itinérants dans le domaine cible pour les comptes d’utilisateur sélectionnés, etc.
  • Restructuration des groupes. Avant de migrer des groupes, vous avez la possibilité d’exécuter l’Assistant Mappage et fusionde groupe pour mapper un groupe dans le domaine source sur un nouveau groupe ou un groupe existant dans le domaine cible. Cela garantit que les appartenances aux groupes reflètent le mappage lorsque les membres du groupe sont migrés du domaine source au domaine cible. Vous pouvez aussi fusionner plusieurs groupes en un seul groupe.
  • Test d’exécution. En sélectionnant l’option Tester les paramètres de migration et migrer ultérieurement, vous pouvez exécuter un assistant sans effectuer de changements dans votre réseau. Vous pouvez examiner les fichiers journaux et les rapports créés par les assistants pour identifier et résoudre tout problème éventuel avant d’effectuer la migration.
  • Annulation. Vous pouvez annuler la migration d’utilisateurs, de groupes ou d’ordinateurs la plus récente.
  • Les utilisateurs conservent l’accès aux ressources. Lors de la migration d’utilisateurs et de groupes, ADMT permet aux utilisateurs de garder les mêmes autorisations d’accès qu’avant la migration, aux ressources telles que les fichiers, les partages et les applications, et ce par l’intermédiaire de la fonction sIDHistory ou en mettant à jour ces ressources pour qu’elles se réfèrent à l’utilisateur migré. Cette fonction permet de garder intacte votre structure de sécurité (l’accord ou le refus des autorisations d’accès aux ressources) tout en la transposant de manière pratique dans le nouveau domaine.
  • Les utilisateurs conservent l’accès aux ressources Exchange. Si vous avez besoin de mettre à jour les autorisations de sécurité des boîtes aux lettres Exchange pour refléter la migration, ADMT peut aussi s’en occuper.
  • Les comptes de services sont migrés également. ADMT migre aussi les comptes de services. De nombreuses applications, telles que Microsoft Exchange, se servent des comptes de services pour exécuter les services avec le même ensemble d’informations d’identification sur plusieurs ordinateurs en réseau.
  • Placement d’objets dans des unités d’organisation. Outre la consolidation des domaines de ressources Windows NT dans des unités d’organisation Active Directory, ADMT vous permet aussi de migrer des utilisateurs, des groupes ou des ordinateurs sélectionnés vers des unités d’organisation dans le domaine cible. Vous pouvez donc utiliser les fonctions de Windows 2000 pour gérer ces unités d’organisation (vous pouvez par exemple définir des paramètres de configuration pour une stratégie de groupe pour un groupe d’ordinateurs rassemblés dans une unité d’organisation donnée).
  • Gestion des relations d’approbation. Une relation d’approbation connecte deux domaines et donne aux utilisateurs dans le domaine approuvé accès aux ressources du domaine autorisé à approuver. Pour maintenir l’accès aux ressources pendant la migration, des relations d’approbation identiques à celles du domaine cible doivent être établies dans le domaine source. L’Assistant Migration des relations d’approbation remplit cette fonction à votre place, en comparant tout d’abord les relations d’approbation du domaine source à celles du domaine cible, puis en créant dans le domaine cible toutes les relations d’approbation du domaine source manquantes.
  • Utilisation de la nouvelle étendue de groupe universel. Au cours d’une migration au sein d’une même forêt (c’est-à-dire une migration entre des domaines Windows 2000 de la même forêt), lorsque des groupes globaux sont migrés à partir d’un domaine source en mode natif, les groupes sont créés en tant que groupes universels dans le domaine cible et ils peuvent ainsi contenir les membres du domaine source qui n’ont pas encore été migrés. Les groupes globaux peuvent seulement contenir des membres de leur propre domaine ; les groupes universels peuvent avoir des membres de n’importe quel domaine Windows 2000 de la forêt.

Configuration système requise par ADMT

  • Domaine cible. Pour les domaines cibles, ADMT peut être installé sur tout ordinateur capable d’exécuter le système d’exploitation Windows 2000 Server.
  • Domaine source. Le domaine source doit exécuter Windows 2000 ou Windows NT 4.0.
  • Le contrôleur de domaine principal (PDC) d’un domaine source Windows NT 4.0 doit disposer du Service Pack 4 (ou ultérieur). L’agent ADMT (installé par ADMT sur les ordinateurs source) peut fonctionner sur des ordinateurs Windows NT 3.51 (avec SP5), Windows NT 4.0 (avec SP4 ou ultérieur) ou Windows 2000.



Pour en savoir plus

Utilisation de l'outil de migration Active Directory version 2 pour migrer de Windows 2000 à Windows Server 2003

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s) :
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003, Standard Edition
  • Microsoft Windows Server 2003, Enterprise Edition
  • Microsoft Windows Server 2003, Datacenter Edition
  • Microsoft Windows Server 2003, 64-Bit Enterprise Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Web Edition


IMPORTANT : Cet article contient des informations sur la modification du Registre. Avant de modifier le Registre, sauvegardez-le et informez-vous sur la procédure de restauration en cas de problème. Pour savoir comment sauvegarder, restaurer et modifier le Registre, cliquez sur le numéro d'article ci-dessous pour afficher le document correspondant de la Base de connaissances Microsoft :

256986 Description du Registre Microsoft Windows

Résumé

Cet article décrit comment configurer l'outil de migration Active Directory (ADMT, Active Directory Migration Tool) pour migrer d'un domaine basé sur Windows 2000 vers un domaine basé sur Windows Server 2003.

Plus d'informations

AVERTISSEMENT : Si vous n'utilisez pas correctement l'Éditeur du Registre, vous risquez de provoquer de graves problèmes pouvant nécessiter la réinstallation du système d'exploitation. Microsoft ne peut pas garantir que les problèmes résultant d'une utilisation incorrecte de l'Éditeur du Registre peuvent être résolus. Vous assumez le risque de l'utilisation de cet éditeur.

Vous pouvez utiliser ADMT pour migrer des utilisateurs, des groupes et des ordinateurs d'un domaine à un autre, et pour analyser l'impact de la migration avant et après le processus effectif de migration.

REMARQUE : Cet article considère que le domaine source est un domaine basé sur Windows 2000 et que le domaine cible est un domaine basé sur Windows Serveur 2003 dans Windows 2000 ou ultérieur en mode natif.

Configuration de ADMT pour une migration de Windows 2000 à Windows Server 2003

Vous pouvez installer l'outil de migration Active Directory version 2 (ADMTv2) sur tout ordinateur fonctionnant avec Windows 2000 ou ultérieur, y compris :
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows 2000 Server
  • Microsoft Windows XP Professionnel
  • Microsoft Windows Server 2003
L'ordinateur sur lequel vous installez ADMTv2 doit être un membre du domaine source ou du domaine cible.

Migration intraforêt

La migration intraforêt ne requiert aucune configuration spéciale de domaine. Le compte que vous utilisez pour exécuter ADMT doit disposer d'autorisations suffisantes pour effectuer les actions qui sont requises par ADMT. Par exemple, le compte doit disposer du droit de supprimer des comptes dans le domaine source et de créer des comptes dans le domaine cible.

La migration intraforêt est une opération de déplacement plutôt qu'une opération de copie. Ces migrations sont qualifiées de destructrices parce que, après le déplacement, les objets migrés n'existent plus dans le domaine source. Comme l'objet est déplacé et non pas copié, certaines actions qui sont facultatives dans les migrations interforêts se font automatiquement. En particulier, le sIDHistory et le mot de passe sont migrés automatiquement lors de toutes les migrations intraforêts.

Migration interforêt

ADMT doit disposer des autorisations suivantes pour fonctionner correctement :
  • Droits administrateur dans le domaine source.
  • Droits administrateur sur chaque ordinateur que vous migrez.
  • Droits administrateur sur chaque ordinateur où vous transférez des éléments de sécurité.
Avant de migrer un domaine basé sur Windows 2000 vers un domaine basé sur Windows Server 2003, vous devez procéder à certaines configurations des domaines et de la sécurité. La migration d'ordinateur et le transfert des éléments de sécurité ne requièrent aucune configuration particulière des domaines. Cependant, chaque ordinateur que vous voulez migrer doit disposer des partages d'administration, C$ et ADMIN$.

Le compte que vous utilisez pour exécuter ADMT doit disposer d'autorisations suffisantes pour effectuer les tâches requises. Le compte doit avoir l'autorisation de créer des comptes d'ordinateur dans le domaine et l'unité d'organisation, et doit être membre du groupe local Administrateurs sur chaque ordinateur à migrer.

Migration d'utilisateurs et de groupes

Vous devez configurer le domaine source pour approuver le domaine cible. Facultativement, la cible peut être configurée pour approuver le domaine source. Si cela peut faciliter la configuration, ce n'est toutefois pas obligatoire pour effectuer la migration ADMT.

Éléments requis pour les tâches de migration facultatives

Vous pouvez effectuer les tâches suivantes automatiquement en exécutant l'Assistant Migration des utilisateurs en mode Test et en sélectionnant l'option de migration de sIDHistory. Le compte d'utilisateur que vous utilisez pour exécuter ADMT doit être un administrateur à la fois dans les domaines source et cible pour que la configuration automatique se fasse correctement.
  1. Créez un nouveau groupe local dans le domaine source qui est appelé %sourcedomain%$$$. Il ne doit pas y avoir de membres dans ce groupe.
  2. Activez l'audit pour le succès et l'échec de la fonction Auditer la gestion des comptes sur les deux domaines dans la stratégie Contrôleurs de domaine par défaut.
  3. Configurez le domaine source pour permettre les accès RPC au SAM en configurant l'entrée du Registre suivante sur l'Émulateur PDC du domaine source avec une valeur DWORD de 1 :

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport

    Vous devez redémarrer l'Émulateur PDC après avoir fait cette modification.
REMARQUE : Pour les domaines Windows 2000, le compte que vous utilisez pour exécuter ADMTv2 doit disposer des autorisations d'administrateur de domaine à la fois dans les domaines source et cible. Pour les domaines Windows Server 2003 cible, la migration de sIDHistory peut être déléguée. Pour plus d'informations, voir l'aide et le support de Windows Server 2003.

Vous pouvez activer la migration de mot de passe interforêt en installant une DLL qui s'exécute dans le contexte de LSA. Avec une exécution dans ce contexte protégé, les mots de passe sont à l'abri d'une visualisation en texte clair, même par le système d'exploitation. L'installation de la DLL est protégée par une clé cachée qui est créée par ADMTv2 ; elle doit être installée par un administrateur.

Pour installer la DLL de migration des mots de passe :
  1. Ouvrez une session en tant qu'administrateur ou un équivalent sur l'ordinateur où ADMTv2 a été installé.
  2. À une invite de commande, exécutez la commande ADMT KEY domaine_sourcechemin_accès [* | mot_de_passe] pour créer le fichier de clé d'exportation des mots de passe (.pes). Dans cet exemple, domaine_source est le nom NetBIOS du domaine source et chemin_accès est le chemin d'accès du fichier où la clé va être créée. Le chemin d'accès doit être local, mais il peut pointer vers un média amovible, comme une disquette, une unité ZIP ou un lecteur de CD enregistrable. Si vous tapez le mot de passe facultatif à la fin de la commande, ADMT protège le fichier .pes avec le mot de passe. Si vous tapez l'astérisque (*), ADMT demande un mot de passe, et le système ne l'affiche pas quand vous le tapez.
  3. Déplacez le fichier .pes que vous avez créé à l'étape 2 vers le serveur d'export de mot de passe désigné du domaine source. Ce peut être n'importe quel contrôleur de domaine, mais vérifiez qu'il dispose d'une liaison rapide et fiable vers l'ordinateur qui exécute ADMT.
  4. Installez la DLL de migration de mot de passe sur le serveur d'export de mot de passe en exécutant le programme Pwmig.exe. Pwmig.exe se trouve dans le dossier I386\ADMT sur le média d'installation de Windows Server 2003, ou dans le dossier où vous avez téléchargé ADMTv2 depuis Internet.
  5. Quand vous êtes invité à le faire, spécifiez le chemin d'accès du fichier .pes que vous avez créé à l'étape 2. Ce doit être un chemin d'accès local.
  6. Quand l'installation est terminée, vous devez redémarrer le serveur.
  7. Si vous êtes prêt à migrer les mots de passe, modifiez les clés du Registre suivantes pour leur donner une valeur DWORD de 1. Pour une sécurité maximale, n'effectuez pas cette étape avant d'être prêt à migrer.

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport

Pour télécharger ADMT, visitez le site Web Microsoft suivant :

http://www.microsoft.com/windows2000/downloads/tools/admt/default.asp

Pour plus d'informations sur la façon d'utiliser ADMT pour effectuer une migration, voir l'aide de ADMT. Démarrez l'outil de migration Active Directory, cliquez sur Rubriques d'aide dans le menu Aide, cliquez sur l'onglet Sommaire, puis cliquez sur Outil de migration Active Directory.

Pour plus d'informations sur ADMT, visitez le site Web Microsoft suivant :

http://www.microsoft.com/windows2000/techinfo/howitworks/activedirectory/admt.asp

Pour plus d'informations sur l'utilisation de ADMT pour effectuer une migration d'un domaine basé sur Microsoft Windows NT 4.0 vers un domaine basé sur Windows Server 2003, cliquez sur le numéro d’article ci-dessous pour consulter le document correspondant de la Base de connaissances Microsoft :

325851 HOW TO : Configuration de ADMT pour une migration de Windows NT 4.0 à Windows Server 2003

L'outil de migration Active Directory v2 se trouve dans le dossier I386\Admt du CD de Windows Server 2003.

Article N° 27, du 18.06.2003, par Alain Gremaud
URL de cet article : http://winad.epfl.ch/?article=27

© 2017 VPSI - EXAPP - TC