Sie sind auf Seite 1von 331

ADMT-Handbuch: Migrieren und

Neustrukturieren von Active Directory-


Domänen
Microsoft Corporation
Veröffentlicht: Juni 2010
Autor: Justin Hall
Editoren: Jim Becker, Margery Spears

Kurzfassung
In diesem Handbuch wird die Verwendung des Active Directory®-Migrationsprogramms,
Version 3.1 (ADMT v3.1) oder ADMT 3.2, zum Migrieren von Benutzern, Gruppen, verwalteten
Dienstkonten und Computern zwischen Active Directory-Domänen in verschiedenen
Gesamtstrukturen (Migration zwischen Gesamtstrukturen) oder zwischen Active Directory-
Domänen in der gleichen Gesamtstruktur (Migration innerhalb einer Gesamtstruktur) erläutert.
Außerdem wird die Verwendung von ADMT zum Ausführen der Sicherheitskonvertierung
zwischen verschiedenen Active Directory-Gesamtstrukturen gezeigt.
Die Informationen in diesem Dokument, einschließlich URL- und anderen Internetwebsite-
Verweisen, können ohne vorherige Ankündigung geändert werden. Die in den Beispielen
verwendeten Firmen, Organisationen, Produkte, Domänennamen, E-Mail-Adressen, Logos,
Personen, Orte und Ereignisse sind frei erfunden, soweit nichts anderes angegeben ist. Jede
Ähnlichkeit mit bestehenden Firmen, Organisationen, Produkten, Domänennamen, E-Mail-
Adressen, Logos, Personen, Orten oder Ereignissen ist rein zufällig. Die Benutzer/innen sind
verpflichtet, sich an alle anwendbaren Urheberrechtsgesetze zu halten. Unabhängig von der
Anwendbarkeit der entsprechenden Urheberrechtsgesetze darf ohne ausdrückliche schriftliche
Erlaubnis der Microsoft Corporation kein Teil dieses Dokuments für irgendwelche Zwecke
vervielfältigt oder in einem Datenempfangssystem gespeichert oder darin eingelesen werden,
unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln (elektronisch,
mechanisch, durch Fotokopieren, Aufzeichnen usw.) dies geschieht.
Es ist möglich, dass Microsoft Rechte an Patenten bzw. angemeldeten Patenten, an Marken,
Urheberrechten oder sonstigem geistigem Eigentum besitzt, die sich auf den fachlichen Inhalt
dieses Dokuments beziehen. Das Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen
Anspruch auf diese Patente, Marken, Urheberrechte oder auf sonstiges geistiges Eigentum, es
sei denn, dies wird ausdrücklich in den schriftlichen Lizenzverträgen von Microsoft eingeräumt.
© 2010 Microsoft Corporation. Alle Rechte vorbehalten.
Active Directory, Microsoft, Windows und Windows Server sind eingetragene Marken oder
Marken der Microsoft Corporation in den USA und/oder anderen Ländern.
Die in diesem Dokument aufgeführten Namen von bestehenden Firmen und Produkten sind
möglicherweise Marken der jeweiligen Eigentümer.
Inhalt
ADMT-Handbuch: Migrieren und Neustrukturieren von Active Directory-Domänen........................1
Kurzfassung.............................................................................................................................1

Inhalt...............................................................................................................................................3

ADMT-Handbuch: Migrieren und Neustrukturieren von Active Directory-Domänen......................10


Active Directory-Domänenneustrukturierung zwischen Gesamtstrukturen................................11
Active Directory-Domänenneustrukturierung innerhalb einer Gesamtstruktur...........................11
Begriffe und Definitionen...........................................................................................................13
Aktive Directory-Migrationsprogramm........................................................................................13
Verwenden einer Includedatei................................................................................................15
Feld "SourceName"............................................................................................................16
Feld "TargetName"..............................................................................................................16
Felder "TargetRDN", "TargetSAM" und "TargetUPN"..........................................................17
Umbenennen von Objekten................................................................................................17
Verwenden einer Ausschlussdatei......................................................................................18
Verwenden von Skripts...........................................................................................................18

Versionen vom Active Directory-Migrationsprogramm und unterstützte Umgebungen.................21


Unterstützung für Windows Server-Funktionen ........................................................................23

Bewährte Methoden für die Active Directory-Migration.................................................................24

Bewährte Methoden für die Verwendung des Active Directory-Migrationsprogramms..................24

Bewährte Methoden für das Ausführen der Migration von Benutzer- und Gruppenkonten...........25

Bewährte Methoden für das Ausführen von Computermigrationen...............................................26

Bewährte Methoden für das Ausführen des Rollbacks einer Migration.........................................27

Active Directory-Domänenneustrukturierung zwischen Gesamtstrukturen...................................28

Prüfliste: Ausführen einer Migration zwischen Gesamtstrukturen.................................................29

Neustrukturierung von Active Directory-Domänen zwischen Gesamtstrukturen im Überblick.......32

Verfahren zum Neustrukturieren von Active Directory-Domänen zwischen Gesamtstrukturen.....33

Hintergrundinformationen zum Neustrukturieren von Active Directory-Domänen zwischen


Gesamtstrukturen......................................................................................................................33
Migrationsvorgang von Benutzerkonten....................................................................................34
Migrationsvorgang für Ressourcen............................................................................................35
Planen der Neustrukturierung von Active Directory-Domänen zwischen Gesamtstrukturen.........36

Festlegen des Kontomigrationsvorgangs......................................................................................37

Verwenden des SID-Verlaufs zum Beibehalten des Ressourcenzugriffs......................................39

Verwenden von SID-Filterung beim Migrieren von Benutzerkonten..............................................40

Zuweisen von Objektspeicherorten und Rollen.............................................................................41

Entwickeln eines Testplans für die Migration.................................................................................43

Erstellen eines Rollbackplans.......................................................................................................45

Verwalten von Benutzern, Gruppen und Benutzerprofilen............................................................47


Verwalten von Benutzerkonten..................................................................................................47
Attribute, die immer vom System ausgeschlossen werden....................................................48
Systemattribut-Ausschlussliste...............................................................................................48
Attributausschlussliste............................................................................................................48
Verwalten globaler Gruppen......................................................................................................49
Planen einer Benutzerprofilmigration.........................................................................................49
Vorbereiten von servergespeicherten Profilen für die Migration von Computern unter
Windows Vista und Windows 7...........................................................................................51

Erstellen eines Endbenutzerkommunikationsplans.......................................................................53


Allgemeine Informationen..........................................................................................................53
Auswirkungen............................................................................................................................53
Anmeldestatus während der Migration......................................................................................53
Schritte vor der Migration...........................................................................................................54
Erwartete Änderungen...............................................................................................................54
Informationen zu Planung und Support.....................................................................................54

Vorbereiten der Quell- und Zieldomänen......................................................................................54

Installieren von Software für starke Verschlüsselung (128-Bit).....................................................55

Einrichten von erforderlichen Vertrauensstellungen für die Migration...........................................56

Einrichten von Migrationskonten für die Migration........................................................................56

Konfigurieren der Quell- und Zieldomänen für die Migration des SID-Verlaufs.............................61

Konfigurieren der Organisationseinheitsstruktur der Zieldomäne für die Verwaltung....................63

Installieren von ADMT in der Zieldomäne.....................................................................................64


Installieren von ADMT v3.1........................................................................................................64
Voraussetzungen für die Installation von ADMT v3.1.............................................................64
Installieren von ADMT v3.1 mithilfe des Standarddatenbankspeichers..................................65
Installieren von ADMT v3.2........................................................................................................68
Voraussetzungen für die Installation von ADMT v3.2.............................................................69
Installieren von ADMT v3.2....................................................................................................70
Trennen einer vorhandenen Datenbankdatei von einer vorherigen Version von ADMT und SQL
Server.....................................................................................................................................71
Neukonfiguration einer Datenbankinstallation mit "Admtdb.exe"...............................................71
Erneutes Verwenden einer ADMT-Datenbank aus einer vorherigen Installation........................73

Aktivieren der Kennwortmigration.................................................................................................74

Initialisieren von ADMT durch Ausführen einer Testmigration.......................................................78

Identifizieren von Dienstkonten für die Migration..........................................................................81


Bestimmen von Dienstkonten....................................................................................................81

Migrieren von Konten....................................................................................................................87

Konvertieren von Dienstkonten in der Migration...........................................................................88

Migrieren globaler Gruppen..........................................................................................................95

Migrieren von Konten bei Verwendung des SID-Verlaufs............................................................100

Migrieren von verwalteten Dienstkonten.....................................................................................104

Migrieren aller Benutzerkonten....................................................................................................111

Erneute losweise Migration von Benutzerkonten und Migration von Arbeitsstationen.................118


Konvertieren lokaler Benutzerprofile........................................................................................118
Losweise Migrierung von Arbeitsstationen...............................................................................123
Erneute losweise Migration von Benutzerkonten.....................................................................130
Erneute Migration aller globalen Gruppen nach der Kontenmigration.....................................137

Erneute Migration aller globalen Gruppen nach der Migration aller Lose...................................137

Migrieren von Konten ohne Verwendung des SID-Verlaufs........................................................142

Migrieren von verwalteten Dienstkonten.....................................................................................144

Migrieren aller Benutzerkonten...................................................................................................150

Konvertieren der Sicherheit im Hinzufügen-Modus.....................................................................157

Erneute losweise Migration von Benutzerkonten und Migration von Arbeitsstationen................161


Konvertieren lokaler Benutzerprofile........................................................................................162
Losweise Migrierung von Arbeitsstationen...............................................................................166
Erneute losweise Migration von Benutzerkonten.....................................................................173
Erneute Migration aller globalen Gruppen nach der Kontenmigration.....................................180

Erneute Migration aller globalen Gruppen nach der Migration aller Lose...................................180
Konvertieren der Sicherheit im Entfernungsmodus.....................................................................185

Migrieren von Ressourcen..........................................................................................................189

Migrieren von Arbeitsstationen und Mitgliedsservern..................................................................190

Migrieren von Domänen- und freigegebenen lokalen Gruppen...................................................197

Migrieren von Domänencontrollern.............................................................................................202

Anschließen der Migration..........................................................................................................202

Konvertieren der Sicherheit auf Mitgliedsservern........................................................................203

Außerbetriebnahme der Quelldomänen......................................................................................208

Active Directory-Domänenneustrukturierung innerhalb einer Gesamtstruktur............................209

Prüfliste: Ausführen einer Migration innerhalb einer Gesamtstruktur..........................................209

Übersicht zum Umstrukturieren von Active Directory-Domänen innerhalb einer Gesamtstruktur


................................................................................................................................................212

Umstrukturieren von Active Directory-Domänen innerhalb einer Gesamtstruktur mithilfe von


ADMT v3.1...............................................................................................................................213

Hintergrundinformationen zum Neustrukturieren von Active Directory-Domänen innerhalb einer


Gesamtstruktur........................................................................................................................213
Geschlossene Sätze und offene Sätze....................................................................................214
Benutzer und Gruppen.........................................................................................................214
Ressourcen und lokale Gruppen..........................................................................................216
SID-Verlauf..............................................................................................................................216
Zuweisen des Ressourcenzugriffs zu Gruppen.......................................................................217

Vorbereiten der Neustrukturierung von Active Directory-Domänen innerhalb einer Gesamtstruktur


................................................................................................................................................217

Beurteilen der neuen Struktur der Active Directory-Gesamtstruktur............................................218


Identifizieren der Quelldomänen..............................................................................................219
Identifizieren und Beurteilen der Organisationseinheitsstruktur der Zieldomäne.....................219

Zuweisen von Domänenobjektrollen und -Speicherorten............................................................219

Planen der Migration von Gruppen.............................................................................................221

Planen von Testmigrationen........................................................................................................223

Erstellen eines Rollbackplans.....................................................................................................225

Erstellen eines Endbenutzermigrationsplans..............................................................................226


Allgemeine Informationen........................................................................................................227
Auswirkungen..........................................................................................................................227
Anmeldestatus während der Migration....................................................................................227
Schritte vor der Migration.........................................................................................................227
Erwartete Änderungen.............................................................................................................228
Informationen zu Planung und Support...................................................................................228

Erstellen von Migrationskontengruppen......................................................................................228

Installieren von ADMT in der Zieldomäne...................................................................................231


Installieren von ADMT v3.1......................................................................................................231
Voraussetzungen für die Installation von ADMT v3.1...........................................................231
Installieren von ADMT v3.1 mithilfe des Standarddatenbankspeichers................................232
Installieren von ADMT v3.2......................................................................................................235
Voraussetzungen für die Installation von ADMT v3.2...........................................................236
Installieren von ADMT v3.2..................................................................................................237
Trennen einer vorhandenen Datenbankdatei von einer vorherigen Version von ADMT und SQL
Server...................................................................................................................................238
Neukonfiguration einer Datenbankinstallation mit "Admtdb.exe".............................................238
Erneutes Verwenden einer ADMT-Datenbank aus einer vorherigen Installation......................240

Planen der Aktualisierung von Dienstkonten...............................................................................241

Beispiel: Vorbereiten der Neustrukturierung von Active Directory-Domänen..............................246

Migrieren von Domänenobjekten zwischen Active Directory-Domänen......................................247

Migrieren von Gruppen...............................................................................................................248

Migrieren universeller Gruppen...................................................................................................249

Migrieren globaler Gruppen........................................................................................................253

Migrieren von Dienstkonten........................................................................................................259

Migrieren von verwalteten Dienstkonten.....................................................................................265

Migrieren von Benutzerkonten....................................................................................................271

Migrieren von Organisationseinheiten und Unterstrukturen von Organisationseinheiten............272

Migrieren von Konten..................................................................................................................273

Konvertieren lokaler Benutzerprofile...........................................................................................278

Migrieren von Arbeitsstationen und Mitgliedsservern..................................................................283

Migrieren lokaler Domänengruppen............................................................................................292

Beispiel: Neustrukturierung von Active Directory-Domänen........................................................295


Ausführen von Aufgaben nach der Migration..............................................................................296

Untersuchen von Migrationsprotokollen auf Fehler.....................................................................296


Zugriff auf ADMT-Protokolldateien...........................................................................................297

Überprüfen der Gruppentypen....................................................................................................297

Konvertieren der Sicherheit auf Mitgliedsservern........................................................................298

Konvertieren der Sicherheit mithilfe einer SID-Zuordnungsdatei................................................302

Außerbetriebnahme der Quelldomänen......................................................................................303

Beispiel: Ausführen von Aufgaben nach der Migration................................................................303

Anhang: Erweiterte Verfahren.....................................................................................................304

Konfigurieren eines veborzugten Domänencontrollers...............................................................304

Umbenennen von Objekten während der Migration....................................................................306

Verwenden einer Includedatei.....................................................................................................307


So geben Sie eine Includedatei an..........................................................................................308

Verwenden einer Optionsdatei....................................................................................................310

Problembehandlung von ADMT..................................................................................................312

Behandlung von Problemen bei der Installation von ADMT........................................................312

Behandlung von Problemen bei der Benutzermigration..............................................................313

Behandlung von Problemen bei der Gruppenmigration..............................................................315

Behandlung von Problemen bei der Migration von Dienstkonten................................................316

Behandlung von Problemen bei der Migration von verwalteten Dienstkonten............................317

Behandlung von Problemen bei der Computermigration.............................................................319

Behandlung von Problemen bei der Kennwortmigration.............................................................321

Behandlung von Problemen bei der Sicherheitskonvertierung....................................................323

Behandlung von Problemen bei der Migration innerhalb einer Gesamtstruktur..........................325

Behandlung von Problemen der ADMT-Protokolldatei................................................................326

Behandlung von Problemen der ADMT-Befehlszeile..................................................................328

Behandlung von Problemen bei Agent-Vorgängen.....................................................................328

Weitere Ressourcen....................................................................................................................330
Verwandte Informationen.........................................................................................................330
Verwandte Tools......................................................................................................................330
Verwandte Arbeitshilfen...........................................................................................................330
ADMT-Handbuch: Migrieren und
Neustrukturieren von Active Directory-
Domänen
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Eine Downloadversion dieses Handbuchs im DOC-Format finden Sie unter ADMT-Handbuch:
Migrieren und Neustrukturieren von Active Directory-Domänen (http://go.microsoft.com/fwlink/?
LinkId=191734) (möglicherweise in Englisch).
Im Rahmen der Bereitstellung des Active Directory®-Verzeichnisdiensts oder der
Active Directory-Domänendienste (AD DS) möchten Sie Ihre Umgebung ggf. aus den folgenden
Gründen neu strukturieren:
• Optimieren der Anordnung der Elemente innerhalb der logischen Active Directory-
Struktur
• Unterstützen der Durchführung einer Geschäftsfusion, -übernahme oder -veräußerung
Die Neustrukturierung umfasst die Migration der Ressourcen zwischen den Active Directory-
Domänen in der gleichen Gesamtstruktur oder in verschiedenen Gesamtstrukturen. Nachdem Sie
Active Directory oder AD DS bereitgestellt haben, können Sie die Komplexität Ihrer Umgebung
weiter verringern, indem Sie Domänen zwischen Gesamtstrukturen oder innerhalb einer
einzelnen Gesamtstruktur neu strukturieren.
Sie können gegebenenfalls das Active Directory-Migrationsprogramm (Active Directory Migration
Tool, ADMT) verwenden, um Objektmigrationen und Sicherheitskonvertierungen auszuführen,
damit der Zugriff auf Netzwerkressourcen für Benutzer während des Migrationsvorgangs erhalten
bleibt. Weitere Informationen darüber, welche verschiedenen Versionen von ADMT verfügbar
sind, wann welche Version verwendet wird und wo sie zu erhalten ist, finden Sie unter Versionen
vom Active Directory-Migrationsprogramm und unterstützte Umgebungen.
In diesem Handbuch
• Bewährte Methoden für die Active Directory-Migration
• Active Directory-Domänenneustrukturierung zwischen Gesamtstrukturen
• Active Directory-Domänenneustrukturierung innerhalb einer Gesamtstruktur
• Anhang: Erweiterte Verfahren
• Problembehandlung von ADMT
• Weitere Ressourcen
In den folgenden Abschnitten werden die wichtigsten Migrationsszenarien unter Verwendung von
ADMT erklärt. Nachdem Sie das entsprechende Szenario für eine Umgebung ermittelt haben,
führen Sie die Schritte durch, die zu diesem Szenario weiter unten in dieser Anleitung aufgeführt
sind.

10
Active Directory-Domänenneustrukturierung
zwischen Gesamtstrukturen
Sie können aufgrund von Geschäftsänderungen eine Neustrukturierung zwischen
Gesamtstrukturen vornehmen, z. B. bei einer Geschäftsfusion, -übernahme oder -veräußerung,
bei der Ihre Organisationen Ressourcen kombinieren oder aufteilen muss. Nach dem
Neustrukturierungsvorgang sind die Quell- und Zieldomänenumgebungen gleichzeitig vorhanden,
wenn Sie Objekte zwischen Gesamtstrukturen migrieren. Durch diesen Umstand können Sie
während der Migration einen Rollbackvorgang in die Quellumgebung durchführen, wenn dies
erforderlich werden sollte.
Das Aufteilen oder Klonen von Gesamtstrukturen – z. B. bei der Veräußerung einer Organisation
– wird nicht unterstützt. Weitere Informationen finden Sie unter Einschränkungen bei der
Neustrukturierung (http://go.microsoft.com/fwlink/?LinkId=121736).

Wichtig

Bei Verwendung von ADMT v3.1 müssen sich alle Zieldomänen mindestens auf der
Funktionsebene von Microsoft Windows® 2000 (einheitlicher Modus) befinden. Bei
Verwendung von ADMT v3.2 müssen sich alle Quell- und Zieldomänen mindestens auf
der Funktionsebene von Windows Server® 2003 befinden.

Active Directory-Domänenneustrukturierung
innerhalb einer Gesamtstruktur
Wenn Sie Domänen in einer Gesamtstruktur neu strukturieren, können Sie die Domänenstruktur
zusammenführen und die Verwaltungskomplexität und -mehrkosten verringern. Anders als bei
einer Neustrukturierung von Domänen zwischen Gesamtstrukturen sind bei einer
Neustrukturierung von Domänen innerhalb einer Gesamtstruktur die migrierten Konten in der
Quelldomäne nicht mehr vorhanden. Daher kann ein Rollbackvorgang der Migration nur
stattfinden, wenn Sie den Migrationsvorgang nochmals in umgekehrter Reihenfolge von der
vorherigen Zieldomäne in die vorherige Quelldomäne ausführen.

Wichtig

Bei Verwendung von ADMT v3.1 müssen sich alle Zieldomänen mindestens auf der
Funktionsebene von Windows 2000 (einheitlicher Modus) befinden. Bei Verwendung von
ADMT v3.2 müssen sich alle Quell- und Zieldomänen mindestens auf der
Funktionsebene von Windows Server 2003 befinden.
Die folgende Tabelle listet die Unterschiede zwischen einer Domänenneustrukturierung zwischen
Gesamtstrukturen und einer Domänenneustrukturierung innerhalb einer Gesamtstruktur auf.

11
Migrationserwägung Neustrukturierung zwischen Gesamtstrukturen Neustrukturierung
innerhalb einer
Gesamtstruktur

Objekterhalt Objekte werden geklont statt migriert. Das Benutzer- und


ursprüngliche Objekt verbleibt am Gruppenobjekte
Quellspeicherort, um den Zugriff auf werden migriert und
Ressourcen für Benutzer aufrecht zu erhalten. sind am
Quellspeicherort nicht
mehr vorhanden.
Computer- und
verwaltete
Dienstkontenobjekte
werden kopiert, und
die ursprünglichen
Konten bleiben in der
Quelldomäne
aktiviert.

Verwaltung des SID- Die Verwaltung des SID-Verlaufs ist optional. Für Benutzer-,
Verlaufs Gruppen- und
Computerkonten ist
der SID-Verlauf
erforderlich, für
verwaltete
Dienstkonten jedoch
nicht.

Kennwortbeibehaltung Die Kennwortbeibehaltung ist optional. Kennwörter werden


immer beibehalten.

Migration lokaler Profile Sie müssen Tools wie z. B. ADMT zum Lokale Profile werden
Migrieren lokaler Profile verwenden. automatisch migriert,
da die GUID (Globally
Unique Identifier) des
Benutzers erhalten
bleibt.

Geschlossene Sätze Sie müssen Konten in geschlossenen Mengen Sie müssen Konten in
nicht migrieren. Weitere Informationen finden geschlossenen
Sie unter Hintergrundinformationen zum Mengen migrieren.
Neustrukturieren von Active Directory-Domänen
innerhalb einer Gesamtstruktur
(http://go.microsoft.com/fwlink/?LinkId=122123).

12
Begriffe und Definitionen
Die folgenden Begriffe werden für den Vorgang der Active Directory-Domänenneustrukturierung
verwendet.
Migration Der Vorgang des Verschiebens oder Kopierens eines Objekts aus einer Quelldomäne
in eine Zieldomäne unter Beibehaltung oder Änderung der Merkmale des Objekts, um den Zugriff
darauf in der neuen Domäne zu ermöglichen.
Domänenneustrukturierung Ein Migrationsvorgang, der die Änderung der Domänenstruktur
einer Gesamtstruktur beinhaltet. Eine Domänenneustrukturierung kann das Zusammenfassen
oder Hinzufügen von Domänen beinhalten und zwischen Gesamtstrukturen oder innerhalb einer
Gesamtstruktur stattfinden.
Migrationsobjekte Domänenobjekte, die während des Migrationsvorgangs aus der Quell- in die
Zieldomäne verschoben werden. Bei Migrationsobjekten kann es sich um Benutzerkonten,
Dienstkonten, Gruppen oder Computer handeln.
Quelldomäne Die Domäne, aus der während einer Migration Objekte verschoben werden.
Wenn Sie Active Directory-Domänen zwischen Gesamtstrukturen neu strukturieren, ist die
Quelldomäne eine Active Directory-Domäne in einer anderen Gesamtstruktur als die Zieldomäne.
Zieldomäne Die Domäne, in die während einer Migration Objekte verschoben werden.
Vordefinierte Konten Standardsicherheitsgruppen, die über gemeinsame Sammlungen von
Rechten und Berechtigungen verfügen. Sie können integrierte Konten verwenden, um beliebigen
Konten oder Gruppen Berechtigungen zu erteilen, die Sie als Mitglieder dieser Gruppen
definieren. Integrierte Kontosicherheitskennungen (Security Identifiers, SIDs) sind in jeder
Domäne identisch. Aus diesem Grund können integrierte Konten keine Migrationsobjekte sein.

Aktive Directory-Migrationsprogramm
Sie können ADMT zum Migrieren von Objekten in Active Directory-Gesamtstrukturen verwenden.
Dieses Tool enthält Assistenten, die Migrationstasks automatisieren, z. B. die Migration von
Benutzern, Gruppen, Dienstkonten, Computern und Vertrauensstellungen sowie die
Sicherheitskonvertierung.
Sie können ADMT-Tasks mithilfe der ADMT-Konsole, einer Befehlszeile oder einem Skript
ausführen. Wenn Sie ADMT in der Befehlszeile ausführen, ist es häufiger effizienter, eine
Optionsdatei zum Angeben von Befehlszeilenoptionen zu verwenden. Sie können die ADMT-
Optionsdateireferenz aus dem folgenden Beispiel als Hilfe beim Erstellen von Optionsdateien
verwenden. Beispiele für die Befehlszeilensyntax werden für jeden Task bereitgestellt, den Sie
zum Neustrukturieren der Domänen innerhalb der Gesamtstruktur ausführen müssen.
Die folgende Liste zeigt allgemeine Optionen, die für mehrere Migrationstasks gelten. Für jeden
Typ von Migrationstask ist ein Abschnitt vorhanden, der Optionen auflistet, die für den jeweiligen
Task spezifisch sind. Der Abschnittsname entspricht dem Tasknamen, wenn Sie ADMT in der
Befehlszeile ausführen. Sie können Elemente mit einem Semikolon auskommentieren. In der
folgenden Liste sind die Standardwerte auskommentiert.
[Migration]

13
;IntraForest=No

;SourceDomain="Quelldomänenname"

;SourceOu="Pfad_zur_Quellorganisationseinheit"

;TargetDomain="Zieldomänenname"

;TargetOu="Pfad_zur_Zielorganisationseinheit"

;PasswordOption=Complex

;PasswordServer=""

;PasswordFile=""

;ConflictOptions=Ignore

;UserPropertiesToExclude=""

;InetOrgPersonPropertiesToExclude=""

;GroupPropertiesToExclude=""

;ComputerPropertiesToExclude=""

[User]

;DisableOption=EnableTarget

;SourceExpiration=None

;MigrateSIDs=Yes

;TranslateRoamingProfile=No

;UpdateUserRights=No

;MigrateGroups=No

;UpdatePreviouslyMigratedObjects=No

;FixGroupMembership=Yes

;MigrateServiceAccounts=No

;UpdateGroupRights=No

[Group]

;MigrateSIDs=Yes

;UpdatePreviouslyMigratedObjects=No

;FixGroupMembership=Yes

;UpdateGroupRights=No

;MigrateMembers=No

;DisableOption=EnableTarget

14
;SourceExpiration=None

;TranslateRoamingProfile=No

;MigrateServiceAccounts=No

[Security]

;TranslationOption=Add

;TranslateFilesAndFolders=No

;TranslateLocalGroups=No

;TranslatePrinters=No

;TranslateRegistry=No

;TranslateShares=No

;TranslateUserProfiles=No

;TranslateUserRights=No

;SidMappingFile="SidMappingFile.txt"

Wenn Sie ADMT in der Befehlszeile ausführen, müssen Sie keine Option in den Befehl
einschließen, wenn Sie den Standardwert akzeptieren möchten. Dieses Handbuch stellt jedoch
Tabellen mit den möglichen Parametern und Werten zu Referenzzwecken zur Verfügung. Die
Tabellen nennen die Befehlszeilenentsprechung jeder Option, die im entsprechenden ADMT-
Konsolenverfahren gezeigt wird. Dies schließt auch jene Optionen ein, für die Sie den
Standardwert akzeptieren.
Sie können die Optionsdateireferenz in Editor kopieren und dann mit der Dateinamenerweiterung
TXT speichern.
Wenn Sie beispielsweise eine kleine Anzahl von Computern migrieren möchten, können Sie
jeden Computernamen mithilfe der Option /N in die Befehlszeile eingeben und dann wie folgt
andere Migrationsoptionen in einer Optionsdatei auflisten:
ADMT COMPUTER /N "<Computername1>" "<Computername2>" /O:"<Optionsdatei>.txt"

Dabei sind <computer_name1> und <computer_name2> die Namen von Computern in der
Quelldomäne, die Sie in diesem Batch migrieren.

Verwenden einer Includedatei


Wenn Sie eine große Anzahl von Benutzern, Gruppen oder Computern migrieren, ist es
effizienter, eine Includedatei zu verwenden. Eine Includedatei ist eine Textdatei, in der Sie die zu
migrierenden Benutzer-, Gruppen- und Computerobjekte auflisten. Dabei wird für jedes Objekt
eine separate Zeile verwendet. Sie müssen eine Includedatei verwenden, wenn Sie Objekte
während der Migration umbenennen.
Sie können Benutzer, Gruppen und Computer zusammen in einer Datei auflisten, oder Sie
können eine separate Datei für jeden Objekttyp erstellen. Geben Sie dann den Namen der
Includedatei mit der Option /F wie folgt an:

15
ADMT COMPUTER /F "<Name_der_Includedatei>" /IF:YES /SD:"<Quelldomäne>” /TD:"<Zieldomäne>"
/TO:"<Zielorganisationseinheit>"

Verwenden Sie eine der folgenden Konventionen, um die Namen von Benutzern, Gruppen oder
Computern anzugeben:
• Den SAM-Kontonamen (Security Accounts Manager). Sie müssen das Dollarzeichen ($)
and en Computernamen anhängen, um einen Computernamen in diesem Format anzugeben.
Wenn Sie z. B. einen Computer mit dem Namen "Workstation01" angeben möchten,
verwenden Sie "Workstation01$".
• Den relativ definierten Namen (Relative Distinguished Name, RDN), z. B. "cn=
Workstation01". Wenn Sie das Konto als relativ definierten Namen angeben, müssen Sie die
Quellorganisationseinheit angeben.
• Den kanonischen Namen. Sie können den kanonischen Namen als
DNS_Domänenname/OU_Pfad/Objektname oder OU_Pfad/Objektname angeben. Beispiel:
Asia.trccorp.treyresearch.net/Computers/Workstation01 oder
Computers/Workstation01.
In den folgenden Abschnitten werden die Felder einer Includedatei beschrieben und Beispiel für
jedes Feld zur Verfügung gestellt:

Feld "SourceName"
Das Feld SourceName gibt den Namen des Quellobjekts an. Sie können einen Kontonamen oder
einen relativ definierten Namen angeben. Wenn Sie nur Quellnamen angeben, ist es optional,
eine Kopfzeile in der ersten Zeile der Datei zu definieren.
Das folgende Beispiel zeigt eine Kopfzeile, die das Feld SourceName angibt. Das Beispiel zeigt
außerdem einen Quellobjektnamen, der in mehreren Formaten angegeben wird. Die zweite Zeile
gibt einen Kontonamen an. Die dritte Zeile gibt einen relativ definierten Namen an.
SourceName
Name
CN=Name

Feld "TargetName"
Sie können das Feld TargetName verwenden, um einen Basisnamen anzugeben, der zum
Generieren eines relativ definierten Zielnamens, eines SAM-Zielkontonamens und eines UPN-
Zielnamens (User Principal Name, Benutzerprinzipalname) verwendet wird. Das Feld
TargetName darf nicht mit anderen Zielnamenfeldern kombiniert werden, die weiter unten in
diesem Abschnitt beschrieben werden.

Hinweis

Der Ziel-UPN wird nur für Benutzerobjekte generiert, und es wird nur ein UPN-Präfix
generiert. Ein UPN-Suffix wird mithilfe eines Algorithmus angehängt, der davon abhängt,
ob ein UPN-Suffix für die Zielorganisationseinheit oder die Zielgesamtstruktur definiert ist.

16
Wenn es sich bei dem Objekt um einen Computer handelt, enthält der SAM-
Zielkontoname das Suffix "$".
Das folgende Eingabebeispiel generiert den relativ definierten Zielnamen, SAM-Zielkontonamen
und Ziel-UPN als "CN=Neuer_Name", "Neuer_Name" bzw. "Neuer_Name".
SourceName,TargetName
Alter_Name, Neuer_Name

Felder "TargetRDN", "TargetSAM" und "TargetUPN"


Sie können die Felder TargetRDN, TargetSAM, und TargetUPN verwenden, um die
verschiedenen Zielnamen unabhängig voneinander anzugeben. Sie können beliebige
Kombinationen dieser Felder in beliebiger Reihenfolge angeben.
TargetRDN gibt den relativ definierten Zielnamen für das Objekt an.
TargetSAM gibt den SAM-Zielkontonamen für das Objekt an. Für Computer muss der Name das
Suffix "$" enthalten, damit es sich um einen gültigen SAM-Kontonamen für einen Computer
handelt.
TargetUPN gibt den Ziel-UPN für das Objekt an. Sie können nur das UPN-Präfix oder einen
vollständigen UPN-Namen (Präfix@Suffix) angeben. Wenn der angegebene Name ein
Leerzeichen oder ein Komma enthält, müssen Sie den Namen in doppelte Anführungszeichen ("
") einschließen.
SourceName,TargetRDN
Alter_Name, CN=Neuer_Name
SourceName,TargetRDN,TargetSAM
Alter_Name, "CN=Neuer_RDN", Neuer_SAM_Name
SourceName,TargetRDN,TargetSAM,TargetUPN
Alter_Name, "CN=letzter\, erster", Neuer_SAM_Name, Neuer_UPN_Name

Hinweis

Einem Komma im CN-Wert muss ein Escapezeichen ("\") vorangestellt werden, da der
Vorgang ansonsten zu einem Fehler führt und ADMT einen Fehler aufgrund ungültiger
Syntax in der Protokolldatei aufzeichnet.
SourceName,TargetSAM,TargetUPN,TargetRDN
Alter_Name, Neuer_SAM_Name, Neuer_UPN_Name@Zieldomäne, "CN=Neuer_Name"

Umbenennen von Objekten


Verwenden Sie das folgende Format in einer Includedatei, um Computer-, Benutzer- oder
Gruppenobjekte während der Migration umzubenennen:
• Verwenden Sie SourceName, TargetRDN, TargetSAM, und TargetUPN als
Spaltenüberschriften oben in der Includedatei. SourceName ist der Name des Quellkontos
und muss als erste Spaltenüberschrift aufgelistet werden. Die Spaltenüberschriften

17
TargetRDN, TargetSAM und TargetUPN sind optional und können in beliebiger Reihenfolge
aufgelistet werden.
• Sie müssen den Kontonamen als Benutzernamen, relativ definierten Namen oder
kanonischen Namen angeben. Wenn Sie den Kontonamen als relativ definierten Namen
angeben, müssen Sie auch die Quellorganisationseinheit angeben.
Die folgenden Beispiele zeigen gültige Includedateien, in denen die Umbenennungsoption
verwendet wird:
SourceName,TargetSAM
abc,def
Dieser Includedateieintrag ändert den Kontonamen TargetSAM für den Benutzer "abc" in "def".
Die Angaben TargetRDN und TargetUPN, die in dieser Includedatei nicht angegeben werden,
ändern sich als Ergebnis der Migration nicht.

SourceName,TargetRDN,TargetUPN
abc,CN=def,def@contoso.com
Dieser Includedateieintrag ändert den TargetRDN für den Benutzer "abc" in "CN=def" und den
TargetUPN in def@contoso.com. Der TargetSAM für den Benutzer "abc" ändert sich als
Ergebnis der Migration nicht.

Wichtig

Sie müssen "CN=" angeben, bevor Sie einen RDN-Wert verwenden.

Verwenden einer Ausschlussdatei


Mithilfe einer Ausschlussdatei können Sie Objekte von der Migration ausschließen. Bei einer
Ausschlussdatei handelt es sich um eine Textdatei, in der das SAMAccountName-Attribut der
Objekte aufgelistet wird, die Sie ausschließen möchten. Wenn Sie beispielsweise die folgenden
verwalteten Dienstkonten ausschließen möchten, erstellen Sie folgende Textdatei:
MSA_USER5$

MSA_USER6$

Geben Sie dann bei der Ausführung des ADMT-Befehls den Namen der Ausschlussdatei an.
Beispiel:
admt managedserviceaccount /ef:"exclude file name"

Optional können Sie mithilfe des Parameters „/en“ einzelne Konten ausschließen:
admt managedserviceaccount /en:"managed service account 1" "managed service account 2"

Verwenden von Skripts


Die in diesem Handbuch zur Verfügung gestellten Beispielskripts verwenden die symbolischen
Konstanten, die in einer Datei namens AdmtConstants.vbs definiert werden. Die folgende Liste
zeigt die ADMT-Konstanten der VBScript-Datei (Microsoft Visual Basic® Scripting Edition). Die

18
Konstanten werden auch im ADMT-Installationsordner bereitgestellt. Sie finden sie in der Datei
TemplateScript.vbs im Verzeichnis %systemroot%\WINDOWS\ADMT.
Wenn Sie die Beispielskripts in diesem Handbuch verwenden möchten, kopieren Sie die
VBScript-Datei mit den ADMT-Konstanten in Editor, und speichern Sie sie dann unter dem
Namen AdmtConstants.vbs. Stellen Sie sicher, dass Sie die Datei im gleichen Ordner
speichern, in dem Sie die in diesem Handbuch bereitgestellten Beispielskripts speichern werden.
Option Explicit

'----------------------------------------------------------------------------

' ADMT Scripting Constants

'----------------------------------------------------------------------------

' PasswordOption constants

Const admtComplexPassword = &H0001

Const admtCopyPassword = &H0002

' Beachen Sie, dass die folgende Konstante nicht für sich alleine angegeben werden kann.

' Sie muss zusammen mit admtComplexPassword oder admtCopyPassword angegeben werden.

Const admtDoNotUpdatePasswordsForExisting = &H0010

' ConflictOptions constants

Const admtIgnoreConflicting = &H0000

Const admtMergeConflicting = &H0001

Const admtRemoveExistingUserRights = &H0010

Const admtRemoveExistingMembers = &H0020

Const admtMoveMergedAccounts = &H0040

' DisableOption-Konstanten

Const admtLeaveSource = &H0000

Const admtDisableSource = &H0001

Const admtTargetSameAsSource = &H0000

Const admtDisableTarget = &H0010

19
Const admtEnableTarget = &H0020

' SourceExpiration-Konstante

Const admtNoExpiration = -1

' Übersetzungsoption

Const admtTranslateReplace = 0

Const admtTranslateAdd = 1

Const admtTranslateRemove = 2

' Berichtstyp

Const admtReportMigratedAccounts = 0

Const admtReportMigratedComputers = 1

Const admtReportExpiredComputers = 2

Const admtReportAccountReferences = 3

Const admtReportNameConflicts = 4

' Optionskonstanten

Const admtNone = 0

Const admtData = 1

Const admtFile = 2

Const admtDomain = 3

Const admtRecurse = &H0100

Const admtFlattenHierarchy = &H0000

Const admtMaintainHierarchy = &H0200

20
Versionen vom Active Directory-
Migrationsprogramm und unterstützte
Umgebungen
In diesem Thema werden die verschiedenen verfügbaren Versionen des Active Directory-
Migrationsprogramms (Active Directory Migration Tool, ADMT) erklärt. Es enthält Links zum
Herunterladen der einzelnen Versionen, Erklärungen zu den jeweiligen
Installationsanforderungen und den unterstützten Umgebungen, in denen sie verwendet werden
können, sowie Informationen, wie sie mit bestimmten Active Directory-Funktionen in Windows
Server funktionieren.

ADMT-Version Installatio Anforderungen Anforderungen bezüglich der Unterstützte


nsplattfor bezüglich der Zieldomäne Objekte bei
m Quelldomäne der
Computerm
igration

ADMT v3.0 Windows Quelldomänen Als Migriert


(http://go.microsoft.com Server können Zieldomänenfunktionsebene Computer
/fwlink/?LinkID=68791) 2003 Domänencontr ist mindestens mit
oller mit Windows 2000 (einheitlicher Windows
Windows NT, Modus) erforderlich. 2000 Profe
Windows 2000 ssional,
Server oder Windows X
Windows P,
Server 2003 Windows N
enthalten. Eine T 4,
Mindestanford Windows 2
erung an die 000 Server
Domänenfunkti und
onsebene ist Windows
für Server 200
Quelldomänen 3.
nicht
vorhanden.

ADMT v3.1 Windows Quelldomänen Als Migriert


(http://go.microsoft.com Server 20 können Zieldomänenfunktionsebene Computer
/fwlink/?LinkId=121732) 08 Domänencontr ist mindestens mit
oller mit Windows 2000 (einheitlicher Windows
Windows 2000 Modus) erforderlich. 2000 Profe
Server, Wenn die Zieldomäne über ssional,
Windows Domänencontroller verfügt, Windows X

21
ADMT-Version Installatio Anforderungen Anforderungen bezüglich der Unterstützte
nsplattfor bezüglich der Zieldomäne Objekte bei
m Quelldomäne der
Computerm
igration

Server 2003 die unter Windows P,


oder Windows Server 2008 R2 ausgeführt Windows Vi
Server 2008 werden, müssen Sie sta,
enthalten. Eine ADMT v3.2 verwenden. Windows 2
Mindestanford 000 Server,
Hinweis
erung an die Windows
Domänenfunkti Bei der Verwendung Server 200
onsebene ist von ADMT v3.1 zum 3 und
für Migrieren von Windows
Quelldomänen Objekten zu einer Server 200
nicht Domäne mit 8.
vorhanden, Windows
jedoch kann Server 2008 R2-
ADMT v3.1 Domänencontrollern
nicht zum gibt es einige
Migrieren von bekannte Probleme.
Objekten aus Weitere
Windows Informationen
NT 4- finden Sie im Artikel
Domänen 976659 in der
verwendet Microsoft
werden. Knowledge Base
(http://go.microsoft.
com/fwlink/?
LinkId=182290).

ADMT v3.2 Windows Als Als Migriert


(http://go.microsoft.com Server 20 Quelldomänen Zieldomänenfunktionsebene Computer
/fwlink/?LinkId=186197) 08 R2 funktionseben ist mindestens mit
e ist Windows Server 2003 Windows X
mindestens erforderlich. P,
Windows Serv Windows Vi
er 2003 sta,
erforderlich. Windows 7,
Windows
Server 200
3, Windows
Server 200
8 und

22
ADMT-Version Installatio Anforderungen Anforderungen bezüglich der Unterstützte
nsplattfor bezüglich der Zieldomäne Objekte bei
m Quelldomäne der
Computerm
igration

Windows
Server 200
8 R2.

Unterstützung für Windows Server-Funktionen


Auf schreibgeschützten Domänencontrollern (Read-Only Domain Controller, RODC) oder Server
Core-Installationen kann keine der Versionen von ADMT installiert werden. Ein RODC kann
weder als Quell- noch als Zieldomänencontroller bei einer Migration verwendet werden.

Außerdem verfügt ADMT v3.2 über die folgende Unterstützung für neue Active Directory-
Funktionen in Windows Server 2008 R2.

Funktion Auswirkung von Verwendung von ADMT v3.2

Verwaltete Dienstkonten Können mithilfe des Assistenten zum Migrieren


von verwalteten Dienstkonten oder mit dem
Befehl admt managedserviceaccount migriert
werden.

Authentication Mechanism Assurance Benutzerkonten, die AMA-fähig sind


(Authentication Mechanism Assurance,
Sicheres Authentifizierungsverfahren), müssen
mithilfe einer Includedatei migriert werden

Wichtig
Der Benutzerprinzipalname (User
Principal Name, UPN) wird beim
Migrieren eines Benutzers geändert,
wodurch verhindert wird, dass AMA
(Authentication Mechanism Assurance)
funktioniert. Zum Umgehen dieses
Problems müssen Sie einen Datensatz
der UPNs von AMA-fähigen
Benutzerkonten aufbewahren und diese
dann mithilfe einer Includedatei
migrieren. In einer Includedatei können

23
Funktion Auswirkung von Verwendung von ADMT v3.2

Sie die Ziel-UPNs für die zu


migrierenden Benutzer angeben. Auf
diese Weise können Sie die UPNs in
der Zieldomäne mit den Original-UPNs
aus der Quelldomäne überschreiben.
Weitere Informationen dazu finden Sie
unter Verwenden einer Includedatei.

Offline-Domänenbeitritt Keine Auswirkungen

Active Directory-Papierkorb Keine Auswirkungen

Windows PowerShell In ADMT v3.2 nicht enthalten

Bewährte Methoden für die Active Directory-


Migration
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Damit der Migrationsvorgang so komplikationslos wie möglich erfolgt, befolgen Sie diese
Empfehlungen für optimale Verfahrensweisen:
• Bewährte Methoden für die Verwendung des Active Directory-Migrationsprogramms
• Bewährte Methoden für das Ausführen der Migration von Benutzer- und Gruppenkonten
• Bewährte Methoden für das Ausführen von Computermigrationen
• Bewährte Methoden für das Ausführen des Rollbacks einer Migration

Bewährte Methoden für die Verwendung des


Active Directory-Migrationsprogramms
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
• Führen Sie regelmäßige Sicherungen von Domänencontrollern sowohl in der Quell- als
auch in der Zieldomäne während der gesamten Dauer der Migrationen durch. Beim Migrieren
von Computern, die Dateifreigaben für die Sicherheitskonvertierung enthalten, sollten auch
Sicherungen dieser Computer während der Dauer der Migrationen erstellt werden.
• Bevor Sie mit einer Migration beginnen, führen Sie einen Testmigration aus, indem Sie
einen Testbenutzer erstellen, den Testbenutzer den entsprechenden globalen Gruppen
hinzufügen und dann den Ressourcenzugriff vor und nach der Migration bestätigen.
• Testen Sie Ihre Migrationsszenarien in einer Testumgebung, bevor Sie Objekte in die
Produktionsumgebung migrieren.
24
• Halten Sie einen Wiederherstellungsplan bereit, und stellen Sie sicher, dass der
Wiederherstellungsplan während der Testphase Ihrer Migration funktioniert.
• Entschlüsseln Sie Dateien, die mithilfe von EFS (Encrypting File System) verschlüsselt
wurden. Das Versäumnis, die verschlüsselten Dateien zu entschlüsseln, bewirkt den Verlust
des Zugriffs auf die verschlüsselten Dateien nach der Migration. Teilen Sie den Endbenutzern
unbedingt mit, dass sie alle verschlüsselten Dateien entschlüsseln müssen, da andernfalls
der Zugriff auf diese Dateien verloren geht.
• Stellen Sie sicher, dass die Systemzeit in jeder Domäne synchronisiert ist, aus der
Objekte migriert werden. Es tritt ein Fehler der Kerberos-Authentifizierung auf, wenn die
Systemzeiten voneinander abweichen.

Bewährte Methoden für das Ausführen der


Migration von Benutzer- und
Gruppenkonten
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
• Führen Sie regelmäßige Sicherungen von Domänencontrollern sowohl in der Quell- als
auch in der Zieldomäne während der gesamten Dauer der Migrationen durch. Beim Migrieren
von Computern, die Dateifreigaben für die Sicherheitskonvertierung enthalten, sollten auch
Sicherungen dieser Computer während der Dauer der Migrationen erstellt werden.
• Es ist empfehlenswert, Benutzer losweise zu migrieren. Eine Losgröße von 100
Benutzern hilft bei der Verwaltung des Migrationsprozesses.
• Verwalten Sie Änderungen an Benutzerkonten und Gruppenkonten in der Quelldomäne
immer während des Migrationsprozesses.
• Verwenden Sie die Option In Konflikt stehende Objekte migrieren und
zusammenführen auf der Seite Konfliktverwaltung des Assistenten zum Migrieren von
Benutzerkonten und des Assistenten zum Migrieren von Gruppenkonten, um Benutzer und
Gruppen so oft wie nötig während der gesamten Migration erneut zu migrieren. Das
Verwalten von Änderungen in der Quelldomäne und die anschließende Verwendung der
Option In Konflikt stehende Objekte migrieren und zusammenführen während der
Migration stellt sicher, dass alle an einem Objekt in der Quelldomäne vorgenommenen
Änderungen nach dessen Migration in die Zieldomäne nachvollzogen werden.
• Stellen Sie zum Erhalten des Zugriffs auf Ressourcen sicher, dass bei der
Gruppenmitgliedschaft die folgenden Richtlinien berücksichtigt werden:
• Verwenden Sie globale Gruppen zum Gruppieren von Benutzern.
• Verwenden Sie lokale Gruppen für den Schutz von Ressourcen.
• Platzieren Sie globale Gruppen in lokalen Gruppen, um den Mitgliedern der globalen
Gruppen Zugriff auf eine Ressource zu erteilen.

25
• Halten Sie beim Konvertieren von Benutzerprofilen die in der folgenden Tabelle
aufgeführten Richtlinien ein.

Profiltyp Konvertierungsrichtlinien

Servergespeicherte Profile Aktivieren Sie die Option Servergespeicherte


Profile konvertieren auf der Seite
Benutzeroptionen im Assistenten zum
Migrieren von Benutzerkonten. Konvertieren
Sie dann lokale Benutzerprofile für ein Los
von Benutzern unmittelbar nach der Migration
dieser Benutzer.

Lokale Profile Konvertieren Sie lokale Profile in einem


anderen Schritt als dem Migrationsvorgang
von Benutzerkonten. Aktivieren Sie die Option
Benutzerprofile auf der Seite Objekte
konvertieren des Sicherheitskonvertierungs-
Assistenten. Konvertieren Sie lokale
Benutzerprofile für ein Los von Benutzern
unmittelbar nach der Migration dieser
Benutzer.

Nicht verwaltete Profile Benutzer verlieren ihre vorhandenen Profile,


wenn ihre Konten migriert werden.

Wichtig

Es ist wichtig, den Erfolg der Konvertierung lokaler Profile zu überprüfen, bevor Benutzer
versuchen, sich bei der Zieldomäne anzumelden. Wenn Benutzer sich mithilfe ihrer
neuen Zielkonten bei der Zieldomäne anmelden und ihre Profile nicht erfolgreich
konvertiert wurden, muss die Migration dieser Benutzer aus der Quelldomäne in die
Zieldomäne erneut ausgeführt werden. Weitere Informationen über die bei einem Fehler
in der Konvertierung lokaler Profile auszuführenden Schritte finden Sie unter Behandlung
von Problemen bei der Sicherheitskonvertierung.

Bewährte Methoden für das Ausführen von


Computermigrationen
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
• Führen Sie regelmäßige Sicherungen von Domänencontrollern sowohl in der Quell- als
auch in der Zieldomäne während der gesamten Dauer der Migrationen durch. Beim Migrieren

26
von Computern, die Dateifreigaben für die Sicherheitskonvertierung enthalten, sollten auch
Sicherungen dieser Computer während der Dauer der Migration erstellt werden.
• Überprüfen Sie, ob Arbeitsstationen und Mitgliedsserver unmittelbar nach ihrem Beitritt
zur Zieldomäne neu gestartet wurden. Das Active Directory-Migrationsprogramm
(Active Directory Migration Tool, ADMT) automatisiert den Neustart von Arbeitsstationen und
Mitgliedsservern, jedoch wird die Option Minuten, bis der Computer nach Beenden des
Assistenten neu gestartet wird des Computermigrations-Assistenten zum Festlegen des
Zeitraums bis zum Neustart des Computers verwendet. Computer, die nach der Migration
keinen Neustart durchführen, befinden sich in einem unbestimmten Zustand.
• Informieren Sie die Endbenutzer, dass ihre Computer zum Zeitpunkt der geplanten
Migration mit dem Netzwerk verbunden sein müssen.

Bewährte Methoden für das Ausführen des


Rollbacks einer Migration
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
• Führen Sie einen Rollback von Benutzer- und Gruppenkonten, die zwischen
Gesamtstrukturen migriert wurden, durch, indem Sie die Konten in der Quelldomäne
aktivieren (falls sie während der Migration deaktiviert wurden) und dabei sicherstellen, dass
die Konten Zugriff auf Ressourcen in der Quelldomäne besitzen, und anschließend
überprüfen, ob die Anmeldeskripts und Benutzerprofile in der konfigurierten Weise in der
Quelldomäne funktionieren.
• Führen Sie ein Rollback für Ressourcen, die zwischen Gesamtstrukturen migriert
wurden, aus, indem Sie die Domänenmitgliedschaft von Servern und Arbeitsstationen ändern
und sie anschließend erneut starten. Melden Sie sich bei den Ressourcen in der
Quelldomäne an, um sicherzustellen, dass auf die Ressourcen zugegriffen werden kann.
• Führen Sie ein Rollback von Konten und Ressourcen, die innerhalb einer Gesamtstruktur
migriert wurden, durch, indem Sie die Objekte von der Zieldomäne wieder zurück zur
Quelldomäne migrieren. Konten und Ressourcen, die innerhalb einer Gesamtstruktur migriert
werden, werden nicht kopiert sondern verschoben. Daher sind sie in der Quelldomäne nicht
mehr vorhanden.

Hinweis

Zum Sicherstellen eines erfolgreichen Rollbacks einer gesamtstrukturinternen


Migration dürfen Sie nicht versuchen, die Objekte in der Zieldomäne zu löschen und
sie dann in der Quelldomäne wiederherzustellen. Sie können sonst die Objekte nicht
mehr in der Quelldomäne wiederherstellen, weil sie vom Proxy für das
domänenübergreifende Verschieben automatisch gelöscht werden, wenn eine
Wiederherstellung versucht wird.

27
Hinweis

Wenn Sie mit ADMT v3.1 eine Migration innerhalb einer Gesamtstruktur ausführen
und die Funktionsebene der Quelldomäne Windows 2000 (gemischter Modus) ist,
können Sie die Objekte nicht mehr aus der Zieldomäne in die Quelldomäne zurück
migrieren, um Migrationsänderungen rückgängig zu machen. Eine Rückmigration
erfordert, dass die Quelldomäne zur Zieldomäne wird, und mit ADMT v3.1 muss die
Funktionsebene der Zieldomäne mindestens Windows 2000 (einheitlicher Modus)
sein.

Active Directory-Domänenneustrukturierung
zwischen Gesamtstrukturen
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Für die Neustrukturierung von Active Directory-Domänen zwischen Gesamtstrukturen ist es
erforderlich, Objekte aus Quelldomänen in einer Gesamtstruktur in Zieldomänen in einer anderen
Gesamtstruktur zu verschieben. Active Directory-Domänen müssen ggf. aus den folgenden
Gründen zwischen Gesamtstrukturen neu strukturiert werden:
• Migrieren einer Pilotdomäne in die neue Produktionsumgebung
• Zusammenführen von Benutzern und Ressourcen mit einer anderen Organisation
aufgrund einer Unternehmensfusion und der Anforderung, die beiden IT-Infrastrukturen
zusammenzuführen
• Verschieben von Benutzern und Ressourcen auf regelmäßiger Basis aufgrund einer
geplanten Bereitstellung mit mehreren Gesamtstrukturen
• Entfernen von Objekten aus der Gesamtstruktur aufgrund einer Veräußerung an eine
andere Organisation oder zum Zweck einer späteren Zusammenführung in einer neuen oder
vorhanden Gesamtstruktur für diese Organisation
In diesem Abschnitt
• Prüfliste: Ausführen einer Migration zwischen Gesamtstrukturen
• Neustrukturierung von Active Directory-Domänen zwischen Gesamtstrukturen im
Überblick
• Einschränkungen bei der Neustrukturierung
• Planen der Neustrukturierung von Active Directory-Domänen zwischen Gesamtstrukturen
• Vorbereiten der Quell- und Zieldomänen
• Migrieren von Konten
• Migrieren von Ressourcen
• Anschließen der Migration

28
Prüfliste: Ausführen einer Migration
zwischen Gesamtstrukturen
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Für die Migration von Active Directory-Domänen zwischen Gesamtstrukturen ist es erforderlich,
Objekte aus Quelldomänen in einer Gesamtstruktur in Zieldomänen in einer anderen
Gesamtstruktur zu verschieben. Aus den folgenden Gründen müssen Sie ggf. Active Directory-
Domänen zwischen Gesamtstrukturen neu strukturieren:
• Um eine Pilotdomäne in die neue Produktionsumgebung zu migrieren
• Um die Active Directory-Gesamtstruktur mit der Gesamtstruktur einer anderen
Organisation zusammenzuführen und die beiden IT-Infrastrukturen zu konsolidieren

Task Referenz

Lesen Sie die Vorinstallationsanweisungen für das Installieren von ADMT in der
Active Directory-Migrationsprogramm (Active Directory Zieldomäne
Migration Tool, ADMT).

Legen Sie zuerst den folgenden Weitere Informationen zum Vornehmen


Registrierungsschlüssel auf den dieser Änderung mithilfe von
Zieldomänencontrollern fest, um Computer mit Gruppenrichtlinien finden Sie unter
Windows Server 2008, Windows Server 2003, „Bekannte Probleme bei der Installation
Windows Vista (ohne Service Pack 1), Windows XP und und Deinstallation von AD DS“
Microsoft Windows 2000 (mit ADMT 3.1) zu einer (http://go.microsoft.com/fwlink/?
Zieldomäne mit Domänencontrollern mit Windows LinkId=119321).
Server 2008 R2 oder Windows Server 2008 zu
migrieren:

Hinweis
Zum Migrieren von Computern, die unter
Windows Server 2008 R2, Windows 7 oder
Windows Vista SP1 ausgeführt werden, muss
dieser Registrierungsschlüssel nicht festgelegt
werden.
Registrierungspfad:
HKLM\System\CurrentControlSet\Services\Netlogon
\Parameters
Registrierungswert: AllowNT4Crypto
Typ: REG_DWORD
Daten: 1

Hinweis
Diese Registrierungseinstellung entspricht der

29
Task Referenz

Einstellung Mit Windows NT 4.0 kompatible


Kryptografiealgorithmen zulassen in der
Gruppenrichtlinie.

Aktivieren Sie für alle Migrationstasks, die Agent- Weitere Informationen zum Vornehmen
Bereitstellung verwenden und bei denen Windows- dieser Änderung an der Windows-
Firewall in Gebrauch ist, die Ausnahme für Datei- und Firewall finden Sie unter „Aktivieren
Druckerfreigabe. Dies kann die Migration für folgende oder Deaktivieren der Ausnahme für
Situationen beinhalten: Datei- und Druckerfreigabe“
• Migrieren von Arbeitsstationscomputern und (http://go.microsoft.com/fwlink/?
Mitgliedsservern, die unter Windows LinkID=119315).
Server 2008 R2, Windows Server 2008, Windows
Server 2003, Windows 7, Windows Vista oder
Windows XP ausgeführt werden.
• Migrieren von Sicherheitseinstellungen oder
Ausführen der Sicherheitskonvertierung

Vorbereiten der Neustrukturierung von Active Directory- Installieren von ADMT in der
Domänen innerhalb einer Gesamtstruktur Dieser Task Zieldomäne
umfasst die folgenden Untertasks: Planen der Neustrukturierung von
• Ermitteln des Kontomigrationsvorgangs Active Directory-Domänen zwischen
• Zuweisen von Objektrollen und -Speicherorten Gesamtstrukturen

• Entwickeln eines Testplans für die Migration


• Erstellen eines Rollbackplans
• Verwalten von Benutzern, Gruppen und
Benutzerprofilen
• Erstellen eines Benutzerkommunikationsplans

Vorbereiten der Quell- und Zieldomänen Dieser Task Installieren von ADMT in der
umfasst die folgenden Untertasks: Zieldomäne
• Installieren der 128-Bit- Planen der Neustrukturierung von
Verschlüsselungssoftware Active Directory-Domänen zwischen
• Einrichten von Vertrauensstellungen, die für die Gesamtstrukturen
Migration erforderlich sind
• Einrichten von Migrationskonten für die
Migration
• Konfigurieren der Quell- und Zieldomänen für
die Migration des SID-Verlaufs
• Konfigurieren der Struktur der Zieldomänen-
Organisationseinheit
• Installieren von ADMT in der Zieldomäne

30
Task Referenz

• Angeben von Dienstkonten für die Migration

Geben Sie Dienstkonten mithilfe des Assistenten zum Konvertieren von Dienstkonten in der
Migrieren von Dienstkonten oder der ADMT- Migration
Befehlszeilentools an, und aktualisieren Sie diese. Sie
können das Befehlszeilentool ADMT SERVICE
verwenden, um Dienstkonten in der Quelldomäne
anzugeben. Sie können das Befehlszeilentool ADMT
USER verwenden, um angegebene Dienstkonten zu
aktualisieren.

Migrieren globaler Gruppen mithilfe des Assistenten Migrieren globaler Gruppen


zum Migrieren von Gruppenkonten oder des
Befehlszeilentools ADMT GROUP.

Migrieren verwalteter Dienstkonten, Benutzerkonten Migrieren von Konten bei Verwendung


und Arbeitsstationkonten mit ihren SID-Verläufen in des SID-Verlaufs
Gruppen. Sie können Benutzerkonten mithilfe des Migrieren von verwalteten Dienstkonten
Assistenten zum Migrieren von Benutzerkonten oder mit
Migrieren aller Benutzerkonten
dem Befehlszeilentool ADMT USER migrieren. Sie
können verwaltete Dienstkonten mithilfe des
Assistenten zum Migrieren von verwalteten
Dienstkonten oder mit dem Befehlszeilentool ADMT
MANAGEDSERVICEACCOUNT migrieren.

Migrieren von Ressourcen, z. B. von Mitgliedsservern Erneute losweise Migration von


und Domänencontrollern. Sie können Computerkonten Benutzerkonten und Migration von
mithilfe des Computermigrations-Assistenten oder mit Arbeitsstationen
dem Befehlszeilentool ADMT COMPUTER migrieren.
Sie können Gruppen mithilfe des Assistenten zum
Migrieren von Gruppenkonten oder mit dem
Befehlszeilentool ADMT GROUP migrieren.

Ausführen der Sicherheitskonvertierung auf Servern, Konvertieren der Sicherheit im


um die Sicherheitskennungen (SIDs) der Benutzer- und Hinzufügen-Modus
Gruppenkonten in der Zieldomäne den
Zugriffssteuerungslisten (Access Control Lists, ACLs)
der Ressourcen hinzuzufügen. Sie können den
Sicherheitskonvertierungs-Assistenten oder das
Befehlszeilentool ADMT SECURITY verwenden.

Wiederholen einer Migration von Benutzerkonten, Erneute losweise Migration von


Arbeitsstationscomputern und Mitgliedsservern Benutzerkonten und Migration von
einschließlich der Konvertierung bereits zuvor migrierter Arbeitsstationen
lokaler Benutzerprofile in Benutzer- und

31
Task Referenz

Computerobjekte.

Migrieren lokaler Domänengruppen mithilfe des Migrieren von Domänen- und


Assistenten zum Migrieren von Gruppenkonten oder freigegebenen lokalen Gruppen
des Befehlszeilentools ADMT GROUP.

Migrieren von Domänencontrollern. Migrieren von Domänencontrollern

Abschließen der Tasks nach der Migration Dieser Task Konvertieren der Sicherheit auf
umfasst die folgenden Untertasks: Mitgliedsservern
• Konvertieren der Sicherheit auf Außerbetriebnahme der Quelldomänen
Mitgliedsservern
• Außerbetriebnahme der Quelldomänen

Neustrukturierung von Active Directory-


Domänen zwischen Gesamtstrukturen im
Überblick
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Wenn Sie Domänen zwischen Gesamtstrukturen neu strukturieren, können Sie die Anzahl der
Domänen in Ihrer Organisation und damit gleichzeitig die Verwaltungskomplexität und die
zugehörigen Mehrkosten der Active Directory-Umgebung verringern. Zum Umstrukturieren von
Domänen gehört das Kopieren von Konten und Ressourcen aus einer Quelldomäne in eine
Zieldomäne in einer anderen Active Directory-Gesamtstruktur. Bei Verwendung des
Active Directory-Migrationprogramms Version 3.1 (ADMT) muss sich die Zieldomäne mindestens
auf der Funktionsebene von Windows 2000 (einheitlicher Modus) befinden. Bei Verwendung von
ADMT Version 3.2 müssen sich die Quell- und Zieldomäne mindestens auf der Funktionsebene
von Windows Server 2003 befinden.
Wenn Ihre Organisation vor kurzem mit einer anderen Organisation oder IT-Infrastruktur fusioniert
wurde, können Sie Domänen so neu strukturieren, dass Konten und Ressourcen in den beiden
Infrastrukturen zusammengeführt werden.
In diesem Abschnitt
• Verfahren zum Neustrukturieren von Active Directory-Domänen zwischen
Gesamtstrukturen
• Hintergrundinformationen zum Neustrukturieren von Active Directory-Domänen zwischen
Gesamtstrukturen

32
Verfahren zum Neustrukturieren von Active
Directory-Domänen zwischen
Gesamtstrukturen
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Die Neustrukturierung von Active Directory-Domänen zwischen Gesamtstrukturen umfasst die
Planung und Vorbereitung der Domänenneustrukturierung für Ihre Organisation. Außerdem ist die
erfolgreiche Migration von Konten und Ressourcen in eine Active Directory-Domäne in einer
anderen Gesamtstruktur erforderlich. Die folgende Abbildung zeigt den Vorgang für die
Neustrukturierung von Active Directory-Domänen zwischen Gesamtstrukturen.

Hintergrundinformationen zum
Neustrukturieren von Active Directory-
Domänen zwischen Gesamtstrukturen
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Der Migrationsvorgang zwischen Gesamtstrukturen wird nicht als destruktiv betrachtet, weil die
Migrationsobjekte in der Quelldomäne auch weiterhin vorhanden sind, bis die Quelldomäne
außer Betrieb genommen wird. Da die Quell- und Zieldomänenumgebungen während der
Migration gleichzeitig vorhanden sind, besteht die Option, ein Rollback auf die Quellumgebung
durchzuführen, wenn bei der Migration ein Fehler auftritt, beispielsweise, wenn ein bestimmtes

33
Objekt nicht migriert oder der Zugriff in der Zieldomäne nach der Ausführung der Migration nicht
verwaltet oder beibehalten wird. Sie können das Active Directory-Migrationsprogramm
(Active Directory Migration Tool, ADMT) zum Migrieren von Konten und Ressourcen zwischen
Domänen unter Beibehaltung von Benutzer- und Objektberechtigungen verwenden. Während des
Neustrukturierungsvorgangs zwischen Gesamtstrukturen besitzen Benutzer ununterbrochen
Zugriff auf erforderliche Ressourcen. Außerdem können Sie Benutzer, Gruppen und Ressourcen
unanhängig voneinander verschieben.
Die übrigen Abschnitte in diesem Thema erklären den Migrationsprozess für Konten und
Ressourcen.

Migrationsvorgang von Benutzerkonten


Für die Neustrukturierung von Konten zwischen Active Directory-Gesamtstrukturen ist es
erforderlich, Benutzer, Gruppen und lokale Profile von der Quelldomäne auf die Zieldomäne zu
kopieren und dabei die Zugriffsrechte und Attribute dieser Objekte zu bewahren.
Wenn Benutzerkonten zwischen Active Directory-Domänen in verschiedenen Gesamtstrukturen
migriert werden, verbleibt das ursprüngliche Konto in der Quelldomäne, und ein neues Konto wird
in der Zieldomäne erstellt. Da die Sicherheitskennung (Security Identifier, SID) eines
Sicherheitsprinzipals (Benutzer oder Gruppe) immer eine Kennung für die Domäne enthält, in der
sich der Sicherheitsprinzipal befindet, wird eine neue Sicherheitskennung für den Benutzer in der
Zieldomäne erstellt. Da ADMT die Sicherheitskennung des ursprünglichen Sicherheitsprinzipals
in den Sicherheitsprinzipal in der Zieldomäne migrieren kann, müssen Sie keine zusätzlichen
Schritte ausführen, um den Ressourcenzugriff sicherzustellen. Dies gilt allerdings nicht, wenn Sie
SID-Filterung zwischen den Gesamtstrukturen verwenden.
Wenn Sie mit ADMT v3.1 und Microsoft Exchange Server v5.5 arbeiten, verwenden Sie den
ADMT-Assistenten zum Migrieren von Exchange-Servern, um die Sicherheit für die Postfächer für
migrierte Benutzer zu konvertieren. Wenn Sie Servercomputer mit Exchange 2000 verwenden,
stellt ADMT keine Tools für die Migration von Postfächern zur Verfügung. Planen Sie in diesem
Fall die Migration von Postfächern zuerst mithilfe des Exchange 2000-Tools zum Migrieren von
Postfächern, und migrieren Sie dann die Benutzerkonten.
Wenn Sie Gruppenrichtlinien zum Verwalten der Ordnerumleitung oder Softwareverteilung
verwenden, stellen Sie sicher, dass diese Richtlinien auch nach der Migration von
Benutzerkonten in eine neue Gesamtstruktur weiterhin gelten. Wenn Sie ein
Gruppenrichtlinienobjekt zum Erteilen oder Verweigern des Remotezugriffs in der Quelldomäne –
nicht jedoch in der Zieldomäne – verwenden, kann ADMT nicht feststellen, welcher Remotezugriff
dem Benutzer zugewiesen werden soll.
Wenn Sie Gruppenrichtlinien zum Verwalten von Ordnerumleitung verwenden, funktionieren
Offlinedateien nicht, nachdem das Benutzerkonto in eine neue Gesamtstruktur migriert wurde.
Offlinedateien speichern die Sicherheitskennung des Benutzers als Besitzer. Die
Sicherheitskennung ändert sich, wenn das Benutzerkonto migriert wird. Um den Besitz von
Offlinedateien wiederherzustellen, verwenden Sie den Sicherheitskonvertierungs-Assistenten von
ADMT, um die Berechtigungen für die Dateien und Ordner auf dem Clientcomputer zu ersetzen,
der den Offlinedateiencache enthält.

34
Sie können folgendermaßen vorgehen, um sicherzustellen, dass Benutzer auch weiterhin Zugriff
auf Offlinedateien besitzen, nachdem Sie Benutzerkonten in die Zieldomäne migriert haben:
1. Konvertieren Sie die Sicherheit auf Clientcomputern, um die Offlinedateien zu
aktualisieren.
2. Wenn der SID-Verlauf des Benutzerkontos nicht in die Zieldomäne migriert wurde,
konvertieren Sie die Sicherheit auf dem Server, der umgeleitete Ordner hostet.
Wenn Sie Ordnerumleitung verwenden, tritt einer der folgenden Fälle ein:
• Wenn der Ordnerumleitungspfad in der neuen Umgebung ein anderer ist, können
Benutzer auf den Ordner zugreifen, wenn der SID-Verlauf des Benutzerkontos in die
Zieldomäne migriert wurde. Die Ordnerumleitungserweiterung kopiert die Dateien vom
ursprünglichen Speicherort in der Quelldomäne an den neuen Speicherort in der Zieldomäne.
Der SID-Verlauf ermöglicht dem Benutzerkonto den Zugriff auf die Quellordner.
• Wenn der Ordnerumleitungspfad in der neuen Umgebung gleich ist, können Benutzer
nicht auf den umgeleiteten Ordner zugreifen, weil die Ordnerumleitung den Besitz des
umgeleiteten Ordners überprüft und ein Fehler auftritt. In diesem Fall müssen Sie die
Sicherheit für den umgeleiteten Ordner auf dem Server konvertieren.
Wenn Sie Gruppenrichtlinien zum Verwalten der Softwareinstallation verwenden, und das
Windows Installer-Paket benötigt Zugriff auf die ursprüngliche Quelle für z. B. Reparatur- oder
Entfernungsvorgänge, müssen Sie die Sicherheit des Softwareverteilungspunkts konvertieren,
nachdem Sie Benutzer migriert haben, damit sichergestellt ist, dass die Softwareinstallation in der
Zieldomäne auch weiterhin ordnungsgemäß funktioniert.

Migrationsvorgang für Ressourcen


Active Directory-Domänen enthalten drei Typen von Ressourcen:
• Arbeitsstationkonten
• Mitgliedsserverkonten
• Ressourcen auf Mitgliedsservern
Die Migration von Arbeitsstationen und Mitgliedsservern ist ein einfacher Vorgang. Die lokalen
Gruppen, die Sie erstellen, um Benutzern Berechtigungen zuzuweisen, befinden sich in der
lokalen SAM-Datenbank (Security Accounts Manager), und sie werden verschoben, wenn Sie
den Server verschieben. Sie müssen Zugriffssteuerungslisten nicht neu konfigurieren, damit
Benutzer nach der Migration auf Ressourcen zugreifen können.
Entfernen Sie zum Migrieren von Domänencontrollern zwischen Domänen die Active Directory-
Domänendienste (AD DS) auf dem Domänencontroller, migrieren Sie ihn als Mitgliedsserver in
die Zieldomäne, und installieren Sie dann AD DS erneut.

35
Planen der Neustrukturierung von Active
Directory-Domänen zwischen
Gesamtstrukturen
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Durch die Ausführung der erforderlichen Planungsaufgaben vor Beginn der Migration stellen Sie
sicher, dass Benutzer sich auch weiterhin am Netzwerk anmelden und während der Migration auf
Ressourcen zugreifen können. Die Planung der Domänenumstrukturierung umfasst Folgendes:
• Festlegen des Kontomigrationsvorgangs
• Zuweisen von Objektspeicherorten und -rollen
• Entwickeln eines Testplans
• Erstellen eines Rollbackplans für den Fall, dass ein Fehler bei der Migration auftritt
• Verwalten von Benutzern, Gruppen und Benutzerprofilen
• Erstellen eines Endbenutzerkommunikationsplans
Zur Vorbereitung auf den Neustrukturierungsvorgang muss das Active Directory-
Bereitstellungsteam die erforderlichen Entwurfsinformationen vom Active Directory-Entwurfsteam
erhalten.
Die folgende Abbildung zeigt die für die Planung der Neustrukturierung von Active Directory-
Domänen zwischen Gesamtstrukturen erforderlichen Schritte.

36
Festlegen des Kontomigrationsvorgangs
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Mit dem Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) kann der
SID-Verlauf (Security Identifier, SID) zum Erhalten von Ressourcenberechtigungen beim
Migrieren von Konten verwendet werden. Wenn jedoch zwischen den Quell- und Zieldomänen
SID-Filterung eingerichtet ist und die Administratoren in der Quelldomäne keine
Vertrauensstellung besitzen, kann die SID-Filterung nicht deaktiviert werden. Ebenso wenig kann
der SID-Verlauf zum Erteilen des Zugriffs auf Ressourcen in der Quelldomäne verwendet werden.
In diesem Fall müssen Sie einen anderen Migrationsprozess verwenden.
Sie können eine der folgenden drei Methoden verwenden, um Konten zwischen
Gesamtstrukturen zu migrieren und dabei die Benutzerrechte für den Zugriff auf Ressourcen in
der Quelldomäne zu erhalten:
• Migrieren Sie Benutzerkonten, während Sie den SID-Verlauf für den Ressourcenzugriff
verwenden. Bei dieser Methode entfernen Sie die SID-Filterung für die Vertrauensstellungen
zwischen den Domänen, um Benutzern den Zugriff auf Ressourcen in der Quelldomäne
mithilfe der Anmeldeinformationen aus ihrem SID-Verlauf zu ermöglichen.
• Wenn eine Gesamtstrukturvertrauensstellung besteht, entfernen Sie die SID-
Filterung für die Gesamtstrukturvertrauensstellung. (Alternativ können Sie die
Gesamtstrukturvertrauensstellung außer Kraft setzen, indem Sie eine externe
Vertrauensstellung erstellen, so dass die Domäne, in der die Ressourcen enthalten sind,
der Zieldomäne vertraut, und anschließend die SID-Filterung für die externe
Vertrauensstellung entfernen.)
• Wenn keine Gesamtstrukturvertrauensstellung besteht, richten Sie externe
Vertrauensstellungen zwischen den Quell- und Zieldomänen ein. Anschließend müssen
Sie die SID-Filterung für die externen Vertrauensstellungen entfernen, wenn auf dem
Domänencontroller, mit dem die Vertrauensstellung erstellt wird, Windows
Server 2008 R2, Windows Server 2008 oder Windows Server 2003 ausgeführt wird. Bei
Verwendung von ADMT v3.1 kann auf dem Domänencontroller, mit dem die
Vertrauensstellung erstellt wird, Windows 2000 Service Pack 4 (oder höher) ausgeführt
werden.
Weitere Informationen über diesen Prozess finden Sie unter Migrieren von Konten bei
Verwendung des SID-Verlaufs weiter hinten in diesem Handbuch.
• Migrieren Sie alle Benutzer,Gruppen und Ressourcen in einem Schritt in die Zieldomäne.
Weitere Informationen über diesen Prozess finden Sie unter Migrieren von Konten bei
Verwendung des SID-Verlaufs weiter hinten in diesem Handbuch.
• Migrieren Sie Benutzerkonten, ohne den SID-Verlauf für den Ressourcenzugriff zu
verwenden, konvertieren Sie jedoch die Sicherheit für alle Ressourcen vor dem
Migrationsprozess, um den Ressourcenzugriff sicherzustellen. Weitere Informationen über
das Migrieren von Konten ohne Verwendung des SID-Verlaufs finden Sie unter Migrieren von
Konten ohne Verwendung des SID-Verlaufs weiter hinten in diesem Handbuch.

37
Damit Sie bestimmen können, welcher Kontenmigrationsprozess für Ihre Organisation optimal
geeignet ist, müssen Sie zuerst bestimmen, ob Sie die SID-Filterung deaktivieren und Konten
unter Verwendung des SID-Verlaufs für den Ressourcenzugriff migrieren können. Sie können
dies ohne Gefahr ausführen, wenn zwischen den Administratoren der Quelldomäne und den
Administratoren der Zieldomäne eine vollständige Vertrauensstellung besteht. Möglicherweise
sollten Sie die SID-Filterung deaktivieren, wenn eine der folgenden Bedingungen zutrifft:
• Die Administratoren der vertrauenden Domäne sind zugleich die Administratoren der
vertrauenswürdigen Domäne.
• Die Administratoren der vertrauenden Domäne haben eine Vertrauensstellung zu den
Administratoren der vertrauenswürdigen Domäne und sind zuversichtlich, dass diese die
Domäne in geeigneter Weise gesichert haben.
Wenn Sie die SID-Filterung deaktivieren, entfernen Sie die Sicherheitsgrenze zwischen
Gesamtstrukturen, die normalerweise die Isolation von Daten und Diensten zwischen den
Gesamtstrukturen herstellt. Beispielsweise kann ein Administrator in der Zieldomäne mit Rechten
als Dienstadministrator oder eine Einzelperson, die physischen Zugriff auf einen
Domänencontroller besitzt, den SID-Verlauf eines Kontos so ändern, dass er die SID eines
Domänenadministrators in der Quelldomäne einschließt. Wenn das Benutzerkonto, für das der
SID-Verlauf geändert wurde, sich bei der Zieldomäne anmeldet, weist es gültige
Anmeldeinformationen als Domänenadministrator für Ressourcen in der Quelldomäne auf und
erhält Zugriff auf diese.
Daher sollten Sie, wenn Sie den Administratoren in der Zieldomäne nicht vertrauen oder nicht
glauben, dass die Domänencontroller in der Zieldomäne physisch sicher sind, SID-Filterung
zwischen den Quell- und Zieldomänen aktivieren und Benutzerkonten ohne SID-Verlauf für den
Ressourcenzugriff migrieren.
Die folgende Abbildung veranschaulicht den Entscheidungsprozess, der zum Bestimmen des für
Ihre Organisation geeigneten Migrationsprozesses verwendet werden kann.

38
Verwenden des SID-Verlaufs zum
Beibehalten des Ressourcenzugriffs
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Die bewährte Methode zum Erteilen des Zugriffs auf Ressourcen besteht in der Verwendung von
globalen Gruppen zum Zusammenfassen von Benutzern und von domänenlokalen Gruppen zum
Schutz von Ressourcen. Platzieren Sie globale Gruppen in einer domänenlokalen Gruppe, um
den Mitgliedern der globalen Gruppe Zugriff auf die Ressource zu erteilen. Eine globale Gruppe
kann nur Mitglieder aus ihrer eigenen Domäne enthalten. Wenn ein Benutzer zwischen Domänen
migriert wird, müssen auch alle globalen Gruppen migriert werden, zu denen der Benutzer
gehört. Dadurch wird sichergestellt, dass Benutzer weiterhin auf Ressourcen zugreifen können,
die durch besitzerverwaltete Zugriffssteuerungslisten (Discretionary Access Control Lists, DACLs)
geschützt sind, die auf globale Gruppen verweisen. Wenn sich ein Benutzer nach dem Migrieren
eines Kontos bei beibehaltenem SID-Verlauf (Security Identifier) des Quelldomänenkontos bei
der Zieldomäne anmeldet, werden sowohl die neue SID als auch die ursprüngliche SID aus dem
SID-Verlaufsattribut dem Zugriffstoken des Benutzers hinzugefügt. Diese SIDs bestimmen die

39
Mitgliedschaft des Benutzers in lokalen Gruppen. Anschließend werden dem Zugriffstoken die
SIDs der Gruppen, bei denen der Benutzer Mitglied ist, hinzugefügt, zusammen mit dem SID-
Verlauf dieser Gruppen.
Die Ressourcen innerhalb der Quell- und der Zieldomäne lösen ihre Zugriffssteuerungslisten
(Access Control Lists, ACLs) zu SIDs auf und prüfen dann beim Erteilen oder Verweigern des
Zugriffs auf Übereinstimmungen zwischen ihren ACLs und dem Zugriffstoken. Wenn die SID oder
der SID-Verlauf übereinstimmen, wird der Zugriff auf die Ressource erteilt oder verweigert, je
nach dem in der ACL festgelegten Zugriff. Wenn sich die Ressource in der Quelldomäne befindet
und Sie keine Sicherheitskonvertierung durchgeführt haben, verwendet sie den SID-Verlauf des
Benutzerkontos für das Erteilen des Zugriffs.
Ferner können Sie die ursprüngliche SID für globale Gruppen und universale Gruppen im SID-
Verlauf der globalen Gruppe oder universellen Gruppe in der Zieldomäne beibehalten. Da die
Mitgliedschaft in globalen Gruppen auf SIDs basiert, wird die lokale Gruppenmitgliedschaft der
globalen Gruppe oder universellen Gruppe beim Migrieren der SID zum SID-Verlauf der globalen
Gruppe oder universellen Gruppe in der Zieldomäne automatisch beibehalten.
Der SID-Verlauf wird für folgende Punkte verwendet:
• Zugriff auf servergespeicherte Benutzerprofile
• Zugriff auf Zertifizierungsstellen
• Zugriff bei der Softwareinstallation
• Ressourcenzugriff
Wenn Sie nicht den SID-Verlauf für den Ressourcenzugriff verwenden, müssen Sie den SID-
Verlauf trotzdem migrieren, um den Zugriff auf diese Elemente zu erleichtern.

Verwenden von SID-Filterung beim Migrieren


von Benutzerkonten
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Bei einer Domänen-zu-Domänen-Vertrauensstellung wird die Verwendung von SIDs, die von
außerhalb der vertrauenswürdigen Domäne stammen, um den Zugriff auf eine Ressource
innerhalb der vertrauenden Domäne zu ermöglichen, von der SID-Filterung nicht berücksichtigt.
Bei einer Gesamtstruktur-zu-Gesamtstruktur-Vertrauensstellung wird die Verwendung von SIDs,
die von einer Domäne außerhalb der vertrauenswürdigen Gesamtstruktur stammen, um den
Zugriff auf eine Ressource in einer Domäne innerhalb der vertrauenden Gesamtstruktur zu
ermöglichen, von der SID-Filterung nicht berücksichtigt.
Sie können die SID eines Benutzers für den Zugriff auf Ressourcen innerhalb einer
Gesamtstruktur mit aktivierter SID-Filterung aktivieren, indem Sie die Sicherheit für die
Ressource in der Weise konvertieren, dass die Benutzer-SID in die Berechtigungsliste
aufgenommen wird.
SID-Filterung wird standardmäßig angewendet, wenn eine Vertrauensstellung zwischen zwei
Gesamtstruktur-Stammdomänen eingerichtet wird. Außerdem ist die SID-Filterung

40
standardmäßig aktiviert, wenn externe Vertrauensstellungen zwischen Domänencontrollern mit
Windows 2000 Service Pack 4 (oder höher) hergestellt werden. Dies unterbindet mögliche
Sicherheitsangriffe durch Administratoren aus anderen Gesamtstrukturen.
Da die SID-Filterung sich nicht auf die Authentifizierung innerhalb von Domänen auswirkt, ist es
auch möglich, den Zugriff auf Ressourcen anhand des SID-Verlaufs zu erteilen, wenn die
Ressource und das Konto sich innerhalb der gleichen Gesamtstruktur befinden. Damit Benutzern
oder Gruppen der Zugriff auf eine Ressource mithilfe des SID-Verlaufs erteilt werden kann, muss
zwischen der Gesamtstruktur, in der sich die Ressource befindet, und der Gesamtstruktur, in der
das Konto geführt wird, eine Vertrauensstellung bestehen.
Weitere Informationen zu Angriffen auf der Grundlage des SID-Verlaufs und SID-Filterung finden
Sie unter "Konfigurieren der Einstellungen für die SID-Filterung" (http://go.microsoft.com/fwlink/?
LinkId=73446) (englischsprachig).

Zuweisen von Objektspeicherorten und


Rollen
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Erstellen Sie eine Objektzuweisungstabelle, die Rollen und Speicherorte für alle zu migrierenden
Objekte auflistet. Erstellen Sie eine Tabelle für Kontoobjekte, wie etwa Benutzer-, Gruppen- und
Dienstkonten, und eine Tabelle für Ressourcenobjekte, wie etwa Arbeitsstationen, Profile und
Domänencontroller. Listen Sie in Ihren Tabellen die Quell- und Zielspeicherorte für alle zu
migrierenden Objekte auf.
Bestimmen Sie vor dem Erstellen der Kontoobjektzuweisungstabelle, ob die
Organisationseinheitsstrukturen auf Domänenebene für die Quell- und die Zieldomäne gleich
sind. Wenn sie nicht gleich sind, müssen Sie die Quell- und die Zielorganisationseinheit in den
Objektzuweisungstabellen identifizieren.
Ein Arbeitsblatt, das Sie beim Erstellen einer Kontoobjektzuweisungstabelle unterstützt, finden
Sie unter "User and Group Object Assignment Table" (DSSREER_1.doc) im Download
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services der Job Aids für das
Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink?LinkId=14384,
englischsprachig).
Die folgende Abbildung zeigt ein Beispiel einer Objektzuweisungstabelle für Benutzer und
Gruppen.

41
Identifizieren sie zum Erstellen eines Ressourcenobjektzuweisungstabelle die Quell- und
Zielorganisationseinheit für jedes Objekt, und notieren Sie den physikalischen Speicherort und
die Rolle in der Zieldomäne. Ein Arbeitsblatt, das Sie beim Erstellen einer
Ressourcenobjektzuweisungstabelle unterstützt, finden Sie unter "Resource Object Assignment
Table" (DSSREER_2.doc) im Download
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services der Job Aids für das
Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink?LinkId=14384,
englischsprachig).
Die folgende Abbildung zeigt ein Beispiel einer Ressourcenobjektzuweisungstabelle.

42
Entwickeln eines Testplans für die Migration
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) enthält keine
Testmigrationsoption. Sie können jedoch einen Testplan entwickeln, um jedes Objekt
systematisch zu testen, nachdem es in die neue Umgebung migriert wurde, und ggf. auftretende
Probleme identifizieren und beheben. Das Testen des Erfolgs der Migration stellt sicher, dass
Benutzer, die aus der Quell- in die Zieldomäne migriert wurden, sich anmelden, auf Ressourcen
basierend auf der Gruppenmitgliedschaft und basierend auf Benutzeranmeldeinformationen
zugreifen können. Das Testen stellt außerdem sicher, dass Benutzer auf die Ressourcen
zugreifen können, die Sie migrieren.
Nachdem Sie die Tests abgeschlossen haben, können Sie mit der Migration kleiner Pilotgruppen
fortfahren und dann schrittweise die Größe der Lose von Migrationsobjekten in Ihrer
Produktionsumgebung erhöhen.
Verwenden Sie das folgende Verfahren, um die Migration von Konto- und Ressourcenobjekten zu
testen:

43
1. Erstellen Sie einen Testbenutzer in der Quelldomäne. Schließen Sie diesen Testbenutzer
in die Migrationen ein.
2. Fügen Sie diesen Benutzer den entsprechenden globalen Gruppen hinzu, um den
Ressourcenzugriff zu aktivieren.
3. Melden Sie sich an der Quelldomäne als Testbenutzer an, und vergewissern Sie sich,
dass Sie ordnungsgemäß auf Ressourcen zugreifen können.
4. Nachdem Sie das Benutzerkonto migriert haben, konvertieren Sie das Benutzerprofil und
migrieren die Arbeitsstation des Benutzers, melden sich an der Zieldomäne als Testbenutzer
an und überprüfen, ob der erforderliche Zugriff und die entsprechenden Funktionen für den
Benutzer erhalten geblieben sind. Der Test kann z. B. die folgenden Überprüfungen
beinhalten:
• Der Benutzer kann sich erfolgreich anmelden.
• Der Benutzer besitzt Zugriff auf alle entsprechenden Ressourcen, z. B. auf Datei-
und Druckfreigaben, Dienste wie etwa Messaging sowie Zugriff auf
Branchenanwendungen. Es ist besonders wichtig, den Zugriff auf intern entwickelte
Anwendungen zu testen, die auf Datenbankserver zugreifen.
• Das Benutzerprofil wurde erfolgreich konvertiert, und die Desktopeinstellungen, die
Desktopdarstellung, Verknüpfungen und der Zugriff auf den Ordner Eigene Dateien sind
erhalten geblieben. Vergewissern Sie sich außerdem, dass Anwendungen im Menü Start
angezeigt und über dieses Menü gestartet werden können.
Beim Migrieren von Benutzerkonten kann nicht jede Benutzereigenschaft migriert
werden. Weitere Informationen zu Benutzereigenschaften, die nicht migriert werden
können, finden Sie weiter unten in diesem Handbuch unter Migrieren von
Benutzerkonten.
Nachdem Sie Ressourcen migriert haben, melden Sie sich als Testbenutzer in der Zieldomäne an
und vergewissern sich dann, dass Sie ordnungsgemäß auf Ressourcen zugreifen können.
Wenn in einem der Schritte des Testverfahrens Fehler auftreten, ermitteln Sie die Ursache des
Problems, und stellen Sie dann fest, ob Sie das Problem beheben können, bevor der Zugriff auf
das Objekt in der Zieldomäne möglich sein muss. Wenn Sie das Problem nicht beheben können,
bevor der Zugriff auf das Objekt erforderlich ist, führen Sie einen Rollbackvorgang in die
ursprüngliche Konfiguration aus, damit der Zugriff auf das Benutzer- oder Ressourcenobjekt
sichergestellt ist. Weitere Informationen zum Erstellen eines Rollbackplans finden Sie unter
Erstellen eines Rollbackplans weiter unten in diesem Handbuch.
Erstellen Sie eine Migrationstestmatrix als Teil Ihres Testplans. Füllen Sie eine Testmatrix für
jeden Schritt im Migrationsvorgang aus. Wenn Sie z. B. 10 Lose von Benutzern migrieren, füllen
Sie die Testmatrix 10 Mal aus – einmal für jedes migrierte Los. Wenn Sie 10 Mitgliedsserver
migrieren, füllen Sie die Testmatrix für jeden der 10 Server aus.
Ein Arbeitsblatt, das Sie beim Erstellen einer Testmatrix unterstützt, finden Sie unter "Migration
Test Matrix" (DSSREER_3.doc) im Download
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services der Job Aids für das
Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink?LinkId=14384,
englischsprachig).

44
Die folgende Abbildung zeigt ein Beispiel für eine ausgefüllte Migrationstestmatrix.

Erstellen eines Rollbackplans


Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Verringern Sie die Gefahr, Endbenutzer in Ihrer Organisation auszuschließen, indem Sie einen
Rollbackplan erstellen. Im Allgemeinen ist es möglich, jedes Problem, das während jeder
einzelnen Phase der Migration auftritt, zu isolieren und zu beheben. Es ist jedoch wichtig,
mögliche Risiken zu analysieren und das Ausmaß des Einflusses auf Benutzer sowie die

45
Ausfallzeit zu identifizieren, die ein Rollback der Migrierung erforderlich machen können.
Möglicherweise müssen Sie ein Rollback der Migration ausführen, wenn einer der folgenden
Fälle eintritt:
• Benutzer können sich nach der Migration nicht bei ihren Konten anmelden.
• Benutzer können nach der Migration nicht auf Ressourcen zugreifen.
• Die Benutzermigration ist unvollständig; beispielsweise wurden keine Kennwörter
migriert.
• Die Benutzermigration war erfolgreich, aber bei der Migration von
Benutzerarbeitsstationen oder der Konvertierung lokaler Profile traten Fehler auf.
Wenn die Auswirkung auf Benutzer oder die Ausfallzeit ein Niveau erreichen, die Sie für Ihre
Organisation als nicht akzeptabel definiert haben, können Sie den Rollbackplan implementieren
und den Betrieb in der Umgebung vor der Migration fortsetzen. Da die Quelldomäne während der
Umstrukturierung intakt bleibt, können Sie die ursprüngliche Umgebung wiederherstellen, indem
Sie einige wichtige Schritte ausführen.
So führen Sie nach dem Migrieren von Kontoobjekten ein Rollback zur Umgebung vor der
Migration aus:
1. Aktivieren Sie die Benutzerkonten in der Quelldomäne (wenn Sie die Konten während
des Migrationsprozesses deaktiviert haben).
2. Benachrichtigen Sie die Benutzer, dass sie sich von der Zieldomäne abmelden sollen.
3. Benachrichtigen Sie die Benutzer, dass sie sich bei der Quelldomäne anmelden sollen.
4. Überprüfen Sie, ob die Benutzer auf die Ressourcen zugreifen können.
5. Überprüfen Sie, ob die Anmeldeskripts und Benutzerprofile für Benutzer in der
Quelldomäne wie konfiguriert funktionieren.
Der Rollbackprozess für Ressourcenobjekte ist dem für Kontoobjekte ähnlich. So führen Sie nach
dem Migrieren von Ressourcenobjekten ein Rollback zur Umgebung vor der Migration aus:
1. Ändern Sie die Domänenmitgliedschaft für den Server oder die Arbeitsstation auf die
Quelldomäne.
2. Führen Sie einen Neustart des Servers oder der Arbeitsstation aus.
3. Melden Sie sich als Benutzer an, und überprüfen Sie, ob Sie auf die Ressource zugreifen
können.

Hinweis

Wenn Sie Objekte ändern müssen, wie etwa Mitgliedsserver oder


Domänencontroller, um sie in die Zieldomäne zu migrieren, sichern Sie alle Daten,
bevor Sie die Änderungen vornehmen und die Migration durchführen.

46
Verwalten von Benutzern, Gruppen und
Benutzerprofilen
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Sie müssen definieren, wie die Objekte, die Sie migrieren, während des
Neustrukturierungsvorgangs zwischen Gesamtstrukturen verwaltet werden sollen. Indem Sie
administrative Verfahren für Migrationsobjekte einrichten, können Sie die Objekte sowohl in der
Quelldomäne als auch in der Zieldomäne erhalten. Daher können Sie auf die
Vormigrationsumgebung zurückgreifen, wenn der Neustrukturierungsvorgang nicht erfolgreich ist.
Planen Sie die Verwaltung der folgenden Typen von Kontomigrationsobjekten:
• Benutzerkonten einschließlich Sicherheitskennungen (Security Identifiers, SIDs)
• Globale Gruppenmitgliedschaft
• Benutzerprofile

Verwalten von Benutzerkonten


Während des Migrationsvorgangs sind Benutzerkonten sowohl in den Quell- als auch in den
Zieldomänen vorhanden. Verwalten Sie Änderungen an Benutzerkonten in der Domäne, in der
das Benutzerobjekt aktiv ist. Verwalten Sie auch weiterhin Änderungen an
Gruppenmitgliedschaften in der Quelldomäne, während die Migration stattfindet. Verwenden Sie
die Option In Konflikt stehende Objekte migrieren und zusammenführen im Active Directory-
Migrationsprogramm (ADMT), um Benutzerkonten so häufig wie erforderlich während des
Migrationsvorgangs erneut zu migrieren. Auf diese Weise wird sichergestellt, dass Änderungen,
die am Konto in der Quelldomäne vorgenommen werden, an das Konto in der Zieldomäne
weitergegeben werden. Bei diesem Vorgang wird das vorhandene Konto mit dem neuen Konto
zusammengeführt, damit die Verwaltung des Objekts in der Quelldomäne für die Dauer des
Migrationsvorgangs fortgesetzt werden kann.
Die Option In Konflikt stehende Objekte migrieren und zusammenführen wendet bei der
Migration eines Kontos die folgenden Richtlinien an:
• Wenn Sie ein Attribut in der Zieldomäne ändern, das nicht in der Quelldomäne verwendet
wird, wird es nicht mit dem NULL-Wert aus der Quelldomäne überschrieben.
• Wenn Sie ein Attribut in der Zieldomäne ändern, das in der Quelldomäne verwendet wird,
wird es mit dem Wert aus der Quelldomäne überschrieben.
• Wenn der Benutzer Gruppenmitgliedschaften besitzt, werden die Mitgliedschaften aus
den Quellmitgliedschaften und den Zielmitgliedschaften zusammengeführt.
Wenn dies nicht das gewünschte Verhalten ist, können Sie ADMT so konfigurieren, dass Attribute
aus der Migration ausgeschlossen werden, damit die Attribute in der Zieldomäne erhalten
bleiben.
Angenommen, Sie legen z. B. nach dem Migrieren eines Benutzers Attribute für das neue
Benutzerobjekt in der Zieldomäne fest, z. B. eine Rufnummer oder eine Raumnummer. Sie
migrieren den Benutzer mithilfe der Option In Konflikt stehende Objekte migrieren und
47
zusammenführen in ADMT erneut, und die neuen Informationen bleiben in der Zieldomäne
erhalten. Wenn Sie die Gruppenmitgliedschaften für den Benutzer in der Quelldomäne geändert
haben, werden die Änderungen an die Zieldomäne weitergegeben, wenn Sie die erneute
Migration ausführen.
Einige Attribute werden von der Migration ausgeschlossen. Dabei handelt es sich z. B. um die
folgenden Attribute:
• Attribute, die immer vom System ausgeschlossen werden
• Attribute, die in der Systemattribut-Ausschlussliste enthalten sind.
• Attribute, die vom Administrator als auszuschließend konfiguriert wurden.

Attribute, die immer vom System ausgeschlossen werden


Einige Attribute werden von ADMT immer von der Migration ausgeschlossen und können nicht für
die Migration konfiguriert werden. Auf diese Weise werden Attribute geschützt, die sich im Besitz
des Systems befinden. Dabei handelt es sich z. B. um die folgenden Attribute:
• Objekt GUID (Globally Unique Identifier)
• SIDs (obwohl SIDs dem SID-Verlauf des Objekts in der Zieldomäne hinzugefügt werden
können)
• LegacyExchangeDN

Systemattribut-Ausschlussliste
Bei der erstmaligen Ausführung einer ADMT-Benutzermigration generiert ADMT eine
Systemattribut-Ausschlussliste, die in der Datenbank des Programms gespeichert wird. Die
Systemattribut-Ausschlussliste enthält standardmäßig zwei Attribute: mail und proxyAddresses.
ADMT liest außerdem das Schema in der Zieldomäne und fügt der Liste die Attribute hinzu, die
nicht Teil des Basisschemas sind. Attribute in dieser Liste werden von Migrationsvorgängen
selbst dann ausgeschlossen, wenn das Attribut nicht in der Attributausschlussliste angegeben
wird. Ein Administrator kann die Systemattribut-Ausschlussliste nur mithilfe eines Skripts ändern.
Auf diese Weise werden Attribute geschützt, die wichtig sind, damit serverbasierte Anwendungen
wie etwa Microsoft Exchange funktionieren. Wenn das Schema der Zieldomäne nochmals
erweitert wird, nachdem ADMT die Liste generiert hat, müssen Administratoren die neuen
Attribute der Liste manuell hinzufügen. Dies gilt nur dann nicht, wenn sie sicher sind, dass das
Kopieren der Werte dieser Attribute von der Quelldomäne nicht zu Konflikten mit serverbasierten
Anwendungen führt.

Attributausschlussliste
Administratoren können eine Liste mit Attributen definieren, die aus jeder Migration
ausgeschlossen werden. Diese Liste wird als eine Attributausschlussliste bezeichnet. Bei
Verwendung der ADMT-Konsole werden Statusinformationen für Attribute, deren Ausschluss
konfiguriert wurde, in der Benutzeroberfläche gespeichert und in die Ausschlussliste für die
nächste Migration aufgenommen. Skripting- und Befehlszeilenattribute besitzen keine
Statusinformationen. Auf diesem Grund werden sie nicht in der Benutzeroberfläche gespeichert.
48
Diese Attribute müssen der Attributausschlussliste für jeden Migrationsvorgang hinzugefügt
werden. Dies geschieht mithilfe des Attributnamens oder durch eine Optionsdatei.

Verwalten globaler Gruppen


Verwalten Sie die Gruppen in der Quelldomäne während des Migrationsvorgangs auch weiterhin.
Migrieren Sie die Gruppen mithilfe der Option In Konflikt stehende Objekte migrieren und
zusammenführen in ADMT so häufig wie erforderlich erneut. Diese Vorgehensweise stellt sicher,
dass Änderungen, die an Gruppenmitgliedschaften in der Quelldomäne vorgenommen wurden,
an die Gruppen in der Zieldomäne weitergegeben werden.

Planen einer Benutzerprofilmigration


Benutzerprofile speichern Benutzerdaten und Informationen zu den Desktopeinstellungen des
Benutzers. Benutzerprofile können servergespeichert oder lokal sein. Der Migrationsvorgang
unterscheidet sich für lokale und servergespeicherte Profile.
Profilkonvertierung ist ein Typ von Sicherheitskonvertierung, und Profile werden während des
Migrationsvorgangs konvertiert. Wenn Sie die Sicherheitskonvertierung im Hinzufügemodus
ausführen, besitzen die Sicherheitskennungen in den Ziel- und in den Quelldomänen Zugriff auf
das Profil. Wenn Sie ein Rollback in die Quellumgebung ausführen müssen, kann die
Sicherheitskennung in der Quelldomäne das Profil daher verwenden. Wenn Sie die
Sicherheitskonvertierung im Ersetzungsmodus ausführen, müssen Sie das Profil mithilfe einer
SID-Zuordnungsdatei erneut konvertieren (Rückgängigmachen der Sicherheitskonvertierung), um
die Umgebung auf die Quellumgebung zurückzusetzen.

Wichtig

Wenn ein Rollbackvorgang auf die ursprüngliche Konfiguration stattfinden muss,


benachrichtigen Sie die Benutzer, dass in der Zieldomäne vorgenommene Änderungen
auf der Quelldomäne nicht übernommen werden.
Einige Organisationen möchten Benutzerprofile ggf. nicht migrieren. Andere Organisationen
möchten ggf. die Arbeitsstationen von Benutzern während des Migrationsvorgangs der
Benutzerkonten ersetzen und ein Tool wie z. B. das Migrationsprogramm für den Benutzerstatus
(User State Migration Tool, USMT) zum Migrieren von Benutzerdaten und Einstellungen auf die
neuen Computer der Benutzer verwenden. In der folgenden Tabelle werden die Voraussetzungen
für die Migration von Benutzerprofilen zusammengefasst.

Typ Beschreibung Voraussetzungen für die


Migration

Servergespeicherte Profile Benutzerprofile werden zentral Wenn Sie servergespeicherte


auf Servern gespeichert. Profile Profile migrieren, die unter
sind unabhängig von der Windows Vista oder höher
verwendeten Arbeitsstation für verwendet werden, müssen Sie

49
Typ Beschreibung Voraussetzungen für die
Migration

den Benutzer verfügbar. die servergespeicherten Profile


für die Migration vorbereiten.
Weitere Informationen finden
Sie unter Vorbereiten von
servergespeicherten Profilen
für die Migration von
Computern unter Windows
Vista und Windows 7.
Wählen Sie bei der
Kontenmigration
Servergespeicherte Profile
konvertieren auf der Seite
Benutzeroptionen im
Assistenten zum Migrieren von
Benutzerkonten aus.
Konvertieren Sie dann lokale
Benutzerprofile für ein Los von
Benutzern unmittelbar nach der
Migration dieser Benutzer.

Lokale Profile Benutzerprofile werden lokal auf Konvertieren Sie lokale Profile
der Arbeitsstation gespeichert. in einem anderen Schritt als
Wenn sich ein Benutzer an einer dem Migrationsvorgang von
anderen Arbeitsstation anmeldet, Benutzerkonten. Wählen Sie
wird ein eindeutiges lokales die Option Benutzerprofile auf
Benutzerprofil erstellt. der Seite Objekte
konvertieren des
Sicherheitskonvertierungs-
Assistenten aus. Konvertieren
Sie lokale Benutzerprofile für
ein Los von Benutzern
unmittelbar nach der Migration
dieser Benutzer.

Nicht verwaltete Profile Gleiche Vorgehensweise wie bei Benutzer verlieren ihre
lokalen Profilen. vorhandenen Profile, wenn ihre
Konten migriert werden.

Hardwareaktualisierung Benutzerstatusinformationen Führen Sie die Migration in


werden lokal auf der einem anderen Schritt als dem
Arbeitsstation gespeichert. Migrationsvorgang von
Benutzerkonten aus. Migrieren
Sie die Profile mithilfe eines

50
Typ Beschreibung Voraussetzungen für die
Migration

Tools, z. B. mit dem


Migrationsprogramm für den
Benutzerstatus (User State
Migration Tool, USMT), auf den
neuen Computer des
Benutzers.

Vorbereiten von servergespeicherten Profilen für die Migration


von Computern unter Windows Vista und Windows 7
Der Speicherort für ein servergespeichertes Profil wird für ein Domänenbenutzerkonto
konfiguriert und wie folgt angegeben:
\\host.name.fqdn\ProfileShare\<Profilname>
Normalerweise wird der <Profilname> durch den %Benutzernamen% ersetzt. Der tatsächliche
Speicherort für ein servergespeichertes Profil für den Benutzer „RoamUserX“ lautet:
\\host.name.fqdn\ProfileShare\RoamUserX
Der Ordner für das servergespeicherte Profil (in diesem Beispiel „RoamUserX“) wird bei der
erstmaligen Anmeldung von RoamUserX erstellt, und die Profildaten werden in diesem Ordner
gespeichert.
Unter Windows Vista erfolgte eine Änderung an den Profilen, durch die Profile nicht mit früheren
Windows-Versionen kompatibel sind. Zur Unterscheidung der neuen Profile wurde allen
servergespeicherten Profilen für Benutzer mit Computern, die unter Windows Vista und höher
ausgeführt werden, die Erweiterung „*.V2“ hinzugefügt.
Der Speicherort für ein servergespeichertes Profil für denselben Benutzer „RoamUserX“ für einen
Computer, der unter Windows Vista oder Windows 7 ausgeführt wird, lautet:
\\host.name.fqdn\ProfileShare\RoamUserX.V2
Diese Version kann neben einem servergespeicherten Profil für eine frühere Windows-Version
verwendet werden.
Die zwei unterschiedlichen Profilordnernamen werden nur von ADMT v3.2 unterschieden. Bei
früheren Versionen von ADMT wird nur nach dem Ordner mit dem Namen „<Profilname>“
gesucht. Es wird nicht gesucht, ob ein V2-Profil verfügbar ist. Daher ist bei älteren Versionen von
ADMT keine Migration von servergespeicherten Profilen für Computer möglich, auf denen
Windows Vista oder Windows 7 ausgeführt wird.
Für die Migration eines Ordners für ein servergespeichertes Profil mit ADMT v3.2 muss die
Standard-Zugriffssteuerungsliste (Access Control List, ACL) des Ordners geändert werden. Wenn
sich ein Benutzer anmeldet und der Ordner und die Inhalte für ein servergespeichertes Profil
erstellt werden, werden dem Ordner „<Profilname>“ oder „<Profilname>.V2“ die folgenden ACLs
zugeordnet:

51
• SYSTEM – Full Control
• Benutzername - Full Control
• Owner = Benutzername
Daher ist der Zugriff auf den Ordner „<Profilname>“ oder „<Profilname>.V2“ nur für den Besitzer
des Profils und für das lokale System, auf dem sich die Freigabe befindet, möglich. Wenn der
Ordner diesen Standardberechtigungen zugeordnet ist, kann von ADMT aufgrund der
Sicherheitskonvertierung nicht auf den Ordner zugegriffen werden.
Sie können jedoch eine Gruppenrichtlinieneinstellung für die Domäne aktivieren, um die
Ordnerberechtigungen zu konfigurieren und die Migration des servergespeicherten Profils durch
ADMT v3.2 zu ermöglichen. Unter Windows Server 2008 R2 lautet die Einstellung wie folgt:
Computerkonfiguration\Richtlinien\Administrative
Vorlagen\System\Benutzerprofile\Sicherheitsgruppe „Administratoren“ zu servergespeicherten
Profilen hinzufügen
Wenn diese Einstellung aktiviert und vor der ersten Anmeldung des Benutzers (vor der Erstellung
des servergespeicherten Profils) weitergegeben wurde, wird dem servergespeicherten
Profilverzeichnis eine Berechtigung hinzugefügt, mit der Mitgliedern der Administratorgruppe des
Freigabehosts (in diesem Beispiel „host.name.fqdn“) die vollständige Steuerung (Full Control)
ermöglicht wird.
Nach Aktivierung dieser Einstellung können Migrationen ausgeführt werden, sofern der Benutzer,
von dem ADMT v3.2 ausgeführt wird, zur Administratorengruppe für diese Freigabe gehört.
Der Benutzer, von dem ADMT ausgeführt wird, benötigt für servergespeicherte Profilordner die
vollständige Zugriffsberechtigung (Full Control). Führen Sie eine der folgenden Optionen aus, um
diese Berechtigung zu erhalten:
1.
2. Erstellen Sie ein Skript (z. B. mithilfe von Windows PowerShell), mit dem Folgendes
ausgeführt wird:
a. Ausführung als SYSTEM auf dem Freigabecomputer (in diesem Beispiel
„host.name.fqdn“)
b. Hinzufügen der Administratoren-Sicherheitsgruppe zum ACL-Satz der Profilordner –
Weitergabe an alle Unterordner und Dateien
c. Hinzufügen der Administratoren-Sicherheitsgruppe mit vollständiger Steuerung (Full
Control) zum ACL-Satz der Profilordner und Vererbung der Berechtigung an alle
Unterordner und Dateien
3. Erstellen Sie ein Skript (z. B. mithilfe von Windows PowerShell), mit dem Folgendes
ausgeführt wird:
a. Ausführung im Kontext der einzelnen servergespeicherten Benutzer (z. B. als
Anmeldeaufgabe).
b. Hinzufügen der Administratoren-Sicherheitsgruppe mit vollständiger Steuerung (Full
Control) zum ACL-Satz der Profilordner und Vererbung der Berechtigung an alle
Unterordner und Dateien

52
Erstellen eines
Endbenutzerkommunikationsplans
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Entwickeln Sie einen Plan, um alle betroffenen Benutzer über die bevorstehende Kontomigration
zu informieren und so sicherzustellen, dass sie ihre Zuständigkeiten kennen, die Auswirkungen
der Migration verstehen und wissen, an wen sie sich wegen Hilfe und Support wenden können.
Bevor Sie mit der Benutzermigration beginnen, senden Sie einen Hinweis an alle Benutzer, die
für die Migration vorgesehen sind. Da Benutzer normalerweise in Losen von ungefähr 100
Benutzern zugleich migriert werden, ist es außerdem sinnvoll, den Benutzern in jedem Los zwei
oder drei Tage vor der geplanten Umstellung ihres Loses eine letzte Benachrichtigung zu senden.
Wenn Ihre Organisation ein Intranet betreibt, veröffentlichen Sie den Zeitplan zur Kontomigration
und die in der Benutzer-E-Mail enthaltenen Informationen auf einer leicht zugänglichen Webseite.
Nehmen Sie die folgenden Informationen in Ihre Endbenutzerkommunikation auf.

Allgemeine Informationen
Machen Sie Benutzer auf die Tatsache aufmerksam, dass für ihre Benutzerkonten die Migration
zu einer neuen Domäne geplant ist. Verweisen Sie die Benutzer auf eine Webseite oder auf eine
interne Ressource, wo sie weitere Informationen finden und den Zeitplan für die Migration
einsehen können.
Teilen Sie den Benutzern den neuen Domänennamen mit. Achten Sie darauf, die Benutzer zu
informieren, dass sich ihre Kontokennwörter nicht ändern werden. Lassen Sie die Benutzer
wissen, dass das ursprüngliche Domänenkonto unmittelbar im Anschluss an die Migration
deaktiviert wird und dass das deaktivierte Konto nach einem festgelegten Zeitraum gelöscht wird.
Dies ist nicht erforderlich, wenn sich die Benutzer mit UPNs (User Principal Names) anmelden.

Auswirkungen
Vergewissern Sie sich, dass den Benutzern bewusst ist, dass sie nach der Migration ihres Kontos
möglicherweise auf einige Ressourcen, wie etwa Websites, freigegebene Ordner oder
Ressourcen, die von Personen in der Gruppe oder Abteilung nicht häufig verwendet werden,
nicht mehr zugreifen können.
Stellen Sie Informationen für Benutzer hinsichtlich der Personen bereit, die sie um Hilfe bitten
können, um den Zugriff auf erforderliche Ressourcen wieder zu erlangen.

Anmeldestatus während der Migration


Achten Sie darauf, dass den Benutzern bewusst ist, dass sie sich während des
Migrationsvorgangs nicht bei der Domäne anmelden oder auf E-Mail oder sonstige Ressourcen
zugreifen können. Achten Sie unbedingt darauf, den Zeitraum anzugeben, in dem keine
Benutzeranmeldung möglich ist.

53
Schritte vor der Migration
Machen Sie die Benutzer auf alle Schritte aufmerksam, die sie vor dem Beginn des
Migrationsvorgangs ausführen müssen. Beispielsweise müssen sie alle mithilfe von EFS
(Encrypting File System) verschlüsselten Dateien entschlüsseln. Das Versäumnis, die
verschlüsselten Dateien zu entschlüsseln, bewirkt den Verlust des Zugriffs auf die
verschlüsselten Dateien nach der Migration.
Die Benutzer müssen darüber hinaus sicherstellen, dass ihre Computer zum Zeitpunkt der
geplanten Kontenmigration mit dem Netzwerk verbunden sind.

Erwartete Änderungen
Beschreiben Sie weitere Änderungen, die den Benutzern im Anschluss an die Migration auffallen
werden, wie etwa Änderungen in der Verwendung von SmartCards, sicherer E-Mail oder Instant
Messaging, falls zutreffend.

Informationen zu Planung und Support


Stellen Sie Informationen zu weiteren Informationsquellen bereit. Beispielsweise können sie eine
interne Website besuchen, auf der Sie Informationen zur Migration bekanntmachen. Geben Sie
darüber hinaus Informationen zu Kontaktpersonen an, an die sich Benutzer bei Terminkonflikten
für das Datum der Migration wenden können.

Vorbereiten der Quell- und Zieldomänen


Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Bevor Sie mit der Migration von Konten aus der Quelldomäne in die Zieldomäne beginnen,
müssen Sie die Quell- und die Zieldomänen für die Migration vorbereiten. Die folgende Abbildung
verdeutlicht die Aufgaben, die zum Vorbereiten der Domänen für den Umstrukturierungsprozess
zwischen Domänen erforderlich sind.

54
Installieren von Software für starke
Verschlüsselung (128-Bit)
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Der Computer, auf dem das Active Directory-Migrationsprogramm (Active Directory Migration
Tool, ADMT) installiert ist, erfordert starke 128-Bit-Verschlüsselung. Diese Verschlüsselung ist auf
Computern mit Windows 2000 Server Service Pack 3 (SP3) oder Service Pack 4 (SP4),
Windows Server 2003, Windows Server 2008 oder Windows Server 2008 R2 der Standard.
Wenn Sie ADMT auf einem Computer installieren möchten, der starke 128-Bit-Verschlüsselung
standardmäßig nicht unterstützt, müssen Sie das Paket für starke 128-Bit-Verschlüsselung
installieren.
Sie können das Verschlüsselungspaket unter "Windows 2000 High Encryption Pack (128-Bit)"
(http://go.microsoft.com/fwlink/?LinkId=76037) herunterladen.

55
Einrichten von erforderlichen
Vertrauensstellungen für die Migration
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Vor der Migration von Konten und Ressourcen aus einer Quelldomäne in eine Zieldomäne in
einer anderen Active Directory-Gesamtstruktur müssen Sie sicherstellen, dass zwischen den
Gesamtstrukturen die entsprechenden Vertrauensstellungen bestehen. Vertrauensstellungen
zwischen den umzustrukturierenden Gesamtstrukturen ermöglichen dem Active Directory-
Migrationsprogramm (Active Directory Migration Tool, ADMT) die Migration von Benutzern und
Dienstkonten sowie die Konvertierung von lokalen Benutzerprofilen von den Quelldomänen zu
den Zieldomänen. Darüber hinaus können je nach der Weise, in der Vertrauensstellungen
konfiguriert wurden, Benutzer in der Quelldomäne auf Ressourcen in der Zieldomäne zugreifen.
Ferner können Benutzer in den Zieldomänen auf Ressourcen in der Quelldomäne, für die noch
keine Migration ausgeführt wurde, zugreifen.
Richten Sie zur Migration von Benutzern und globalen Gruppen eine unidirektionale
Vertrauensstellung zwischen der Quelldomäne und der Zieldomäne ein, damit die Quelldomäne
der Zieldomäne vertraut.
Zur Migration von Ressourcen oder Konvertierung von lokalen Profilen müssen Sie eine der
folgenden Aktivitäten ausführen:
• Erstellen einer unidirektionalen Vertrauensstellung zwischen der Quelldomäne und der
Zieldomäne.
• Erstellen einer bidirektionalen Vertrauensstellung zwischen Quell- und Zieldomänen.
Weitere Informationen zum Erstellen von Vertrauensstellungen finden Sie unter "Erstellen von
Vertrauensstellungen für Domänen und Gesamtstrukturen" (http://go.microsoft.com/fwlink/?
LinkId=77381) (englischsprachig).

Einrichten von Migrationskonten für die


Migration
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Zum Migrieren von Konten und Ressourcen zwischen Gesamtstrukturen müssen Sie
Migrationskonten einrichten und diesen Konten die entsprechenden Anmeldeinformationen
zuweisen. Das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT)
verwendet die Migrationskonten, um die von Ihnen identifizierten Objekte zu migrieren. Da für
ADMT nur ein eingeschränkter Satz Anmeldeinformationen erforderlich, ist das Erstellen
separater Migrationskonten zum Vereinfachen der Verwaltung sinnvoll. Wenn die
Migrationsaufgaben für Ihre Organisation über mehrere Gruppen verteilt sind, ist es sinnvoll, für
jede an der Durchführung der Migration beteiligte Gruppe ein Migrationskonto zu erstellen.

56
Erstellen Sie zum Vereinfachen der Verwaltung ein einzelnes Konto in der Quelldomäne und ein
einzelnes Konto in der Zieldomäne für alle Objekte mit den erforderlichen Anmeldeinformationen
zum Ändern der Objekte, wie etwa Benutzer, verwaltete Dienstkonten, globale Gruppen und
lokale Profile, die von diesem Konto migriert werden sollen. Beispielsweise verfügt ein
Migrationskonto, das Sie zum Migrieren von Benutzerkonten zusammen mit dem SID-Verlauf
(Security Identifier), von globalen Gruppen zusammen mit dem SID-Verlauf, von Computern und
von Benutzerprofilen verwenden, in der Quelldomäne über Anmeldeinformationen für einen
lokalen Administrator oder einen Domänenadministrator. Das Migrationskonto weist außerdem
delegierte Berechtigungen für die Benutzer-, verwalteten Dienstkonten-, Gruppen- und
Computerorganisationseinheiten (OUs) in der Zieldomäne auf, mit dem erweiterten Recht zum
Migrieren des SID-Verlaufs für die Benutzerorganisationseinheit. Bei dem Benutzer muss es sich
um einen lokalen Administrator auf dem Computer in der Zieldomäne, auf dem ADMT installiert
ist, handeln. Ein Migrationskonto, das zum Migrieren von Arbeitsstationen und
Domänencontrollern verwendet wird, muss auf den Arbeitsstationen über Anmeldeinformationen
für einen lokalen Administrator oder einen Administrator der Quelldomäne verfügen, oder das
Konto muss über die Anmeldeinformationen als Administrator der Quelldomäne auf dem
Domänencontroller verfügen, oder beides.
In der Zieldomäne muss ein Konto mit delegierten Berechtigungen für die
Computerorganisationseinheit und die Benutzerorganisationseinheit verwendet werden. Sie
können ggf. ein separates Konto für die Migration von Arbeitsstationen verwenden, wenn dieser
Migrationsvorgang an Administratoren delegiert wird, die sich am gleichen Standort wie die
Arbeitsstationen befinden.
In der folgenden Tabelle sind die Anmeldeinformationen aufgelistet, die in der Quell- und
Zieldomäne für verschiedene Migrationsobjekte erforderlich sind.

Migrationsobjekt In der Quelldomäne erforderliche In der Zieldomäne erforderliche


Anmeldeinformationen Anmeldeinformationen

Benutzer/Verwaltetes Delegierte Berechtigung Liest Delegierte Berechtigungen Erstellt,


Dienstkonto/Gruppe ohne alle Benutzerinformationen entfernt und verwaltet
SID-Verlauf für die Benutzerkonten, Erstellt, entfernt
Benutzerorganisationseinheit und verwaltet Gruppen und
oder Ändert die Mitgliedschaft einer
Gruppenorganisationseinheit Gruppe für die
und Anmeldeinformationen als Benutzerorganisationseinheit oder
Domänenadministrator die Gruppenorganisationseinheit
sowie lokaler Administrator auf dem
Computer, auf dem ADMT installiert
ist.

Benutzer/Verwaltetes Delegierte Berechtigung Liest Delegierte Berechtigung für die


Dienstkonto/Gruppe mit alle Benutzerinformationen Benutzerorganisationseinheit oder
SID-Verlauf für die die Gruppenorganisationseinheit,
Benutzerorganisationseinheit erweiterte Berechtigung zum
oder Migrieren des SID-Verlaufs und
57
Migrationsobjekt In der Quelldomäne erforderliche In der Zieldomäne erforderliche
Anmeldeinformationen Anmeldeinformationen

Gruppenorganisationseinheit lokaler Administrator auf dem


und Anmeldeinformationen als Computer, auf dem ADMT installiert
Domänenadministrator ist

Computer Domänenadministrator oder Delegierte Berechtigung für die


Administrator in der Computerorganisationseinheit und
Quelldomäne und auf jedem lokaler Administrator auf dem
Computer Computer, auf dem ADMT installiert
ist.

Hinweis
Wenn auf dem Computer
ein verwaltetes Dienstkonto
installiert ist, müssen Sie
Anmeldeinformationen
angeben, die die
Berechtigung zum
Aktualisieren der
Sicherheitsbeschreibung
des verwalteten
Dienstkontos in der
Zieldomäne besitzen.

Profil Lokaler Administrator oder Delegierte Berechtigung für die


Domänenadministrator Benutzerorganisationseinheit und
lokaler Administrator auf dem
Computer, auf dem ADMT installiert
ist.

Hinweis
Möglicherweise müssen
zusätzliche
Vorbereitungsschritte
ausgeführt werden, wenn
Sie servergespeicherte
Profile für Computer mit
Windows Vista oder
Windows 7 migrieren
möchten. Weitere
Informationen finden Sie
unter Vorbereiten von
servergespeicherten
Profilen für die Migration

58
Migrationsobjekt In der Quelldomäne erforderliche In der Zieldomäne erforderliche
Anmeldeinformationen Anmeldeinformationen

von Computern unter


Windows Vista und
Windows 7.

Die folgenden Vorgehensweisen stellen Beispiele für das Erstellen von Gruppen oder Konten
zum Migrieren von Konten und Ressourcen dar. Die Vorgehensweisen unterscheiden sich, je
nachdem, ob eine unidirektionale Vertrauensstellung oder eine bidirektionale Vertrauensstellung
besteht. Das Verfahren zum Erstellen von Migrationsgruppen für eine unidirektionale
Vertrauensstellung ist komplexer als das Verfahren für eine bestehende bidirektionale
Vertrauensstellung. Dies hat den Grund, dass bei einer unidirektionalen Vertrauensstellung die
Migrationsgruppe der lokalen Administratorgruppe auf lokalen Arbeitsstationen hinzugefügt
werden muss.
Das Beispielverfarhen zum Erstellen von Migrationsgruppen bei bestehender unidirektionaler
Vertrauensstellung umfasst das Erstellen separater Gruppen für das Migrieren von Konten und
Ressourcen. Jedoch können acct_migrators und res_migrators in einer Gruppe
zusammengefasst werden, wenn Sie sie nicht zur Delegierung verschiedener
Berechtigungssätze getrennt halten müssen.

So erstellen Sie eine Kontenmigrationsgruppe bei einer bestehenden unidirektionalen


Vertrauensstellung, in der die Quelldomäne der Zieldomäne vertraut

1. Erstellen Sie in der Zieldomäne eine globale Gruppe mit dem Namen acct_migrators.
2. Fügen Sie in der Zieldomäne die Gruppe acct_migrators der Gruppe
Domänenadministratoren hinzu, oder delegieren Sie die Verwaltung der
Organisationseinheiten, die Ziele der Kontenmigration darstellen, an diese Gruppe.
3. Wenn Sie den SID-Verlauf migrieren und die Gruppe acct_migrators nicht in die
Gruppe Domänenadministratoren eingefügt haben, erteilten Sie der Gruppe
acct_migrators die erweiterte Berechtigung SID-Verlauf migrieren für das
Zieldomänenobjekt. Führen Sie dazu die folgenden Schritte aus:
a. Starten Sie Active Directory-Benutzer und -Computer, klicken Sie mit der
rechten Maustaste auf das Domänenobjekt, und klicken Sie dann auf
Eigenschaften.
b. Klicken Sie auf die Registerkarte Sicherheit, klicken Sie auf Hinzufügen, und
wählen Sie dann acct_migrators aus.
Wenn die Registerkarte Sicherheit nicht angezeigt wird, klicken Sie in
Active Directory-Benutzer und -Computer auf Ansicht und dann auf Erweiterte
Funktionen.
c. Klicken Sie unter Berechtigungen für acct_migrators für die Berechtigung SID-
Verlauf migrieren auf Zulassen.
4. Fügen Sie in der Quelldomäne die Gruppe acct_migrators der Gruppe

59
"VORDEFINIERT\Administratoren" hinzu.
5. Fügen Sie auf jedem Computer, auf dem Sie lokale Profile konvertieren möchten, die
Gruppe acct_migrators der lokalen Administratorgruppe hinzu.

So erstellen Sie eine Ressourcenmigrationsgruppe bei einer bestehenden


unidirektionalen Vertrauensstellung, in der die Quelldomäne der
Zieldomäne vertraut

1. Erstellen Sie in der Zieldomäne eine globale Gruppe mit dem Namen res_migrators.
2. Fügen Sie in der Zieldomäne die Gruppe res_migrators der Gruppe
Domänenadministratoren hinzu, oder delegieren Sie die Verwaltung der
Organisationseinheiten, die Ziele der Ressourcenmigration darstellen, an diese Gruppe.
3. Fügen Sie in der Quelldomäne die Gruppe res_migrators der Administratorgruppe
hinzu.
4. Fügen Sie auf jedem Computer, den Sie migrieren oder auf dem Sie eine
Sicherheitskonvertierung durchführen möchten, die Gruppe res_migrators der lokalen
Administratorgruppe hinzu.

So erstellen Sie ein Ressourcenmigrationskonto bei bestehender bidirektionaler


Vertrauensstellung zwischen der Quell- und der Zieldomäne

1. Erstellen Sie in der Quelldomäne ein Konto mit dem Namen res_migrator.
2. Fügen Sie in der Quelldomäne das Konto res_migrators der Gruppe
Domänenadministratoren hinzu. (Die Gruppe Domänenadministratoren ist
standardmäßig auf jedem Computer in der Domäne Mitglied der lokalen
Administratorgruppe. Daher brauchen Sie es der lokalen Administratorgruppe auf jedem
Computer nicht hinzuzufügen.)
3. Delegieren Sie in der Zieldomäne Berechtigungen für Organisationseinheiten, die
Ziele für die Ressourcenmigration darstellen, an das Konto res_migrator.

ADMT enthält außerdem Datenbankverwaltungsrollen, mit denen Sie Benutzern, die bestimmte
Migrationstasks ausführen, eine Untermenge von Datenbankberechtigungen zuweisen können.
Die Datenbankverwaltungsrollen und die Migrationstasks, die sie ausführen können, werden in
der folgenden Tabelle aufgelistet.

Rolle Migrationstask

Kontenmigratoren Kontenmigrationstasks, z. B. Benutzer- und


Gruppenmigration.

Ressourcenmigratoren Ressourcenmigrationstasks, wie etwa


Computermigration und
Sicherheitskonvertierung. Kontenmigratoren
üben auch die Rolle von Ressourcenmigratoren
aus.

60
Rolle Migrationstask

Datenleser Fragt die betreffende Datenbank ab.


Kontenmigratoren und Ressourcenmigratoren
üben auch die Rolle von Datenlesern aus.

Benutzer, denen die Rolle SQL Server-Systemadministrator zugewiesen wurde, üben alle
ADMT-Datenbankverwaltungsrollen aus. Sie verfügen über die Anmeldeinformationen für die
folgenden Aktivitäten:
• Anzeigen von Datenbankrollen und Benutzern, die diese Rollen ausüben
• Hinzufügen von Gruppen oder Benutzern zu Rollen
• Entfernen von Gruppen oder Benutzern aus Rollen
Standardmäßig ist der lokalen Administratorgruppe die Rolle des Systemadministrators
zugewiesen, und sie kann daher alle ADMT-Datenbankfunktionen ausführen.

Konfigurieren der Quell- und Zieldomänen


für die Migration des SID-Verlaufs
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Sie können die Quell- und die Zieldomäne manuell konfigurieren, um den SID-Verlauf (Security
Identifier) zu migrieren, bevor Sie eine Migration zwischen Gesamtstrukturen einleiten, oder sie
können dem Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) die
automatische Konfiguration bei der ersten Ausführung erlauben.
Führen Sie die folgenden Aktivitäten aus, um die Quell- und Zieldomäne manuell zu
konfigurieren:
• Erstellen Sie eine lokale Gruppe in der Quelldomäne zur Unterstützung der
Überwachung.
• Aktivieren Sie die TCP/IP-Clientunterstützung auf dem primären
Domänencontrolleremulator (PDC) der Quelldomäne.

Hinweis

Wenn Sie eine Migration aus einer Domäne mit Domänencontrollern, auf denen
Windows Server 2003 oder höher ausgeführt wird, zu einer anderen Domäne
ausführen, auf deren Domänencontrollern Windows Server 2003 oder höher
ausgeführt wird, muss der TcpipClientSupport-Registrierungsschlüssel nicht
geändert werden.
• Aktivieren Sie die Überwachung der Kontenverwaltung in den Quell- und Zieldomänen.
Bei Windows Server 2008 R2 und Windows Server 2008 müssen Sie außerdem auch die
Überwachung für den Verzeichnisdienstzugriff aktivieren, um Benutzer mit SID-Verlauf
zwischen Gesamtstrukturen zu migrieren.

61
So erstellen Sie eine lokale Gruppe in der Quelldomäne zur Unterstützung der
Überwachung

• Erstellen Sie in der Quelldomäne eine lokale Gruppe mit dem Namen Quelldomäne$
$$, wobei Quelldomäne der NetBIOS-Name Ihrer Quelldomäne ist, z. B. Boston$$$.
Fügen Sie dieser Gruppe keine Mitglieder hinzu. Andernfalls tritt ein Fehler bei der
Migration des SID-Verlaufs auf.

So aktivieren Sie die TCP/IP-Clientunterstützung auf dem PDC-Emulator der


Quelldomäne

1. Klicken Sie auf dem Domänencontroller in der Quelldomäne, die die PDC-Emulator-
Betriebsmasterrolle (auch als FSMO-Rolle (Flexible Single Master Operations)
bezeichnet) enthält, auf Start und dann auf Ausführen.
2. Geben Sie regedit in das Feld Öffnen ein, und klicken Sie dann auf OK.

Vorsicht
Durch eine fehlerhafte Bearbeitung der Registrierung können ernsthafte
Computerschäden verursacht werden. Bevor Sie Änderungen an der
Registrierung vornehmen, sollten Sie alle wichtigen Computerdaten sichern. Sie
können auch die Startoption Letzte als funktionierend bekannte
Konfiguration verwenden, wenn nach Änderungen Probleme auftreten.
3. Navigieren Sie im Registrierungs-Editor zu folgendem Registrierungsunterschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
4. Ändern Sie den Registrierungseintrag TcpipClientSupport vom Datentyp
REG_DWORD, indem Sie den Wert auf 1 festlegen.
5. Schließen Sie den Registrierungs-Editor, und starten Sie dann den Computer neu.

So aktivieren Sie die Überwachung in Windows Server 2008 R2- und


Windows Server 2008-Domänen

1. Melden Sie sich als Administrator bei einem beliebigen Domänencontroller in der
Zieldomäne an.
2. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und
klicken Sie dann auf Gruppenrichtlinienverwaltung.
3. Navigieren Sie zu dem folgenden Knoten:
Gesamtstruktur | Domänen | Domäne | Domänencontroller | Standard-
Domänencontrollerrichtlinie
4. Klicken Sie mit der rechten Maustaste auf Standard-Domänencontrollerrichtlinie,
und klicken Sie dann auf Bearbeiten.
5. Navigieren Sie im Gruppenrichtlinienverwaltungs-Editor in der Konsolenstruktur zu
dem folgenden Knoten:
Computerkonfiguration | Richtlinien | Windows-Einstellungen | Sicherheitseinstellungen |

62
Lokale Richtlinien | Überwachungsrichtlinie
6. Klicken Sie im Detailbereich mit der rechten Maustaste auf Kontenverwaltung
überwachen, und klicken Sie dann auf Eigenschaften.
7. Klicken Sie auf Diese Richtlinieneinstellungen definieren, und klicken Sie dann
auf Erfolg und Fehler.
8. Klicken Sie auf Übernehmen, und klicken Sie dann auf OK.
9. Klicken Sie im Detailbereich mit der rechten Maustaste auf Verzeichnisdienstzugriff
überwachen, und klicken Sie dann auf Eigenschaften.
10. Klicken Sie auf Diese Richtlinieneinstellungen definieren, und klicken Sie dann
auf Erfolg.
11. Klicken Sie auf Übernehmen, und klicken Sie dann auf OK.
12. Wenn die Änderungen sofort auf dem Domänencontroller wirksam werden sollen,
öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und geben Sie gpupdate
/force ein.
13. Wiederholen Sie die Schritte 1 bis 12 in der Quelldomäne.

Konfigurieren der
Organisationseinheitsstruktur der
Zieldomäne für die Verwaltung
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Das Active Directory-Entwurfsteam erstellt die Organisationseinheitsstruktur (Organizational Unit,
Organisationseinheit) für die Zieldomäne. Dieses Team definiert darüber hinaus die Gruppen, die
für die Verwaltung der einzelnen Organisationseinheiten und der Mitgliedschaft in den Gruppen
zuständig sind. Sie können diese Informationen und die folgende Vorgehensweise verwenden,
um die Zieldomäne für die Verwaltung zu konfigurieren.

So konfigurieren Sie die Organisationseinheitsstruktur der Zieldomäne für die


Verwaltung

1. Melden Sie sich als Administrator bei einem beliebigen Domänencontroller in der
Zieldomäne an.
2. Starten Sie Active Directory-Benutzer und -Computer, und erstellen Sie dann die
von Ihrem Entwurfsteam festgelegte Organisationseinheitsstruktur.
3. Erstellen Sie administrative Gruppen, und weisen Sie diesen Gruppen Benutzer zu.
4. Delegieren Sie die Verwaltung der Organisationseinheitsstruktur wie von Ihrem
Entwurfsteam festgelegt an die Gruppen.

63
Installieren von ADMT in der Zieldomäne
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Verwenden Sie je nach der Version, die Sie installieren möchten, eine der folgenden Anleitungen
für die Installation des Active Directory-Migrationsprogramms (Active Directory Migration Tool,
ADMT): ADMT Version 3.1 bietet eine Option zum Installieren einer vorkonfigurierten
Datenbankinstanz von Microsoft SQL Server® Express an. Bei ADMT Version 3.2 muss eine
bereits installierte SQL Server-Datenbankinstanz vorhanden sein. Die übrigen Anleitungen zum
Trennen, Neukonfigurieren und Entfernen einer Datenbankdatei gelten für beide ADMT-
Versionen.
• Installieren von ADMT v3.1
• Installieren von ADMT v3.2
• Trennen einer vorhandenen Datenbankdatei von einer vorherigen Version von ADMT und
SQL Server
• Neukonfiguration einer Datenbankinstallation mit "Admtdb.exe"
• Erneutes Verwenden einer ADMT-Datenbank aus einer vorherigen Installation

Installieren von ADMT v3.1


Dieser Abschnitt behandelt die folgenden Probleme beim Installieren von ADMT v3.1
• Voraussetzungen für die Installation von ADMT v3.1
• Installieren von ADMT v3.1 mithilfe des Standarddatenbankspeichers

Voraussetzungen für die Installation von ADMT v3.1


Wenn Sie das Active Directory-Migrationsprogramm Version 3.1 (Active Directory Migration Tool,
ADMT v3.1) installieren, wird außerdem SQL Server 2005 Express Edition standardmäßig als
Datenspeicher installiert. Als Option können Sie ADMT v3.1 für die Verwendung einer Datenbank
aus SQL Server 2000 mit Service Pack 4 (SP4) Standard oder Enterprise Edition bzw. einer
SQL Server 2005 Standard- oder Enterprise Edition-Installation konfigurieren, die Sie zuvor
erstellt haben.
Bevor Sie ADMT v3.1 installieren, führen Sie die folgenden erforderlichen Tasks aus:
• Installieren Sie Windows Server 2008.
• Entfernen Sie alle früheren Versionen von ADMT mithilfe der Option Software in der
Systemsteuerung. Wenn Sie versuchen, ADMT v3.1 auf einem Server zu installieren, auf
dem eine frühere Version von ADMT installiert ist, wird eine Fehlermeldung angezeigt, und
die Installation wird nicht fortgesetzt. Wenn erforderlich, können Sie die Datenbank während
der Installation aus der vorherigen Version von ADMT (z. B. aus ADMT v2.0 oder ADMT v3.0)
in ADMT v3.1 importieren.
• Wenn Sie nicht planen, die lokale Standarddatenbankinstallation zu verwenden, stellen
Sie sicher, dass eine andere SQL Server 2000- oder SQL Server 2005-Datenbankinstallation

64
mit einer ADMT-Instanz konfiguriert ist. Weitere Informationen zum Erstellen einer ADMT-
Instanz für eine a SQL Server-Datenbank finden Sie unter Installieren von ADMT mithilfe
einer vorkonfigurierten SQL-Datenbank.

Installieren von ADMT v3.1 mithilfe des


Standarddatenbankspeichers
Sie können den Standarddatenbankspeicher basierend auf SQL Server 2005 Express Edition
oder eine vorkonfigurierte SQL-Datenbank zum Installieren von ADMT verwenden. Die gängigste
und empfohlene Installationsmethode besteht in der Verwendung des
Standarddatenbankspeichers, den der Installations-Assistent des Active Directory-
Migrationsprogramms automatisch konfiguriert.

So installieren Sie ADMT mithilfe des Standarddatenbankspeichers

• Laden Sie je nach vorhandener Umgebung ADMT v3.1


(http://go.microsoft.com/fwlink/?LinkId=121732) oder ADMT v3.2
(http://go.microsoft.com/fwlink/?LinkId=186197) herunter. Weitere Informationen dazu,
welche Version von ADMT Sie verwenden können, finden Sie unter Versionen vom Active
Directory-Migrationsprogramm und unterstützte Umgebungen. Doppelklicken Sie auf der
Downloadwebsite auf admtsetup.exe. Der Installations-Assistent wird geöffnet.

65
Seite des Assistenten Vorgang

Willkommen Klicken Sie auf Weiter.

Komponenten werden konfiguriert Die ADMT-Datenbankinstanz


(MS_ADMT) wird auf dem lokalen
Computer erstellt.
Zwar wird SQL Server 2005 Express
Edition unabhängig davon, ob ADMT
diese Anwendung verwendet,
standardmäßig lokal installiert, ADMT
deaktiviert SQL Server 2005 Express
Edition jedoch, wenn Sie eine andere
Datenbankinstanz auf der nächsten Seite
des Assistenten angeben.

Datenbankauswahl Geben Sie die Datenbankinstanz an, mit


der Sie eine Verbindung herstellen
möchten. Die empfohlene Auswahl ist
Lokale SQL Server 2005 Express
Edition verwenden. Dann wird
ADMT v3.1 so konfiguriert, dass die lokal
installierte Datenbankinstanz verwendet
wird.
Wenn Sie mehrere ADMT v3.1-Konsolen
verwenden oder einen dedizierten
Datenbankserver einsetzen, auf dem Sie
die ADMT-Datenbank zentralisieren
möchten, wählen Sie die Option
Vorhandenen Microsoft SQL Server
verwenden aus. Geben Sie den Server
im Format Server\Instanz an.
Sie sollten die SQL Server-
Datenbankinstanz konfigurieren, bevor
Sie diese Option auswählen. Die
ADMT v3.1-Installation wird zwar
fortgesetzt, wenn keine Verbindung mit
der Datenbank hergestellt werden kann,
Sie können ADMT jedoch erst zum
Migrieren von Konten oder Ressourcen
verwenden, nachdem die
Datenbankinstanz erstellt wurde und
verfügbar ist.

66
Seite des Assistenten Vorgang

Datenbankimport des Active Directory- Sie können eine ADMT v3.0-Installation


Migrationsprogramms v3 nicht auf ADMT v3.1 aktualisieren, Sie
können jedoch Daten aus einer
ADMT v3.0-Datenbank in eine
ADMT v3.1-Datenbank importieren.
Wenn Sie keine Daten aus einer
ADMT v3.0-Datenbank importieren
möchten, wählen Sie Nein, keine Daten
aus einer vorhandenen Datenbank
importieren (Standard) aus.
Wenn Sie Daten aus ADMT v3.0 in die
neue ADMT v3.1-Datenbank importieren
möchten, wählen Sie Ja, Daten aus
einer ADMT v3.0-Datenbank
importieren aus.
Wenn Sie Daten importieren möchten,
geben Sie den Pfad zur ADMT v3.0-
Datenbankdatei an.

67
Seite des Assistenten Vorgang

Datenbankimport des Active Directory- Sie können eine ADMT v2.0-Installation


Migrationsprogramms v2 nicht auf ADMT v3.1 aktualisieren, Sie
können jedoch Daten aus einer
ADMT v2.0-Datenbank in eine
ADMT v3.0-Datenbank importieren.
Wenn Sie keine Daten aus einer
ADMT v2.0-Datenbank importieren
möchten, wählen Sie Nein, keine Daten
aus einer ADMT v2-Datenbank
importieren aus.
Wenn Sie Daten aus ADMT v2.0 in die
neue ADMT v3.1-Datenbank importieren
möchten, wählen Sie Ja, Daten aus
einer ADMT v2.0-Datenbank
importieren aus.
Wenn Sie Daten importieren möchten,
geben Sie den Pfad zur ADMT v2.0-
Datenbankdatei an.
Die ADMT v2.0-Datenbank besitzt den
Dateinamen protar.mdb und sollte in
dem Verzeichnis gespeichert sein, das
zuvor für die ADMT v2.0-Installation
verwendet wurde.

Zusammenfassung Diese Seite fasst die von Ihnen


ausgewählten Optionen zusammen.
Klicken Sie auf Fertig stellen, um die
ADMT v3.1-Installation abzuschließen.

Installieren von ADMT v3.2


Für ADMT v3.2 ist eine vorkonfigurierte Instanz von SQL Server als zugrunde liegender
Standarddatenspeicher erforderlich. Verwenden Sie hierzu SQL Server Express. Wenn Sie eine
der folgenden Versionen von SQL Server Express verwenden, ergeben sich aus der Installation
von ADMT zwingend die folgenden Service Pack-Anforderungen:
SQL Server 2005 Express muss mit Service Pack 3 (SP3) oder später installiert werden.
SQL Server 2008 Express muss mit Service Pack 1 (SP1) oder später installiert werden.

68
Hinweis

Wenn Sie SQL Server Express verwenden, muss die ADMT-Konsole lokal auf dem
Server, auf dem die SQL Server Express-Datenbankinstanz gehostet wird, installiert
und ausgeführt werden.
Als Option können Sie Vollversionen von SQL Server 2005 bzw. SQL Server 2008 verwenden. In
diesem Fall können Sie die ADMT-Konsole auf einem Remotecomputer installieren und
ausführen sowie mehrere ADMT-Konsolen auf verschiedenen Remotecomputern ausführen.
Wenn Sie eine Vollversion von SQL Server verwenden, ergeben sich aus der Installation von
ADMT keine zwingenden Service Pack-Anforderungen.
Im Rest dieses Abschnitts werden die folgenden Installationsprobleme behandelt:
• Voraussetzungen für die Installation von ADMT v3.2
• Installieren von ADMT v3.2

Voraussetzungen für die Installation von ADMT v3.2


Bevor Sie ADMT v3.2 installieren, führen Sie die folgenden erforderlichen Aufgaben aus:
• Verwenden Sie Software in der Systemsteuerung, um alle Versionen von ADMT zu
entfernen, die älter als ADMT v3.2 sind.
Obgleich ADMT v3.2 ein Upgrade von einer früheren Version von ADMT nicht unterstützt,
können Sie eine vorhandene Datenbank aus einer vorherigen ADMT-Installation
wiederverwenden, vorausgesetzt, es handelt sich nicht um eine Datenbank aus ADMT
Version 2 (v2) oder ADMT Version 1 (v1). Weitere Informationen finden Sie unter Erneutes
Verwenden einer ADMT-Datenbank aus einer vorherigen Installation.
• Installieren oder aktualisieren Sie nach Bedarf einen Servercomputer (vorzugsweise
einen Mitgliedsserver) in der Quell- oder Zieldomänenumgebung, um Windows
Server 2008 R2 auszuführen.
Sie können ADMT v3.2 zwar zum Migrieren von Konten und Ressourcen aus
Active Directory-Umgebungen mit einer Domänenfunktionsebene von Windows Server 2003
oder später verwenden, ADMT v3.2 kann aber nur auf einem Server mit Windows
Server 2008 R2 installiert werden.
Der Servercomputer, den Sie zum Installieren von ADMT v3.2 verwenden, muss nicht nur
Windows Server 2008 R2 ausführen, sondern darf auch nicht unter der Server Core-
Installationsoption installiert sein oder als schreibgeschützter Domänencontroller (Read-Only
Domain Controller, RODC) ausgeführt werden.
• Konfigurieren Sie eine SQL Server-Datenbankinstallation mit einer ADMT-Instanz. Sie
können SQL Server Express entweder herunterladen und lokal installieren oder eine
Datenbankinstanz für ADMT aus einer vorhandenen SQL Server-Datenbank erstellen.
Weitere Informationen zum Installieren von SQL Server Express finden Sie unter Installieren
von ADMT v3.2. Weitere Informationen zum erstellen einer ADMT-Instanz aus einer
SQL Server-Datenbank finden Sie unter Installieren von ADMT durch Neukonfiguration
einer Datenbankinstallation mit "Admtdb.exe".

69
Installieren von ADMT v3.2
Laden Sie SQL Server 2005 Express (http://go.microsoft.com/fwlink/?LinkId=181159) herunter,
oder erstellen Sie eine neue Datenbankinstanz auf einer vorhandenen SQL Server-Installation,
die mit ADMT v3.2 verwendet werden soll. Wählen Sie während der SQL Server-Installation
Windows-Authentifizierungsmodus. Verwenden Sie im Anschluss an die Installation von
SQL Server das folgende Verfahren, um ADMT v3.2 zu installieren.
Die Mitgliedschaft in der Gruppe Administratoren (oder eine äquivalente Berechtigung) ist
mindestens erforderlich, um dieses Verfahren auszuführen. Weitere Informationen zum
Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und
Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477).

So installieren Sie ADMT v3.2

1. Doppelklicken Sie im ADMT-Downloadpaket auf admtsetup32.exe.


2. Stellen Sie auf der Seite Willkommen sicher, dass die Empfehlungen erfüllt sind,
und klicken Sie dann auf Weiter.
3. Klicken Sie auf der Seite Lizenzvertrag auf Ich stimme zu und dann auf Weiter.
4. Geben Sie auf der Seite Datenbankauswahl die Server\Instanz ein.
Der Servername muss auch für lokale Datenbankinstanzen eingegeben werden. Sie
können einen Punkt (".") eingeben, um den lokalen Server zu kennzeichnen. Die
SQL Server Express-Instanz wird standardmäßig SQLEXPRESS genannt.
Wenn Sie also eine standardmäßige SQL Server Express-Instanz auf dem lokalen
Server verwenden möchten, geben Sie .\SQLEXPRESS ein.
5. Wenn Sie eine SQL Express-Installation gewählt haben, aber keine Datenbankdatei
ADMT.mdf am Standard-Datenspeicherort %windir%\ADMT\Data vorhanden ist, wird
die Seite Datenbankimport angezeigt. Andernfalls wird diese Datenbankdatei von
ADMT-Setup automatisch angefügt und die Seite Zusammenfassung angezeigt.
Wenn Sie keine Daten importieren müssen, klicken Sie auf der Seite Datenbankimport
auf Nein, keine Daten aus einer vorhandenen Datenbank importieren (Standard).
Wenn Sie Daten aus einer vorherigen ADMT-Installation importieren müssen, klicken Sie
auf Ja, Daten aus einer vorhandenen ADMT v3.0- oder ADMT v3.1-Datenbank
importieren und dann auf Durchsuchen, um zum Speicherort der vorhandenen
Datenbankdatei zu navigieren.
Bevor die Daten aus einer vorhandenen Datenbank importiert werden können, müssen
Sie die Datenbankdatei mithilfe von SQL Server-Befehlen von SQL Server trennen.
Weitere Informationen finden Sie unter Trennen einer vorhandenen Datenbankdatei
von einer vorherigen Version von ADMT und SQL Server.
Klicken Sie nach Fertigstellung des Vorgangs auf Weiter.
6. Prüfen Sie auf der Seite Zusammenfassung die Ergebnisse der Installation, und
klicken Sie auf Fertig stellen.

70
Trennen einer vorhandenen Datenbankdatei von
einer vorherigen Version von ADMT und SQL
Server
Wenn Sie SQL Server Express verwenden, wird die Datenbank automatisch beim Entfernen von
ADMT getrennt. Die getrennte SQL Server Express-Datenbank kann als Teil einer anderen
ADMT-Installation zu einem späteren Zeitpunkt wiederverwendet werden. In diesem Fall wird
ADMT automatisch an die vorhandene, bei der Installation angegebene Datenbank angefügt.
Sie können die ADMT-Datenbankdatei von einer vollständigen SQL Server-Instanz trennen, wenn
Sie dieser Datenbank eine andere Anwendung anfügen möchten. Wenn Sie beispielsweise eine
vollständige SQL Server-Installation nach SQL Server Express verschieben möchten oder wenn
Sie eine ADMT-Datenbank aus einer früheren Installation verwenden möchten, die Sie den
SQL Server-Verwaltungstools anfügen möchten, muss diese von der Datenbank getrennt sein,
bevor Sie von ADMT verwendet werden kann.
Zum Trennen einer Datenbank können Sie folgende gespeicherte SQL-Prozedur verwenden:
sp_detach_db [ @dbname = ] 'dbname'

Weitere Informationen zu dieser gespeicherten Prozedur finden Sie in der Dokumentation von
SQL Server. Weitere Informationen zum Verwenden von SQL Server Management Studio zum
Trennen der Datenbank finden Sie unter Vorgehensweise: Trennen einer Datenbank (SQL Server
Management Studio) (http://go.microsoft.com/fwlink/?LinkId=183994).

Neukonfiguration einer Datenbankinstallation mit


"Admtdb.exe"
Wenn Sie während der Installation Probleme mit der Datenbankkonfiguration haben, oder wenn
während der ADMT v3.2-Installation SQL Server Express angegeben wurde, Sie aber nach der
Installation zu SQL Server (oder umgekehrt) wechseln möchten, können Sie Admtdb.exe
verwenden. Die Befehlszeilensyntax für Admtdb.exe finden Sie in der folgenden Tabelle.
Sie können Admtdb.exe von einer Eingabeaufforderung mit erhöhten Rechten auf jedem Server
ausführen, der eine Verbindung mit dem Servercomputer mit SQL Server herstellen kann, um die
ADMT-Instanz auf diesem Servercomputer zu erstellen.

Syntax Beschreibung

admtdb create /{s|server}: "Server\Instanz" Installiert eine neue ADMT-Datenbank oder


bereitet eine leere Datenbank vor.
Der Parameter /server gibt den Namen des
Computers mit SQL Server und der Instanz an,
mit dem bzw. der eine Verbindung hergestellt
werden soll, um die Datenbank zu erstellen.
Dieser Parameter ist erforderlich.

71
Syntax Beschreibung

admtdb upgrade /s|server: Server\Instanz Aktualisiert eine vorherige Version einer


ADMT v3.0- oder ADMT v3.1-Datenbank.
Der erforderliche Parameter /server gibt den
Namen des Computers mit SQL Server und der
Instanz an, mit dem bzw. der eine Verbindung
hergestellt werden soll, um die ADMT v3.0-
oder ADMT v3.1-Datenbank zu aktualisieren.

Hinweis
Bevor Sie die ADMT-Datenbank
aktualisieren, überprüfen Sie die
Kompatibilität zwischen der Datenbank
und der ADMT-Konsole, indem Sie
zuerst die ADMT-Konsole öffnen.

admtdb attach [/{a|attach}: "v3x- Fügt eine vorhandene ADMT-Datenbank an die


Datenbankpfad" lokale SQL Express 2005- oder
SQL Server Express 2008-Instanz an.
Der erforderliche Parameter /attach gibt den
Pfad zu einer getrennten Datenbankdatei
Admt.mdf an.

Geben Sie an der Eingabeaufforderung admtdb /? ein, um die Hilfe zu allen


Befehlszeilenoptionen von Admtdb.exe anzuzeigen.
Wenn Sie die Migration unter Verwendung einer lokalen SQL Server Express-Datenbank
begonnen und dann eine Remoteinstanz einer SQL Server-Datenbank konfiguriert haben, nun
aber zur Verwendung einer lokalen SQL Server Express-Datenbank zurückwechseln müssen,
führen Sie folgendes Verfahren aus. In diesem Fall ist die ADMT-Datenbank bereits der
SQL Express-Instanz angefügt. Deshalb muss sie nicht explizit erneut angefügt werden.
Wenn Sie die Migration unter Verwendung von SQL Server begonnen haben, aber zu
SQL Server Express zurückwechseln möchten, finden Sie Informationen unter Erneutes
Verwenden einer ADMT-Datenbank aus einer vorherigen Installation.
Die Mitgliedschaft in der Gruppe Administratoren (oder eine äquivalente Berechtigung) ist
mindestens erforderlich, um dieses Verfahren auszuführen. Weitere Informationen zum
Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und
Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477).

So verwenden Sie eine lokale Datenbank erneut, nachdem Sie eine Remoteinstanz einer
SQL Server-Datenbank konfiguriert haben

1. Klicken Sie auf dem lokalen Computer auf Start, zeigen Sie auf Verwaltung, und
klicken Sie dann auf Dienste.

72
2. Vergewissern Sie sich im Bereich Details, dass der Dienst, von dem die SQL Server
Express-Instanz gehostet wird, ausgeführt wird und dass der Starttyp auf Automatisch
festgelegt ist. Wenn Sie ADMT v3.1 verwenden und SQL Server Express vom ADMT-
Installationsprogramm installiert haben lassen, lautet der Dienstname
MSSQL$MS_ADMT.
Wenn der Dienst nicht gestartet wurde oder der Starttyp nicht auf automatischen Start
beim Systemstart festgelegt wurde, klicken Sie auf Gestartet, klicken mit der rechten
Maustaste auf den Namen des Diensts und klicken dann auf Eigenschaften.
3. Klicken Sie auf der Registerkarte Allgemein in der Liste Starttyp auf Automatisch.
4. Klicken Sie unter Dienststatus auf Starten, und klicken Sie dann auf OK.
5. Schließen Sie Dienste.
6. Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

Hinweis
Der Befehl admtdb attach ist nur erforderlich, wenn Sie zuvor SQL-Befehle zum
Trennen der lokalen SQL Server Express-Instanz ausgeführt haben.
admtdb attach /{s | Server}:"Lokale SQL Server Express-Instanz"

admt config setdatabase /s:Server\Instanz.

Sie können die lokale Datenbank nun verwenden.

Erneutes Verwenden einer ADMT-Datenbank aus


einer vorherigen Installation
Wenn Sie eine vorhandene (getrennte) Datenbank aus einer früheren ADMT v3.0-, ADMT v3.1-
oder ADMT v3.2-Installation mit einer lokalen SQL Server-Instanz verwenden möchten, können
Sie das folgende Verfahren ausführen.

Hinweis

Die Mitgliedschaft in der Gruppe Administratoren (oder eine äquivalente Berechtigung)


ist mindestens erforderlich, um dieses Verfahren auszuführen. Einzelheiten zum
Verwenden der richtigen Konten und Gruppenmitgliedschaften finden Sie unter Lokale
und Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477).

So verwenden Sie eine vorhandene (getrennte) ADMT-Datenbank mit einer lokalen


SQL Server-Instanz

1. Klicken Sie auf dem lokalen Computer auf Start, zeigen Sie auf Verwaltung, und
klicken Sie dann auf Dienste.
2. Vergewissern Sie sich im Bereich Details, dass der Dienst, von dem die SQL Server
Express-Instanz gehostet wird, ausgeführt wird und dass der Starttyp auf Automatisch
festgelegt ist. Wenn Sie ADMT v3.1 verwenden und SQL Server Express vom ADMT-
Installationsprogramm installiert haben lassen, lautet der Dienstname
73
MSSQL$MS_ADMT.
Wenn der Dienst nicht gestartet wurde oder der Starttyp nicht auf automatischen Start
beim Systemstart festgelegt wurde, klicken Sie auf Gestartet, klicken mit der rechten
Maustaste auf den Namen des Diensts und klicken dann auf Eigenschaften.
3. Klicken Sie auf der Registerkarte Allgemein in der Liste Starttyp auf Automatisch.
4. Klicken Sie unter Dienststatus auf Starten, und klicken Sie dann auf OK.
5. Schließen Sie Dienste.
6. Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:
admtdb attach /{s | Server}:”Lokale SQL Server Express-Instanz” /{a |
Attach}:”Pfad zur anzufügenden ADMT v3.x-Datenbankdatei"

admt config setdatabase /s: Server\Instanz

Sie können jetzt die vorhandene ADMT-Datenbank mit der lokalen SQL Server-Instanz
verwenden. Es ist nicht erforderlich, den ADMT-Installations-Assistenten erneut
auszuführen. Die ADMT-Installation kann nur einmal ausgeführt werden. Alle
nachfolgenden Änderungen an der Datenbankkonfiguration können mithilfe der Befehle
admtdb.exe und admt config setdatabase ausgeführt werden.

Aktivieren der Kennwortmigration


Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) verwendet den
Kennwortexportserver-Dienst (Password Export Server, PES), Version 3.1, um Ihnen bei einer
Migrationen zwischen Gesamtstrukturen zu helfen, Kennwörter zu migrieren. Sowohl bei
ADMT v3.1 als auch bei ADMT v3.2 wird Password Export Server (PES) Version 3.1 verwendet.
Laden Sie PES v3.1 im Microsoft Download Center herunter. Die Version für x86-basierte
Computer finden Sie unter "Password Export Server Version 3.1 (x86)"
(http://go.microsoft.com/fwlink/?LinkId=147652). Die Version für 64-Bit-Computer finden Sie unter
"Password Export Server Version 3.1 (x64)" (http://go.microsoft.com/fwlink/?LinkId=147653). Der
PES-Dienst kann auf einem beliebigen beschreibbaren Domänencontroller in der Quelldomäne
installiert werden, der 128-Bit-Verschlüsselung unterstützt.

Hinweis

Der Kennwortexportserver-Dienst kann nicht auf schreibgeschützten Domänencontrollern


(Read-Only Domain Controllers, RODCs) installiert werden.
Da von ADMT nicht alle Einstellungen der Kennwortrichtlinie aus der Zieldomäne überprüft
werden, müssen Benutzer nach der Migration Ihre Kennwörter explizit festlegen, sofern nicht die
Flags Kennwort läuft nie ab bzw. Smartcard für interaktive Anmeldung erforderlich
festgelegt sind.

74
Für die Installation des PES-Diensts in der Quelldomäne ist ein Verschlüsselungsschlüssel
erforderlich. Der Verschlüsselungsschlüssel muss jedoch auf dem Computer erstellt werden, der
ADMT in der Zieldomäne ausführt. Speichern Sie den erstellten Schlüssel in einem
freigegebenen Ordner im Netzwerk oder auf einem Wechselmedium, damit Sie ihn auf das lokale
Laufwerk des Quelldomänencontrollers kopieren können, auf dem der PES-Dienst installiert ist.
Speichern Sie ihn an einem sicheren Speicherort, den Sie nach Abschluss der Migration neu
formatieren können.
Sie können den PES-Dienst nach der Installation von ADMT installieren. In den nachfolgenden
Anleitungen wird erklärt, wie der PES-Dienst auf Computern mit Windows Server 2008 R2 oder
Windows Server 2008 installiert und verwendet wird.
Die Mitgliedschaft in der Gruppe Administratoren (oder eine äquivalente Berechtigung) ist
mindestens erforderlich, um dieses Verfahren auszuführen. Weitere Informationen zum
Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und
Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477).

So erstellen Sie einen Verschlüsselungsschlüssel

• Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie
dann die EINGABETASTE:
admt key /option:create /sourcedomain:<Quelldomäne>
/keyfile:<Schlüsseldateipfad> /keypassword:{<Kennwort>|*}

Wert Beschreibung

<Quelldomäne> Gibt den Namen der Quelldomäne an, in


der der PES-Dienst installiert werden soll.
Dieser Parameter kann entweder DNS-
(Domain Name System) oder als NetBIOS-
Name angegeben werden.

<Schlüsseldateipfad> Gibt den Pfad zu dem Speicherort an, an


dem der verschlüsselte Schlüssel
gespeichert wird.

{<Kennwort>|*} Ein Kennwort, das


Schlüsselverschlüsselung bietet, ist
optional. Geben Sie an der
Eingabeaufforderung das Kennwort oder
ein Sternchen (*) ein, um den
freigegebenen Schlüssel zu schützen. Das
Sternchen bewirkt, dass Sie aufgefordert
werden, ein Kennwort einzugeben, das
nicht auf dem Bildschirm angezeigt wird.

Konfigurieren Sie nach dem Erstellen des Verschlüsselungsschlüssels den PES-Dienst auf einem
Domänencontroller in der Quelldomäne.

75
ADMT bietet die Option zum Ausführen des PES-Diensts unter dem lokalen Systemkonto oder
mithilfe der Anmeldeinformationen eines in der Zieldomäne authentifizierten Benutzers. Es wird
empfohlen, den PES-Dienst als in der Zieldomäne authentifizierter Benutzer auszuführen. Auf
diese Weise brauchen Sie die Gruppen Jeder und Anonyme Anmeldung nicht der Gruppe Prä–
Windows 2000 kompatibler Zugriff hinzuzufügen.

Hinweis

Wenn Sie den PES-Dienst unter dem lokalen Systemkonto ausführen, stellen Sie sicher,
dass die Gruppe Prä–Windows 2000 kompatibler Zugriff in der Zieldomäne die Gruppe
Jeder und die Gruppe Anonymer Zugriff enthält.

So konfigurieren Sie den PES-Dienst in der Quelldomäne

1. Fügen Sie auf dem Domänencontroller, der den PES-Dienst in der Quelldomäne
ausführt, den Verschlüsselungsschlüssel-Datenträger ein.
2. Führen Sie die Datei "Pwdmig.msi" aus. Wenn Sie während der
Schlüsselgenerierung ein Kennwort auf dem Domänencontroller in der Zieldomäne
festlegen, geben Sie das Kennwort an, das beim Erstellen des Schlüssels vergeben
wurde, und klicken Sie dann auf Weiter.

76
Seite des Assistenten Vorgang

Willkommen Klicken Sie auf Weiter.

Verschlüsselungsdatei Zum Installieren der ADMT-


Kennwortmigrations-DLL (Dynamic-Link
Library, dynamische Linkbibliothek) müssen
Sie eine Datei angeben, die einen gültigen
Kennwortverschlüsselungsschlüssel für die
betreffende Quelldomäne enthält. Die
Schlüsseldatei muss sich auf einem lokalen
Laufwerk befinden.
Zum Erstellen der Schlüsseldateien wird der
Befehl admt key verwendet. Weitere
Informationen finden Sie im vorhergehenden
Verfahren, "So erstellen Sie einen
Verschlüsselungsschlüssel".

Dienst ausführen als Geben Sie das Konto an, unter dem der
PES-Dienst ausgeführt werden soll. Sie
können eins der folgenden Konten angeben:
• Das lokale Systemkonto
• Ein angegebenes Benutzerkonto

Hinweis
Wenn Sie beabsichtigen, den
PES-Dienst unter einem
authentifizierten Benutzerkonto
auszuführen, geben Sie das
Konto im Format
Domaene\Benutzername an.

Zusammenfassung Klicken Sie auf Fertig stellen, um die


Installation des PES-Diensts abzuschließen.

Hinweis
Damit Sie die
Kennwortmigration von ADMT
verwenden können, müssen Sie
nach dem Installieren des PES-
Diensts einen Neustart des
Servers ausführen.

3. Starten Sie den Domänencontroller nach dem Abschluss der Installation erneut.
4. Zeigen Sie nach dem Neustart des Domänencontrollers zum Starten des PES-
Diensts auf Start, dann auf Alle Programme, zeigen Sie auf Verwaltung, und klicken
77
Sie dann auf Dienste.
5. Klicken Sie im Detailbereich mit der rechten Maustaste auf Kennwortexportserver-
Dienst, und klicken Sie dann auf Start.

Hinweis
Führen Sie den PES-Dienst nur beim Migrieren von Kennwörtern aus. Beenden
Sie den PES-Dienst, nachdem die Migration von Kennwörtern abgeschlossen ist.

Initialisieren von ADMT durch Ausführen


einer Testmigration
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Starten Sie das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT),
indem Sie eine Testmigration einer globalen Gruppe ausführen, und wählen Sie die Option
Gruppen-SIDs zur Zieldomäne migrieren aus. Zum Migrieren des SID-Verlaufs (Security
identifier, Sicherheitskennung) müssen Sie die Vorbereitungstasks wie in Konfigurieren der Quell-
und Zieldomänen für die Migration des SID-Verlaufs beschrieben durchführen. Wenn Sie die
Quell- und Zieldomänen zum Migrieren des SID-Verlaufs vorher nicht konfiguriert haben, werden
Sie von ADMT dazu aufgefordert und erhalten die Option, die folgenden Aufgaben automatisch
ausführen zu lassen.
• Erstellen einer lokalen Gruppe namens Quelldomäne$$$ in der Quelldomäne, die zum
Überwachen der Vorgänge des SID-Verlaufs verwendet wird. Fügen Sie dieser Gruppe keine
Mitglieder hinzu. Andernfalls tritt ein Fehler bei der Migration des SID-Verlaufs auf.
• Wenn für die Quelldomäne Windows 2000 verwendet wird und Sie ADMT 3.1 verwenden,
wird die TCP/IP-Clientunterstützung auf dem primären Domänencontroller (PDC) der
Quelldomäne aktiviert, indem der Wert des Registrierungseintrags TcpipClientSupport auf 1
festgelegt wird. Dieser Eintrag ist im folgenden Unterschlüssel gespeichert:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
Durch das Festlegen von TcpipClientSupport auf 1 werden Remoteprozeduraufrufe
(Remote Procedure Calls, RPCs) über den TCP-Transport aktiviert, während die Sicherheit
des Systems erhalten bleibt.
Dies ist nicht erforderlich für Domänen mit Domänencontrollern, auf denen
Windows Server 2003 oder höher ausgeführt wird.
• Aktivieren von Überwachungsrichtlinien in den Quell- und Zieldomänen.

Warnung

ADMT aktiviert nicht automatisch die Überwachung für den Verzeichnisdienstzugriff,


der erforderlich ist, um den SID-Verlauf in oder aus einer Domäne zu migrieren, in

78
der sich Domänencontroller mit Windows Server 2008 oder Windows Server 2008 R2
befinden.
Verwenden Sie das folgende Verfahren, um ADMT zu initialisieren.

So initialisieren Sie ADMT durch Ausführen einer Testmigration einer globalen Gruppe

1. Verwenden Sie in der ADMT-Konsole den Assistenten zum Migrieren von


Gruppenkonten, indem Sie die in der folgenden Tabelle aufgeführten Schritte ausführen.
Akzeptieren Sie Standardeinstellungen, wenn keine Informationen angegeben sind.

79
Seite des Assistenten Vorgang

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Quelldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Geben Sie unter Ziel in der Dropdownliste
Domäne den NetBIOS- oder DNS-Namen
der Zieldomäne an. Geben Sie in der
Dropdownliste Domänencontroller den
Namen des Domänencontrollers an, oder
wählen Sie einenbeliebigen
Domänencontroller aus, und klicken Sie
auf Weiter.

Gruppenauswahl Klicken Sie auf Gruppen aus Domäne


auswählen, und klicken Sie dann auf
Weiter. Klicken Sie auf der Seite
Gruppenauswahl auf Hinzufügen, um
die zu migrierenden Gruppen in der
Quelldomäne auszuwählen, klicken Sie
auf OK, und klicken Sie dann auf Weiter.
Oder
Klicken Sie auf Objekte aus Includedatei
lesen, und klicken Sie dann auf Weiter.
Geben Sie den Pfad der Includedatei ein,
und klicken Sie dann auf Weiter.

Auswahl der Organisationseinheit Geben Sie den Namen der


Organisationseinheit ein, oder klicken Sie
auf Durchsuchen.
Suchen Sie im Dialogfeld Container
suchen den Container in der Zieldomäne,
in den die globalen Gruppen verschoben
werden sollen, und klicken Sie dann auf
OK.

Gruppenoptionen Aktivieren Sie das Kontrollkästchen


Gruppen-SIDs zur Zieldomäne
migrieren.
Stellen Sie sicher, dass alle anderen
Optionen nicht ausgewählt sind.

80
Seite des Assistenten Vorgang

Benutzerkonto Geben Sie den Benutzernamen, das


Kennwort und die Domäne eines Kontos
ein, das über administrative Rechte in der
Quelldomäne verfügt.

Konfliktverwaltung Klicken Sie auf Quellobjekt nicht


migrieren, wenn in der Zieldomäne ein
Konflikt ermittelt wird.

2. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll
anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler.

Identifizieren von Dienstkonten für die


Migration
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
In diesem Thema wird erklärt, wie Dienstkonten identifiziert werden, die mit dem Active Directory-
Migrationsprogramm (Active Directory Migration Tool, ADMT) in die Zieldomäne migriert werden.
Ein Dienstkonto ist ein Benutzerkonto, das einen Sicherheitskontext für Anwendungen bereitstellt
und dem die Berechtigung zur Anmeldung als Dienst erteilt wurde.
Dienste, die im Kontext des lokalen Systemkontos ausgeführt werden, werden vom ADMT nicht
migriert, da diese bei der Migration des Computers migriert werden. Dienste, die im Kontext eines
Benutzerkontos ausgeführt werden, müssen jedoch nach dem Abschluss des
Kontenmigrationsvorgangs auf dem Computer aktualisiert werden. ADMT kann außerdem auch
nicht die lokalen Dienst- und Netzwerkdienstkonten migrieren, da es sich hier um vordefinierte
Konten handelt, die in Domänen immer vorhanden sind.

Bestimmen von Dienstkonten


Der Vorgang des Identifizierens, Migrierens und Aktualisierens von Diensten, die im Kontext von
Benutzerkonten ausgeführt werden, umfasst drei Schritte. Zuerst startet der Administrator ADMT
in der Active Directory-Zieldomäne und führt den Assistenten zum Migrieren von Dienstkonten
aus. Im zweiten Schritt sendet der Assistent zum Migrieren von Dienstkonten einen Agent an
einen angegebenen Computer und identifiziert alle Dienste auf dem Computer, die im Kontext
eines Benutzerkontos ausgeführt werden (er migriert die Dienste jedoch nicht). Als dritter Schritt,
der später im Migrationsprozess erfolgen kann, wird dann die Migration der Konten ausgeführt,
wenn die anderen Benutzerkonten mit dem Assistenten zum Migrieren von Benutzerkonten
migriert werden.

81
Der Assistent zum Migrieren von Dienstkonten überprüft eine vom Administrator definierte Liste
der Server auf Dienste, die für die Verwendung eines Domänenkontos zur Authentifizierung
konfiguriert sind. Die Konten werden dann in der ADMT-Datenbank als Dienstkonten
gekennzeichnet. Das Kennwort wird beim Migrieren eines Dienstkontos nie migriert. Stattdessen
verwendet ADMT eine Klartextdarstellung des Kennworts, um die Dienste nach der Migrierung
der Dienstkonten zu konfigurieren. Anschließend wird eine verschlüsselte Version des Kennworts
in der Datei password.txt im ADMT-Installationsordner gespeichert.
Ein Administrator einer Arbeitsstation oder eines Servers kann jeden beliebigen Dienst installieren
und den Dienst für die Verwendung jedes beliebigen Domänenkontos konfigurieren. Wenn ein
böswilliger Benutzer mit Administratorberechtigungen einen Dienst zum Authentifizieren ohne ein
korrektes Kennwort konfiguriert (z. B. ein Kennwort, das die Komplexitätsanforderungen nicht
erfüllt), wird der Dienst nicht starten. Nach der Migration des Dienstkontos konfiguriert ADMT den
Dienst auf der Arbeitsstation oder dem Server zum Verwenden des neuen Kennworts, und der
Dienst startet jetzt unter dem neuen Benutzerkonto in der Zieldomäne.
Daher sollten Sie den Assistenten zum Migrieren von Dienstkonten nur auf den Servern
unterbringen, die von vertrauenswürdigen Administratoren verwaltet werden. Verwenden Sie den
Assistenten nicht zum Erkennen von Dienstkonten auf Computern, die nicht von
vertrauenswürdigen Administratoren verwaltet werden, wie etwa Arbeitsstationen.
Verteilen Sie Agents auf allen Servern in der Domäne, die von vertrauenswürdigen
Administratoren verwaltet werden, um sicherzustellen, dass keine Dienstkonten übersehen
werden. Wenn Sie ein Dienstkonto auslassen, das ein Konto für einen Dienst freigibt, der bereits
migriert wurde, kann ADMT die Dienstkonten nicht synchronisieren. Sie müssen die Kennwörter
für das Dienstkonto manuell ändern und dann das Kennwort des Dienstkontos auf jedem Server
zurücksetzen, der den betreffenden Dienst ausführt.
Wenn die Konten, die vom Assistenten für die Migration von Dienstkonten in der ADMT-
Datenbank als im Kontext eines Benutzerkontos ausgeführt identifiziert wurden, in die
Zieldomäne migriert werden, erteilt ADMT jedem Konto das Recht zur Anmeldung als Dienst.
Wenn dem Dienstkonto Rechte mithilfe einer Gruppenmitgliedschaft zugewiesen wurden,
aktualisiert der Sicherheitskonvertierungs-Assistent das Konto so, dass ihm diese Rechte
zugewiesen werden. Weitere Informationen zur Ausführung des Sicherheitskonvertierungs-
Assistenten finden Sie unter Konvertieren von Dienstkonten in der Migration weiter unten in
diesem Handbuch.
Sie können Dienstkonten mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption oder eines
Skripts identifizieren.

So identifizieren Sie Dienstkonten mithilfe des ADMT-Snap-Ins

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Klicken Sie im ADMT-Snap-In auf Vorgang, und klicken Sie dann auf Assistent zum
Migrieren von Dienstkonten.
3. Führen Sie den Assistenten zum Migrieren von Dienstkonten mithilfe der
Informationen in der folgenden Tabelle aus.

82
83
Seite des Assistenten Vorgang

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Quelldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Geben Sie unter Ziel in der Dropdownliste
Domäne den NetBIOS- oder DNS-Namen
der Zieldomäne an. Geben Sie in der
Dropdownliste Domänencontroller den
Namen des Domänencontrollers an, oder
wählen Sie einenbeliebigen
Domänencontroller aus, und klicken Sie
auf Weiter.

Informationen aktualisieren Klicken Sie auf Ja, Informationen


aktualisieren.

Computerauswahloption Klicken Sie auf Computer aus Domäne


auswählen, und klicken Sie dann auf
Weiter. Klicken Sie auf der Seite
Dienstkontoauswahl auf Hinzufügen, um
die Konten in der Quelldomäne
auszuwählen, die Sie migrieren möchten,
klicken Sie auf OK und dann auf Weiter.
Oder
Klicken Sie auf Objekte aus Includedatei
lesen und anschließend auf Weiter.
Geben Sie den Speicherort der
Includedatei ein, und klicken Sie auf
Weiter.

Dialogfeld "Agent" Wählen Sie unter Agent-Aktionen den


Eintrag Vorüberprüfung und Agent
ausführen aus, und klicken Sie dann auf
Start. Eine Nachricht wird in der Agent-
Zusammenfassung angezeigt, wenn die
Agentvorgänge abgeschlossen sind.
Klicken Sie nach dem Abschluss der
Agentvorgänge auf Schließen.

84
Seite des Assistenten Vorgang

Dienstkontoinformationen Wählen Sie alle Benutzerkonten aus, die in


der ADMT-Datenbank nicht als
Dienstkonten markiert werden müssen,
und klicken Sie dann auf
Überspringen/Einbeziehen, um für die
Konten Überspringen zu markieren.

Fertigstellen des Assistenten Überprüfen Sie Ihre Auswahl, und klicken


Sie dann auf Fertig stellen.

Der Assistent stellt eine Verbindung mit den ausgewählten Computern her und sendet dann einen
Agent, um jeden Dienst auf den Remotecomputern zu überprüfen. Auf der Seite
Dienstkontoinformationen sind die Dienste, die im Kontext eines Benutzerkontos ausgeführt
werden, zusammen mit dem Namen des betreffenden Benutzerkontos aufgelistet. ADMT
vermerkt in seiner Datenbank, dass diese Benutzerkonten als Dienstkonten migriert werden
müssen. Wenn ein Benutzerkonto nicht als Dienstkonto migriert werden soll, wählen Sie das
Konto aus und klicken dann auf Überspringen/Einbeziehen, um den Status von Einbeziehen in
Überspringen zu ändern.
Zum Aktualisieren des Dienststeuerungs-Managers mit den neuen Informationen verwenden Sie
SCM aktualisieren. Sofern kein Fehler beim Erreichen eines Computers zum Zweck der
Aktualisierung vorliegt, ist die Schaltfläche SCM aktualisieren nicht verfügbar. Wenn nach der
Identifikation und Migration des Kontos ein Problem beim Aktualisieren eines Dienstkontos
auftritt, stellen Sie sicher, dass der Computer, den Sie zu erreichen versuchen, verfügbar ist, und
starten Sie dann den Assistenten zum Migrieren von Dienstkonten erneut.
Klicken Sie im Assistenten auf SCM aktualisieren, um die Aktualisierung des Diensts zu
versuchen. Wenn Sie den Assistenten zum Migrieren von Dienstkonten bereits zuvor ausgeführt
haben und die Schaltfläche SCM aktualisieren nicht zur Verfügung steht, untersuchen Sie die
ADMT-Protokolldateien, um die Ursache des Problems zu ermitteln. Nachdem Sie das Problem
behoben haben und der Agent erfolgreich eine Verbindung hergestellt hat, steht die Schaltfläche
SCM aktualisieren zur Verfügung.

So identifizieren Sie Dienstkonten mithilfe der ADMT-Befehlszeilenoption

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie
dann die EINGABETASTE:
ADMT SERVICE /N "<Computername1>" "<Computername2>" /SD:" <Quelldomäne>" /TD:"
<Zieldomäne>"

Dabei sind <Computername1> und <Computername2> die Namen von Computern in der
Quelldomäne, auf denen die Dienstkonten ausgeführt werden.
Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt

85
über die Befehlszeile angegeben wird:
ADMT SERVICE /N "<Computername1>" "<Computername2>" /O:" <Optionsdatei>.txt"

In der folgenden Tabelle sind die allgemeinen Parameter zum Identifizieren von
Dienstkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem
entsprechenden Äquivalent in der Optionsdatei.

Werte Befehlszeilensyntax Optionsdateisyntax

<Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne"

<Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne"

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.

So identifizieren Sie Dienstkonten mithilfe eines Skripts

• Erstellen Sie mithilfe des folgenden Beispielskripts ein Skript, das ADMT-Befehle und
-Optionen zum Identifizieren von Dienstkonten enthält. Kopieren Sie das Skript in
Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen
Ordner wie die Datei „AdmtConstants.vbs“.
<Job id="IdentifyingServiceAccounts" >

<Script language="VBScript" src="AdmtConstants.vbs" />

<Script language="VBScript" >

Option Explicit

Dim objMigration

Dim objServiceAccountEnumeration

'

'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte.

'

Set objMigration = CreateObject("ADMT.Migration" )

Set objServiceAccountEnumeration = _

objMigration.CreateServiceAccountEnumeration

'

'Geben Sie die allgemeinen Migrationsoptionen an.

'

86
objMigration.SourceDomain = "Quelldomäne"

'

'Listen Sie die Dienstkonten der angegebenen Computer auf.

'

objServiceAccountEnumeration.Enumerate admtData, _

Array("Computername1" ,"Computername2" )

Set objServiceAccountEnumeration = Nothing

Set objMigration = Nothing

</Script>

</Job>

Migrieren von Konten


Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Der Vorgang des Migrierens von Kontoobjekten von einer Quelldomäne in eine Zieldomäne in
einer anderen Active Directory-Gesamtstruktur umfasst zuerst das Migrieren von Dienstkonten
und anschließend das Migrieren von globalen Gruppen. Nachdem die Gruppen in der
Zieldomäne platziert wurden, können Sie die Benutzer gemäß dem von Ihnen ausgewählten
Prozess migrieren, entweder unter Verwendung des SID-Verlaufs (Security Identifier) für den
Ressourcenzugriff oder ohne Verwendung des SID-Verlaufs für den Ressourcenzugriff. Wenn der
Migrationsprozess für Kontoobjekte abgeschlossen ist, können Sie die Benutzer aus der
Quelldomäne anweisen, sich bei der Zieldomäne anzumelden. Die folgenden Abbildungen zeigen
den Vorgang des Migrierens von Konten zwischen Domänen in verschiedenen Gesamtstrukturen.

87
Konvertieren von Dienstkonten in der
Migration
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Beginnen Sie mit dem Migrieren von Objekten, indem Sie Dienstkonten migrieren, die als
Domänenbenutzerkonten ausgeführt werden. Informationen zum Identifizieren der zu
migrierenden Dienstkonten finden Sie unter Konvertieren von Dienstkonten in der Migration. Für
verwaltete Dienstkonten gilt dieses Thema nicht. Verwaltete Dienstkonten können mit dem
Assistenten zum Migrieren von verwalteten Dienstkonten und mit dem Computermigrations-
Assistenten migriert werden.
Verwenden Sie für die Überführung von Dienstkonten das Active Directory-Migrationsprogramm
(Active Directory Migration Tool, ADMT), um die folgenden Aufgaben auszuführen:
• Migrieren der Dienstkonten aus der Quelldomäne in die Zieldomäne.
• Ändern der Dienste auf jedem Server in der Quelldomäne in der Weise, dass die Dienste
das Dienstkonto in der Zieldomäne statt in der Quelldomäne verwenden.
Sie können Dienstkonten mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption oder eines
Skripts überführen.

88
So überführen Sie Dienstkonten mithilfe des ADMT-Snap-Ins

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Klicken Sie im ADMT-Snap-In auf Vorgang, und klicken Sie dann auf Assistent zum
Migrieren von Benutzerkonten.
3. Führen Sie den Assistenten zum Migrieren von Benutzerkonten mithilfe der
Informationen in der folgenden Tabelle aus.

89
Seite des Assistenten Vorgang

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS- oder
DNS-Namen der Quelldomäne an. Geben
Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Geben Sie unter Ziel in der Dropdownliste
Domäne den NetBIOS- oder DNS-Namen
der Zieldomäne an. Geben Sie in der
Dropdownliste Domänencontroller den
Namen des Domänencontrollers an, oder
wählen Sie einenbeliebigen
Domänencontroller aus, und klicken Sie auf
Weiter.

Benutzerauswahl Klicken Sie auf Benutzer aus Domäne


auswählen, und klicken Sie dann auf
Weiter. Klicken Sie auf der Seite
Benutzerauswahl auf Hinzufügen, um die
Konten in der Quelldomäne auszuwählen,
die Sie migrieren möchten, klicken Sie auf
OK und dann auf Weiter.
Oder
Klicken Sie auf Objekte aus Includedatei
lesen und anschließend auf Weiter. Geben
Sie den Speicherort der Includedatei ein,
und klicken Sie auf Weiter.

Auswahl der Organisationseinheit Klicken Sie auf Durchsuchen.


Suchen Sie in Container suchen die
Quelldomäne, wählen Sie den Container für
die Dienstkonten aus, und klicken Sie dann
auf OK.

90
Seite des Assistenten Vorgang

Kennwortoptionen Klicken Sie auf Komplexe Kennwörter


generieren.

Hinweis
Beim Überführen von
Dienstkonten mithilfe des
Assistenten zum Migrieren von
Benutzerkonten wird
automatisch ein komplexes
Kennwort generiert,
unabhängig von der auf dieser
Seite des Assistenten
ausgewählten Option. Selbst
wenn Kennwörter für
vorhandene Benutzer nicht
aktualisieren aktiviert ist, wird
ein komplexes Kennwort
generiert.

Optionen für die Kontoaktualisierung Klicken Sie auf Zielkonten aktivieren.


Aktivieren Sie das Kontrollkästchen
Benutzer-SIDs zur Zieldomäne migrieren.

Benutzerkonto Geben Sie den Benutzernamen, das


Kennwort und die Domäne eines Kontos mit
Administratoranmeldeinformationen ein.

Benutzeroptionen Aktivieren Sie das Kontrollkästchen


Benutzerrechte aktualisieren.
Vergewissern Sie sich, dass keine weiteren
Einstellungen ausgewählt sind,
einschließlich Zugeordnete
Benutzergruppen migrieren.

Konfliktverwaltung Klicken Sie auf Quellobjekt nicht


migrieren, wenn in der Zieldomäne ein
Konflikt ermittelt wird.

91
Seite des Assistenten Vorgang

Dienstkontoinformationen Klicken Sie auf Alle Dienstkonten


migrieren und SCM für einbezogene
Elemente aktualisieren. Wenn Sie
außerdem weitere Benutzerkonten
migrieren, bei denen es sich nicht um
Dienstkonten handelt, informiert Sie diese
Seite des Assistenten, dass Sie einige
Konten ausgewählt haben, die in der ADMT-
Datenbank nicht als Dienstkonten markiert
sind. Standardmäßig sind diese Konten als
Einbeziehen gekennzeichnet. Wenn Sie
den Status des Kontos ändern möchten,
wählen Sie das Konto aus, und klicken Sie
dann auf Überspringen/Einbeziehen.
Klicken Sie auf Weiter, um die Konten zu
migrieren.

4. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll
anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler.
5. Starten Sie Active Directory-Benutzer und -Computer, navigieren Sie zu der
Organisationseinheit (Organizational Unit, OU), die Sie für Dienstkonten erstellt haben,
und überprüfen Sie dann, ob die Dienstkonten in der Organisationseinheit der
Zieldomäne vorhanden sind.
6. Vergewissern Sie sich, dass jede Anwendung, für die das Dienstkonto überführt
wurde, weiterhin ordnungsgemäß funktioniert.

So überführen Sie Dienstkonten mithilfe der ADMT-Befehlszeilenoption

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie
dann die EINGABETASTE:
ADMT USER /N "<Servername1>" "<Servername2>" /SD:" <Quelldomäne>" /TD:"
<Zieldomäne>" /TO:" <Zielorganisationseinheit>" /MSS:YES

Dabei sind Server_name1 und Server_name2 die Namen von Servern in der
Quelldomäne, auf denen die Dienstkonten ausgeführt werden. Alternativ können Sie
Parameter in eine Optionsdatei aufnehmen, die Sie in der folgenden Weise auf der
Befehlszeile angeben:
ADMT USER /N "<Servername1>" "<Servername2>" /O: "<Optionsdatei>.txt"

In der folgenden Tabelle sind die allgemeinen Parameter zum Überführen von
Dienstkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem

92
entsprechenden Äquivalent in der Optionsdatei.

Parameter Befehlszeilensyntax Optionsdateisyntax

<Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne"

<Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne"

<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
it"

Konten deaktivieren /DOT:ENABLETARGET DisableOption=ENABLETARGET


(Standard) (Standard)

Kennwort migrieren /PO:COMPLEX (Standard) PasswordOption=COMPLEX

Benutzer-SIDs /MSS:YES MigrateSIDs=YES


migrieren = JA

Benutzerrechte /UUR:YES UpdateUserRights=YES


aktualisieren = JA

Konfliktverwaltung /CO:IGNORE (Standard) ConflictOptions=IGNORE


(Standard)

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die
Organisationseinheit des Zieldienstkontos. Überprüfen Sie, ob die Dienstkonten in der
Organisationseinheit der Zieldomäne vorhanden sind.

So überführen Sie Dienstkonten mithilfe eines Skripts

• Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle
und -Optionen zum Überführen von Dienstkonten enthält. Kopieren Sie das Skript in
Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen
Ordner wie die Datei „AdmtConstants.vbs“.
<Job id=" TransitioningServiceAccountsBetweenForests" >

<Script language=" VBScript" src="AdmtConstants.vbs" />

<Script language="VBScript" >

Option Explicit

Dim objMigration

Dim objUserMigration

93
'

'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte.

'

Set objMigration = CreateObject("ADMT.Migration" )

Set objUserMigration = objMigration.CreateUserMigration

'

'Geben Sie die allgemeinen Migrationsoptionen an.

'

objMigration.SourceDomain = "Quelldomäne"

objMigration.SourceOu = "Quellcontainer"

objMigration.TargetDomain = "Zieldomäne"

objMigration.TargetOu = "Zielcontainer"

objMigration.ConflictOptions = admtIgnoreConflicting

'

'Geben Sie die spezifischen Optionen der Benutzermigration an.

'

objUserMigration.MigrateSIDs = True

objUserMigration.UpdateUserRights = True

objUserMigration.MigrateServiceAccounts = True

'

'Migrieren Sie die angegebenen Dienstkonten.

'

objUserMigration.Migrate admtData, _

Array("Name des Dienstkontos1", "Name des Dienstkontos2")

Set objUserMigration = Nothing

Set objMigration = Nothing

94
</Script>

</Job>

Migrieren globaler Gruppen


Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Damit die Mitgliedschaft globaler Gruppen erhalten bleibt, müssen Sie globale Gruppen
migrieren, bevor Sie Benutzer migrieren.

Hinweis

Migrieren Sie globale Gruppen nicht während der Spitzenarbeitszeiten. Der Vorgang der
Migration globaler Gruppen kann in großem Umfang Netzwerkressourcen sowie
Ressourcen auf dem Domänencontroller in der Zieldomäne belegen.
Für die Migration globaler Gruppen müssen die folgenden Schritte ausgeführt werden:
1. Der Administrator wählt die globalen Gruppenobjekte in der Quelldomäne aus.
2. In der Zieldomäne wird ein neues globales Gruppenobjekt erstellt, und es wird eine neue
primäre Sicherheitskennung (Security Identifier, SID) für das Objekt in der Zieldomäne
erstellt.
3. Damit der Zugriff auf Ressourcen erhalten bleibt, fügt das Active Directory-
Migrationsprogramm (Active Directory Migration Tool, ADMT) die Sicherheitskennung der
globalen Gruppe in der Quelldomäne dem Attribut SID-Verlauf der neuen globalen Gruppe in
der Zieldomäne hinzu.
Nach der Migration werden Ereignisse sowohl in der Quell- als auch in der Zieldomäne
protokolliert.

Hinweis

Wenn der Vorgang der Migration von Benutzerkonten einen längeren Zeitraum in
Anspruch nimmt, müssen Sie globale Gruppen ggf. erneut aus der Quell- in die
Zieldomäne migrieren. Das Ziel besteht darin, Änderungen der Mitgliedschaft
weiterzugeben, die in der Quelldomäne vorgenommen werden, bevor der
Migrationsvorgang abgeschlossen ist. Weitere Informationen zur erneuten Migration
globaler Gruppen finden Sie unter Erneute Migration aller globalen Gruppen nach der
Migration aller Lose weiter unten in diesem Handbuch.
Sie können globale Gruppen mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption oder
eines Skripts migrieren.

So migrieren Sie globale Gruppen mithilfe des ADMT-Snap-Ins

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,

95
mit dem Migrationskonto des ADMT-Kontos an.
2. Verwenden Sie den Assistenten zum Migrieren von Gruppenkonten, und führen Sie
die in der folgenden Tabelle beschriebenen Schritte aus.

96
Seite des Assistenten Vorgang

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Quelldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Geben Sie unter Ziel in der Dropdownliste
Domäne den NetBIOS- oder DNS-Namen
der Zieldomäne an. Geben Sie in der
Dropdownliste Domänencontroller den
Namen des Domänencontrollers an, oder
wählen Sie einenbeliebigen
Domänencontroller aus, und klicken Sie
auf Weiter.

Gruppenauswahl Klicken Sie auf Gruppen aus Domäne


auswählen, und klicken Sie dann auf
Weiter. Klicken Sie auf der Seite
Gruppenauswahl auf Hinzufügen, um
die zu migrierenden Gruppen in der
Quelldomäne auszuwählen, klicken Sie
auf OK, und klicken Sie dann auf Weiter.
Oder
Klicken Sie auf Objekte aus Includedatei
lesen und anschließend auf Weiter.
Geben Sie den Speicherort der
Includedatei ein, und klicken Sie auf
Weiter.

Auswahl der Organisationseinheit Geben Sie den Namen der


Organisationseinheit (Organizational Unit,
OU) ein, oder klicken Sie auf
Durchsuchen.
Suchen Sie im Dialogfeld Container
suchen den Container in der Zieldomäne,
in den die globalen Gruppen verschoben
werden sollen, und klicken Sie dann auf
OK.

97
Seite des Assistenten Vorgang

Gruppenoptionen Klicken Sie auf Gruppen-SIDs zur


Zieldomäne migrieren.
Stellen Sie sicher, dass alle anderen
Optionen nicht ausgewählt sind.

Benutzerkonto Geben Sie den Benutzernamen, das


Kennwort und die Domäne eines Kontos
ein, das über administrative Rechte in der
Quelldomäne verfügt.

Konfliktverwaltung Klicken Sie auf Quellobjekt nicht


migrieren, wenn in der Zieldomäne ein
Konflikt ermittelt wird.

3. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll
anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler.
4. Öffnen Sie das Snap-In Active Directory-Benutzer und -Computer, und suchen
Sie dann die Zielorganisationseinheit. Überprüfen Sie, ob die globalen Gruppen in der
Organisationseinheit der Zieldomäne vorhanden sind.

So migrieren Sie globale Gruppen mithilfe der ADMT-Befehlszeilenoption

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Geben Sie den Befehl ADMT Group mit den entsprechenden Parametern in der
Befehlszeile ein, und drücken Sie dann die EINGABETASTE.
ADMT GROUP /N "<Gruppenname1>" "<Gruppenname2>" /SD:" <Quelldomäne>" /TD:"
<Zieldomäne>" /TO:" <Zielorganisationseinheit>" /MSS:YES

Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT GROUP /N "<Gruppenname1>" "<Gruppenname2>" /O: "<Optionsdatei>.txt"

In der folgenden Tabelle sind die allgemeinen Parameter zur Migration globaler Gruppen
aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem
entsprechenden Äquivalent in der Optionsdatei.

98
Parameter Befehlszeilensyntax Optionsdateisyntax

<Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne"

<Quellorganisationsein / SourceOU="Quellorganisationsei
heit> Speicherort SO:"Quellorganisationsein nheit"
heit"

<Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne"

<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
it"

Migrieren von GG SIDs /MSS:YES MigrateSIDs=YES

Konfliktverwaltung /CO:IGNORE (Standard) ConflictOptions=IGNORE

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.
4. Öffnen Sie das Snap-In Active Directory-Benutzer und -Computer, und suchen
Sie dann die Zielorganisationseinheit. Überprüfen Sie, ob die globalen Gruppen in der
Organisationseinheit der Zieldomäne vorhanden sind.

So migrieren Sie globale Gruppen mithilfe eines Skripts

• Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle
und -Optionen zur Migration globaler Gruppen enthält. Kopieren Sie das Skript in
Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen
Ordner wie die Datei „AdmtConstants.vbs“.
<Job id=" MigratingGlobalGroupsBetweenForests" >

<Script language="VBScript" src="AdmtConstants.vbs" />

<Script language="VBScript" >

Option Explicit

Dim objMigration

Dim objGroupMigration

'

'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte.

'

Set objMigration = CreateObject("ADMT.Migration" )

Set objGroupMigration = objMigration.CreateGroupMigration

99
'

'Geben Sie die allgemeinen Migrationsoptionen an.

'

objMigration.SourceDomain = "Quelldomäne"

objMigration.SourceOu = "Quellcontainer"

objMigration.TargetDomain = "Zieldomäne"

objMigration.TargetOu = "Zielcontainer"

'

'Geben Sie die spezifischen Optionen der Gruppenmigration an.

'

objGroupMigration.MigrateSIDs = True

'

'Migrieren Sie die angegebenen Gruppenobjekte.

'

objGroupMigration.Migrate admtData,
Array("Gruppenname1" ,"Gruppenname2" )

Set objGroupMigration = Nothing

Set objMigration = Nothing

</Script>

</Job>

Migrieren von Konten bei Verwendung des


SID-Verlaufs
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2

100
Migrieren Sie bei der Migration von Konten mithilfe des SID-Verlaufs (Security Identifier) zuerst
alle Benutzerkonten – ohne sie jedoch in der Zieldomäne zu aktivieren –, um die Zieldomäne
voraufzufüllen und die Migration von Benutzerprofilen zu ermöglichen. Beginnen Sie nach der
erfolgreichen Migration aller Benutzerkonten mit der losweisen Migration von Benutzern, indem
Sie zuerst das Benutzerprofil, dann die Arbeitsstation und schließlich das Benutzerkonto
migrieren. Stellen Sie vor dem Migrieren aller Benutzerkonten sicher, dass Sie Testkonten erstellt
haben, die Sie in jedes Los aufnehmen können, um den Erfolg der Migration für das betreffende
Los zu überprüfen.
Beim Migrieren von Benutzerkonten kann nicht jede Benutzereigenschaft migriert werden.
Beispielsweise werden Pstore-Inhalte (Protected Storage) für Windows NT 4.0-Arbeitsstationen,
einschließlich privater EFS-Schlüssel (Encrypting File System), vom Active Directory-
Migrationsprogramm (Active Directory Migration Tool, ADMT) beim Migrieren von Benutzerkonten
nicht migriert. Zum Migrieren von Pstore-Inhalten müssen während des Migrationsvorgangs
Schlüssel exportiert und importiert werden.
Für Clients, die Windows 2000 Server oder höher ausführen, werden auch mithilfe von DPAPI
(Data Protection API) geschützte Daten nicht migriert. DPAPI unterstützt den Schutz der
folgenden Elemente:
• Anmeldeinformationen für Webseiten (z. B. Kennwörter)
• Anmeldeinformationen für Dateifreigaben
• Private Schlüssel, die EFS, S/MIME (Secure/Multipurpose Internet Mail Extensions) und
anderen Zertifikaten zugeordnet sind
• Programmdaten, die mithilfe der Funktion CryptProtectData() geschützt sind
Aus diesem Grund ist das Testen von Benutzermigrationen wichtig. Verwenden Sie Ihr
Migrationstestkonto, um alle Eigenschaften zu identifizieren, die nicht migriert wurden, und die
Benutzerkonfigurationen in der Zieldomäne entsprechend zu aktualisieren.
Führen Sie die folgenden Schritte aus, um Benutzerkonten in die Zieldomäne zu migrieren:
1. Migrieren Sie die verwalteten Dienstkonten. Die verwalteten Dienstkonten müssen vor
den Computern migriert werden.
2. Migrieren Sie alle Benutzerkonten mit aktiviertem Konto in der Quelldomäne,
deaktiviertem Konto in der Zieldomäne, mit aktiviertem komplexem Kennwort und ohne
migrierte Attribute.
3. Konvertieren Sie lokale Benutzerprofile für ein Los von Benutzern.
4. Migrieren Sie Arbeitsstationen in Losen, die den Losen der Benutzerkonten entsprechen.
5. Überprüfen Sie vor dem Migrieren des Loses von Benutzerkonten, ob die Migration der
lokalen Profile und der Arbeitsstationen für alle Benutzer im Los erfolgreich war. Führen Sie
die Migration nicht für Benutzerkonten durch, bei denen die Migration des Profils oder der
Arbeitsstation fehlgeschlagen ist. Dies kann dazu führen, dass Benutzer bei der Anmeldung
in der Zieldomäne ihre vorhandenen Benutzerprofile überschreiben.
6. Migrieren Sie die Benutzerkonten erneut in Losen, und legen Sie für das Konto den
Ablauf in der Quelldomäne in sieben Tagen fest, bei aktiviertem Zielkonto, aktivierter
Migration von Kennwörtern und Migration aller Attribute.

101
7. Führen Sie nach jedem Los eine erneute Migration aller globalen Gruppen durch, um alle
Änderungen an der Gruppenmitgliedschaft zu aktualisieren.
8. Fordern Sie die Benutzer im Los auf, sich bei der Zieldomäne anzumelden.
9. Führen Sie nach der Migration aller Benutzer eine abschließende Migration der globalen
Gruppen aus, um alle Änderungen an der Gruppenmitgliedschaft zu aktualisieren.
Die losweise Migration von Benutzerkonten erleichtert die Nachverfolgung der migrierten Konten
und das Prüfen der erfolgreichen Durchführung jedes Migrationsschritts. Wenn die Struktur der
Organisationseinheiten (OUs) für die Zieldomäne gleich der Organisationseinheitsstruktur der
Quelldomäne ist, führen Sie die Migration von Benutzern auf Organisationseinheitbasis durch.
Wenn die Organisationseinheitsstrukturen nicht gleich sind, wählen Sie ein alternatives Verfahren
zur Gruppierung von Benutzern auf der Grundlage der Struktur Ihrer Organisation. Beispielsweise
können Sie Benutzer nach Geschäftseinheiten oder Etagen migrieren, um eine Konsolidierung
der Helpdeskressourcen zu erreichen.
Wenn Sie die Organisationseinheitsstruktur der Quelldomäne beibehalten möchten, migrieren Sie
die Organisationseinheiten zusammen mit den in ihnen enthaltenen Benutzern. Wenn es sich bei
Ihrer Quelldomäne z. B. um eine Windows Server 2003 Active Directory-Umgebung mit intakter
Organisationseinheitsstruktur handelt und die Zieldomäne keine Organisationseinheitsstruktur
aufweist, migrieren Sie die Organisationseinheiten aus der Quelldomäne.
Wenn Sie eine neue Organisationseinheitsstruktur in der Zieldomäne erstellt haben, migrieren
Sie Lose von Benutzern ohne die Organisationseinheiten. Wenn es sich bei Ihrer Quellumgebung
beispielsweise um eine Windows NT 4.0-Domäne handelt, für die Sie ein Upgrade auf eine
Windows Server 2003-Domäne durchgeführt haben, wies die Quelldomäne möglicherweise keine
Organisationseinheitsstruktur auf; daher können Sie Benutzer ohne Migration der
Organisationseinheiten migrieren.
Weitere Informationen zum Erstellen einer Organisationseinheitsstruktur finden Sie unter
"Entwerfen von Organisationseinheiten für die Delegierung der Verwaltung"
(http://go.microsoft.com/fwlink/?LinkId=76628) (englischsprachig).
Führen Sie die Verwaltung der Mitgliedschaft in globalen Gruppen bis zum Abschluss der
Migration aller Benutzer- und Gruppenkonten weiterhin in der Quelldomäne aus. Wenn Sie eine
Rollbackstrategie unterstützen möchten, synchronisieren Sie alle Änderungen, die Sie an
Benutzern in der Zieldomäne vornehmen, manuell mit den vorhandenen Benutzerkonten in der
Quelldomäne. Weitere Informationen zur Verwaltung von Benutzern und Gruppen während des
Umstrukturierungsprozesses zwischen Gesamtstrukturen finden Sie unter Verwalten von
Benutzern, Gruppen und Benutzerprofilen, weiter oben in diesem Handbuch.
Wenn Sie Organisationseinheiten zusammen mit der Migration von Benutzerkonten migrieren,
migrieren Sie zu den betreffenden Organisationseinheiten gehörenden Gruppen während des
Migrationsprozesses der Benutzerkonten in die Organisationseinheit der Zieldomäne. Wenn Sie
globale Gruppen mithilfe des Migrationprozesses für globale Gruppen migrieren, werden diese in
der Zieldomäne in der Zielorganisationseinheit platziert. Wenn Sie Organisationseinheiten aus
der Quelldomäne in die Zieldomäne migrieren, aktivieren Sie die Option zum gleichzeitigen
Verschieben der globalen Gruppe in die Zieldomäne. Auf diese Weise werden die Gruppen aus

102
der Zielorganisationseinheit, in der sie während der ursprünglichen Migration globaler Gruppen
platziert wurden, in die Organisationseinheit verschoben, in die sie gehören.
Bei der Verwendung von ADMT zum Migrieren von Benutzerkonten bleibt die
Gruppenmitgliedschaft erhalten. Da globale Gruppen nur Mitglieder aus der Domäne enthalten
können, in der sich die Gruppe befindet, können die Benutzerkonten in der Zieldomäne beim
Migrieren zu einer neuen Domäne nicht Mitglieder der globalen Gruppen in der Quelldomäne
sein. Im Rahmen des Migrationsprozesses identifiziert ADMT die globalen Gruppen in der
Quelldomäne, zu denen die Benutzerkonten gehören, und stellt dann fest, ob die globalen
Gruppen migriert wurden. Wenn ADMT globale Gruppen in der Zieldomäne identifiziert, denen die
migrierten Benutzer in der Quelldomäne angehört haben, fügt das Programm die Benutzer den
entsprechenden globalen Gruppen in der Zieldomäne hinzu.
Bei der Verwendung von ADMT zum Migrieren von Benutzerkonten bleiben außerdem
Benutzerkennwörter erhalten. Nachdem die Benutzerkonten in die Zieldomäne migriert und
aktiviert wurden, können sich die Benutzer mithilfe ihrer ursprünglichen Kennwörter in der
Zieldomäne anmelden. Nach der Anmeldung werden die Benutzer aufgefordert, das Kennwort zu
ändern.
Wenn der Migrationsprozess für das Benutzerkonto erfolgreich ist, die Kennwortmigration jedoch
fehlschlägt, erstellt ADMT ein neues komplexes Kennwort für das Benutzerkonto in der
Zieldomäne. Standardmäßig speichert ADMT neue komplexe Kennwörter in der Datei
C:\Programme\Active Directory Migration Tool\Logs\Password.txt.
Wenn in der Zieldomäne eine Gruppenrichtlinieneinstellung aktiv ist, die keine leeren Kennwörter
zulässt (die Einstellung
Standarddomänenrichtlinie/Computerkonfiguration/Sicherheitseinstellungen/Kontorichtlin
ien/Kennwortrichtlinie/Minimale Kennwortlänge ist auf einen anderen Wert als "Null"
festgelegt), schlägt die Migration von Kennwörtern für alle Benutzer mit leerem Kennwort fehl.
ADMT erstellt ein komplexes Kennwort für den betreffenden Benutzer und schreibt einen Fehler
in der Fehlerprotokoll.
Richten Sie ein Verfahren zum Benachrichtigen von Benutzern ein, denen neue Kennwörter
zugewiesen wurden. Beispielsweise können Sie ein Skript erstellen, durch dessen Ausführung
Benutzer eine E-Mail-Nachricht mit ihren neuen Kennwörtern erhalten.
In der folgenden Abbildung sind die an der Migration von Konten beteiligten Schritte dargestellt,
wenn Sie für den Ressourcenzugriff den SID-Verlauf verwenden.

103
Migrieren von verwalteten Dienstkonten
Ein verwaltetes Dienstkonto ist ein Domänenkontoobjekt, das im Active Directory-Schema von
Windows Server 2008 R2 verfügbar ist. Ein verwaltetes Dienstkonto kann auf Computern
installiert werden, auf denen Windows 7 oder Windows Server 2008 R2 ausgeführt wird. Nur
ADMT v3.2 kann verwaltete Dienstkonten migrieren.
Das Ermitteln und Migrieren verwalteter Dienstkonten mithilfe von ADMT v3.2 erfolgt in zwei
Schritten:
1. Verwenden Sie den Assistenten zum Migrieren von verwalteten Dienstkonten oder das
Befehlszeilenprogramm admt managedserviceaccount, um verwaltete Dienstkonten wie in
diesem Thema beschrieben in die Zieldomäne zu migrieren.
2. Verwenden Sie den Computermigrations-Assistenten oder das Befehlszeilenprogramm
admt computer, um die Computer zu migrieren, auf denen die verwalteten Dienstkonten
gehostet sind. Weitere Informationen über das Migrieren von Computern bei einer Migration
zwischen Gesamtstrukturen finden Sie unter Erneute losweise Migration von Benutzerkonten
und Migration von Arbeitsstationen. Weitere Informationen über das Migrieren von

104
Computern bei einer Migration innerhalb einer Gesamtstruktur finden Sie unter Migrieren von
Arbeitsstationen und Mitgliedsservern.
Die verwalteten Dienstkonten, die im vorherigen Schritt migriert und ursprünglich auf den
migrierten Computern installiert wurden, werden bei der Computermigration identifiziert. Nach
Abschluss der Computermigration werden die verwalteten Dienstkonten erneut auf dem
Computer in der Zieldomäne installiert (sofern nicht eine Anforderung vorliegt, diese zu
überspringen). Wenn Sie eine Sicherheitskonvertierung auf den Mitgliedsservern ausgeführt
haben, die über Ressourcen verfügen, den verwalteten Dienstkonten Berechtigungen zu
erteilen, verfügen die Konten in der Zieldomäne über dieselben Berechtigungen für den
Ressourcenzugriff wie in der Quelldomäne.

Wichtig

Bei der Migration verwalteter Dienstkonten zwischen Domänen in derselben


Gesamtstruktur müssen Sie auf den Mitgliedsservern in der Quelldomäne, die über
Ressourcen verfügen, den verwalteten Dienstkonten Berechtigungen zu erteilen, die
Sicherheitskonvertierung ausführen. Bei einer Migration innerhalb einer
Gesamtstruktur ist eine Sicherheitskonvertierung normalerweise nicht erforderlich, da
die SID mit dem Konto verschoben wird. Verwaltete Dienstkonten, die zwischen
Domänen innerhalb einer Gesamtstruktur migriert werden, werden kopiert. In der
Zieldomäne wird ein neues Konto erstellt, und die Kontoeigenschaften (mit
Ausnahme der SID) werden aus der Quelldomäne kopiert. Aus diesem Grund muss
die Sicherheitskonvertierung ausgeführt werden.
Wenn die Ressourcen in der Quelldomäne, die dem verwalteten Dienstkonto
Berechtigungen erteilen, auf demselben Computer gehostet werden wie das
verwaltete Dienstkonto, empfiehlt es sich, die Sicherheitskonvertierung für die
entsprechenden Ressourcen (Dateien und Ordner, lokale Gruppen usw.) auf der
Seite Objekte konvertieren im Computermigrations-Assistenten auszuwählen.
Wenn sich die Ressourcen auf anderen Computern befinden, die nicht migriert
werden, müssen Sie auf diesen Computern den Sicherheitskonvertierungs-
Assistenten ausführen und auf der Seite Optionen für die
Sicherheitskonvertierung die Option Zuvor migrierte Objekte auswählen oder die
MSA-Konten explizit in einer SID-Zuordnungsdatei bereitstellen. Weitere
Informationen zur Sicherheitskonvertierung finden Sie unter Konvertieren der
Sicherheit auf Mitgliedsservern.

So werden verwaltete Dienstkonten mit ADMT-Snap-In migriert

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Klicken Sie im ADMT-Snap-In auf Vorgang, und klicken Sie dann auf Assistent zum
Migrieren von verwalteten Dienstkonten.
3. Führen Sie den Assistenten zum Migrieren von verwalteten Dienstkonten mit den
Informationen aus der folgenden Tabelle aus.

105
106
Seite des Assistenten Vorgang

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Quelldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Geben Sie unter Ziel in der Dropdownliste
Domäne den NetBIOS- oder DNS-Namen
der Zieldomäne an. Geben Sie in der
Dropdownliste Domänencontroller den
Namen des Domänencontrollers an, oder
wählen Sie einenbeliebigen
Domänencontroller aus, und klicken Sie
auf Weiter.

107
Seite des Assistenten Vorgang

Option für die Auswahl verwalteter Klicken Sie auf Verwaltete Dienstkonten
Dienstkonten aus Domäne auswählen, um verwaltete
Dienstkonten entweder mithilfe des
Dialogfelds für die Objektauswahl oder
mittels einer Includedatei aus der Domäne
zu migrieren. Diese Option eignet sich
optimal, wenn alle verwalteten
Dienstkonten aus der Quelldomäne
migriert werden sollen.
Oder
Klicken Sie auf Computer für die Abfrage
nach installierten verwalteten
Dienstkonten angeben, und klicken Sie
dann auf Weiter. Klicken Sie auf der Seite
Auswahl verwalteter Dienstkonten auf
Hinzufügen, um die Computerkonten in
der Quelldomäne auszuwählen, die Sie
nach verwalteten Dienstkonten abfragen
möchten, klicken Sie auf OK und dann auf
Weiter. Diese Option bietet sich bevorzugt
an, wenn nur verwaltete Dienstkonten
migriert werden sollen, die auf bestimmten
Computern installiert sind. Auf jedem von
Ihnen angegebene Computer können
mehrere verwaltete Dienstkonten installiert
sein.
Sie können diese beiden Optionen auch
miteinander kombinieren, indem Sie sich
im Assistenten zurück und wieder vorwärts
bewegen. So können Sie z. B. Computer
angeben, die abgefragt werden sollen, und
die auf diesen Computern installierten
verwalteten Dienstkonten dann der Liste
der Konten hinzufügen, die migriert werden
sollen. Anschließend können Sie im
Assistenten auf Zurück klicken, um wieder
auf diese Seite zurückzukehren und
weitere verwaltete Dienstkonten aus der
Domäne oder aus einer Includedatei
auswählen.

108
Seite des Assistenten Vorgang

Option für die Auswahl verwalteter Klicken Sie auf Verwaltete Dienstkonten
Dienstkonten aus Domäne auswählen, und klicken Sie
Diese Seite wird nur dann angezeigt, dann auf Weiter. Klicken Sie auf der Seite
wenn Sie verwaltete Dienstkonten aus Auswahl verwalteter Dienstkonten auf
der Domäne auswählen. Hinzufügen, um die Konten in der
Quelldomäne auszuwählen, die Sie
migrieren möchten, klicken Sie auf OK,
und klicken Sie dann auf Weiter.
Oder
Klicken Sie auf Objekte aus Includedatei
lesen und anschließend auf Weiter. Geben
Sie den Speicherort der Includedatei ein,
und klicken Sie auf Weiter.

Auswahl der Organisationseinheit Klicken Sie auf Durchsuchen, um einen


Speicherort für die migrierten Konten
anzugeben, und klicken Sie anschließend
auf Weiter.

Optionen für verwaltete Dienstkonten Aktivieren Sie das Kontrollkästchen


Kontenrechte aktualisieren.
Aktivieren Sie das Kontrollkästchen
Gruppenmitgliedschaften der Konten
korrigieren.
Wenn das Konto in eine andere
Gesamtstruktur migriert wird, aktivieren Sie
das Kontrollkästchen Konto-SIDs in
Zieldomäne migrieren. Diese Option ist
bei einer Migration innerhalb einer
Gesamtstruktur nicht verfügbar.
Klicken Sie auf Weiter. Geben Sie den
Benutzernamen, das Kennwort und die
Domäne eines Kontos ein, das
administrative Anmeldeinformationen in der
Quelldomäne besitzt, und klicken Sie dann
auf Weiter.

Fertigstellen des Assistenten Überprüfen Sie Ihre Auswahl, und klicken


Sie dann auf Fertig stellen.

4. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll
anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler.

109
5. Starten Sie Active Directory-Benutzer und -Computer, und überprüfen Sie dann, ob
die verwalteten Dienstkonten in der entsprechenden Organisationseinheit in der
Zieldomäne vorhanden sind.

So migrieren Sie verwaltete Dienstkonten mithilfe der ADMT-Befehlszeilenoption

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie
dann die EINGABETASTE:
ADMT MANAGEDSERVICEACCOUNT /N "<Verwaltetes_Dienstkonto1_Name>"
"<Verwaltetes_Dienstkonto2_Name>" /IF:NO /SD:"<Quelldomäne>" /TD:"<Zieldomäne>"
/UUR:YES /FGM:YES /MSS:YES

Dabei stehen <Verwaltetes_Dienstkonto1_Name> und <Verwaltetes_Dienstkonto2_Name> für


die Namen der verwalteten Dienstkonten in der Quelldomäne.
Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT MANAGEDSERVICEACCOUNT /N "<Verwaltetes_Dienstkonto1_Name>"
"<Verwaltetes_Dienstkonto2_Name>" /O:"<Optionsdatei>.txt"

Die folgende Tabelle enthält die allgemeinen Parameter für das Migrieren von
verwalteten Dienstkonten zusammen mit dem jeweiligen Befehlszeilenparameter und
dem entsprechenden Äquivalent in der Optionsdatei.

110
Werte Befehlszeilensyntax Optionsdateisyntax

Migration zwischen /IF:No Intraforest=No


Gesamtstrukturen

<Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne"

<Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne"

Kontenrechte aktualisieren /UUR:Yes UpdateUserRights=Yes

Gruppenmitgliedschaften der /FGM:Yes FixGroupMembership=Yes


Konten aktualisieren

Migrieren von Konten-SIDs /MSS:Yes MigrateSIDs=Yes

Hinweis
SIDs für verwaltete
Dienstkonten
können Sie nur
zwischen
Gesamtstrukturen
migrieren. Wenn
Sie diesen
Parameter bei
einer Migration
innerhalb einer
Gesamtstruktur
verwenden, wird
ein Fehler
angezeigt.

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.

Bei verwalteten Dienstkonten, die auf Mitgliedscomputern in der Quelldomäne gehostet sind,
können Sie den Mitgliedscomputer beim Ausführen einer Computermigration mit einbeziehen. Die
verwalteten Dienstkonten werden dann auf dem Mitgliedscomputer in der Zieldomäne installiert,
nachdem der Computer migriert wurde.

Migrieren aller Benutzerkonten


Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Beginnen Sie den Vorgang zur Migration von Benutzerkonten, indem Sie alle Benutzer migrieren.
Auf diese Weise werden Sie bei der Konvertierung lokaler Profile unterstützt. Außerdem wird
sichergestellt, dass Benutzer nach der Migration auch weiterhin über ordnungsgemäßen
Ressourcenzugriff verfügen.

111
Hinweis

Integrierte Konten (z. B. Administratoren, Benutzer und Hauptbenutzer) können keine


Migrationsobjekte des Active Directory-Migrationsprogramms (Active Directory Migration
Tool, ADMT) sein. Da integrierte Kontosicherheitskennungen (Security Identifiers, SIDs)
in jeder Domäne identisch sind, führt die Migration dieser Konten in eine Zieldomäne zu
doppelt vorhandenen Sicherheitskennungen in einer Domäne. Jede Sicherheitskennung
in einer Domäne muss eindeutig sein. Bekannte Konten (z. B. Domänen-Admins und
Domänenbenutzer) können ebenfalls keine ADMT-Migrationsobjekte sein.
Der ADMT-Vorgang zur Benutzerkontenmigration umfasst die folgenden Schritte:
1. ADMT liest die Attribute der Quellbenutzerobjekte.
2. ADMT erstellt ein neues Benutzerobjekt in der Zieldomäne und eine neue primäre
Sicherheitskennung für das neue Benutzerkonto.
3. ADMT fügt die ursprüngliche Sicherheitskennung des Benutzerkontos dem Attribut SID-
Verlauf des neuen Benutzerkontos hinzu.
4. ADMT migriert das Kennwort für das Benutzerkonto.
5. Wenn ADMT globale Gruppen in der Zieldomäne identifiziert, denen die migrierten
Benutzer in der Quelldomäne angehört haben, fügt das Programm die Benutzer den
entsprechenden globalen Gruppen in der Zieldomäne hinzu.
Während der Migration werden Überwachungsereignisse in den Quell- und Zieldomänen
protokolliert.
Sie können Benutzerkonten mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption oder
eines Skripts migrieren. Wenn Sie Benutzerkonten migrieren, bei denen AMA (Authentication
Mechanism Assurance, Sicheres Authentifizierungsverfahren) aktiviert ist, verwenden Sie eine
Includedatei. Geben Sie in der Includedatei die ursprünglichen UPNs (User Principal Names) aus
der Quelldomäne als Ziel-UPNs an, damit AMA funktioniert. Weitere Informationen dazu finden
Sie unter Verwenden einer Includedatei.

Wichtig

Wenn Sie eine Benutzermigration mit SID-Verlauf per Befehlszeile oder Skript starten,
müssen Sie die Migration auf einem Domänencontroller in der Zieldomäne ausführen.

So migrieren Sie das aktuelle Los von Benutzerkonten mithilfe des ADMT-Snap-Ins

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Verwenden Sie den Assistenten zum Migrieren von Benutzerkonten, und führen Sie
die in der folgenden Tabelle beschriebenen Schritte aus.

112
Seite des Assistenten Vorgang

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Quelldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Geben Sie unter Ziel in der Dropdownliste
Domäne den NetBIOS- oder DNS-Namen
der Zieldomäne an. Geben Sie in der
Dropdownliste Domänencontroller den
Namen des Domänencontrollers an, oder
wählen Sie einenbeliebigen
Domänencontroller aus, und klicken Sie
auf Weiter.

Benutzerauswahl Klicken Sie auf Benutzer aus Domäne


auswählen, und klicken Sie dann auf
Weiter. Klicken Sie auf der Seite
Benutzerauswahl auf Hinzufügen, um
die Benutzer in der Quelldomäne
auszuwählen, die Sie im aktuellen Los
migrieren möchten, klicken Sie auf OK
und dann auf Weiter.
Oder
Klicken Sie auf Objekte aus Includedatei
lesen und anschließend auf Weiter.
Geben Sie den Speicherort der
Includedatei ein, und klicken Sie auf
Weiter.

Auswahl der Organisationseinheit Stellen Sie sicher, dass in ADMT die


richtige Zielorganisationseinheit
aufgelistet wird. Falls es sich nicht um die
richtige Organisationseinheit handelt,
geben Sie diese ein, oder klicken Sie auf
Durchsuchen.
Suchen Sie im Dialogfeld Container
suchen nach der Zieldomäne und
-organisationseinheit, und klicken Sie
dann auf OK.

113
Seite des Assistenten Vorgang

Kennwortoptionen Klicken Sie auf Kennwörter für


vorhandene Benutzer nicht
aktualisieren.
Klicken Sie auf Komplexe Kennwörter
generieren.

Optionen für die Kontoaktualisierung Klicken Sie unter Zielkontenstatus: auf


Zielkonten deaktivieren.
Klicken Sie unter Optionen zum
Deaktivieren des Quellkontos: auf Tage
bis zum Ablaufen der Quellkonten:, und
geben Sie dann die Anzahl der Tage ein,
für die Sie die Quellkonten beibehalten
möchten. Normalerweise wird der Wert 7
verwendet.
Aktivieren Sie das Kontrollkästchen
Benutzer-SIDs zur Zieldomäne
migrieren.

Benutzerkonto Geben Sie den Benutzernamen, das


Kennwort und die Domäne eines
Benutzerkontos ein, das über
administrative Anmeldeinformationen in
der Quelldomäne verfügt.

Benutzeroptionen Aktivieren Sie das Kontrollkästchen


Servergespeicherte Profile
konvertieren.
Deaktivieren Sie das Kontrollkästchen
Benutzerrechte aktualisieren.
Deaktivieren Sie das Kontrollkästchen
Zugeordnete Benutzergruppen
migrieren.
Aktivieren Sie das Kontrollkästchen
Gruppenmitgliedschaften der Benutzer
korrigieren.

Objekteigenschaftsausnahme Deaktivieren Sie das Kontrollkästchen


Bestimmte Objekteigenschaften von
der Migration ausschließen.

114
Seite des Assistenten Vorgang

Konfliktverwaltung Klicken Sie auf Quellobjekt nicht


migrieren, wenn in der Zieldomäne ein
Konflikt ermittelt wird.
Stellen Sie sicher, dass die
Kontrollkästchen Vor dem
Zusammenführen Benutzerrechte für
vorhandene Zielkonten entfernen und
Zusammengeführte Objekte in die
angegebene Zielorganisationseinheit
verschieben nicht aktiviert sind.

3. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll
anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler.
4. Starten Sie Active Directory-Benutzer und -Computer, und überprüfen Sie, ob die
Benutzerkonten in der entsprechenden Organisationseinheit in der Zieldomäne
vorhanden sind.

So migrieren Sie Benutzerkonten mithilfe der ADMT-Befehlszeilenoption

1. Melden Sie sich auf einen Domänencontroller in der Zieldomäne, auf dem ADMT
installiert ist, mithilfe des ADMT-Migrationskontos an.

Wichtig
Wenn Sie eine Benutzermigration mit SID-Verlauf per Befehlszeile starten,
müssen Sie die Migration auf einem Domänencontroller in der Zieldomäne
ausführen.
2. Geben Sie den Befehl ADMT User mit den entsprechenden Parametern in der
Befehlszeile ein, und drücken Sie dann die EINGABETASTE.
ADMT USER /N "<Benutzername1>" "<Benutzername2>" /SD:" <Quelldomäne>" /TD:"
<Zieldomäne>" /TO:"<Zielorganisationseinheit>" /MSS:YES /TRP:YES /UUR:NO

Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT USER /N "<Benutzername1>" "<Benutzername2>" /O "<Optionsdatei>.txt"

In der folgenden Tabelle sind die allgemeinen Parameter zum Migrieren von
Benutzerkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und
dem entsprechenden Äquivalent in der Optionsdatei.

115
Parameter Befehlszeilensyntax Optionsdateisyntax

<Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne"

<Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne"

<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
it"

Migrieren von SIDs /MSS:YES MigrateSIDs=YES

Deaktivierungsoption /DOT:DISABLETARGET DISABLEOPTION=DISABLETARGET

Ablaufdatum der Quelle /SEP:7 SOURCEEXPIRATION=7

Konfliktverwaltung /CO:IGNORE (Standard) ConflictOptions=IGNORE

Servergespeichertes /TRP:YES (Standard) TranslateRoamingProfile=YES


Profil konvertieren

Benutzerrechte /UUR:NO UpdateUserRights=NO


aktualisieren

Kennwortoptionen /PO:COMPLEX PasswordOption=COMPLEX

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die
Zielorganisationseinheit. Vergewissern Sie sich, dass die Benutzer in der
Zielorganisationseinheit vorhanden sind.

So migrieren Sie Benutzerkonten mithilfe eines Skripts

• Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle
und -Optionen zur Migration von Benutzern enthält. Kopieren Sie das Skript in Notepad,
und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie
die Datei „AdmtConstants.vbs“.
Geben Sie in Ihrem Skript die Namen der Quell- und Zielcontainer im relativen
kanonischen Format an. Wenn der Container z. B. eine untergeordnete
Organisationseinheit namens Vertrieb ist und die übergeordnete Organisationseinheit
West heißt, geben Sie West/Vertrieb als Containernamen an. Weitere Informationen
finden Sie unter TemplateScripts.vbs im ADMT-Installationsordner.
<Job id=" MigratingAllUserAccountsBetweenForests" >

<Script language="VBScript" src="AdmtConstants.vbs" />

<Script language="VBScript" >

Option Explicit

116
Dim objMigration

Dim objUserMigration

'

'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte.

'

Set objMigration = CreateObject("ADMT.Migration" )

Set objUserMigration = objMigration.CreateUserMigration

'

'Geben Sie die allgemeinen Migrationsoptionen an.

'

objMigration.SourceDomain = "Quelldomäne"

objMigration.SourceOu = "Quellcontainer"

objMigration.TargetDomain = "Zieldomäne"

objMigration.TargetOu = "Zielcontainer"

objMigration.PasswordOption = admtComplexPassword

objMigration.ConflictOptions = admtIgnoreConflicting

'

'Geben Sie die spezifischen Optionen der Benutzermigration an.

'

objUserMigration.MigrateSIDs = True

objUserMigration.TranslateRoamingProfile = True

objUserMigration.UpdateUserRights = False

objUserMigration.FixGroupMembership = True

objUserMigration.MigrateServiceAccounts = False

'

'Migrate specified user objects.

'

117
objUserMigration.Migrate admtData, Array("Benutzername1" ,
"Benutzername2" )

Set objUserMigration = Nothing

Set objMigration = Nothing

</Script>

</Job>

Erneute losweise Migration von


Benutzerkonten und Migration von
Arbeitsstationen
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Die erneute Migration von Benutzerkonten und Arbeitsstationen in Losen unterstützt Sie beim
Nachverfolgen des Migrationsprozesses. Konvertieren Sie für jedes Los von Benutzern zuerst die
lokalen Benutzerprofile, und migrieren Sie dann die Arbeitsstationen. Überprüfen Sie, ob die
Migration von Profilen und Arbeitsstationen erfolgreich war, und migrieren Sie dann die
Benutzerkonten. Führen Sie nach jedem Los eine erneute Migration von globalen Gruppen durch.
Weitere Informationen finden Sie unter Erneute Migration aller globalen Gruppen nach der
Migration aller Lose weiter unten in diesem Handbuch.

Konvertieren lokaler Benutzerprofile


Mit dem Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) werden
Profile für unterstützte Computermigrationsobjekte konvertiert. Eine Liste mit Informationen,
welche Betriebssysteme für Computermigrationsobjekte für die verschiedenen Versionen von
ADMT unterstützt werden, finden Sie unter Versionen vom Active Directory-Migrationsprogramm
und unterstützte Umgebungen.
Benutzerprofile werden lokal auf der Arbeitsstation gespeichert. Wenn sich ein Benutzer bei einer
anderen Arbeitsstation anmeldet, muss er oder sie ein neues, eindeutiges lokales Benutzerprofil
erstellen. Konvertieren Sie die lokalen Benutzerprofile für das erste Los von Benutzern
unmittelbar nach dem Migrieren aller Benutzerkonten.
Lokale Profile werden im Ersetzen-Modus konvertiert, denn bei einer Konvertierung im
Hinzufügen-Modus besteht die Gefahr, dass bestimmte Aspekte von Softwareinstallationen, die
Softwarebereitstellung mithilfe von Gruppenrichtlinien verwenden, nicht funktionieren. Alle
Anwendungen, die mit der Windows Installer-Version 2.0 (die auf Arbeitsstationen, die
Windows 2000 Server Service Pack 3 (SP3) oder Service Pack 4 (SP4) und Windows XP Service
118
Pack 1 (SP1) oder Service Pack 2 (SP2) ausführen, sowie in vielen weit verbreiteten
Softwarepaketen vorhanden ist) verpackt wurden, funktionieren möglicherweise nach dem
Konvertieren des Profils nicht. Beispielsweise werden möglicherweise die
Anwendungsprogrammdateien nicht entfernt, nachdem der letzte Benutzer die Anwendung
entfernt hat. Wenn der ADMT-Sicherheitskonvertierungs-Assistent lokale Profile im Ersetzen-
Modus konvertiert, kehrt er in den Hinzufügen-Modus zurück, wenn ein Profil gesperrt ist. Dies
kann zu einer erfolgreichen Profilkonvertierung führen. Möglicherweise funktioniert die Installation
von Anwendungen nach dem Konvertieren des Profils jedoch nicht.

Hinweis

Konvertieren Sie die lokalen Benutzerprofile in der Nacht, bevor Sie die Benutzer
auffordern, sich mithilfe ihrer neuen Konten in der Zieldomäne anzumelden. Das
Konvertieren von Profilen in vorhergehenden Nacht stellt sicher, dass das neue
Benutzerprofil die aktuellsten Benutzereinstellungen enthält.
Sie können lokale Benutzerprofile mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption
oder eines Skripts konvertieren.

So konvertieren Sie lokale Benutzerprofile mithilfe des ADMT-Snap-Ins

1. Fügen Sie für jede Arbeitsstation in der Quelldomäne, die Sie migrieren, das ADMT-
Ressourcenmigrationskonto zur lokalen Administratorgruppe hinzu.
2. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
3. Verwenden Sie den Sicherheitskonvertierungs-Assistenten, indem Sie die in der
folgenden Tabelle beschriebenen Schritte ausführen.

119
Seite des Assistenten Vorgang

Optionen für die Klicken Sie auf Zuvor migrierte Objekte.


Sicherheitskonvertierung

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Quelldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Geben Sie unter Ziel in der Dropdownliste
Domäne den NetBIOS- oder DNS-Namen
der Zieldomäne an. Geben Sie in der
Dropdownliste Domänencontroller den
Namen des Domänencontrollers an, oder
wählen Sie einenbeliebigen
Domänencontroller aus, und klicken Sie
auf Weiter.

Computerauswahloption Klicken Sie auf Computer aus Domäne


auswählen, und klicken Sie dann auf
Weiter. Klicken Sie auf der Seite
Computerauswahl auf Hinzufügen, um
die Computer in der Quelldomäne
auszuwählen, für die Sie die Sicherheit
konvertieren möchten, klicken Sie auf OK,
und klicken Sie dann auf Weiter.
Oder
Klicken Sie auf Objekte aus Includedatei
lesen und anschließend auf Weiter.
Geben Sie den Speicherort der
Includedatei ein, und klicken Sie auf
Weiter.

Objekte konvertieren Klicken Sie auf Benutzerprofile.

Optionen für die Klicken Sie auf Ersetzen.


Sicherheitskonvertierung

ADMT Agent Wählen Sie Vorüberprüfung und Agent


ausführen aus, und klicken Sie dann auf
Start.

4. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem

120
der Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um
die Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden
Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde,
müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen
Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen
"MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert.

So konvertieren Sie lokale Benutzerprofile mithilfe der ADMT-Befehlszeilenoption

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Geben Sie in der Befehlszeile den Befehl ADMT Security mit den entsprechenden
Parametern ein, und drücken Sie dann die EINGABETASTE.
ADMT SECURITY /N "<Computername1>" "<Computername2>" /SD:" <Quelldomäne>" /TD:"
<Zieldomäne>" /TO:" <Zielorganisationseinheit>" /TOT:Replace /TUP:YES

Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT SECURITY /N "<Computername1>" "<Computername2>" /O "<Optionsdatei>.txt"

In der folgenden Tabelle sind die allgemeinen Parameter zum Migrieren von
Benutzerkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und
dem entsprechenden Äquivalent in der Optionsdatei.

Parameter Befehlszeilensyntax Optionsdateisyntax

<Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne"

<Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne"

Optionen für die /TOT:REPLACE TranslateOption=REPLACE


Sicherheitskonvertierung

Ändern der Sicherheit des /TUP:YES TranslateUserProfiles=YES


lokalen Benutzerprofils

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem
der Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um
die Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden
Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde,
müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen
Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen
"MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert.

So konvertieren Sie lokale Benutzerprofile mithilfe eines Skripts

• Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle

121
und -Optionen zur Konvertierung lokaler Benutzerprofile enthält. Kopieren Sie das Skript
in Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im
gleichen Ordner wie die Datei „AdmtConstants.vbs“.
<Job id=" TranslatingLocalProfilesBetweenForests" >

<Script language="VBScript" src="AdmtConstants.vbs" />

<Script language="VBScript" >

Option Explicit

Dim objMigration

Dim objSecurityTranslation

'

'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte.

'

Set objMigration = CreateObject("ADMT.Migration" )

Set objSecurityTranslation = objMigration.CreateSecurityTranslation

'

'Geben Sie die allgemeinen Migrationsoptionen an.

'

objMigration.SourceDomain = "Quelldomäne"

objMigration.TargetDomain = "Zieldomäne"

objMigration.TargetOu = "Computer"

'

'Geben Sie die spezifischen Optionen der Sicherheitskonvertierung an.

'

objSecurityTranslation.TranslationOption = admtTranslateReplace

objSecurityTranslation.TranslateUserProfiles = True

'

'Führen Sie die Sicherheitskonvertierung für die angegebenen

122
Computerobjekte durch.

'

objSecurityTranslation.Translate admtData, _

Array("Computername1" ,"Computername2" )

Set objSecurityTranslation = Nothing

Set objMigration = Nothing

</Script>

</Job>

Losweise Migrierung von Arbeitsstationen


Migrieren Sie nach der Migration eines Loses von lokalen Benutzerprofilen das entsprechende
Los der Benutzerarbeitsstationen. Wenn Sie eine Arbeitsstation zwischen Domänen migrieren,
wird die SAM-Datenbank (Security Accounts Manager, Sicherheitskonto-Manager) zusammen mit
dem Computer migriert. Konten in der lokalen SAM-Datenbank (z. B. lokale Gruppen), die
verwendet werden, um den Zugriff auf Ressourcen zu ermöglichen, werden immer zusammen mit
dem Computer verschoben. Daher müssen diese Konten nicht migriert werden.
Wenn auf einer Arbeitsstation verwaltete Dienstkonten installiert sind und diese Konten zuvor
migriert wurden, wird von ADMT eine Option zur erneuten Installation des migrierten verwalteten
Dienstkontos auf dem migrierten Computer und zur Aktualisierung des Dienststeuerungs-
Managers (Service Control Manager, SCM) bereitgestellt. Damit dieser Vorgang von ADMT
ausgeführt werden kann, muss das Konto, von dem die Computermigration ausgeführt wird, die
Berechtigung zum Ändern der Sicherheitsbeschreibungen für das migrierte verwaltete
Dienstkonto aufweisen.

Hinweis

Verwenden Sie einen kleinen Wert für den Parameter RestartDelay, um Arbeitsstationen
unmittelbar oder sobald wie möglich nach deren Beitritt zur Zieldomäne erneut zu starten.
Ressourcen, die nach der Migration nicht neu gestartet werden, befinden sich in einem
unbestimmten Zustand.
Sie können Arbeitsstationen und Mitgliedsserver mithilfe des ADMT-Snap-Ins, der ADMT-
Befehlszeilenoption oder eines Skripts konvertieren.

So migrieren Sie Arbeitsstationen mithilfe des ADMT-Snap-Ins

1. Melden Sie sich auf dem Computer in der Zieldomäne, auf dem Sie ADMT installiert
haben, mithilfe des ADMT-Ressourcenmigrationskontos an.
2. Verwenden Sie den Computermigrations-Assistenten, und führen Sie die in der

123
folgenden Tabelle beschriebenen Schritte aus.

124
Seite des Assistenten Vorgang

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Quelldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Geben Sie unter Ziel in der Dropdownliste
Domäne den NetBIOS- oder DNS-Namen
der Zieldomäne an. Geben Sie in der
Dropdownliste Domänencontroller den
Namen des Domänencontrollers an, oder
wählen Sie einenbeliebigen
Domänencontroller aus, und klicken Sie
auf Weiter.

Computerauswahl Klicken Sie auf Computer aus Domäne


auswählen, und klicken Sie dann auf
Weiter. Klicken Sie auf der Seite
Computerauswahl auf Hinzufügen, um
die Computer in der Quelldomäne
auszuwählen, die Sie migrieren möchten,
klicken Sie auf OK und dann auf Weiter.
Oder
Klicken Sie auf Objekte aus Includedatei
lesen und anschließend auf Weiter.
Geben Sie den Speicherort der
Includedatei ein, und klicken Sie auf
Weiter.

Informationen zu verwalteten Wählen Sie alle verwalteten Dienstkonten


Dienstkonten (wird angezeigt, wenn auf aus, die nicht auf dem migrierten
dem Computer ein verwaltetes Computer in der Zieldomäne installiert
Dienstkonto installiert ist) werden sollen, und klicken Sie dann auf
Überspringen/Einbeziehen, um die
Konten mit Überspringen zu
kennzeichnen.

125
Seite des Assistenten Vorgang

Auswahl der Organisationseinheit Klicken Sie auf Durchsuchen.


Suchen Sie im Dialogfeld Container
suchen nach dem Container Computer
der Zieldomäne oder der entsprechenden
Organisationseinheit, und klicken Sie
dann auf OK.

Objekte konvertieren Aktivieren Sie das Kontrollkästchen


Lokale Gruppen.
Aktivieren Sie das Kontrollkästchen
Benutzerrechte.

Optionen für die Klicken Sie auf Hinzufügen.


Sicherheitskonvertierung

Computeroptionen Akzeptieren Sie im Feld Minuten, bis der


Computer nach Beenden des
Assistenten neu gestartet wird den
Standardwert von 5 Minuten, oder geben
Sie einen anderen Wert ein.

Objekteigenschaftsausnahme Wenn Sie bestimmte Objekteigenschaften


von der Migration ausschließen möchten,
aktivieren Sie das Kontrollkästchen
Bestimmte Objekteigenschaften von
der Migration ausschließen, wählen Sie
die Objekteigenschaften aus, die
ausgeschlossen werden sollen,
verschieben Sie diese in
Ausgeschlossene Eigenschaften, und
klicken Sie dann auf Weiter.

Konfliktverwaltung Klicken Sie auf Quellobjekt nicht


migrieren, wenn in der Zieldomäne ein
Konflikt ermittelt wird.

ADMT Agent Wählen Sie Vorüberprüfung und Agent


ausführen aus, und klicken Sie dann auf
Start.

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem
der Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um
die Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden
Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde,
müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen

126
Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen
"MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und vergewissern Sie sich,
dass die Arbeitsstationen in der entsprechenden Organisationseinheit in der Zieldomäne
vorhanden sind.

So migrieren Sie Arbeitsstationen mithilfe der ADMT-Befehlszeilenoption

1. Melden Sie sich auf dem Computer in der Zieldomäne, auf dem ADMT installiert ist,
mithilfe des ADMT-Ressourcenmigrationskontos an.
2. Geben Sie den Befehl ADMT Computer mit den entsprechenden Parametern in der
Befehlszeile ein, und drücken Sie dann die EINGABETASTE.
ADMT COMPUTER /N "<Computername1>" "<Computername2>" /SD:"<Quelldomäne>"
/TD:"<Zieldomäne>" /TO:"<Zielorganisationseinheit>" [/M: “<Name des einzelnen
verwalteten Dienstkontos1>" "<Name des einzelnen verwalteten Dienstkontos 2>"]
[/UALLMSA:Yes] /RDL:5

Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT COMPUTER /N "<Computername1>" "<Computername2>" /O:" <Optionsdatei>.txt"

In der folgenden Tabelle sind die allgemeinen Parameter zur Migration von
Arbeitsstationen aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und
dem entsprechenden Äquivalent in der Optionsdatei.

127
Parameter Befehlszeilensyntax Optionsdateisyntax

<Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne"

<Quellorganisationsein / SourceOU="Quellorganisationsein
heit> Speicherort SO:"Quellorganisationsein heit"
heit"

<Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne"

Aktualisieren aller /UALLMSA: YES UpdateAllManagedServiceAccount


verwalteten s=Yes
Dienstkonten

Aktualisieren der /M "Name 1" "Name 2"… UPDATEMSANAME="Name 1" "Name


angegebenen 2"…
verwalteten
Dienstkonten

Hinweis
Der
Parameter
„/M“ hat
Vorrang vor
dem
Parameter
„/UALLMS
A“.

<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinh eit"
eit"

Neustartverzögerung /RDL:5 RestartDelay=5


(Minuten)

Option für die /TOT:ADD TranslationOption=ADD


Sicherheitskonvertierun
g

Konvertieren von /TUR:YES TranslateUserRights=YES


Benutzerrechten

Konvertieren lokaler /TLG:YES TranslateLocalGroups=YES


Gruppen

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Das
Migrationsprotokoll listet Computer, den Abschlussstatus und den Pfad zur Protokolldatei
für jeden Computer auf. Wenn ein Fehler für einen Computer aufgezeichnet wurde,

128
müssen Sie die Protokolldatei für den betreffenden Computer auf Probleme mit lokalen
Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen
"MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die
Zielorganisationseinheit. Vergewissern Sie sich, dass die Arbeitsstationen und
Mitgliedsserver in der Zielorganisationseinheit vorhanden sind.

So migrieren Sie Arbeitsstationen mithilfe eines Skripts

• Bereiten Sie mithilfe des folgenden Beispielskripts Kopieren Sie das Skript in
Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen
Ordner wie die Datei „AdmtConstants.vbs“. ein Skript vor, das ADMT-Befehle und
-Optionen zur Migration von Arbeitsstationen enthält.
<Job id="MigratingWorkstationsBwtweenForest" >

<Script language="VBScript" src="AdmtConstants.vbs" />

<Script language="VBScript" >

Option Explicit

Dim objMigration

Dim objComputerMigration

'

'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte.

'

Set objMigration = CreateObject("ADMT.Migration" )

Set objComputerMigration = objMigration.CreateComputerMigration

'

'Geben Sie die allgemeinen Migrationsoptionen an.

'

objMigration.SourceDomain = "Quelldomäne"

objMigration.SourceOu = "Computer"

objMigration.TargetDomain = "Zieldomäne"

objMigration.TargetOu = "Computer"

129
'

'Geben Sie die spezifischen Optionen für die Computermigration an.

'

objComputerMigration.RestartDelay = 1

objComputerMigration.TranslationOption = admtTranslateAdd

objComputerMigration.TranslateLocalGroups = True

objComputerMigration.TranslateUserRights = True

objComputerMigration.UpdateAllManagedServiceAccounts = True

'

'Migrieren Sie die Computerobjekte für die angegebenen Computerobjekte.

'

objComputerMigration.Migrate admtData, _

Array("Computername1" ,"Computername2" )

Set objComputerMigration = Nothing

Set objMigration = Nothing

</Script>

</Job>

Erneute losweise Migration von Benutzerkonten


Nachdem Sie den Erfolg der Migration der lokalen Benutzerprofile und Benutzerarbeitsstationen
für das Benutzerlos überprüft haben, migrieren Sie die Benutzerkonten für das entsprechende
Los. Sie können Benutzerkonten losweise mithilfe des ADMT-Snap-Ins, der ADMT-
Befehlszeilenoption oder eines Skripts migrieren.
Sie können Benutzerkonten mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption oder
eines Skripts migrieren. Wenn Sie Benutzerkonten migrieren, bei denen AMA (Authentication
Mechanism Assurance, Sicheres Authentifizierungsverfahren) aktiviert ist, verwenden Sie eine
Includedatei. Geben Sie in der Includedatei die ursprünglichen UPNs (User Principal Names) aus
der Quelldomäne als Ziel-UPNs an, damit AMA funktioniert. Weitere Informationen dazu finden
Sie unter Verwenden einer Includedatei.

130
Wichtig

Wenn Sie eine Benutzermigration mit SID-Verlauf per Befehlszeile oder Skript starten,
müssen Sie die Migration auf einem Domänencontroller in der Zieldomäne ausführen.

So migrieren Sie das aktuelle Los von Benutzerkonten mithilfe des ADMT-Snap-Ins

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Führen Sie den Assistenten zum Migrieren von Benutzerkonten aus, indem Sie die in
der folgenden Tabelle beschriebenen Schritte ausführen.

131
Seite des Assistenten Vorgang

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Quelldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Geben Sie unter Ziel in der Dropdownliste
Domäne den NetBIOS- oder DNS-Namen
der Zieldomäne an. Geben Sie in der
Dropdownliste Domänencontroller den
Namen des Domänencontrollers an, oder
wählen Sie einenbeliebigen
Domänencontroller aus, und klicken Sie auf
Weiter.

Benutzerauswahl Klicken Sie auf Benutzer aus Domäne


auswählen, und klicken Sie dann auf
Weiter. Klicken Sie auf der Seite
Benutzerauswahl auf Hinzufügen, um die
Benutzer in der Quelldomäne
auszuwählen, die Sie im aktuellen Los
migrieren möchten, klicken Sie auf OK und
dann auf Weiter.
Oder
Klicken Sie auf Objekte aus Includedatei
lesen und anschließend auf Weiter. Geben
Sie den Speicherort der Includedatei ein,
und klicken Sie auf Weiter.

Auswahl der Organisationseinheit Stellen Sie sicher, dass in ADMT die


richtige Zielorganisationseinheit aufgelistet
wird. Falls es sich nicht um die richtige
Organisationseinheit handelt, geben Sie
diese ein, oder klicken Sie auf
Durchsuchen.
Suchen Sie im Dialogfeld Container
suchen nach der Zieldomäne und
-organisationseinheit, und klicken Sie dann
auf OK.

132
Seite des Assistenten Vorgang

Kennwortoptionen Klicken Sie auf Kennwörter migrieren.


Geben Sie unter Quelldomänencontroller
für die Kennwortmigration: den Namen
des die Kennwörter exportierenden Servers
ein, oder übernehmen Sie den
Standardwert.

Optionen für die Kontoaktualisierung Klicken Sie unter Zielkontenstatus: auf


Zielkonten aktivieren.
Klicken Sie unter Optionen zum
Deaktivieren des Quellkontos: auf Tage
bis zum Ablaufen der Quellkonten:, und
geben Sie dann die Anzahl der Tage ein,
für die Sie die Quellkonten beibehalten
möchten. Normalerweise wird der Wert 7
verwendet.
Aktivieren Sie das Kontrollkästchen
Benutzer-SIDs zur Zieldomäne
migrieren.

Benutzerkonto Geben Sie den Benutzernamen, das


Kennwort und die Domäne eines Kontos
mit Administratoranmeldeinformationen ein.

Benutzeroptionen Aktivieren Sie das Kontrollkästchen


Servergespeicherte Profile konvertieren.
Aktivieren Sie das Kontrollkästchen
Benutzerrechte aktualisieren.
Deaktivieren Sie das Kontrollkästchen
Zugeordnete Benutzergruppen
migrieren.
Aktivieren Sie das Kontrollkästchen
Gruppenmitgliedschaften der Benutzer
korrigieren.

Objekteigenschaftsausnahme Deaktivieren Sie das Kontrollkästchen


Bestimmte Objekteigenschaften von der
Migration ausschließen.

133
Seite des Assistenten Vorgang

Konfliktverwaltung Aktivieren Sie das Kontrollkästchen In


Konflikt stehende Objekte migrieren und
zusammenführen.
Deaktivieren Sie das Kontrollkästchen Vor
dem Zusammenführen Benutzerrechte
für vorhandene Zielkonten entfernen.
Deaktivieren Sie das Kontrollkästchen
Zusammengeführte Objekte in die
angegebene Zielorganisationseinheit
verschieben.

3. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll
anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und überprüfen Sie, ob die
Benutzerkonten in der entsprechenden Organisationseinheit in der Zieldomäne
vorhanden sind.

So migrieren Sie das aktuelle Los von Benutzern mithilfe der ADMT-Befehlszeilenoption

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Geben Sie den Befehl ADMT User mit den entsprechenden Parametern in der
Befehlszeile ein, und drücken Sie dann die EINGABETASTE.
ADMT USER /N "<Benutzername1>" "<Benutzername2>" /SD:" <Quelldomäne>" /TD:"
<Zieldomäne>" /TO:" <Zielorganisationseinheit>" /MSS:YES /TRP:YES /UUR:YES

Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT USER /N "<Benutzername1>" "<Benutzername2>" /O "<Optionsdatei>.txt"

In der folgenden Tabelle sind die allgemeinen Parameter zum Migrieren von
Benutzerkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und
dem entsprechenden Äquivalent in der Optionsdatei.

134
Parameter Befehlszeilensyntax Optionsdateisyntax

<Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne"

<Quellorganisationsein / SourceOU="Quellorganisationsei
heit> Speicherort SO:"Quellorganisationsein nheit"
heit"

<Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne"

<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
it"

Migrieren von SIDs /MSS:YES MigrateSIDs=YES

Konfliktverwaltung /CO:REPLACE ConflictOptions=REPLACE

Servergespeichertes /TRP:YES (Standard) TranslateRoamingProfile=YES


Profil konvertieren

Benutzerrechte /UUR:YES UpdateUserRights=YES


aktualisieren

Kennwortoptionen /PO:COPY /PS:<Name des PasswordOption=COPY


PES-Servers> PasswordServer=:<Name des
PES-Servers>

Ablaufdatum der Quelle /SEP:7 SourceExpiration=7

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die Ziel-OU.
Vergewissern Sie sich, dass die Benutzer in der Zielorganisationseinheit vorhanden sind.

So migrieren Sie das aktuelle Los von Benutzern mithilfe eines Skripts

• Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle
und -Optionen zur Migration von Benutzern enthält. Kopieren Sie das Skript in Notepad,
und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie
die Datei „AdmtConstants.vbs“.
<Job id="MigratingUserAccountsInBatchesBetweenForests" >

<Script language="VBScript" src="AdmtConstants.vbs" />

<Script language="VBScript" >

Option Explicit

Dim objMigration

Dim objUserMigration

135
'

'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte.

'

Set objMigration = CreateObject("ADMT.Migration" )

Set objUserMigration = objMigration.CreateUserMigration

'

'Geben Sie die allgemeinen Migrationsoptionen an.

'

objMigration.SourceDomain = "Quelldomäne"

objMigration.SourceOu = "Quellcontainer"

objMigration.TargetDomain = "Zieldomäne"

objMigration.TargetOu = "Zielcontainer"

objMigration.PasswordOption = admtCopyPassword

objMigration.PasswordServer = "Name des Kennwortexportservers"

objMigration.ConflictOptions = admtReplaceConflicting

'

'Geben Sie die spezifischen Optionen der Benutzermigration an.

'

objUserMigration.SourceExpiration = 7

objUserMigration.MigrateSIDs = True

objUserMigration.TranslateRoamingProfile = True

objUserMigration.UpdateUserRights = True

objUserMigration.FixGroupMembership = True

objUserMigration.MigrateServiceAccounts = False

'

'Migrate specified user objects.

'

objUserMigration.Migrate admtData, Array("Benutzername1" ,

136
"Benutzername2" )

Set objUserMigration = Nothing

Set objMigration = Nothing

</Script>

</Job>

Erneute Migration aller globalen Gruppen nach


der Kontenmigration
Eine umfangreiche Benutzerkontenmigration kann sich über einen längeren Zeitraum erstrecken.
Daher kann nach dem Migrieren der einzelnen Benutzerlose die erneute Migration von globalen
Gruppen von der Quell- zur Zieldomäne erforderlich sein, um die an der Gruppenmitgliedschaft in
der Quelldomäne nach dem Stattfinden der ursprünglichen Migration der globalen Gruppen
vorgenommenen Änderungen zu berücksichtigen. Weitere Informationen zur erneuten Migration
globaler Gruppen sowie entsprechende Vorgehensweisen finden Sie unter Erneute Migration
aller globalen Gruppen nach der Migration aller Lose weiter unten in diesem Handbuch.

Erneute Migration aller globalen Gruppen


nach der Migration aller Lose
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Führen Sie nach der Migration aller Lose eine abschließende erneute globale Migration durch,
um sicherzustellen, dass alle Änderungen letzter Hand, die an der globalen
Gruppenmitgliedschaft in der Quelldomäne vorgenommen wurden, in die Zieldomäne
übernommen werden. Sie können die erneute Migration globaler Gruppen mithilfe des ADMT-
Snap-Ins, der ADMT-Befehlszeilenoption oder eines Skripts ausführen.

Wichtig

Wenn Sie eine globale Gruppenmigration mit SID-Verlauf per Befehlszeile oder Skript
starten, müssen Sie die Migration auf einem Domänencontroller in der Zieldomäne
ausführen.

So migrieren Sie globale Gruppen erneut mithilfe des ADMT-Snap-Ins

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Verwenden Sie den Assistenten zum Migrieren von Gruppenkonten, und führen Sie
die in der folgenden Tabelle beschriebenen Schritte aus.

137
Seite des Assistenten Vorgang

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Quelldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Geben Sie unter Ziel in der
Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Zieldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus,
und klicken Sie auf Weiter.

Gruppenauswahl Klicken Sie auf Gruppen aus Domäne


auswählen, und klicken Sie dann auf
Weiter. Klicken Sie auf der Seite
Gruppenauswahl auf Hinzufügen, um
die zu migrierenden Gruppen in der
Quelldomäne auszuwählen, klicken Sie
auf OK, und klicken Sie dann auf Weiter.
Oder
Klicken Sie auf Objekte aus
Includedatei lesen und anschließend auf
Weiter. Geben Sie den Speicherort der
Includedatei ein, und klicken Sie auf
Weiter.

Auswahl der Organisationseinheit Geben Sie den Namen der


Organisationseinheit (Organizational Unit,
OU) ein, oder klicken Sie auf
Durchsuchen.
Suchen Sie im Dialogfeld Container
suchen den Container in der
Zieldomäne, in den die globalen Gruppen
verschoben werden sollen, und klicken
Sie dann auf OK.

138
Seite des Assistenten Vorgang

Gruppenoptionen Klicken Sie auf Benutzerrechte


aktualisieren.
Stellen Sie sicher, dass
Gruppenmitglieder kopieren nicht
ausgewählt ist.
Stellen Sie sicher, dass Migrierte
Objekte aktualisieren nicht ausgewählt
ist.
Klicken Sie auf Gruppenmitgliedschaft
korrigieren.
Klicken Sie auf Gruppen-SIDs zur
Zieldomäne migrieren.

Benutzerkonto Geben Sie den Benutzernamen, das


Kennwort und die Domäne eines Kontos
ein, das über administrative Rechte in der
Quelldomäne verfügt.

Objekteigenschaftsausnahme Deaktivieren Sie das Kontrollkästchen


Bestimmte Objekteigenschaften von
der Migration ausschließen.

Konfliktverwaltung Aktivieren Sie das Kontrollkästchen In


Konflikt stehende Objekte migrieren
und zusammenführen (alle anderen
Optionen sind deaktiviert).

3. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll
anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die
Zielorganisationseinheit. Überprüfen Sie, ob die globalen Gruppen in der
Organisationseinheit der Zieldomäne vorhanden sind.

So migrieren Sie globale Gruppen erneut mithilfe der ADMT-Befehlszeilenoption

1. Melden Sie sich auf einen Domänencontroller in der Zieldomäne, auf dem ADMT
installiert ist, mithilfe des ADMT-Migrationskontos an.

Wichtig
Wenn Sie eine globale Gruppenmigration mit SID-Verlauf per Befehlszeile
starten, müssen Sie die Migration auf einem Domänencontroller in der
Zieldomäne ausführen.
2. Geben Sie in der Befehlszeile den Befehl ADMT Group mit den entsprechenden

139
Parametern ein, und drücken Sie dann die EINGABETASTE.
ADMT GROUP /N "<Gruppenname1>" "<Gruppenname2>" /SD:" <Quelldomäne>" /TD:"
<Zieldomäne>" /TO:" <Zielorganisationseinheit>" /MSS:YES /CO:REPLACE

Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT GROUP /N "<Gruppenname1>" "<Gruppenname2>" /O: "<Optionsdatei>.txt"

In der folgenden Tabelle sind die allgemeinen Parameter zur Migration globaler Gruppen
aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem
entsprechenden Äquivalent in der Optionsdatei.

Parameter Befehlszeilensyntax Optionsdateisyntax

<Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne"

<Quellorganisationsein / SourceOU="Quellorganisationsei
heit> Speicherort SO:"Quellorganisationsein nheit"
heit"

<Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne"

<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
it"

Migrieren von GG SIDs /MSS:YES MigrateSIDs=YES

Konfliktverwaltung /CO:REPLACE ConflictOptions=REPLACE

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die Ziel-OU.
Überprüfen Sie, ob die globalen Gruppen in der Organisationseinheit der Zieldomäne
vorhanden sind.

So migrieren Sie globale Gruppen erneut mithilfe eines Skripts

• Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle
und -Optionen zur Migration globaler Gruppen enthält. Kopieren Sie das Skript in
Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen
Ordner wie die Datei „AdmtConstants.vbs“.
<Job id=" RemigratingGlobalGroupsBetweenForests" >

<Script language="VBScript" src="AdmtConstants.vbs" />

<Script language="VBScript" >

Option Explicit

140
Dim objMigration

Dim objGroupMigration

'

'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte.

'

Set objMigration = CreateObject("ADMT.Migration" )

Set objGroupMigration = objMigration.CreateGroupMigration

'

'Geben Sie die allgemeinen Migrationsoptionen an.

'

objMigration.SourceDomain = "Quelldomäne"

objMigration.SourceOu = "Quellcontainer"

objMigration.TargetDomain = "Zieldomäne"

objMigration.TargetOu = "Zielcontainer"

objMigration.ConflictOptions = admtReplaceConflicting

'

'Geben Sie die spezifischen Optionen der Gruppenmigration an.

'

objGroupMigration.MigrateSIDs = True

'

'Migrieren Sie die angegebenen Gruppenobjekte.

'

objGroupMigration.Migrate admtData,
Array("Gruppenname1" ,"Gruppenname2" )

Set objGroupMigration = Nothing

141
Set objMigration = Nothing

</Script>

</Job>

Migrieren von Konten ohne Verwendung des


SID-Verlaufs
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Wenn Sie nicht den SID-Verlauf (Security Identifier) für den Ressourcenzugriff verwenden, weil
zwischen Ihren Gesamtstrukturen SID-Filterung aktiv ist, umfasst der Migrationsprozess die
Ausführung der folgenden Schritte. Zuerst migrieren Sie alle Benutzerkonten – aktivieren sie
jedoch nicht in der Zieldomäne –, um die Zieldomäne voraufzufüllen und die Migration von
Benutzerprofilen zu ermöglichen. Anschließend führen Sie Sicherheitskonvertierung für alle
Ressourcen aus, auf die von Benutzern gesamtstrukturübergreifend zugegriffen wird. Der
nächste Schritt besteht in der losweisen Migration von Benutzern, indem zuerst das
Benutzerprofil, dann die Arbeitsstation und schließlich das Benutzerkonto migriert wird.
Schließlich müssen die globalen Gruppen erneut migriert werden, um alle Änderungen zu
übernehmen, die an den globalen Gruppen der Quelldomäne vorgenommen wurden, und die
Sicherheit im Entfernen-Modus zu konvertieren.
Es bleibt jedoch wichtig, den SID-Verlauf zu migrieren, obwohl der SID-Verlauf nicht von
Benutzerkonten für den Ressorucenzugriff verwendet wird. Dadurch wird sichergestellt, dass
Vorgänge wie der Offlinedateizugriff weiterhin in der Gesamtstruktur funktionieren. Das Migrieren
des SID-Verlaufs stellt keine Bedrohung der Sicherheit dar, weil zwischen der Quell- und der
Zielgesamtstruktur SID-Filterung zum Einsatz kommt. Stellen Sie vor dem Migrieren aller
Benutzerkonten sicher, dass Sie Testkonten erstellt haben, die Sie zum Überprüfen der
erfolgreichen Migration jedes Loses verwenden können.
Führen Sie die folgenden Schritte aus, um Benutzerkonten in die Zieldomäne zu migrieren:
1. Migrieren Sie die verwalteten Dienstkonten. Die verwalteten Dienstkonten müssen vor
den Computern migriert werden.
2. Migrieren Sie alle Benutzer. Verwenden Sie die Option Gruppenmitgliedschaften der
Benutzer korrigieren, um das Active Directory-Migrationsprogramm (Active Directory
Migration Tool, ADMT) die globalen Gruppen in der Zieldomäne identifizieren zu lassen,
denen der Benutzer in der Quelldomäne angehörte, und den Benutzer den entsprechenden
globalen Gruppen in der Zieldomäne hinzuzufügen. Lassen Sie das Benutzerkonto in der
Quelldomäne für diese ursprüngliche Benutzermigration aktiviert, in der Zieldomäne jedoch
deaktiviert.
3. Konvertieren Sie die Sicherheit für Dateien, Freigaben, Drucker, lokale Gruppen und
domänenlokale Gruppen im Hinzufügen-Modus.
4. Konvertieren Sie lokale Benutzerprofile für ein Los von Benutzern.
142
5. Migrieren Sie Arbeitsstationen in Losen, die den Losen der Benutzerkonten entsprechen.
6. Überprüfen Sie vor dem Migrieren des Loses von Benutzerkonten, ob die Migration der
lokalen Profile und der Arbeitsstationen für alle Benutzer im Los erfolgreich war. Migrieren Sie
keine Benutzerkonten, bei deren Profil- oder Arbeitsstationsmigration Fehler aufgetreten sind,
da dies zum Überschreiben der vorhandenen Benutzerprofile führt, wenn sich die Benutzer
bei der Zieldomäne anmelden.
7. Migrieren Sie die Benutzerkonten erneut in kleinen Losen mit den Konten, deren Ablauf
in der Quelldomäne in sieben Tagen festgelegt wird, bei aktiviertem Zielkonto, aktivierter
Migration von Kennwörtern und aktivierter Migration aller Attribute.
8. Führen Sie nach jedem Los eine erneute Migration aller globalen Gruppen durch, um alle
Änderungen an der Gruppenmitgliedschaft zu aktualisieren.
9. Führen Sie nach der Migration aller Benutzer eine abschließende Migration der globalen
Gruppen aus, um alle Änderungen an der Gruppenmitgliedschaft zu aktualisieren.
10. Konvertieren Sie die Sicherheit für Dateien, freigegebene Ordner, Drucker, lokale
Gruppen und domänenlokale Gruppen im Entfernen-Modus.
11. Fordern Sie die Benutzer im Los auf, sich bei der Zieldomäne anzumelden.
Führen Sie die Verwaltung der Mitgliedschaft in globalen Gruppen bis zum Abschluss der
Migration aller Benutzer- und Gruppenkonten weiterhin in der Quelldomäne aus.
In der folgenden Abbildung sind die für die Migration von Konten, die für den Ressourcenzugriff
nicht den SID-Verlauf verwenden, erforderlichen Schritte dargestellt.

143
Migrieren von verwalteten Dienstkonten
Ein verwaltetes Dienstkonto ist ein Domänenkontoobjekt, das im Active Directory-Schema von
Windows Server 2008 R2 verfügbar ist. Ein verwaltetes Dienstkonto kann auf Computern
installiert werden, auf denen Windows 7 oder Windows Server 2008 R2 ausgeführt wird. Nur
ADMT v3.2 kann verwaltete Dienstkonten migrieren.
Das Ermitteln und Migrieren verwalteter Dienstkonten mithilfe von ADMT v3.2 erfolgt in zwei
Schritten:
1. Verwenden Sie den Assistenten zum Migrieren von verwalteten Dienstkonten oder das
Befehlszeilenprogramm admt managedserviceaccount, um verwaltete Dienstkonten wie in
diesem Thema beschrieben in die Zieldomäne zu migrieren.
2. Verwenden Sie den Computermigrations-Assistenten oder das Befehlszeilenprogramm
admt computer, um die Computer zu migrieren, auf denen die verwalteten Dienstkonten
gehostet sind. Weitere Informationen über das Migrieren von Computern bei einer Migration
zwischen Gesamtstrukturen finden Sie unter Erneute losweise Migration von Benutzerkonten
und Migration von Arbeitsstationen. Weitere Informationen über das Migrieren von
Computern bei einer Migration innerhalb einer Gesamtstruktur finden Sie unter Migrieren von
Arbeitsstationen und Mitgliedsservern.
Die verwalteten Dienstkonten, die im vorherigen Schritt migriert und ursprünglich auf den
migrierten Computern installiert wurden, werden bei der Computermigration identifiziert. Nach
Abschluss der Computermigration werden die verwalteten Dienstkonten erneut auf dem
Computer in der Zieldomäne installiert (sofern nicht eine Anforderung vorliegt, diese zu
überspringen). Wenn Sie eine Sicherheitskonvertierung auf den Mitgliedsservern ausgeführt
haben, die über Ressourcen verfügen, den verwalteten Dienstkonten Berechtigungen zu
erteilen, verfügen die Konten in der Zieldomäne über dieselben Berechtigungen für den
Ressourcenzugriff wie in der Quelldomäne.

Wichtig

Bei der Migration verwalteter Dienstkonten zwischen Domänen in derselben


Gesamtstruktur müssen Sie auf den Mitgliedsservern in der Quelldomäne, die über
Ressourcen verfügen, den verwalteten Dienstkonten Berechtigungen zu erteilen, die
Sicherheitskonvertierung ausführen. Bei einer Migration innerhalb einer
Gesamtstruktur ist eine Sicherheitskonvertierung normalerweise nicht erforderlich, da
die SID mit dem Konto verschoben wird. Verwaltete Dienstkonten, die zwischen
Domänen innerhalb einer Gesamtstruktur migriert werden, werden kopiert. In der
Zieldomäne wird ein neues Konto erstellt, und die Kontoeigenschaften (mit
Ausnahme der SID) werden aus der Quelldomäne kopiert. Aus diesem Grund muss
die Sicherheitskonvertierung ausgeführt werden.
Wenn die Ressourcen in der Quelldomäne, die dem verwalteten Dienstkonto
Berechtigungen erteilen, auf demselben Computer gehostet werden wie das
verwaltete Dienstkonto, empfiehlt es sich, die Sicherheitskonvertierung für die
entsprechenden Ressourcen (Dateien und Ordner, lokale Gruppen usw.) auf der

144
Seite Objekte konvertieren im Computermigrations-Assistenten auszuwählen.
Wenn sich die Ressourcen auf anderen Computern befinden, die nicht migriert
werden, müssen Sie auf diesen Computern den Sicherheitskonvertierungs-
Assistenten ausführen und auf der Seite Optionen für die
Sicherheitskonvertierung die Option Zuvor migrierte Objekte auswählen oder die
MSA-Konten explizit in einer SID-Zuordnungsdatei bereitstellen. Weitere
Informationen zur Sicherheitskonvertierung finden Sie unter Konvertieren der
Sicherheit auf Mitgliedsservern.

So werden verwaltete Dienstkonten mit ADMT-Snap-In migriert

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Klicken Sie im ADMT-Snap-In auf Vorgang, und klicken Sie dann auf Assistent zum
Migrieren von verwalteten Dienstkonten.
3. Führen Sie den Assistenten zum Migrieren von verwalteten Dienstkonten mit den
Informationen aus der folgenden Tabelle aus.

145
Seite des Assistenten Vorgang

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Quelldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Geben Sie unter Ziel in der Dropdownliste
Domäne den NetBIOS- oder DNS-Namen
der Zieldomäne an. Geben Sie in der
Dropdownliste Domänencontroller den
Namen des Domänencontrollers an, oder
wählen Sie einenbeliebigen
Domänencontroller aus, und klicken Sie
auf Weiter.

146
Seite des Assistenten Vorgang

Option für die Auswahl verwalteter Klicken Sie auf Verwaltete Dienstkonten
Dienstkonten aus Domäne auswählen, um verwaltete
Dienstkonten entweder mithilfe des
Dialogfelds für die Objektauswahl oder
mittels einer Includedatei aus der Domäne
zu migrieren. Diese Option eignet sich
optimal, wenn alle verwalteten
Dienstkonten aus der Quelldomäne
migriert werden sollen.
Oder
Klicken Sie auf Computer für die Abfrage
nach installierten verwalteten
Dienstkonten angeben, und klicken Sie
dann auf Weiter. Klicken Sie auf der Seite
Auswahl verwalteter Dienstkonten auf
Hinzufügen, um die Computerkonten in
der Quelldomäne auszuwählen, die Sie
nach verwalteten Dienstkonten abfragen
möchten, klicken Sie auf OK und dann auf
Weiter. Diese Option bietet sich bevorzugt
an, wenn nur verwaltete Dienstkonten
migriert werden sollen, die auf bestimmten
Computern installiert sind. Auf jedem von
Ihnen angegebene Computer können
mehrere verwaltete Dienstkonten installiert
sein.
Sie können diese beiden Optionen auch
miteinander kombinieren, indem Sie sich
im Assistenten zurück und wieder vorwärts
bewegen. So können Sie z. B. Computer
angeben, die abgefragt werden sollen, und
die auf diesen Computern installierten
verwalteten Dienstkonten dann der Liste
der Konten hinzufügen, die migriert werden
sollen. Anschließend können Sie im
Assistenten auf Zurück klicken, um wieder
auf diese Seite zurückzukehren und
weitere verwaltete Dienstkonten aus der
Domäne oder aus einer Includedatei
auswählen.

147
Seite des Assistenten Vorgang

Option für die Auswahl verwalteter Klicken Sie auf Verwaltete Dienstkonten
Dienstkonten aus Domäne auswählen, und klicken Sie
Diese Seite wird nur dann angezeigt, dann auf Weiter. Klicken Sie auf der Seite
wenn Sie verwaltete Dienstkonten aus Auswahl verwalteter Dienstkonten auf
der Domäne auswählen. Hinzufügen, um die Konten in der
Quelldomäne auszuwählen, die Sie
migrieren möchten, klicken Sie auf OK,
und klicken Sie dann auf Weiter.
Oder
Klicken Sie auf Objekte aus Includedatei
lesen und anschließend auf Weiter. Geben
Sie den Speicherort der Includedatei ein,
und klicken Sie auf Weiter.

Auswahl der Organisationseinheit Klicken Sie auf Durchsuchen, um einen


Speicherort für die migrierten Konten
anzugeben, und klicken Sie anschließend
auf Weiter.

Optionen für verwaltete Dienstkonten Aktivieren Sie das Kontrollkästchen


Kontenrechte aktualisieren.
Aktivieren Sie das Kontrollkästchen
Gruppenmitgliedschaften der Konten
korrigieren.
Wenn das Konto in eine andere
Gesamtstruktur migriert wird, aktivieren Sie
das Kontrollkästchen Konto-SIDs in
Zieldomäne migrieren. Diese Option ist
bei einer Migration innerhalb einer
Gesamtstruktur nicht verfügbar.
Klicken Sie auf Weiter. Geben Sie den
Benutzernamen, das Kennwort und die
Domäne eines Kontos ein, das
administrative Anmeldeinformationen in der
Quelldomäne besitzt, und klicken Sie dann
auf Weiter.

Fertigstellen des Assistenten Überprüfen Sie Ihre Auswahl, und klicken


Sie dann auf Fertig stellen.

4. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll
anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler.

148
5. Starten Sie Active Directory-Benutzer und -Computer, und überprüfen Sie dann, ob
die verwalteten Dienstkonten in der entsprechenden Organisationseinheit in der
Zieldomäne vorhanden sind.

So migrieren Sie verwaltete Dienstkonten mithilfe der ADMT-Befehlszeilenoption

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie
dann die EINGABETASTE:
ADMT MANAGEDSERVICEACCOUNT /N "<Verwaltetes_Dienstkonto1_Name>"
"<Verwaltetes_Dienstkonto2_Name>" /IF:NO /SD:"<Quelldomäne>" /TD:"<Zieldomäne>"
/UUR:YES /FGM:YES /MSS:YES

Dabei stehen <Verwaltetes_Dienstkonto1_Name> und <Verwaltetes_Dienstkonto2_Name> für


die Namen der verwalteten Dienstkonten in der Quelldomäne.
Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT MANAGEDSERVICEACCOUNT /N "<Verwaltetes_Dienstkonto1_Name>"
"<Verwaltetes_Dienstkonto2_Name>" /O:"<Optionsdatei>.txt"

Die folgende Tabelle enthält die allgemeinen Parameter für das Migrieren von
verwalteten Dienstkonten zusammen mit dem jeweiligen Befehlszeilenparameter und
dem entsprechenden Äquivalent in der Optionsdatei.

149
Werte Befehlszeilensyntax Optionsdateisyntax

Migration zwischen /IF:No Intraforest=No


Gesamtstrukturen

<Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne"

<Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne"

Kontenrechte aktualisieren /UUR:Yes UpdateUserRights=Yes

Gruppenmitgliedschaften der /FGM:Yes FixGroupMembership=Yes


Konten aktualisieren

Migrieren von Konten-SIDs /MSS:Yes MigrateSIDs=Yes

Hinweis
SIDs für verwaltete
Dienstkonten
können Sie nur
zwischen
Gesamtstrukturen
migrieren. Wenn
Sie diesen
Parameter bei
einer Migration
innerhalb einer
Gesamtstruktur
verwenden, wird
ein Fehler
angezeigt.

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.

Bei verwalteten Dienstkonten, die auf Mitgliedscomputern in der Quelldomäne gehostet sind,
können Sie den Mitgliedscomputer beim Ausführen einer Computermigration mit einbeziehen. Die
verwalteten Dienstkonten werden dann auf dem Mitgliedscomputer in der Zieldomäne installiert,
nachdem der Computer migriert wurde.

Migrieren aller Benutzerkonten


Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Beginnen Sie den Vorgang zur Migration von Benutzerkonten, indem Sie alle Benutzer migrieren.
Anschließend können Sie die Sicherheit für alle Dateien, Drucker, freigegebenen Ordner, lokalen
Gruppen und domänenlokalen Gruppen konvertieren. Dadurch ist sichergestellt, dass Benutzer
nach der Migration weiterhin den passenden Zugriff auf Ressourcen besitzen.

150
Hinweis

Integrierte Konten (z. B. Administratoren, Benutzer und Hauptbenutzer) können keine


Migrationsobjekte des Active Directory-Migrationsprogramms (Active Directory Migration
Tool, ADMT) sein. Da integrierte Kontosicherheitskennungen (Security Identifiers, SIDs)
in jeder Domäne identisch sind, führt die Migration dieser Konten in eine Zieldomäne zu
doppelt vorhandenen Sicherheitskennungen in einer Domäne. Jede Sicherheitskennung
in einer Domäne muss eindeutig sein. Bekannte Konten (z. B. Domänen-Admins und
Domänenbenutzer) können ebenfalls keine ADMT-Migrationsobjekte sein.
Der ADMT-Vorgang zur Benutzerkontenmigration umfasst die folgenden Schritte:
1. ADMT liest die Attribute der Quellbenutzerobjekte.
2. ADMT erstellt ein neues Benutzerobjekt in der Zieldomäne und eine neue primäre
Sicherheitskennung für das neue Benutzerkonto.
3. ADMT fügt die ursprüngliche Sicherheitskennung des Benutzerkontos dem Attribut SID-
Verlauf des neuen Benutzerkontos hinzu.
4. ADMT migriert das Kennwort für das Benutzerkonto.
5. Wenn ADMT globale Gruppen in der Zieldomäne identifiziert, denen die migrierten
Benutzer in der Quelldomäne angehört haben, fügt das Programm die Benutzer den
entsprechenden globalen Gruppen in der Zieldomäne hinzu.
Während der Migration werden Überwachungsereignisse in den Quell- und Zieldomänen
protokolliert.
Sie können Benutzerkonten mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption oder
eines Skripts migrieren. Wenn Sie Benutzerkonten migrieren, bei denen AMA (Authentication
Mechanism Assurance, Sicheres Authentifizierungsverfahren) aktiviert ist, verwenden Sie eine
Includedatei. Geben Sie in der Includedatei die ursprünglichen UPNs (User Principal Names) aus
der Quelldomäne als Ziel-UPNs an, damit AMA funktioniert. Weitere Informationen dazu finden
Sie unter Verwenden einer Includedatei.

So migrieren Sie Benutzerkonten mithilfe des ADMT-Snap-Ins

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Verwenden Sie den Assistenten zum Migrieren von Benutzerkonten, und führen Sie
die in der folgenden Tabelle beschriebenen Schritte aus.

151
Seite des Assistenten Vorgang

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Quelldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Geben Sie unter Ziel in der Dropdownliste
Domäne den NetBIOS- oder DNS-Namen
der Zieldomäne an. Geben Sie in der
Dropdownliste Domänencontroller den
Namen des Domänencontrollers an, oder
wählen Sie einenbeliebigen
Domänencontroller aus, und klicken Sie
auf Weiter.

Benutzerauswahl Klicken Sie auf Benutzer aus Domäne


auswählen, und klicken Sie dann auf
Weiter. Klicken Sie auf der Seite
Benutzerauswahl auf Hinzufügen, um
die Benutzer in der Quelldomäne
auszuwählen, die Sie im aktuellen Los
migrieren möchten, klicken Sie auf OK
und dann auf Weiter.
Oder
Melden Sie sich in der Zieldomäne an
dem Computer, auf dem ADMT installiert
ist, mit dem Migrationskonto des ADMT-
Kontos an.

Auswahl der Organisationseinheit Stellen Sie sicher, dass in ADMT die


richtige Zielorganisationseinheit
(Organizational Unit, OU) aufgelistet wird.
Falls es sich nicht um die richtige
Organisationseinheit handelt, geben Sie
diese ein, oder klicken Sie auf
Durchsuchen.
Suchen Sie im Dialogfeld Container
suchen nach der Zieldomäne und
-organisationseinheit, und klicken Sie
dann auf OK.

152
Seite des Assistenten Vorgang

Kennwortoptionen Klicken Sie auf Kennwörter für


vorhandene Benutzer nicht
aktualisieren.
Klicken Sie auf Komplexe Kennwörter
generieren.

Optionen für die Kontoaktualisierung Klicken Sie unter Zielkontenstatus: auf


Zielkonten deaktivieren.
Klicken Sie unter Optionen zum
Deaktivieren des Quellkontos: auf Tage
bis zum Ablaufen der Quellkonten:, und
geben Sie dann die Anzahl der Tage ein,
für die Sie die Quellkonten beibehalten
möchten. Normalerweise wird der Wert 7
verwendet.
Aktivieren Sie das Kontrollkästchen
Benutzer-SIDs zur Zieldomäne
migrieren.

Benutzerkonto Geben Sie den Benutzernamen, das


Kennwort und die Domäne eines
Benutzerkontos ein, das über
administrative Anmeldeinformationen in
der Quelldomäne verfügt.

Benutzeroptionen Aktivieren Sie das Kontrollkästchen


Servergespeicherte Profile
konvertieren.
Aktivieren Sie das Kontrollkästchen
Benutzerrechte aktualisieren.
Deaktivieren Sie das Kontrollkästchen
Zugeordnete Benutzergruppen
migrieren.
Aktivieren Sie Gruppenmitgliedschaften
der Benutzer korrigieren.

Objekteigenschaftsausnahme Deaktivieren Sie das Kontrollkästchen


Bestimmte Objekteigenschaften von
der Migration ausschließen.

153
Seite des Assistenten Vorgang

Konfliktverwaltung Aktivieren Sie das Kontrollkästchen


Quellobjekt nicht migrieren, wenn in
der Zieldomäne ein Konflikt ermittelt
wird.
Stellen Sie sicher, dass die
Kontrollkästchen Vor dem
Zusammenführen Benutzerrechte für
vorhandene Zielkonten entfernen und
Zusammengeführte Objekte in die
angegebene Zielorganisationseinheit
verschieben nicht aktiviert sind.

3. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll
anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und überprüfen Sie, ob die
Benutzerkonten in der entsprechenden Organisationseinheit in der Zieldomäne
vorhanden sind.

So migrieren Sie Benutzerkonten mithilfe der ADMT-Befehlszeilenoption

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Geben Sie in der Befehlszeile den Befehl ADMT User mit den entsprechenden
Parametern ein, und drücken Sie dann die EINGABETASTE:
ADMT USER /N "<Benutzername1>" "<Benutzername2>" /SD:" <Quelldomäne>" /TD:"
<Zieldomäne>" /TO:" <Zielorganisationseinheit>" /MSS:YES /TRP:YES /UUR:YES

Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT USER /N "<Benutzername1>" "<Benutzername2>" /O "<Optionsdatei>.txt"

In der folgenden Tabelle sind die allgemeinen Parameter zum Migrieren von
Benutzerkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und
dem entsprechenden Äquivalent in der Optionsdatei.

154
Parameter Befehlszeilensyntax Optionsdateisyntax

<Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne"

<Quellorganisationsein / SourceOU="Quellorganisationsei
heit> Speicherort SO:"Quellorganisationsein nheit"
heit"

<Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne"

<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
it"

Migrieren von SIDs /MSS:YES MigrateSIDs=YES

Konfliktverwaltung /CO:IGNORE (Standard) ConflictOptions=IGNORE

Servergespeichertes /TRP:YES (Standard) TranslateRoamingProfile=YES


Profil konvertieren

Benutzerrechte /UUR:YES UpdateUserRights=YES


aktualisieren

Kennwortoptionen /PO:COMPLEX (Standard) PasswordOption=COMPLEX

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die
Zielorganisationseinheit. Vergewissern Sie sich, dass die Benutzer in der
Zielorganisationseinheit vorhanden sind.

So migrieren Sie Benutzerkonten mithilfe eines Skripts

• Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle
und -Optionen zur Migration von Benutzern enthält. Kopieren Sie das Skript in Notepad,
und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie
die Datei „AdmtConstants.vbs“.
<Job id=" MigratingAllUserAccountsBetweenForests" >

<Script language="VBScript" src="AdmtConstants.vbs" />

<Script language="VBScript" >

Option Explicit

Dim objMigration

Dim objUserMigration

'

155
'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte.

'

Set objMigration = CreateObject("ADMT.Migration" )

Set objUserMigration = objMigration.CreateUserMigration

'

'Geben Sie die allgemeinen Migrationsoptionen an.

'

objMigration.SourceDomain = "Quelldomäne"

objMigration.SourceOu = "Quellcontainer"

objMigration.TargetDomain = "Zieldomäne"

objMigration.TargetOu = "Zielcontainer"

objMigration.PasswordOption = admtComplexPassword

objMigration.ConflictOptions = admtIgnoreConflicting

'

'Geben Sie die spezifischen Optionen der Benutzermigration an.

'

objUserMigration.MigrateSIDs = True

objUserMigration.TranslateRoamingProfile = True

objUserMigration.UpdateUserRights = True

objUserMigration.FixGroupMembership = True

objUserMigration.MigrateServiceAccounts = False

'

'Migrate specified user objects.

'

objUserMigration.Migrate admtData, Array("Benutzername1" ,


"Benutzername2" )

156
Set objUserMigration = Nothing

Set objMigration = Nothing

</Script>

</Job>

Konvertieren der Sicherheit im Hinzufügen-


Modus
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Ausführen der Sicherheitskonvertierung auf Servern, um die Sicherheitskennungen (SIDs) der
Benutzer- und Gruppenkonten in der Zieldomäne den Zugriffssteuerungslisten (Access Control
Lists, ACLs) der Ressourcen hinzuzufügen. Nach der Migration von Objekten in die Zieldomäne
enthalten die Objekte sowohl die ACL-Einträge der Quelldomäne als auch die der Zieldomäne.
Verwenden Sie den Sicherheitskonvertierungs-Assistenten im Active Directory-
Migrationsprogramm (Active Directory Migration Tool, ADMT), um der Zieldomäne die SIDs aus
den migrierten Objekten hinzuzufügen. Führen Sie den Sicherheitskonvertierungs-Assistenten für
alle Dateien, Drucker und lokalen Gruppen sowie mindestens einen Domänencontroller aus (um
die Sicherheit für freigegebene lokale Gruppen zu konvertieren).
Sie können Sicherheit für Objekte mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption
oder eines Skripts im Hinzufüge-Modus konvertieren.

So konvertieren Sie die Sicherheit für Objekte im Hinzufügen-Modus mithilfe des ADMT-
Snap-Ins

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Verwenden Sie den Sicherheitskonvertierungs-Assistenten, indem Sie die in der
folgenden Tabelle beschriebenen Schritte ausführen.

157
Seite des Assistenten Vorgang

Optionen für die Klicken Sie auf Zuvor migrierte Objekte.


Sicherheitskonvertierung

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Quelldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Geben Sie unter Ziel in der Dropdownliste
Domäne den NetBIOS- oder DNS-Namen
der Zieldomäne an. Geben Sie in der
Dropdownliste Domänencontroller den
Namen des Domänencontrollers an, oder
wählen Sie einenbeliebigen
Domänencontroller aus, und klicken Sie
auf Weiter.

Computerauswahl Klicken Sie auf Computer aus Domäne


auswählen, und klicken Sie dann auf
Weiter. Klicken Sie auf der Seite
Computerauswahl auf Hinzufügen, um
die Computer auszuwählen, für die Sie
die Sicherheit konvertieren möchten,
klicken Sie auf OK, und klicken Sie dann
auf Weiter.
Oder
Klicken Sie auf Objekte aus Includedatei
lesen und anschließend auf Weiter.
Geben Sie den Speicherort der
Includedatei ein, und klicken Sie auf
Weiter.

Objekte konvertieren Deaktivieren Sie das Kontrollkästchen


Benutzerprofile.
Aktivieren Sie alle anderen
Kontrollkästchen.

Optionen für die Klicken Sie auf Hinzufügen.


Sicherheitskonvertierung

158
Seite des Assistenten Vorgang

Dialogfeld "ADMT-Agent" Wählen Sie Vorüberprüfung und Agent


ausführen aus, und klicken Sie dann auf
Start.

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem
der Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um
die Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden
Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde,
müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen
Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen
"MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert.

So konvertieren Sie die Sicherheit für Objekte im Hinzufügen-Modus mithilfe der ADMT-
Befehlszeilenoption

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Geben Sie den Befehl ADMT Security mit den entsprechenden Parametern in der
Befehlszeile ein, und drücken Sie dann die EINGABETASTE.
ADMT SECURITY /N "<Computername1>" "<Computername2>" /SD:" <Quelldomäne>" /TD:"
<Zieldomäne>" /TO:" <Zielorganisationseinheit>" /TOT:Add

Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT SECURITY /N "<Computername1>" "<Computername2>" /O "<Optionsdatei>.txt"

In der folgenden Tabelle sind die allgemeinen Parameter zum Migrieren von
Benutzerkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und
dem entsprechenden Äquivalent in der Optionsdatei.

Parameter Befehlszeilensyntax Optionsdateisyntax

<Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne"

<Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne"

Optionen für die /TOT:Add TranslateOption=ADD


Sicherheitskonvertierung

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem
der Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um
die Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden
Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde,
müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen
Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen

159
"MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert.

So konvertieren Sie die Sicherheit für Objekte im Hinzufügen-Modus mithilfe eines


Skripts

• Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle
und -Optionen zum Konvertieren der Sicherheit für Objekte im Hinzufügen-Modus
enthält. Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der
Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“.
<Job id=" TranslatingSecurityInAddModeOnObjectsBetweenForests" >

<Script language="VBScript" src="AdmtConstants.vbs" />

<Script language="VBScript" >

Option Explicit

Dim objMigration

Dim objSecurityTranslation

'

'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte.

'

Set objMigration = CreateObject("ADMT.Migration" )

Set objSecurityTranslation = objMigration.CreateSecurityTranslation

'

'Geben Sie die allgemeinen Migrationsoptionen an.

'

objMigration.SourceDomain = "Quelldomäne"

objMigration.TargetDomain = "Zieldomäne"

objMigration.TargetOu = "Computer"

'

'Geben Sie die spezifischen Optionen der Sicherheitskonvertierung an.

'

160
objSecurityTranslation.TranslationOption = admtTranslateAdd

objSecurityTranslation.TranslateFilesAndFolders = True

objSecurityTranslation.TranslateLocalGroups = True

objSecurityTranslation.TranslatePrinters = True

objSecurityTranslation.TranslateRegistry = True

objSecurityTranslation.TranslateShares = True

objSecurityTranslation.TranslateUserProfiles = False

objSecurityTranslation.TranslateUserRights = True

'

'Führen Sie die Sicherheitskonvertierung für die angegebenen


Computerobjekte durch.

'

objSecurityTranslation.Translate admtData, _

Array("Computername1" ,"Computername2" )

Set objSecurityTranslation = Nothing

Set objMigration = Nothing

</Script>

</Job>

Erneute losweise Migration von


Benutzerkonten und Migration von
Arbeitsstationen
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Die erneute Migration von Benutzerkonten und Arbeitsstationen in Losen unterstützt Sie beim
Nachverfolgen des Migrationsprozesses. Konvertieren Sie für jedes Los von Benutzern zuerst die
lokalen Benutzerprofile, und migrieren Sie dann die Arbeitsstationen. Überprüfen Sie, ob die
Migration von Profilen und Arbeitsstationen erfolgreich war, und migrieren Sie dann die
Benutzerkonten. Führen Sie nach jedem Los eine erneute Migration von globalen Gruppen durch.
Weitere Informationen finden Sie unter Erneute Migration aller globalen Gruppen nach der
Migration aller Lose weiter unten in diesem Handbuch.

161
Konvertieren lokaler Benutzerprofile
Mit dem Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) werden
Profile für unterstützte Computermigrationsobjekte konvertiert. Eine Liste mit Informationen,
welche Betriebssysteme für Computermigrationsobjekte für die verschiedenen Versionen von
ADMT unterstützt werden, finden Sie unter Versionen vom Active Directory-Migrationsprogramm
und unterstützte Umgebungen.
Lokale Profile werden im Ersetzen-Modus konvertiert, denn bei einer Konvertierung im
Hinzufügen-Modus besteht die Gefahr, dass Softwareinstallationen mithilfe der Bereitstellung
über Gruppenrichtlinien nicht funktionieren. Alle Anwendungen, die mit der Windows Installer-
Version 2.0 (die auf Arbeitsstationen, die Windows 2000 Server Service Pack 3 (SP3) oder
Service Pack 4 (SP4) und Windows XP Service Pack 1 (SP1) oder Service Pack 2 (SP2)
ausführen, sowie in vielen weit verbreiteten Softwarepaketen verwendet wird) verpackt wurden,
funktionieren möglicherweise nach dem Konvertieren des Profils nicht. Wenn der ADMT-
Sicherheitskonvertierungs-Assistent lokale Profile im Ersetzen-Modus konvertiert, kehrt er in den
Hinzufügen-Modus zurück, wenn ein Profil gesperrt ist. Dies kann zu einer erfolgreichen
Profilkonvertierung führen. Möglicherweise funktioniert die Installation von Anwendungen nach
dem Konvertieren des Profils jedoch nicht.
Bevor Sie die Konvertierung von lokalen Benutzerprofilen starten, lassen Sie genug Zeit für den
Neustart der Arbeitsstationen, nachdem Sie sie in die Zieldomäne verschoben haben. Sehen Sie
den ADMT-Zeitverzögerungsfaktor (standardmäßig fünf Minuten) zuzüglich der für einen
Neustartzyklus der Arbeitsstationen erforderlichen Zeit vor.

Hinweis

Konvertieren Sie die lokalen Benutzerprofile in der Nacht, bevor Sie die Benutzer
auffordern, sich mithilfe ihrer neuen Konten in der Zieldomäne anzumelden. Das
Konvertieren von Profilen in vorhergehenden Nacht stellt sicher, dass das neue
Benutzerprofil die aktuellsten Benutzereinstellungen enthält.
Sie können lokale Benutzerprofile mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption
oder eines Skripts konvertieren.

So konvertieren Sie lokale Benutzerprofile mithilfe des ADMT-Snap-Ins

1. Fügen Sie für jede Arbeitsstation in der Quelldomäne, die Sie migrieren, das ADMT-
Ressourcenmigrationskonto zur lokalen Administratorgruppe hinzu.
2. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
3. Verwenden Sie den Sicherheitskonvertierungs-Assistenten, indem Sie die in der
folgenden Tabelle beschriebenen Schritte ausführen.

162
Seite des Assistenten Vorgang

Optionen für die Klicken Sie auf Zuvor migrierte Objekte.


Sicherheitskonvertierung

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Quelldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Geben Sie unter Ziel in der Dropdownliste
Domäne den NetBIOS- oder DNS-Namen
der Zieldomäne an. Geben Sie in der
Dropdownliste Domänencontroller den
Namen des Domänencontrollers an, oder
wählen Sie einenbeliebigen
Domänencontroller aus, und klicken Sie
auf Weiter.

Computerauswahl Klicken Sie auf Computer aus Domäne


auswählen, und klicken Sie dann auf
Weiter. Klicken Sie auf der Seite
Computerauswahl auf Hinzufügen, um
die Computer in der Quelldomäne
auszuwählen, für die Sie die Sicherheit
konvertieren möchten, klicken Sie auf OK,
und klicken Sie dann auf Weiter.
Oder
Klicken Sie auf Objekte aus Includedatei
lesen und anschließend auf Weiter.
Geben Sie den Speicherort der
Includedatei ein, und klicken Sie auf
Weiter.

Objekte konvertieren Klicken Sie auf Benutzerprofile.

Optionen für die Klicken Sie auf Ersetzen.


Sicherheitskonvertierung

Dialogfeld "ADMT-Agent" Wählen Sie Vorüberprüfung und Agent


ausführen aus, und klicken Sie dann auf
Start.

4. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem

163
der Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um
die Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden
Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde,
müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen
Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen
"MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert.

So konvertieren Sie lokale Benutzerprofile mithilfe der ADMT-Befehlszeilenoption

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Geben Sie in der Befehlszeile den Befehl ADMT Security mit den entsprechenden
Parametern ein, und drücken Sie dann die EINGABETASTE:
ADMT SECURITY /N "<Computername1>" "<Computername2>" /SD:" <Quelldomäne>" /TD:"
<Zieldomäne>" /TO:" <Zielorganisationseinheit>" /TOT:Replace /TUP:YES

Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT SECURITY /N "<Computername1>" "<Computername2>" /O "<Optionsdatei>.txt"

In der folgenden Tabelle sind die allgemeinen Parameter zum Migrieren von
Benutzerkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und
dem entsprechenden Äquivalent in der Optionsdatei.

Parameter Befehlszeilensyntax Optionsdateisyntax

<Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne"

<Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne"

Optionen für die /TOT:REPLACE TranslateOption=REPLACE


Sicherheitskonvertierung

Ändern der Sicherheit des /TUP:YES TranslateUserProfiles=YES


lokalen Benutzerprofils

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem
der Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um
die Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden
Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde,
müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen
Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen
"MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert.

So konvertieren Sie lokale Benutzerprofile mithilfe eines Skripts

• Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle

164
und -Optionen zur Konvertierung lokaler Benutzerprofile enthält. Kopieren Sie das Skript
in Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im
gleichen Ordner wie die Datei „AdmtConstants.vbs“.
<Job id=" TranslatingLocalProfilesBetweenForests" >

<Script language="VBScript" src="AdmtConstants.vbs" />

<Script language="VBScript" >

Option Explicit

Dim objMigration

Dim objSecurityTranslation

'

'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte.

'

Set objMigration = CreateObject("ADMT.Migration" )

Set objSecurityTranslation = objMigration.CreateSecurityTranslation

'

'Geben Sie die allgemeinen Migrationsoptionen an.

'

objMigration.SourceDomain = "Quelldomäne"

objMigration.TargetDomain = "Zieldomäne"

objMigration.TargetOu = "Computer"

'

'Geben Sie die spezifischen Optionen der Sicherheitskonvertierung an.

'

objSecurityTranslation.TranslationOption = admtTranslateReplace

objSecurityTranslation.TranslateUserProfiles = True

'

'Führen Sie die Sicherheitskonvertierung für die angegebenen

165
Computerobjekte durch.

'

objSecurityTranslation.Translate admtData, _

Array("Computername1" ,"Computername2" )

Set objSecurityTranslation = Nothing

Set objMigration = Nothing

</Script>

</Job>

Losweise Migrierung von Arbeitsstationen


Migrieren Sie nach der Migration eines Loses von lokalen Benutzerprofilen das entsprechende
Los der Benutzerarbeitsstationen. Wenn Sie eine Arbeitsstation zwischen Domänen migrieren,
wird die SAM-Datenbank (Security Accounts Manager, Sicherheitskonto-Manager) zusammen mit
dem Computer migriert. Konten in der lokalen SAM-Datenbank (z. B. lokale Gruppen), die
verwendet werden, um den Zugriff auf Ressourcen zu ermöglichen, werden immer zusammen mit
dem Computer verschoben. Daher müssen sie nicht migriert werden.
Wenn auf einer Arbeitsstation verwaltete Dienstkonten installiert sind und diese Konten zuvor
migriert wurden, wird von ADMT eine Option zur erneuten Installation des migrierten verwalteten
Dienstkontos auf dem migrierten Computer und zur Aktualisierung des Dienststeuerungs-
Managers (Service Control Manager, SCM) bereitgestellt. Damit dieser Vorgang von ADMT
ausgeführt werden kann, muss das Konto, von dem die Computermigration ausgeführt wird, die
Berechtigung zum Ändern der Sicherheitsbeschreibungen für das migrierte verwaltete
Dienstkonto aufweisen.

Hinweis

Verwenden Sie einen kleinen Wert für den Parameter RestartDelay, um Arbeitsstationen
unmittelbar nach deren Beitritt zur Zieldomäne oder sobald wie möglich danach erneut zu
starten. Ressourcen, die nach der Migration nicht neu gestartet werden, befinden sich in
einem unbestimmten Zustand.
Sie können Arbeitsstationen mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption oder
eines Skripts migrieren.

So migrieren Sie Arbeitsstationen mithilfe des ADMT-Snap-Ins

1. Melden Sie sich auf dem Computer in der Zieldomäne, auf dem Sie ADMT installiert
haben, mithilfe des ADMT-Ressourcenmigrationskontos an.
2. Verwenden Sie den Computermigrations-Assistenten, und führen Sie die in der

166
folgenden Tabelle beschriebenen Schritte aus.

167
Seite des Assistenten Vorgang

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Quelldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Geben Sie unter Ziel in der Dropdownliste
Domäne den NetBIOS- oder DNS-Namen
der Zieldomäne an. Geben Sie in der
Dropdownliste Domänencontroller den
Namen des Domänencontrollers an, oder
wählen Sie einenbeliebigen
Domänencontroller aus, und klicken Sie
auf Weiter.

Computerauswahl Klicken Sie auf Computer aus Domäne


auswählen, und klicken Sie dann auf
Weiter. Klicken Sie auf der Seite
Computerauswahl auf Hinzufügen, um
die Computer in der Quelldomäne
auszuwählen, die Sie migrieren möchten,
klicken Sie auf OK und dann auf Weiter.
Oder
Klicken Sie auf Objekte aus Includedatei
lesen und anschließend auf Weiter.
Geben Sie den Speicherort der
Includedatei ein, und klicken Sie auf
Weiter.

Informationen zu verwalteten Wählen Sie alle verwalteten Dienstkonten


Dienstkonten (wird angezeigt, wenn auf aus, die nicht auf dem migrierten
dem Computer ein verwaltetes Computer in der Zieldomäne installiert
Dienstkonto installiert ist) werden sollen, und klicken Sie dann auf
Überspringen/Einbeziehen, um die
Konten mit Überspringen zu
kennzeichnen.

168
Seite des Assistenten Vorgang

Auswahl der Organisationseinheit Klicken Sie auf Durchsuchen.


Suchen Sie im Dialogfeld Container
suchen nach dem Container Computer
der Zieldomäne oder der entsprechenden
Organisationseinheit, und klicken Sie
dann auf OK.

Objekte konvertieren Aktivieren Sie das Kontrollkästchen


Lokale Gruppen.
Aktivieren Sie das Kontrollkästchen
Benutzerrechte.

Optionen für die Klicken Sie auf Hinzufügen.


Sicherheitskonvertierung

Computeroptionen Akzeptieren Sie im Feld Minuten, bis der


Computer nach Beenden des
Assistenten neu gestartet wird den
Standardwert von 5 Minuten, oder geben
Sie einen anderen Wert ein.

Objekteigenschaftsausnahme Wenn Sie bestimmte Objekteigenschaften


von der Migration ausschließen möchten,
aktivieren Sie das Kontrollkästchen
Bestimmte Objekteigenschaften von
der Migration ausschließen, wählen Sie
die Objekteigenschaften aus, die
ausgeschlossen werden sollen,
verschieben Sie diese in das Feld
Ausgeschlossene Eigenschaften, und
klicken Sie dann auf Weiter.

Konfliktverwaltung Klicken Sie auf Quellobjekt nicht


migrieren, wenn in der Zieldomäne ein
Konflikt ermittelt wird.

Dialogfeld "ADMT-Agent" Wählen Sie Vorüberprüfung und Agent


ausführen aus, und klicken Sie dann auf
Start.

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem
der Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um
die Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden
Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde,
müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen

169
Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen
"MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und vergewissern Sie sich,
dass die Arbeitsstationen in der entsprechenden Organisationseinheit in der Zieldomäne
vorhanden sind.

So migrieren Sie Arbeitsstationen mithilfe der ADMT-Befehlszeilenoption

1. Melden Sie sich auf dem Computer in der Zieldomäne, auf dem ADMT installiert ist,
mithilfe des ADMT-Ressourcenmigrationskontos an.
2. Geben Sie in der Befehlszeile den Befehl ADMT Computer mit den entsprechenden
Parametern ein, und drücken Sie dann die EINGABETASTE:
ADMT COMPUTER /N "<Computername1>" "<Computername2>" /SD:"<Quelldomäne>"
/TD:"<Zieldomäne>" /TO:"<Zielorganisationseinheit>" [/M: "<Name des einzelnen
verwalteten Dienstkontos 1>" "<Name des einzelnen verwalteten Dienstkontos 2>"]
[/UALLMSA:Yes] /RDL:5

Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT COMPUTER /N "<Computername1>" "<Computername2>" /O:" <Optionsdatei>.txt"

In der folgenden Tabelle sind die allgemeinen Parameter zur Migration von
Arbeitsstationen aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und
dem entsprechenden Äquivalent in der Optionsdatei.

170
Parameter Befehlszeilensyntax Optionsdateisyntax

<Quelldomäne> SD:"Quelldomäne" SourceDomain="Quelldomäne"

<Quellorganisationsein / SourceOU="Quellorganisationsein
heit> Speicherort SO:"Quellorganisationsein heit"
heit"

<Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne"

Aktualisieren aller /UALLMSA: YES UpdateAllManagedServiceAccount


verwalteten s=Yes
Dienstkonten

Aktualisieren /M: "Name 1" "Name 2"… UPDATEMSANAME="Name 1" "Name


bestimmter verwalteter 2"…
Dienstkonten

Hinweis
Der
Parameter
„/M“ hat
Vorrang vor
dem
Parameter
„/UALLMS
A“.

<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinh eit"
eit"

Neustartverzögerung /RDL:5 RestartDelay=5


(Minuten)

Option für die /TOT:ADD TranslationOption=ADD


Sicherheitskonvertierun
g

Konvertieren von /TUR:YES TranslateUserRights=YES


Benutzerrechten

Konvertieren lokaler /TLG:YES TranslateLocalGroups=YES


Gruppen

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Das
Migrationsprotokoll listet Computer, den Abschlussstatus und den Pfad zur Protokolldatei
für jeden Computer auf. Wenn ein Fehler für einen Computer aufgezeichnet wurde,
müssen Sie die Protokolldatei für den betreffenden Computer auf Probleme mit lokalen

171
Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen
"MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die
Zielorganisationseinheit. Vergewissern Sie sich, dass die Arbeitsstationen in der
Zielorganisationseinheit vorhanden sind.

So migrieren Sie Arbeitsstationen mithilfe eines Skripts

• Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle
und -Optionen zur Migration von Arbeitsstationen enthält. Kopieren Sie das Skript in
Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen
Ordner wie die Datei „AdmtConstants.vbs“.
<Job id="MigratingWorkstationsBwtweenForest" >

<Script language="VBScript" src="AdmtConstants.vbs" />

<Script language="VBScript" >

Option Explicit

Dim objMigration

Dim objComputerMigration

'

'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte.

'

Set objMigration = CreateObject("ADMT.Migration" )

Set objComputerMigration = objMigration.CreateComputerMigration

'

'Geben Sie die allgemeinen Migrationsoptionen an.

'

objMigration.SourceDomain = "Quelldomäne"

objMigration.SourceOu = "Computer"

objMigration.TargetDomain = "Zieldomäne"

objMigration.TargetOu = "Computer"

'

172
'Geben Sie die spezifischen Optionen für die Computermigration an.

'

objComputerMigration.RestartDelay = 1

objComputerMigration.TranslationOption = admtTranslateAdd

objComputerMigration.TranslateLocalGroups = True

objComputerMigration.TranslateUserRights = True

objComputerMigration.UpdateAllManagedServiceAccounts = True

'

'Migrieren Sie die Computerobjekte für die angegebenen Computerobjekte.

'

objComputerMigration.Migrate admtData, _

Array("Computername1" ,"Computername2" )

Set objComputerMigration = Nothing

Set objMigration = Nothing

</Script>

Erneute losweise Migration von Benutzerkonten


Nachdem Sie den Erfolg der Migration der lokalen Benutzerprofile und Benutzerarbeitsstationen
für das Benutzerlos überprüft haben, migrieren Sie die Benutzerkonten für das entsprechende
Los.
Sie können Benutzerkonten losweise mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption
oder eines Skripts migrieren. Wenn Sie Benutzerkonten migrieren, bei denen AMA
(Authentication Mechanism Assurance, Sicheres Authentifizierungsverfahren) aktiviert ist,
verwenden Sie eine Includedatei. Geben Sie in der Includedatei die ursprünglichen UPNs (User
Principal Names) aus der Quelldomäne als Ziel-UPNs an, damit AMA funktioniert. Weitere
Informationen dazu finden Sie unter Verwenden einer Includedatei.

So migrieren Sie das aktuelle Los von Benutzerkonten mithilfe des ADMT-Snap-Ins
erneut

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Verwenden Sie den Assistenten zum Migrieren von Benutzerkonten, und führen Sie
173
die in der folgenden Tabelle beschriebenen Schritte aus.

174
Seite des Assistenten Vorgang

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Quelldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Geben Sie unter Ziel in der Dropdownliste
Domäne den NetBIOS- oder DNS-Namen
der Zieldomäne an. Geben Sie in der
Dropdownliste Domänencontroller den
Namen des Domänencontrollers an, oder
wählen Sie einenbeliebigen
Domänencontroller aus, und klicken Sie auf
Weiter.

Benutzerauswahl Klicken Sie auf Benutzer aus Domäne


auswählen, und klicken Sie dann auf
Weiter. Klicken Sie auf der Seite
Benutzerauswahl auf Hinzufügen, um die
Benutzer in der Quelldomäne
auszuwählen, die Sie im aktuellen Los
migrieren möchten, klicken Sie auf OK und
dann auf Weiter.
Oder
Klicken Sie auf Objekte aus Includedatei
lesen und anschließend auf Weiter. Geben
Sie den Speicherort der Includedatei ein,
und klicken Sie auf Weiter.

Auswahl der Organisationseinheit Stellen Sie sicher, dass in ADMT die


richtige Zielorganisationseinheit aufgelistet
wird. Falls es sich nicht um die richtige
Organisationseinheit handelt, geben Sie
diese ein, oder klicken Sie auf
Durchsuchen.
Suchen Sie im Dialogfeld Container
suchen nach der Zieldomäne und
-organisationseinheit, und klicken Sie dann
auf OK.

175
Seite des Assistenten Vorgang

Kennwortoptionen Klicken Sie auf Kennwörter migrieren.


Geben Sie unter Quelldomänencontroller
für die Kennwortmigration: den Namen
des die Kennwörter exportierenden Servers
ein, oder übernehmen Sie den
Standardwert.

Optionen für die Kontoaktualisierung Klicken Sie unter Zielkontenstatus: auf


Zielkonten aktivieren.
Klicken Sie unter Optionen zum
Deaktivieren des Quellkontos: auf Tage
bis zum Ablaufen der Quellkonten:, und
geben Sie dann die Anzahl der Tage ein,
für die Sie die Quellkonten beibehalten
möchten. Normalerweise wird der Wert 7
verwendet.
Aktivieren Sie das Kontrollkästchen
Benutzer-SIDs zur Zieldomäne
migrieren.

Benutzerkonto Geben Sie den Benutzernamen, das


Kennwort und die Domäne eines Kontos
mit Administratoranmeldeinformationen ein.

Benutzeroptionen Aktivieren Sie das Kontrollkästchen


Servergespeicherte Profile konvertieren.
Aktivieren Sie das Kontrollkästchen
Benutzerrechte aktualisieren.
Aktivieren Sie das Kontrollkästchen
Zugeordnete Benutzergruppen
migrieren.
Aktivieren Sie das Kontrollkästchen
Gruppenmitgliedschaften der Benutzer
korrigieren.

Objekteigenschaftsausnahme Deaktivieren Sie das Kontrollkästchen


Bestimmte Objekteigenschaften von der
Migration ausschließen.

176
Seite des Assistenten Vorgang

Konfliktverwaltung Klicken Sie auf In Konflikt stehende


Objekte migrieren und
zusammenführen.
Deaktivieren Sie das Kontrollkästchen Vor
dem Zusammenführen Benutzerrechte
für vorhandene Zielkonten entfernen.
Deaktivieren Sie das Kontrollkästchen
Zusammengeführte Objekte in die
angegebene Zielorganisationseinheit
verschieben.

3. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll
anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und überprüfen Sie, ob die
Benutzerkonten in der entsprechenden Organisationseinheit in der Zieldomäne
vorhanden sind.

So migrieren Sie das aktuelle Los von Benutzern mithilfe der ADMT-Befehlszeilenoption
erneut

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Geben Sie in der Befehlszeile den Befehl ADMT User mit den entsprechenden
Parametern ein, und drücken Sie dann die EINGABETASTE:
ADMT USER /N "<Benutzername1>" "<Benutzername2>" /SD:" <Quelldomäne>" /TD:"
<Zieldomäne>" /TO:" <Zielorganisationseinheit>" /MSS:YES /TRP:YES /UUR:YES

Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT USER /N "<Benutzername1>" "<Benutzername2>" /O "<Optionsdatei>.txt"

In der folgenden Tabelle sind die allgemeinen Parameter zum Migrieren von
Benutzerkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und
dem entsprechenden Äquivalent in der Optionsdatei.

177
Parameter Befehlszeilensyntax Optionsdateisyntax

<Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne"

<Quellorganisationsein / SourceOU="Quellorganisationsei
heit> Speicherort SO:"Quellorganisationsein nheit"
heit"

<Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne"

<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
it"

Migrieren von SIDs /MSS:YES MigrateSIDs=YES

Konfliktverwaltung /CO:REPLACE ConflictOptions=REPLACE

Servergespeichertes /TRP:YES (Standard) TranslateRoamingProfile=YES


Profil konvertieren

Benutzerrechte /UUR:YES UpdateUserRights=YES


aktualisieren

Kennwortoptionen /PO:COPY /PS:<Name des PasswordOption=COPY


PES-Servers> PasswordServer=:<Name des
PES-Servers>

Ablaufdatum der Quelle /SEP:30 SourceExpiration=30

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die
Zielorganisationseinheit. Vergewissern Sie sich, dass die Benutzer in der
Zielorganisationseinheit vorhanden sind.

So migrieren Sie das aktuelle Los von Benutzern mithilfe eines Skripts erneut

• Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle
und -Optionen zur Migration von Benutzern enthält. Kopieren Sie das Skript in Notepad,
und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie
die Datei „AdmtConstants.vbs“.
<Job id="MigratingUserAccountsInBatchesBetweenForests" >

<Script language="VBScript" src="AdmtConstants.vbs" />

<Script language="VBScript" >

Option Explicit

Dim objMigration

178
Dim objUserMigration

'

'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte.

'

Set objMigration = CreateObject("ADMT.Migration" )

Set objUserMigration = objMigration.CreateUserMigration

'

'Geben Sie die allgemeinen Migrationsoptionen an.

'

objMigration.SourceDomain = "Quelldomäne"

objMigration.SourceOu = "Quellcontainer"

objMigration.TargetDomain = "Zieldomäne"

objMigration.TargetOu = "Zielcontainer"

objMigration.PasswordOption = admtCopyPassword

objMigration.PasswordServer = "Name des Kennwortexportservers"

objMigration.ConflictOptions = admtReplaceConflicting

'

'Geben Sie die spezifischen Optionen der Benutzermigration an.

'

objUserMigration.SourceExpiration = 7

objUserMigration.MigrateSIDs = True

objUserMigration.TranslateRoamingProfile = True

objUserMigration.UpdateUserRights = False

objUserMigration.FixGroupMembership = True

objUserMigration.MigrateServiceAccounts = False

'

'Migrate specified user objects.

'

179
objUserMigration.Migrate admtData, Array("Benutzername1" ,
"Benutzername2" )

Set objUserMigration = Nothing

Set objMigration = Nothing

</Script>

</Job>

Erneute Migration aller globalen Gruppen nach


der Kontenmigration
Eine umfangreiche Benutzerkontenmigration kann sich über einen längeren Zeitraum erstrecken.
Daher müssen Sie globale Gruppen nach dem Migrieren jedes Benutzerloses möglicherweise
erneut aus der Quelldomäne in die Zieldomäne migrieren. Das Ziel besteht darin, Änderungen
nachzuvollziehen, die in der Quelldomäne nach der ursprünglichen Migration der globalen
Gruppen an der Gruppenmitgliedschaft vorgenommen wurden. Weitere Informationen zur
erneuten Migration globaler Gruppen – sowie entsprechende Vorgehensweisen – finden Sie unter
Erneute Migration aller globalen Gruppen nach der Migration aller Lose weiter unten in diesem
Handbuch.

Erneute Migration aller globalen Gruppen


nach der Migration aller Lose
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Führen Sie nach der Migration aller Lose eine abschließende erneute globale Migration durch,
um sicherzustellen, dass alle Änderungen letzter Hand, die an der globalen
Gruppenmitgliedschaft in der Quelldomäne vorgenommen wurden, in die Zieldomäne
übernommen werden.
Sie können die erneute Migration globaler Gruppen mithilfe des ADMT-Snap-Ins (Active Directory
Migration Tool, Active Directory-Migrationsprogramm), der ADMT-Befehlszeilenoption oder eines
Skripts ausführen.

So migrieren Sie globale Gruppen erneut mithilfe des ADMT-Snap-Ins

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Verwenden Sie den Assistenten zum Migrieren von Gruppenkonten, und führen Sie
die in der folgenden Tabelle beschriebenen Schritte aus.

180
Seite des Assistenten Vorgang

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Quelldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Geben Sie unter Ziel in der
Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Zieldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus,
und klicken Sie auf Weiter.

Gruppenauswahl Klicken Sie auf Gruppen aus Domäne


auswählen, und klicken Sie dann auf
Weiter. Klicken Sie auf der Seite
Gruppenauswahl auf Hinzufügen, um
die zu migrierenden Gruppen in der
Quelldomäne auszuwählen, klicken Sie
auf OK, und klicken Sie dann auf Weiter.
Oder
Klicken Sie auf Objekte aus
Includedatei lesen und anschließend auf
Weiter. Geben Sie den Speicherort der
Includedatei ein, und klicken Sie auf
Weiter.

Auswahl der Organisationseinheit Geben Sie den Namen der


Organisationseinheit (Organizational Unit,
OU) ein, oder klicken Sie auf
Durchsuchen.
Suchen Sie im Dialogfeld Container
suchen den Container in der
Zieldomäne, in den die globalen Gruppen
verschoben werden sollen, und klicken
Sie dann auf OK.

181
Seite des Assistenten Vorgang

Gruppenoptionen Aktivieren Sie das Kontrollkästchen


Benutzerrechte aktualisieren.
Stellen Sie sicher, dass das
Kontrollkästchen Gruppenmitglieder
kopieren deaktiviert ist.
Stellen Sie sicher, dass das
Kontrollkästchen Migrierte Objekte
aktualisieren deaktiviert ist.
Aktivieren Sie das Kontrollkästchen
Gruppenmitgliedschaft korrigieren.
Aktivieren Sie das Kontrollkästchen
Gruppen-SIDs zur Zieldomäne
migrieren.

Benutzerkonto Geben Sie den Benutzernamen, das


Kennwort und die Domäne eines Kontos
ein, das über administrative Rechte in der
Quelldomäne verfügt.

Objekteigenschaftsausnahme Deaktivieren Sie das Kontrollkästchen


Bestimmte Objekteigenschaften von
der Migration ausschließen.

Konfliktverwaltung Aktivieren Sie das Kontrollkästchen In


Konflikt stehende Objekte migrieren
und zusammenführen (alle anderen
Optionen sind deaktiviert).

3. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll
anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die
Zielorganisationseinheit. Überprüfen Sie, ob die globalen Gruppen in der
Organisationseinheit der Zieldomäne vorhanden sind.

So migrieren Sie globale Gruppen erneut mithilfe der ADMT-Befehlszeilenoption

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Geben Sie den Befehl ADMT Group mit den entsprechenden Parametern in der
Befehlszeile ein, und drücken Sie dann die EINGABETASTE:
ADMT GROUP /N "<Gruppenname1>" "<Gruppenname2>" /SD:" <Quelldomäne>" /TD:"
<Zieldomäne>" /TO:" <Zielorganisationseinheit>" /MSS:YES /CO:REPLACE

Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
182
über die Befehlszeile angegeben wird:
ADMT GROUP /N "<Gruppenname1>" "<Gruppenname2>" /O: "<Optionsdatei>.txt"

In der folgenden Tabelle sind die allgemeinen Parameter zur Migration globaler Gruppen
aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem
entsprechenden Äquivalent in der Optionsdatei.

Parameter Befehlszeilensyntax Optionsdateisyntax

<Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne"

<Quellorganisationsein / SourceOU="Quellorganisationsei
heit> Speicherort SO:"Quellorganisationsein nheit"
heit"

<Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne"

<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
it"

Migrieren von GG SIDs /MSS:YES MigrateSIDs=YES

Konfliktverwaltung /CO:REPLACE ConflictOptions=REPLACE

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die
Zielorganisationseinheit. Bestätigen Sie, dass die globalen Gruppen in der
Organisationseinheit der Zieldomäne vorhanden sind.

So migrieren Sie globale Gruppen erneut mithilfe eines Skripts

• Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle
und -Optionen zur Migration globaler Gruppen enthält. Kopieren Sie das Skript in
Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen
Ordner wie die Datei „AdmtConstants.vbs“.
<Job id=" RemigratingGlobalGroupsBetweenForests" >

<Script language="VBScript" src="AdmtConstants.vbs" />

<Script language="VBScript" >

Option Explicit

Dim objMigration

Dim objGroupMigration

'

183
'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte.

'

Set objMigration = CreateObject("ADMT.Migration" )

Set objGroupMigration = objMigration.CreateGroupMigration

'

'Geben Sie die allgemeinen Migrationsoptionen an.

'

objMigration.SourceDomain = "Quelldomäne"

objMigration.SourceOu = "Quellcontainer"

objMigration.TargetDomain = "Zieldomäne"

objMigration.TargetOu = "Zielcontainer"

objMigration.ConflictOptions = admtReplaceConflicting

'

'Geben Sie die spezifischen Optionen der Gruppenmigration an.

'

objGroupMigration.MigrateSIDs = True

'

'Migrieren Sie die angegebenen Gruppenobjekte.

'

objGroupMigration.Migrate admtData,
Array("Gruppenname1" ,"Gruppenname2" )

Set objGroupMigration = Nothing

Set objMigration = Nothing

</Script>

</Job>

184
Konvertieren der Sicherheit im
Entfernungsmodus
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Konvertieren Sie die Sicherheit für Objekte, um die Sicherheitskennungen (Security Identifiers,
SIDs) der Konten in der Quelldomäne aus den Zugriffssteuerungslisten der migrierten Objekte zu
entfernen. Führen Sie diesen Vorgang erst aus, nachdem alle Quellkonten deaktiviert wurden.
Führen Sie den Sicherheitskonvertierungs-Assistenten für alle Dateien, freigegebenen Ordner,
Drucker und lokalen Gruppen sowie mindestens einen Domänencontroller aus (um die Sicherheit
für freigegebene lokale Gruppen zu konvertieren).
Wenn Sie die Sicherheit im Entfernungsmodus konvertieren, sind die Sicherheitskennungen in
der Quelldomäne für den Benutzer nicht mehr vorhanden oder verfügbar, wenn das
Zielbenutzerkonto erfolgreich migriert wurde und die Sicherheitskennungen hier hinzugefügt
werden. Dieser Vorgang ermöglicht eine administrative Bereinigung und stellt sicher, dass
Benutzer ihr "neues" Zieldomänenkonto und nicht mehr ihr "altes" Quelldomänenkonto
verwenden.
Sie können die Sicherheit für Objekte im Entfernungsmodus mithilfe des Active Directory-
Migrationspgrogramm-Snap-Ins (ADMT), der ADMT-Befehlszeilenoption oder eines Skripts
konvertieren.

So konvertieren Sie die Sicherheit für Objekte im Entfernungsmodus mithilfe des ADMT-
Snap-Ins

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Verwenden Sie den Sicherheitskonvertierungs-Assistenten, indem Sie die in der
folgenden Tabelle beschriebenen Schritte ausführen.

185
Seite des Assistenten Vorgang

Optionen für die Klicken Sie auf Zuvor migrierte Objekte.


Sicherheitskonvertierung

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Quelldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Geben Sie unter Ziel in der Dropdownliste
Domäne den NetBIOS- oder DNS-Namen
der Zieldomäne an. Geben Sie in der
Dropdownliste Domänencontroller den
Namen des Domänencontrollers an, oder
wählen Sie einenbeliebigen
Domänencontroller aus, und klicken Sie
auf Weiter.

Computerauswahl Klicken Sie auf Computer aus Domäne


auswählen, und klicken Sie dann auf
Weiter. Klicken Sie auf der Seite
Computerauswahl auf Hinzufügen, um
die Computer auszuwählen, für die Sie
die Sicherheit konvertieren möchten,
klicken Sie auf OK, und klicken Sie dann
auf Weiter.
Oder
Klicken Sie auf Objekte aus Includedatei
lesen und anschließend auf Weiter.
Geben Sie den Speicherort der
Includedatei ein, und klicken Sie auf
Weiter.

Objekte konvertieren Deaktivieren Sie das Kontrollkästchen


Benutzerprofile.
Aktivieren Sie alle anderen
Kontrollkästchen.

Seite des Assistenten Vorgang

Optionen für die Klicken Sie auf Entfernen.


Sicherheitskonvertierung

186
So konvertieren Sie die Sicherheit für Objekte im Entfernungsmodus mithilfe der ADMT-
Befehlszeilenoption

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Geben Sie den Befehl ADMT Security mit den entsprechenden Parametern in der
Befehlszeile ein, und drücken Sie dann die EINGABETASTE.
ADMT SECURITY /N "<Computername1>" "<Computername2>" /SD:" <Quelldomäne>" /TD:"
<Zieldomäne>" /TO:" <Zielorganisationseinheit>" /TOT:Remove

Alternativ können Sie Parameter in eine Optionsdatei aufnehmen, die Sie in der
folgenden Weise auf der Befehlszeile angeben:
ADMT SECURITY /N "<Computername1>" "<Computername2>" /O "<Optionsdatei>.txt"

In der folgenden Tabelle sind die allgemeinen Parameter zum Migrieren von
Benutzerkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und
dem entsprechenden Äquivalent in der Optionsdatei.

Parameter Befehlszeilensyntax Optionsdateisyntax

<Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne"

<Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne"

Optionen für die /TOT:Remove TranslateOption=REMOVE


Sicherheitskonvertierung

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem
der Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um
die Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden
Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde,
müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen
Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen
"MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert.

So konvertieren Sie die Sicherheit für Objekte im Entfernungsmodus mithilfe eines


Skripts

• Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle
und -Optionen zum Konvertieren der Sicherheit für Objekte im Entfernungsmodus
enthält. Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der
Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“.
<Job id=" TranslatingSecurityInRemoveModeOnObjectsBetweenForests" >

<Script language="VBScript" src="AdmtConstants.vbs" />

<Script language="VBScript" >

187
Option Explicit

Dim objMigration

Dim objSecurityTranslation

'

'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte.

'

Set objMigration = CreateObject("ADMT.Migration" )

Set objSecurityTranslation = objMigration.CreateSecurityTranslation

'

'Geben Sie die allgemeinen Migrationsoptionen an.

'

objMigration.SourceDomain = "Quelldomäne"

objMigration.TargetDomain = "Zieldomäne"

objMigration.TargetOu = "Computer"

'

'Geben Sie die spezifischen Optionen der Sicherheitskonvertierung an.

'

objSecurityTranslation.TranslationOption = admtTranslateRemove

objSecurityTranslation.TranslateFilesAndFolders = True

objSecurityTranslation.TranslateLocalGroups = True

objSecurityTranslation.TranslatePrinters = True

objSecurityTranslation.TranslateRegistry = True

objSecurityTranslation.TranslateShares = True

objSecurityTranslation.TranslateUserProfiles = False

objSecurityTranslation.TranslateUserRights = True

'

188
'Führen Sie die Sicherheitskonvertierung für die angegebenen
Computerobjekte durch.

'

objSecurityTranslation.Translate admtData, _

Array("Computername1" ,"Computername2" )

Set objSecurityTranslation = Nothing

Set objMigration = Nothing

</Script>

</Job>

Migrieren von Ressourcen


Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Der Vorgang des Migrierens von Ressourcen zwischen Active Directory-Domänen in
verschiedenen Gesamtstrukturen umfasst die Migration der folgenden Elemente:
• Arbeitsstationskonten und Mitgliedsserver
• Domänen und freigegebene lokale Gruppen
• Domänencontroller
Nachdem Sie alle Ressourcenobjekte erfolgreich in die Zieldomäne migriert haben, können Sie
die Quelldomäne außer Betrieb nehmen.
Die folgende Abbildung zeigt den Vorgang zum Migrieren von Ressourcenobjekten zwischen
Active Directory-Domänen in verschiedenen Gesamtstrukturen.

189
Migrieren von Arbeitsstationen und
Mitgliedsservern
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Migrieren Sie die verbleibenden Arbeitsstationen, die Sie nicht während des Vorgangs der
Migration von Benutzerkonten migriert haben, zusammen mit Mitgliedsservern in kleinen Losen
von bis zu 100 Computern. Die Migration der Arbeitsstationskonten und Mitgliedsserver ist ein
einfacher Vorgang. Arbeitsstationen und Mitgliedsserver besitzen eigene Datenbanken der
Sicherheitskontenverwaltung (Security Account Manager, SAM). Wenn Sie eine Arbeitsstation
zwischen Domänen migrieren, wird die SAM-Datenbank zusammen mit dem Computer migriert.
Konten in der lokalen SAM-Datenbank (z. B. lokale Gruppen), die verwendet werden, um den
Zugriff auf Ressourcen zu ermöglichen, werden immer zusammen mit dem Computer
verschoben. Daher müssen Sie nicht migriert werden.
Wenn auf einer Arbeitsstation verwaltete Dienstkonten installiert sind und diese Konten zuvor
migriert wurden, wird vom Active Directory-Migrationsprogramm (ADMT) eine Option zur
erneuten Installation des migrierten verwalteten Dienstkontos auf dem migrierten Computer und
zur Aktualisierung des Dienststeuerungs-Managers (Service Control Manager, SCM)
bereitgestellt. Damit dieser Vorgang von ADMT ausgeführt werden kann, muss das Konto, von

190
dem die Computermigration ausgeführt wird, die Berechtigung zum Ändern der
Sicherheitsbeschreibungen für das migrierte verwaltete Dienstkonto aufweisen.
Da für die Migration ein Neustart der Arbeitsstationen und Mitgliedsserver erforderlich ist, ist es
wichtig, die Migration für einen Zeitpunkt zu planen, an dem der Server keine Anforderungen
bedient.

Hinweis

Starten Sie Arbeitsstationen sofort neu, nachdem Sie die der Zieldomäne hinzugefügt
haben, indem Sie einen niedrigen Wert (z. B. 1) für den Parameter RestartDelay
auswählen. Ressourcen, die nach der Migration nicht neu gestartet werden, befinden
sich in einem unbestimmten Zustand.
Sie können die Arbeitsstationen und Mitgliedsserver mithilfe des ADMT-Snap-Ins (Active
Directory Migration Tool, Active Directory-Migrationsprogramm), der ADMT-Befehlszeilenoption
oder eines Skripts migrieren.

So migrieren Sie Arbeitsstationen und Mitgliedsserver mithilfe des ADMT-Snap-Ins

1. Melden Sie sich auf dem Computer in der Zieldomäne, auf dem Sie ADMT installiert
haben, mithilfe des ADMT-Ressourcenmigrationskonto an.
2. Verwenden Sie den Assistenten zum Migrieren von Computerkonten, und führen Sie
die in der folgenden Tabelle beschriebenen Schritte aus.

191
Seite des Assistenten Vorgang

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Quelldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Geben Sie unter Ziel in der Dropdownliste
Domäne den NetBIOS- oder DNS-Namen
der Zieldomäne an. Geben Sie in der
Dropdownliste Domänencontroller den
Namen des Domänencontrollers an, oder
wählen Sie einenbeliebigen
Domänencontroller aus, und klicken Sie
auf Weiter.

Computerauswahl Klicken Sie auf Computer aus Domäne


auswählen, und klicken Sie dann auf
Weiter. Klicken Sie auf der Seite
Computerauswahl auf Hinzufügen, um
die Computer in der Quelldomäne
auszuwählen, die Sie migrieren möchten,
klicken Sie auf OK und dann auf Weiter.
Oder
Klicken Sie auf Objekte aus Includedatei
lesen und anschließend auf Weiter.
Geben Sie den Speicherort der
Includedatei ein, und klicken Sie auf
Weiter.

Informationen zu verwalteten Wählen Sie alle verwalteten Dienstkonten


Dienstkonten (wird angezeigt, wenn auf aus, die nicht auf dem migrierten
dem Computer ein verwaltetes Computer in der Zieldomäne installiert
Dienstkonto installiert ist) werden sollen, und klicken Sie dann auf
Überspringen/Einbeziehen, um die
Konten mit Überspringen zu
kennzeichnen.

192
Seite des Assistenten Vorgang

Auswahl der Organisationseinheit Klicken Sie auf Durchsuchen.


Suchen Sie im Dialogfeld Container
suchen nach dem Container Computer
der Zieldomäne oder der entsprechenden
Organisationseinheit, und klicken Sie
dann auf OK.

Optionen für die Aktivieren Sie das Kontrollkästchen


Sicherheitskonvertierung Lokale Gruppen.
Aktivieren Sie das Kontrollkästchen
Benutzerrechte.

Objekte konvertieren Klicken Sie auf Hinzufügen.

Computeroptionen Akzeptieren Sie unter Minuten, bis der


Computer nach Beenden des
Assistenten neu gestartet wird den
Standardwert von 5 Minuten, oder geben
Sie einen anderen Wert ein.

Objekteigenschaftsausnahme Wenn Sie bestimmte Objekteigenschaften


von der Migration ausschließen möchten,
aktivieren Sie das Kontrollkästchen
Bestimmte Objekteigenschaften von
der Migration ausschließen, wählen Sie
die Objekteigenschaften aus, die
ausgeschlossen werden sollen,
verschieben Sie diese in
Ausgeschlossene Eigenschaften, und
klicken Sie dann auf Weiter.

Konfliktverwaltung Klicken Sie auf Quellobjekt nicht


migrieren, wenn in der Zieldomäne ein
Konflikt ermittelt wird.

ADMT Agent Wählen Sie Vorüberprüfung und Agent


ausführen aus, und klicken Sie dann auf
Start.

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem
der Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um
die Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden
Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde,
müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen
Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen

193
"MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und vergewissern Sie sich,
dass die Arbeitsstationen in der entsprechenden Organisationseinheit in der Zieldomäne
vorhanden sind.

So migrieren Sie Arbeitsstationen und Mitgliedsserver mithilfe der ADMT-


Befehlszeilenoption

1. Melden Sie sich auf dem Computer in der Zieldomäne, auf dem ADMT installiert ist,
mithilfe des ADMT-Ressourcenmigrationskontos an.
2. Geben Sie in der Befehlszeile den Befehl ADMT Computer mit den entsprechenden
Parametern ein, und drücken Sie dann die EINGABETASTE:
ADMT COMPUTER /N "<Computername1>" "<Computername2>" /SD:"<Quelldomäne>"
/TD:"<Zieldomäne>" /TO:"<Zielorganisationseinheit>" [/M: “<Name des einzelnen
verwalteten Dienstkontos 1>" "<Name des einzelnen verwalteten Dienstkontos 2>"]
[/UALLMSA:Yes] /RDL:5

Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT COMPUTER /N "<Computername1>" "<Computername2>" /O:" <Optionsdatei>.txt"

In der folgenden Tabelle sind die allgemeinen Parameter zur Migration von
Arbeitsstationen aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und
dem entsprechenden Äquivalent in der Optionsdatei.

194
Parameter Befehlszeilensyntax Optionsdateisyntax

<Quelldomäne> SD:"Quelldomäne" SourceDomain="Quelldomäne"

<Quellorganisationsein / SourceOU="Quellorganisationsein
heit> Speicherort SO:"Quellorganisationsein heit"
heit"

<Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne"

Aktualisieren /UALLMSA: YES UpdateAllManagedServiceAccount


verwalteter s=Yes
Dienstkonten

Aktualisieren /M "Name 1" "Name 2"… UPDATEMSANAME="Name 1" "Name


bestimmter verwalteter 2"…
Dienstkonten

Hinweis
Der
Parameter
„/M“ hat
Vorrang vor
dem
Parameter
„/UALLMS
A“.

<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinh eit"
eit"

Neustartverzögerung /RDL:5 RestartDelay=5


(Minuten)

Option für die /TOT:ADD TranslationOption=ADD


Sicherheitskonvertierun
g

Konvertieren von /TUR:YES TranslateUserRights=YES


Benutzerrechten

Konvertieren lokaler /TLG:YES TranslateLocalGroups=YES


Gruppen

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Das
Migrationsprotokoll listet Computer, den Abschlussstatus und den Pfad zur Protokolldatei
für jeden Computer auf. Wenn ein Fehler für einen Computer aufgezeichnet wurde,

195
müssen Sie die Protokolldatei für den betreffenden Computer auf Probleme mit lokalen
Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen
"MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die
Zielorganisationseinheit. Vergewissern Sie sich, dass die Arbeitsstationen in der
Zielorganisationseinheit vorhanden sind.

So migrieren Sie Arbeitsstationen und Mitgliedsserver mithilfe eines Skripts

• Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle
und -Optionen für die Migration von Arbeitsstationen und Mitgliedsservern enthält.
Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der
Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“.
<Job id="MigratingWorkstationsMemberServersBetweenForests" >

<Script language="VBScript" src="AdmtConstants.vbs" />

<Script language="VBScript" >

Option Explicit

Dim objMigration

Dim objComputerMigration

'

'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte.

'

Set objMigration = CreateObject("ADMT.Migration" )

Set objComputerMigration = objMigration.CreateComputerMigration

'

'Geben Sie die allgemeinen Migrationsoptionen an.

'

objMigration.SourceDomain = "Quelldomäne"

objMigration.SourceOu = "Computer"

objMigration.TargetDomain = "Zieldomäne"

objMigration.TargetOu = "Computer"

196
'

'Geben Sie die spezifischen Optionen für die Computermigration an.

'

objComputerMigration.RestartDelay = 1

objComputerMigration.TranslationOption = admtTranslateAdd

objComputerMigration.TranslateLocalGroups = True

objComputerMigration.TranslateUserRights = True

objComputerMigration.UpdateAllManagedServiceAccounts = True

'

'Migrieren Sie die Computerobjekte für die angegebenen Computerobjekte.

'

objComputerMigration.Migrate admtData, _

Array("Computername1" ,"Computername2" )

Set objComputerMigration = Nothing

Set objMigration = Nothing

</Script>

</Job>

Migrieren von Domänen- und freigegebenen


lokalen Gruppen
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Freigegebene lokale Gruppen sind lokale Gruppen in Windows NT 4.0 und Active Directory-
Domänen, die in den Zugriffssteuerungslisten für Domänencontroller verwendet werden können.
Wenn eine Domäne für den Betrieb im einheitlichen Modus von Windows 2000 oder auf der
Funktionsebene einer Windows Server 2003-Domöne konfiguriert ist, werden freigegebene lokale
Gruppen automatisch in lokale Domänengruppen geändert. Diese Gruppen können dann in
Zugriffssteuerungslisten auf Mitgliedsservern und Arbeitsstationen verwendet werden. Wenn
lokale Domänengruppen oder freigegebene lokale Gruppen in Zugriffssteuerungslisten auf

197
Domänencontrollern oder Mitgliedsservern verwendet werden, müssen Sie sie in die Zieldomäne
migrieren, bevor der Server migriert wird.
Es ist nicht erforderlich, Zugriffssteuerungslisten als Teil des Migrationsvorgangs zu ändern. Die
Zugriffssteuerungslisten verweisen weiterhin auf die lokalen Domänengruppen oder die
freigegebenen lokalen Gruppen in der Quelldomäne. Da die lokalen Domänengruppen oder die
freigegebenen lokalen Gruppen mithilfe des SID-Verlaufs in die Zieldomäne migriert werden
können, bleibt der Zugriff auf die Ressourcen für Benutzer erhalten. ADMT behält die
Mitgliedschaft der lokalen Gruppe während der Migration bei.
Sie können Domänen- oder freigegebene lokale Gruppen mithilfe des ADMT-Snap-Ins
(Active Directory Migration Tool, Active Directory-Migrationsprogramm) oder eines Skripts
migrieren.

So migrieren Sie Domänen- und freigegebene lokale Gruppen mithilfe des ADMT-Snap-
Ins

1. Melden Sie sich auf dem Computer in der Zieldomäne, auf dem Sie ADMT installiert
haben, mithilfe des ADMT-Ressourcenmigrationskontos an.
2. Verwenden Sie den Assistenten zum Migrieren von Gruppenkonten, und führen Sie
die in der folgenden Tabelle beschriebenen Schritte aus.

198
Seite des Assistenten Vorgang

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Quelldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Geben Sie unter Ziel in der Dropdownliste
Domäne den NetBIOS- oder DNS-Namen
der Zieldomäne an. Geben Sie in der
Dropdownliste Domänencontroller den
Namen des Domänencontrollers an, oder
wählen Sie einenbeliebigen
Domänencontroller aus, und klicken Sie
auf Weiter.

Gruppenauswahl Klicken Sie auf Gruppen aus Domäne


auswählen, und klicken Sie dann auf
Weiter. Klicken Sie auf der Seite
Gruppenauswahl auf Hinzufügen, um
die zu migrierenden Gruppen in der
Quelldomäne auszuwählen, klicken Sie
auf OK, und klicken Sie dann auf Weiter.
Oder
Klicken Sie auf Objekte aus Includedatei
lesen und anschließend auf Weiter.
Geben Sie den Speicherort der
Includedatei ein, und klicken Sie auf
Weiter.

Auswahl der Organisationseinheit Geben Sie den Namen der


Organisationseinheit ein, oder klicken Sie
auf Durchsuchen.
Suchen Sie im Dialogfeld Container
suchen den Container in der Zieldomäne,
in den die globalen Gruppen verschoben
werden sollen, und klicken Sie dann auf
OK.

199
Seite des Assistenten Vorgang

Gruppenoptionen Aktivieren Sie das Kontrollkästchen


Gruppen-SIDs zur Zieldomäne
migrieren.
Stellen Sie sicher, dass alle anderen
Optionen nicht ausgewählt sind.

Benutzerkonto Geben Sie den Benutzernamen, das


Kennwort und die Domäne eines Kontos
ein, das über Verwaltungsberechtigungen
in der Quelldomäne verfügt.

Objekteigenschaftsausnahme Deaktivieren Sie das Kontrollkästchen


Bestimmte Objekteigenschaften von
der Migration ausschließen.

Konfliktverwaltung Aktivieren Sie das Kontrollkästchen In


Konflikt stehende Objekte migrieren
und zusammenführen. (Alle anderen
Optionen sind deaktiviert.)

3. Klicken Sie nach der Ausführung des Assistenten auf Protokoll anzeigen.
Überprüfen Sie das Migrationsprotokoll auf Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, suchen Sie die
Zielorganisationseinheit, und überprüfen Sie dann, ob die freigegebenen lokalen
Gruppen in der Organisationseinheit der Zieldomäne vorhanden sind.

So migrieren Sie Domänen- und freigegebene lokale Gruppen mithilfe eines Skripts

• Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle
und -Optionen zum Migrieren von Domänen- und freigegebenen lokalen Gruppen enthält.
Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der
Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“.
<Job id=" MigratingDomainAndSharedLocalGroupsBetweenForests" >

<Script language="VBScript" src="AdmtConstants.vbs" />

<Script language="VBScript" >

Option Explicit

Dim objMigration

Dim objGroupMigration

'

200
'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte.

'

Set objMigration = CreateObject("ADMT.Migration" )

Set objGroupMigration = objMigration.CreateGroupMigration

'

'Geben Sie die allgemeinen Migrationsoptionen an.

'

objMigration.SourceDomain = "Quelldomäne"

objMigration.SourceOu = "Quellcontainer"

objMigration.TargetDomain = "Zieldomäne"

objMigration.TargetOu = "Zielcontainer"

'

'Geben Sie die spezifischen Optionen der Gruppenmigration an.

'

objGroupMigration.MigrateSIDs = True

'

'Migrieren Sie die angegebenen Gruppenobjekte.

'

objGroupMigration.Migrate admtData, _

Array("lokaler Gruppenname1" ,"lokaler Gruppenname2" )

Set objGroupMigration = Nothing

Set objMigration = Nothing

</Script>

</Job>

201
Migrieren von Domänencontrollern
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
In Active Directory oder Active Directory-Domänendienste (Active Directory Domain Services,
AD DS) können Domänencontroller zwischen Domänen migriert werden. Zu diesem Zweck
müssen Sie die folgenden Aktionen ausführen:
• Entfernen Sie Active Directory oder AD DS vom Domänencontroller.
• Migrieren Sie den Domänencontroller als Mitgliedsserver in die Zieldomäne.
• Installieren Sie Active Directory oder AD DS erneut.
Wenn der Server Windows 2000 Server ausführt, können Sie Active Directory oder AD DS nicht
in der Zieldomäne installieren, wenn die Zieldomäne sich bereits auf der Funktionsebene von
Windows Server 2003 befindet. In diesem Fall müssen Sie vor dem Installieren von
Active Directory oder AD DS ein Upgrade des Servers auf Windows Server 2003 ausführen.
Dieselben Schritte sind zum Migrieren eines RODC sowie für einen beschreibbaren
Domänencontroller erforderlich.

Anschließen der Migration


Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Nachdem Sie alle Konten und Ressourcen aus der Quell- in die Zieldomäne migriert haben,
führen Sie die folgenden Tasks aus, um den Neustrukturierungsvorgang abzuschließen:
• Übertragen Sie die Verwaltung der Benutzer- und Gruppenkonten von der Quelldomäne
an die Zieldomäne.
• Stellen Sie sicher, dass mindestens zwei Domänencontroller in der Quelldomäne
weiterhin betrieben werden, bis der Ressourcenmigrationsvorgang abgeschlossen ist.
• Sichern Sie die beiden Domänencontroller in der Quelldomäne.
Nachdem Sie diese Schritte ausgeführt haben, können Sie die Sicherheit der Mitgliedsserver in
der Zieldomäne konvertieren und die Quelldomäne außer Betrieb nehmen. Die folgende
Abbildung zeigt den Vorgang zum Abschließen der Migration von Active Directory-Domänen
zwischen Gesamtstrukturen.

202
Konvertieren der Sicherheit auf
Mitgliedsservern
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Konvertier der Sicherheit auf Mitgliedsservern, um die Zugriffssteuerungslisten (Access Control
Lists, ACLs) der Ressourcen zu bereinigen. Nach der Migration von Objekten in die Zieldomäne
enthalten die Ressourcen die ACL-Einträge der Quelldomänenobjekte. Wenn Sie den SID-Verlauf
verwenden, um den Zugriff auf Ressourcen während der Migration bereitzustellen, verbleiben die
Sicherheitskennungen (SIDs) aus der Quelldomäne in den Zugriffssteuerungslisten, um
Benutzern Zugriff auf Ressourcen zu ermöglichen, während die Migration durchgeführt wird.
Nach dem Abschluss der Migration werden die SIDs aus der Quelldomäne jedoch nicht mehr
benötigt. Verwenden Sie den Sicherheitskonvertierungs-Assistenten im Active Directory-
Migrationsprogramm (Active Directory Migration Tool, ADMT), um die SIDs der Quelldomäne
durch die SIDs der Zieldomäne zu ersetzen.
Wenn Sie nicht den SID-Verlauf für den Ressourcenzugriff verwenden, müssen Sie diesen
Vorgang nicht ausführen, weil Sie die Sicherheitskonvertierung bereits im Entfernen-Modus nach
dem Abschluss der Benutzermigration ausgeführt haben sollten.
Sie können Sicherheit auf Mitgliedsservern mithilfe des ADMT-Snap-Ins, der ADMT-
Befehlszeilenoption oder eines Skripts konvertieren.

203
So konvertieren Sie Sicherheit auf Mitgliedsservern mithilfe des ADMT-Snap-Ins

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Verwenden Sie den Sicherheitskonvertierungs-Assistenten, indem Sie die in der
folgenden Tabelle beschriebenen Schritte ausführen.

204
Seite des Assistenten Vorgang

Optionen für die Klicken Sie auf Zuvor migrierte Objekte.


Sicherheitskonvertierung

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Quelldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Geben Sie unter Ziel in der Dropdownliste
Domäne den NetBIOS- oder DNS-Namen
der Zieldomäne an. Geben Sie in der
Dropdownliste Domänencontroller den
Namen des Domänencontrollers an, oder
wählen Sie einenbeliebigen
Domänencontroller aus, und klicken Sie
auf Weiter.

Computerauswahl Klicken Sie auf Computer aus Domäne


auswählen, und klicken Sie dann auf
Weiter. Klicken Sie auf der Seite
Computerauswahl auf Hinzufügen, um
die Computer auszuwählen, für die Sie
die Sicherheit konvertieren möchten,
klicken Sie auf OK, und klicken Sie dann
auf Weiter.
Oder
Klicken Sie auf Objekte aus Includedatei
lesen und anschließend auf Weiter.
Geben Sie den Speicherort der
Includedatei ein, und klicken Sie auf
Weiter.

Objekte konvertieren Deaktivieren Sie das Kontrollkästchen


Benutzerprofile.
Aktivieren Sie alle anderen Optionen.

Seite des Assistenten Vorgang

Optionen für die Klicken Sie auf Ersetzen.


Sicherheitskonvertierung

205
So konvertieren Sie Sicherheit auf Mitgliedsservern mithilfe der ADMT-
Befehlszeilenoption

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Geben Sie den Befehl ADMT Security mit den entsprechenden Parametern in der
Befehlszeile ein, und drücken Sie dann die EINGABETASTE:
ADMT SECURITY /N "<Computername1>" "<Computername2>" /SD:" <Quelldomäne>" /TD:"
<Zieldomäne>" /TO:" <Zielorganisationseinheit>" /TOT:Replace

Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT SECURITY /N "<Computername1>" "<Computername2>" /O "<Optionsdatei>.txt"

In der folgenden Tabelle sind die allgemeinen Parameter zum Migrieren von
Benutzerkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und
dem entsprechenden Äquivalent in der Optionsdatei.

Parameter Befehlszeilensyntax Optionsdateisyntax

<Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne"

<Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne"

Optionen für die /TOT:Replace TranslateOption=REPLACE


Sicherheitskonvertierung

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem
der Assistent abgeschlossen wurde, klicken Sie auf Migrationsprotokoll anzeigen, um
die Liste der Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden
Computer anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde,
müssen Sie die Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen
Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen
"MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert.

So konvertieren Sie Sicherheit auf Mitgliedsservern mithilfe eines Skripts

• Bereiten Sie mithilfe des folgenden Beispielskripts ein Skript vor, das ADMT-Befehle
und -Optionen zum Konvertieren der Sicherheit auf Mitgliedsservern enthält. Kopieren
Sie das Skript in Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung
WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“.
<Job id=" TranslatingSecurityOnMemberServersBetweenForests" >

<Script language="VBScript" src="AdmtConstants.vbs" />

<Script language="VBScript" >

Option Explicit

206
Dim objMigration

Dim objSecurityTranslation

'

'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte.

'

Set objMigration = CreateObject("ADMT.Migration" )

Set objSecurityTranslation = objMigration.CreateSecurityTranslation

'

'Geben Sie die allgemeinen Migrationsoptionen an.

'

objMigration.SourceDomain = "Quelldomäne"

objMigration.TargetDomain = "Zieldomäne"

objMigration.TargetOu = "Computer"

'

'Geben Sie die spezifischen Optionen der Sicherheitskonvertierung an.

'

objSecurityTranslation.TranslationOption = admtTranslateReplace

objSecurityTranslation.TranslateFilesAndFolders = True

objSecurityTranslation.TranslateLocalGroups = True

objSecurityTranslation.TranslatePrinters = True

objSecurityTranslation.TranslateRegistry = True

objSecurityTranslation.TranslateShares = True

objSecurityTranslation.TranslateUserProfiles = False

objSecurityTranslation.TranslateUserRights = True

'

'Führen Sie die Sicherheitskonvertierung für die angegebenen

207
Computerobjekte durch.

'

objSecurityTranslation.Translate admtData, _

Array("Computername1" ,"Computername2" )

Set objSecurityTranslation = Nothing

Set objMigration = Nothing

</Script>

</Job>

Außerbetriebnahme der Quelldomänen


Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Nachdem Sie die Migration der Konten und Ressourcen in Ihrer Quelldomäne abgeschlossen
haben, nehmen Sie die Quelldomäne außer Betrieb. Stellen Sie sicher, dass eine vollständige
Sicherung des Systemstatus eines Domänencontrollers vorhanden ist, damit Sie die Domäne
jederzeit erneut online schalten können.

So nehmen Sie die Quelldomäne außer Betrieb

1. Entfernen Sie alle Vertrauensstellungen zwischen der Quelldomäne und der


Zieldomäne.
2. Führen Sie alle verbleibenden Domänencontroller in der Quelldomäne, die nicht in
die Zieldomäne migriert wurden, einem neuen Zweck zu.
3. Deaktivieren Sie alle Konten, die Sie während des Migrationsvorgangs erstellt haben,
einschließlich der Konten, denen Sie Verwaltungsberechtigungen zugewiesen haben.

Hinweis
Wenn Sie die Quelldomäne außer Betrieb nehmen, zeigen freigegebene lokale
Gruppen sowie lokale Gruppen, die Sie nicht mithilfe des
Sicherheitskonvertierungs-Assistenten konvertiert haben, Gruppenmitglieder als
"Unbekanntes Konto" an. Dies geschieht, weil Mitgliedernamen aus der
Quelldomäne nicht aufgelöst werden. Diese Gruppenmitgliedschaften sind
jedoch noch vorhanden, und dieses Verhalten wirkt sich nicht auf Benutzer aus.
Löschen Sie Einträge mit dem Status "Unbekanntes Konto" nicht, weil dann der
Zugriff deaktiviert wird, der durch den SID-Verlauf ermöglicht wird. Führen Sie
den Sicherheitskonvertierungs-Assistenten aus, um diese Einträge zu entfernen.

208
Active Directory-Domänenneustrukturierung
innerhalb einer Gesamtstruktur
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Wenn Sie die Anzahl der Active Directory-Domänen in Ihrer Gesamtstruktur verringern, wird auch
Folgendes verringert oder vereinfacht:
• Verwaltungsanforderungen für die Organisation
• Replikationsdatenverkehr
• Verwaltung von Benutzern und Gruppen
• Implementierung von Gruppenrichtlinien
Wenn Benutzer häufig Speicherorten erneut zugewiesen werden, die Teil verschiedener
Domänen sind, können Sie auch Objekte auf regelmäßiger Basis zwischen Domänen migrieren.
Der Vorgang der Neustrukturierung von Active Directory-Domänen innerhalb einer
Gesamtstruktur unterscheidet sich vom Vorgang für die Neustrukturierung von Active Directory-
Domänen zwischen Gesamtstrukturen. Für diesen Vorgang ist eine sorgfältige Planungs- und
Testphase erforderlich.

Prüfliste: Ausführen einer Migration


innerhalb einer Gesamtstruktur
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Das Verringern der Anzahl der Active Directory-Domänen in der Gesamtstruktur vereinfacht die
folgenden Aufgaben oder verringert den Zeitaufwand für deren Ausführung:
• Verwalten der Verwaltungsanforderungen für die Organisation
• Verarbeiten des Replikationsdatenverkehrs
• Verwalten von Benutzern und Gruppen
• Implementieren von Gruppenrichtlinien
Wenn Sie häufig Benutzer verschiedenen Domänen erneut zuweisen, können Sie auch auf
regelmäßiger Basis Objekte zwischen Domänen migrieren. Die Neustrukturierung von
Active Directory-Domänen innerhalb einer Gesamtstruktur unterscheidet sich von der Migration
zwischen Gesamtstrukturen, und sie erfordert sorgfältige Planung und Tests.

Task Referenz

Lesen der Installationsanweisungen für das Installieren von ADMT in der


Active Directory-Migrationsprogramm (Active Directory Zieldomäne

209
Task Referenz

Migration Tool, ADMT)

Legen Sie zuerst den folgenden Weitere Informationen zum Vornehmen


Registrierungsschlüssel auf den dieser Änderung mithilfe von
Zieldomänencontrollern fest, um Computer mit Gruppenrichtlinien finden Sie unter
Windows Server® 2008, Windows Server 2003, "Bekannte Probleme bei der Installation
Windows Vista® (ohne Service Pack 1), Windows XP und Deinstallation von AD DS"
und Microsoft® Windows 2000 (mit ADMT 3.1) zu einer (http://go.microsoft.com/fwlink/?
Zieldomäne mit Domänencontrollern mit Windows LinkId=119321).
Server 2008 R2 oder Windows Server 2008 zu
migrieren:

Hinweis
Zum Migrieren von Computern, die unter
Windows Vista SP1, Windows 7 oder Windows
Server 2008 R2 ausgeführt werden, muss
dieser Registrierungsschlüssel nicht festgelegt
werden.
Registrierungspfad:
HKLM\System\CurrentControlSet\Services\Netlogon
\Parameters
Registrierungswert: AllowNT4Crypto
Typ: REG_DWORD
Daten: 1

Hinweis
Diese Registrierungseinstellung entspricht der
Einstellung Mit Windows NT 4.0 kompatible
Kryptografiealgorithmen zulassen in der
Gruppenrichtlinie.

Aktivieren Sie für alle Migrationstasks, die Agent- Weitere Informationen finden Sie unter
Bereitstellung verwenden und bei denen Windows- "Aktivieren oder Deaktivieren der
Firewall in Gebrauch ist, die Ausnahme für Datei- und Ausnahme für Datei- und
Druckerfreigabe. Dies kann die Migration für folgende Druckerfreigabe"
Situationen beinhalten: (http://go.microsoft.com/fwlink/?
• Migrieren von Arbeitsstationscomputern und LinkID=119315).
Mitgliedsservern, die unter Windows
Server 2008 R2, Windows Server 2008, Windows 7
oder Windows Vista ausgeführt werden
• Migrieren von Sicherheitseinstellungen oder
Ausführen der Sicherheitskonvertierung

210
Task Referenz

Vorbereiten der Neustrukturierung von Active Directory- Installieren von ADMT in der
Domänen innerhalb einer Gesamtstruktur Dieser Task Zieldomäne
umfasst die folgenden Untertasks: Vorbereiten der Neustrukturierung von
• Bewerten der neuen Active Directory- Active Directory-Domänen innerhalb
Domänenstruktur. einer Gesamtstruktur
• Zuweisen von Domänenobjektrollen und
-Speicherorten.
• Planen der Gruppen- und Textmigration.
• Erstellen eines Rollbackplans und eines
Benutzerkommunikationsplans.
• Erstellen von Migrationskontengruppen.
• Installieren von ADMT.
• Planen der Aktualisierung von Dienstkonten.

Migrieren universeller und globaler Gruppen mithilfe des Migrieren von Gruppen
Assistenten zum Migrieren von Gruppenkonten oder
des Befehlszeilentools ADMT GROUP.

Migrieren von Dienstkonten mithilfe des Assistenten Migrieren von Dienstkonten


zum Migrieren von Dienstkonten oder ADMT-
Befehlszeilentools, z. B. ADMT SERVICE zum
Identifizieren von Dienstkonten in der Quelldomäne und
ADMT USER zum Migrieren von Dienstkonten, die Sie
angeben.

Migrieren von verwalteten Dienstkonten mithilfe des Migrieren von verwalteten Dienstkonten
Assistenten zum Migrieren von verwalteten
Dienstkonten oder mit dem Befehlszeilentool ADMT
MANAGEDSERVICEACCOUNT.

Migrieren von Benutzerkonten mithilfe des Assistenten Migrieren von Benutzerkonten


zum Migrieren von Benutzerkonten oder dem
Befehlszeilentool ADMT USER.

Konvertieren lokaler Benutzerprofile mithilfe des Konvertieren lokaler Benutzerprofile


Sicherheitskonvertierungs-Assistenten oder des
Befehlszeilentools ADMT SECURITY.

Migrieren von Arbeitsstationscomputern und Migrieren von Arbeitsstationen und


Mitgliedsservern mithilfe des Computermigrations- Mitgliedsservern
Assistenten oder des Befehlszeilentools ADMT
COMPUTER.

Migrieren lokaler Domänengruppen mithilfe des Migrieren lokaler Domänengruppen


Assistenten zum Migrieren von Gruppenkonten oder
211
Task Referenz

des Befehlszeilentools ADMT GROUP.

Abschließen der Tasks nach der Migration. Dieser Task • Untersuchen von
umfasst die folgenden Untertasks: Migrationsprotokollen auf Fehler
• Untersuchen der Migrationsprotokolle auf • Überprüfen der Gruppentypen
Fehler. • Konvertieren der Sicherheit auf
• Überprüfen der Gruppentypen. Mitgliedsservern
• Konvertieren der Sicherheit auf • Außerbetriebnahme der
Mitgliedsservern. Quelldomänen
• Außerbetriebnahme der Quelldomänen.

Übersicht zum Umstrukturieren von Active


Directory-Domänen innerhalb einer
Gesamtstruktur
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Der effizienteste Active Directory-Entwurf umfasst die kleinst mögliche Anzahl Domänen. Durch
Minimieren der Anzahl der Domänen in der Gesamtstruktur können Sie die Verwaltungskosten
verringern und die Effizienz Ihrer Organisation steigern.
Möglicherweise müssen Sie eine Umstrukturierung der Domänen in Ihrer Gesamtstruktur
durchführen, wenn Ihre Organisation z. B. einen regionalen Bürostandort schließt und die
regionale Domäne für diesen Standort nicht mehr benötigt wird. Zum Vereinfachen der logischen
Active Directory-Struktur kann auch in den folgenden Fällen eine Umstrukturierung der Domänen
in der Gesamtstruktur sinnvoll sein:
• Nach einem Upgrade der Netzwerkinfrastruktur.
• Nach dem Erhöhen der Netzwerkbandbreite und der Replikationskapazität.
Der Prozess der Umstrukturierung von Active Directory-Domänen in einer Gesamtstruktur ähnelt
dem Prozess der Kontomigration zwischen Domänen. Bei der Migration von Konten und
Ressourcen zwischen Domänen werden Objekte von der Quelldomäne ohne
Dekommissionierung der Quelldomäne zur Zieldomäne migriert. Beim Umstrukturieren von
Active Directory-Domänen wird die Quelldomäne nach der Migration aller Domänenobjekte aus
der Gesamtstruktur entfernt.
Bevor Sie mit dem Restrukturieren von Active Directory-Domänen in einer Gesamtstruktur
beginnen, müssen Sie sicherstellen, dass die Quell- und Zieldomänen mindestens auf der
Domänenfunktionsebene arbeiten, die für die von Ihnen verwendete Version von ADMT
erforderlich ist. Bei Verwendung von ADMT v3.1 muss die Domänenfunktionsebene mindestens

212
Windows 2000 (einheitlicher Modus) sein. Bei Verwendung von ADMT v3.2 muss die
Domänenfunktionsebene mindestens Windows Server 2003 sein.
Nachdem Sie den Umstrukturierungsprozess von Active Directory-Domänen in einer
Gesamtstruktur abgeschlossen haben, können Sie die Quelldomäne dekommissionieren, um den
Mehraufwand verringern zu helfen und die Verwaltung auf der Domänenfunktionsebene in der
Organisation zu vereinfachen.

Umstrukturieren von Active Directory-


Domänen innerhalb einer Gesamtstruktur
mithilfe von ADMT v3.1
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Zum aufrecht Erhalten des Benutzerzugriffs auf Ressourcen während des
Umstrukturierungsprozesses von Domänen müssen die Migrationsschritte in einer bestimmten
Reihenfolge ausgeführt werden. Die folgenden Abbildungen zeigen den Vorgang für die
Neustrukturierung von Active Directory-Domänen innerhalb einer Gesamtstruktur.

Hintergrundinformationen zum
Neustrukturieren von Active Directory-
Domänen innerhalb einer Gesamtstruktur
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Die Neustrukturierung von Active Directory-Domänen innerhalb einer Gesamtstruktur umfasst die
Migration von Konten und Ressourcen aus dem Quelldomänen in die Zieldomänen. Im

213
Gegensatz zur Neustrukturierung von Active Directory-Domänen zwischen Gesamtstrukturen
sind bei einer Neustrukturierung von Domänen innerhalb einer Gesamtstruktur die migrierten
Objekte in der Quelldomäne nicht mehr vorhanden.

Hinweis

Bei einer Migration innerhalb einer Gesamtstruktur werden Computerkonten anders als
Benutzer- und Gruppenkonten behandelt. Damit ein Rollbackvorgang möglich ist, wird
ein neues Computerkonto in der Zieldomäne erstellt, das Quellcomputerkonto bleibt
jedoch nach der Migration in der Quelldomäne aktiviert.
Außerdem sind beim Migrieren von Konten, Ressourcen und Gruppen besondere Erwägungen
zu berücksichtigen, wenn Sie Active Directory-Domänen innerhalb einer Gesamtstruktur neu
strukturieren, da für Active Directory-Gruppen Eingrenzungsregeln gelten. Aus diesen Gründen
besteht die Herausforderung bei der Neustrukturierung von Active Directory-Domänen in einer
Gesamtstruktur darin, sicherzustellen, dass Benutzer während des Migrationsvorgangs über
ununterbrochenen Zugriff auf Ressourcen verfügen.

Geschlossene Sätze und offene Sätze


Wenn Sie Active Directory-Domänen innerhalb einer Gesamtstruktur neu strukturieren, müssen
Sie zwei Typen von geschlossenen Mengen berücksichtigen:
• Benutzer und Gruppen
• Ressourcen und lokale Gruppen

Benutzer und Gruppen


Der erste Typ der geschlossenen Menge enthält Folgendes:
• Benutzerkonten
• Alle globalen Gruppen, zu denen die Benutzer gehören
• Alle anderen Mitglieder der globalen Gruppen
Globale Gruppen sind auf Mitglieder der Domäne beschränkt, in der die globale Gruppe
vorhanden ist. Wenn Sie ein Benutzerkonto in eine neue Domäne migrieren, die globalen
Gruppen, zu denen der Benutzer gehört, jedoch nicht migrieren, ist der Benutzer daher nicht
mehr gültiges Mitglied in diesen globalen Gruppen, und der Benutzer kann nicht auf Ressourcen
zugreifen, die auf der Mitgliedschaft in diesen globalen Gruppen basieren. Wenn Sie Konten
zwischen Domänen in einer Gesamtstruktur verschieben, ist es daher erforderlich, geschlossene
Sätze zu verschieben, damit der Zugriff auf Ressourcen für Benutzer erhalten bleibt.
Zwar können integrierte Konten (z. B. Administratoren, Benutzer und Hauptbenutzer) sowie
bekannte Konten (z. B. Domänen-Admins und Domänenbenutzer) keine Migrationsobjekte des
Active Directory-Migrationsprogramms (Active Directory Migration Tool, ADMT) sein, die Migration
dieser Gruppen in geschlossenen Mengen ist jedoch kein häufiges Problem. Die Verwendung in
Zugriffssteuerungslisten oder die Mitgliedschaft in lokalen Domänengruppen ist keine effektive
Methode zum Zuweisen von Ressourcenberechtigungen.

214
Wenn Sie Benutzer migrieren, ernennt ADMT den Benutzer zu einem Mitglied der Gruppe
Domänenbenutzer in der Zieldomäne. Berechtigungen für andere integrierte Gruppen (z. B.
Server-Operatoren und Sicherungs-Operatoren) oder bekannte Gruppen (z. B. Domänen-
Admins) bleiben jedoch nicht erhalten. Wenn Sie integrierte oder bekannte Gruppen zum
Zuweisen von Ressourcenberechtigungen verwendet haben, müssen Sie diese Berechtigungen
einer neuen lokalen Domänengruppe erneut zuweisen, bevor Sie mit der Migration beginnen. Die
erneute Zuweisung von Berechtigungen besteht aus den folgenden Schritten:
1. Erstellen einer neuen lokalen Domänengruppe in der Quelldomäne.
2. Erstellen einer neuen globalen Gruppe in der Quelldomäne, die Benutzer enthält, die
Zugriff auf die Ressource benötigen.
3. Hinzufügen der neuen globalen Gruppe zur lokalen Domänengruppe.
4. Ausführen der Sicherheitskonvertierung mithilfe einer SID-Zuordnungsdatei (Security
Identifier, Sicherheitskennung), die die bekannte Gruppe der neuen lokalen Domänengruppe
(die im ersten Schritt erstellt wurde) für alle Ressourcen zuordnet, die Berechtigungen mithilfe
bekannter Gruppen zuweisen. Weitere Informationen zum Ausführen einer
Sicherheitskonvertierung mithilfe einer SID-Zuordnungsdatei finden Sie unter Konvertieren
der Sicherheit mithilfe einer SID-Zuordnungsdatei weiter unten in diesem Handbuch.
In kleinen Domänenumgebungen mit wenigen globalen Gruppen sind Sie möglicherweise in der
Lage, geschlossene Sätze von Benutzern und Gruppen zu identifizieren. Wenn Sie geschlossene
Sätze identifizieren können, können Sie Benutzer und Gruppen gleichzeitig migrieren. In einer
großen Domänenumgebung kann ein Benutzer zu mehreren globalen Gruppen gehören. Daher
ist es schwierig, nur geschlossene Sätze von Benutzer und Gruppen zu identifizieren und zu
migrieren. Aus diesem Grund besteht die beste Vorgehensweise im Migrieren von Gruppen,
bevor die Benutzerkonten migriert werden.
Benutzer 1 gehört z. B. zu den globalen Gruppen Global A und Global B und ist Mitglied in
Domäne 1. Wenn ein Administrator Benutzer 1 und Global A in Domäne 2 in der gleichen
Gesamtstruktur verschiebt, sind diese Konten in Domäne 1 nicht mehr vorhanden. Sie sind nur in
Domäne 2 in der gleichen Gesamtstruktur vorhanden. Die Gruppe Global B verbleibt in
Domäne 1. Es entsteht eine offene Menge oder eine Menge, die Benutzer und Gruppen in
mehreren Domänen enthält. Da globale Gruppen nur Mitglieder aus der Domäne enthalten
dürfen, in der die globale Gruppe vorhanden ist, ist die Mitgliedschaft von Benutzer 1 in Global B
nicht mehr gültig, und Benutzer 1 kann nicht mehr basierend auf der Mitgliedschaft in Global B
auf Ressourcen zugreifen. Aus diesem Grund besteht die beste Vorgehensweise im Migrieren
beider globaler Gruppen, bevor Benutzer 1 migriert wird.
Wenn Sie eine offene Menge von Objekten in eine Umgebung migrieren, in der die
Funktionsebene für die Quelldomäne und die Zieldomäne der einheitliche Modus von
Windows 2000 oder höher ist, wandelt ADMT die globale Gruppe in eine universelle Gruppe um,
damit diese Benutzer aus den anderen Domänen enthalten darf und die Gruppenmitgliedschaft
beibehalten werden kann. Wenn die Menge zu einer geschlossenen Menge wird, ändert ADMT
die Gruppe erneut in eine globale Gruppe. Der Vorteil dieses Vorgangs besteht darin, dass ADMT
sicherstellt, dass alle Probleme hinsichtlich geschlossener Mengen behoben werden. Die
Replikationsaufwand des globalen Katalogs erhöht sich jedoch, während die Gruppen universelle
Gruppen sind, weil die Mitgliedschaft in den globalen Katalog kopiert wird.
215
Hinweis

Wenn die Funktionsebene der Quelldomäne der gemischte Modus von Windows 2000
ist, kann ADMT die globale Gruppe nicht in eine universelle Gruppe umwandeln, weil
universelle Gruppen auf dieser Funktionsebene nicht vorhanden sein können. Selbst
wenn die Zieldomäne im einheitlichen Modus betrieben wird, könnten Benutzer in
Domänen im gemischten Modus nicht die Sicherheitskennungen universeller Gruppen in
ihren Zugriffstoken abrufen, wenn die Gruppen von außerhalb der Domäne stammen.
Aus diesem Grund erstellt ADMT eine Kopie der globalen Gruppe in der Zieldomäne und
fügt alle migrierten Benutzer der Kopie dieser Gruppe hinzu. Diese neue Gruppe besitzt
eine neue Sicherheitskennung und keinen SID-Verlauf. Diese Methode erhält den Zugriff
auf Ressourcen nur, wenn Sie den Sicherheitskonvertierungs-Assistenten von ADMT im
Hinzufügemodus zum Aktualisieren von Berechtigungen ausführen, wodurch der
Migrationsvorgang verzögert und verkompliziert wird. Aus diesem Grund wird nicht
empfohlen, Domänen neu zu strukturieren, die auf der Funktionsebene gemischter
Modus von Windows 2000 oder als Windows Server 2003-Zwischendomäne ausgeführt
werden.

Ressourcen und lokale Gruppen


Der zweite Typ der geschlossenen Menge sind Ressourcen und lokale Gruppen. In den meisten
Fällen werden Berechtigungen für Ressourcen lokalen Computergruppen oder lokalen
Domänengruppen erteilt. Da lokale Computergruppen beim Migrieren des Computers migriert
werden, sind diese Gruppen eine natürliche geschlossene Menge. Lokale Domänengruppen
können jedoch auf mehreren Computern zum Zuweisen von Berechtigungen verwendet werden.
In diesem Fall können Sie entweder alle Computer, die die lokale Domänengruppe verwenden,
zum gleichen Zeitpunkt wie die lokale Domänengruppe in die Zieldomäne migrieren, oder Sie
können die lokale Domänengruppe manuell in eine universelle Gruppe ändern und diese
universelle Gruppe dann migrieren. Das Ändern der lokalen Domänengruppe in eine universelle
Gruppe ist ein manueller Vorgang, weil ADMT diesen Task nicht automatisch ausführt. Diese
Änderung kann zwar den globalen Katalog vergrößern, ist aber für einen beschränkten Zeitraum
eine effektive Methode zum Migrieren von Ressourcen und lokalen Domänengruppen als
geschlossene Menge.

SID-Verlauf
Der SID-Verlauf unterstützt die Aufrechterhaltung des Benutzerzugriffs auf Ressourcen während
des Vorgangs der Neustrukturierung von Active Directory-Domänen. Wenn Sie ein Objekt in eine
andere Domäne migrieren, wird dem Objekt eine neue Sicherheitskennung zugewiesen. Weil Sie
Objekten Berechtigungen basierend auf Sicherheitskennungen zuweisen, verliert ein Benutzer
den Zugriff auf die betreffende Ressource, wenn sich die Sicherheitskennung ändert, bis Sie
Berechtigungen erneut zuweisen. Wenn Sie ADMT zum Migrieren von Objekten zwischen
Domänen in der gleichen Gesamtstruktur verwenden, bleibt der SID-Verlauf automatisch

216
erhalten. Auf diese Weise bleibt die Sicherheitskennung aus der Quelldomäne ein Attribut des
Objekts, nachdem das Objekt in die Zieldomäne migriert wurde.
Eine Organisation, die ihre Active Directory-Domänen neu strukturiert, verschiebt z. B. universelle
und globale Gruppen aus einer Quelldomäne in die Zieldomäne, bevor die Benutzerkonten
verschoben werden. Da es sich um eine Migration innerhalb einer Gesamtstruktur handelt und
die Funktionsebene der Quelldomäne der einheitliche Modus von Windows 2000 ist, sind diese
Gruppen in der Quelldomäne nicht mehr vorhanden. Sie sind ausschließlich in der Zieldomäne
vorhanden. Weil der SID-Verlauf von Benutzern und Gruppen migriert wird, haben die Benutzer
basierend auf ihrer Mitgliedschaft in einer Gruppe, die in der Zieldomäne vorhanden ist, auch
weiterhin Zugriff auf Ressourcen in der Quelldomäne.

Zuweisen des Ressourcenzugriffs zu Gruppen


Die effektivste Methode zum Zuweisen von Berechtigungen zu Ressourcen besteht im Ausführen
der folgenden Aktionen:
1. Zuweisen von Benutzern zu globalen Gruppen
2. Platzieren globaler Gruppen innerhalb von lokalen Domänengruppen
3. Zuweisen von Berechtigungen zu lokalen Domänengruppen
Wenn Sie Ressourcen auf diese Weise Berechtigungen zuweisen, wird der Migrationsvorgang
vereinfacht.

Vorbereiten der Neustrukturierung von


Active Directory-Domänen innerhalb einer
Gesamtstruktur
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Durch eine sorgfältige Vorbereitung vor der Neustrukturierung von Active Directory-Domänen
können Sie die Auswirkungen verringern, die die Migration von Objekten von den Quell- in die
Zieldomänen auf Benutzer besitzt. Die folgende Abbildung zeigt die Schritte, die für die
Vorbereitung der Neustrukturierung von Active Directory-Domänen innerhalb einer
Gesamtstruktur erforderlich sind.

217
Beurteilen der neuen Struktur der Active
Directory-Gesamtstruktur
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Beurteilen Sie die Domänenstruktur Ihrer vorhandenen Active Directory-Gesamtstruktur, und
identifizieren Sie dann die Domänen, die Sie durch Konsolidierung mit anderen Domänen
umstrukturieren möchten. Zu diesem Zweck müssen Sie folgende Aktionen ausführen:
• Identifizieren der Quelldomänen, aus denen Objekte migriert werden sollen.
• Identifizieren und beurteilen der Organisationseinheitsstruktur (Organizational Unit, OU)
der Quelldomäne, in der diese Objekte platziert werden sollen.

218
Identifizieren der Quelldomänen
Die Quelldomänen sind die Domänen, aus denen Objekte migriert werden sollen und deren
Dekommissionierung vorgesehen ist. Beim Neustrukturieren von Active Directory-Domänen sollte
idealerweise eine möglichst geringe Anzahl von Objekten migriert werden. Identifizieren Sie beim
Auswählen von Quelldomänen die Domänen, in denen die kleinste Anzahl zu migrierender
Objekte vorhanden ist.

Identifizieren und Beurteilen der


Organisationseinheitsstruktur der Zieldomäne
Identifizieren Sie die Organisationseinheiten aus der Quelldomäne, die Sie in der Zieldomäne
benötigen, und bestimmen Sie dann, ob Sie neue Organisationseinheiten in der Zieldomäne
erstellen müssen.
Wenn Sie das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) im
Befehlszeilen- oder Skriptmodus verwenden, können Sie die Organisationseinheitsstruktur beim
Migrieren von Benutzern, Gruppen oder Computern migrieren. Die Organisationseinheiten
werden immer zwischen den Domänen kopiert und werden in der Quelldomäne nicht gelöscht.
Für die erfolgreiche Migration einer Organisationseinheit müssen Sie eine
Quellorganisationseinheit und eine Zielorganisationseinheit in ADMT angeben, und die
Zielorganisationseinheit muss vorhanden sein. Alle Objekte in der Quellorganisationseinheit und
alle untergeordneten Organisationseinheiten werden in die Zielorganisationseinheit migriert. Die
angegebene Quellorganisationseinheit wird selbst nicht migriert.
Weitere Informationen zum Erstellen einer Organisationseinheitsstruktur finden Sie unter
"Entwerfen von Organisationseinheiten für die Delegierung der Verwaltung"
(http://go.microsoft.com/fwlink/?LinkID=76628) (englischsprachig).

Zuweisen von Domänenobjektrollen und


-Speicherorten
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Erstellen Sie eine Objektzuweisungstabelle, die Rollen und Speicherorte für alle zu migrierenden
Objekte auflistet. Erstellen Sie eine Tabelle für Kontoobjekte, wie etwa Benutzer-, Gruppen- und
Dienstkonten, und eine Tabelle für Ressourcenobjekte, wie etwa Arbeitsstationen, Profile und
Domänencontroller. Listen Sie in Ihren Tabellen die Quell- und Zielspeicherorte für alle zu
migrierenden Objekte auf.
Bestimmen Sie vor dem Erstellen der Kontoobjektzuweisungstabelle, ob die
Organisationseinheitsstrukturen auf Domänenebene für die Quell- und die Zieldomäne gleich
sind. Wenn sie nicht gleich sind, müssen Sie die Quell- und die Zielorganisationseinheit in den
Objektzuweisungstabellen identifizieren.

219
Ein Arbeitsblatt, das Sie beim Erstellen einer Kontoobjektzuweisungstabelle unterstützt, finden
Sie unter "User and Group Object Assignment Table" (DSSREER_1.doc) im Download
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services der Job Aids für das
Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/?LinkId=14384,
englischsprachig).
Die folgende Abbildung zeigt ein Beispiel einer Objektzuweisungstabelle für Benutzer und
Gruppen.

Identifizieren sie zum Erstellen eines Ressourcenobjektzuweisungstabelle die Quell- und


Zielorganisationseinheit für jedes Objekt, und notieren Sie den physikalischen Speicherort und
die Rolle in der Zieldomäne. Ein Arbeitsblatt, das Sie beim Erstellen einer
Ressourcenobjektzuweisungstabelle unterstützt, finden Sie unter "Resource Object Assignment
Table" (DSSREER_2.doc) im Download
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services der Job Aids für das
Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/?LinkId=14384,
englischsprachig).
Die folgende Abbildung zeigt ein Beispiel einer Ressourcenobjektzuweisungstabelle.

220
Planen der Migration von Gruppen
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Nur wenn Sie geschlossene Sätze bei der Neustrukturierung von Active Directory-Domänen
innerhalb einer Gesamtstruktur identifizieren können, sollten Sie Gruppen und Benutzer separat
migrieren. Auf diese Weise wird sichergestellt, dass Benutzer auch weiterhin Zugriff auf
erforderliche Ressourcen besitzen.
Die folgende Tabelle listet die einzelnen Gruppentypen und den physikalischen Speicherort der
jeweiligen Gruppe auf.

Gruppentyp Speicherort

Globale Gruppe Active Directory

Universelle Gruppe Active Directory

Lokale Domänengruppe Active Directory

221
Gruppentyp Speicherort

Lokale Computergruppe Datenbank des lokalen Computers

Jeder Typ von Gruppe wird basierend auf dem physikalischen Speicherort der Gruppe und ihren
Regeln für die Gruppenmitgliedschaft auf andere Weise migriert. Sie können universelle Gruppen
und globale Gruppen mithilfe des Active Directory-Migrationsprogramms (Active Directory
Migration Tool, ADMT) migrieren. Sie können diese für die Dauer der Migration in universelle
Gruppen umwandeln, wenn Sie keine geschlossenen Mengen migrieren. Sie können die
Mitgliedschaft der lokalen Computergruppe mithilfe des Sicherheitskonvertierungs-Assistenten
aktualisieren.
Jeder Gruppentyp verfügt über andere Regeln für die Mitgliedschaft, und jeder Gruppentyp dient
einem anderen Zweck. Dies wirkt sich auf die Reihenfolge aus, in der Gruppen aus den Quell- in
die Zieldomänen migriert werden. Die folgende Tabelle fasst die Gruppen und ihre
Mitgliedschaftsregeln zusammen.

Gruppentyp Regeln und Mitgliedschaft

Universelle Gruppen Universelle Gruppen können Mitglieder aus


beliebigen Domänen in der Gesamtstruktur
enthalten, und sie können die
Gruppenmitgliedschaft in den globalen Katalog
replizieren. Aus diesem Grund können Sie sie
für administrative Gruppen verwenden. Wenn
Sie Domänen neu strukturieren, migrieren Sie
die universellen Gruppen zuerst.

Globale Gruppen Globale Gruppen können Mitglieder aus der


Domäne enthalten, zu der sie gehören. ADMT
ändert die globale Gruppe in der Quelldomäne
automatisch in eine universelle Gruppe, wenn
diese in die Zieldomäne migriert wird, wenn die
Funktionsebene beider Domänen der
einheitliche Modus von Windows 2000 oder
höher ist. ADMT ändert die universellen
Gruppen automatisch zurück in globale
Gruppen, nachdem alle Mitglieder der Gruppe
in die Zieldomäne migriert wurden.

Lokale Domänengruppen Lokale Domänengruppen können Benutzer aus


beliebigen Domänen enthalten. Sie werden
verwendet, um Ressourcen Berechtigungen
zuzuweisen. Wenn Sie Domänen neu
strukturieren, müssen Sie lokale
Domänengruppen migrieren, wenn Sie die

222
Gruppentyp Regeln und Mitgliedschaft

Ressourcen migrieren, auf die sie den Zugriff


bereitstellen, oder Sie müssen den Gruppentyp
in eine universelle Gruppe ändern. Auf diese
Weise wird die Unterbrechung des
Benutzerzugriffs aus Ressourcen so kurz wie
möglich gehalten.
ADMT wandelt lokale Domänengruppen nicht
automatisch in universelle Gruppen um, wie
dies für globale Gruppen der Fall ist.

Planen von Testmigrationen


Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) enthält keine
Testmigrationsoption. Entwickeln Sie einen Testplan, um jedes Objekt systematisch zu testen,
nachdem es in die neue Umgebung migriert wurde, und ggf. auftretende Probleme zu
identifizieren und beheben. Das Testen des Erfolgs der Migration stellt sicher, dass Benutzer, die
aus der Quell- in die Zieldomäne migriert wurden, sich anmelden, auf Ressourcen basierend auf
der Gruppenmitgliedschaft und basierend auf Benutzeranmeldeinformationen zugreifen können.
Das Testen stellt außerdem sicher, dass Benutzer auf die Ressourcen zugreifen können, die Sie
migrieren.
Nachdem Sie die Tests abgeschlossen haben, können Sie mit der Migration kleiner Pilotgruppen
fortfahren und dann schrittweise die Größe der Lose von Migrationsobjekten in Ihrer
Produktionsumgebung erhöhen.
Verwenden Sie das folgende Verfahren, um die Migration von Konto- und Ressourcenobjekten zu
testen:
1. Erstellen Sie einen Testbenutzer in der Quelldomäne. Schließen Sie diesen Testbenutzer
in die Migrationen ein.
2. Fügen Sie diesen Benutzer den entsprechenden globalen Gruppen hinzu, um den
Ressourcenzugriff zu aktivieren.
3. Melden Sie sich an der Quelldomäne als Testbenutzer an, und vergewissern Sie sich,
dass Sie ordnungsgemäß auf Ressourcen zugreifen können.
4. Nachdem Sie das Benutzerkonto migriert haben, konvertieren Sie das Benutzerprofil und
migrieren die Arbeitsstation des Benutzers, melden sich an der Zieldomäne als Testbenutzer
an und überprüfen, ob der erforderliche Zugriff und die entsprechenden Funktionen für den
Benutzer erhalten geblieben sind. Der Test kann z. B. die folgenden Überprüfungen
beinhalten:
• Der Benutzer kann sich erfolgreich anmelden.

223
• Der Benutzer besitzt Zugriff auf alle entsprechenden Ressourcen, z. B. auf Datei-
und Druckfreigaben, Dienste wie etwa Messaging sowie Zugriff auf
Branchenanwendungen. Es ist besonders wichtig, den Zugriff auf intern entwickelte
Anwendungen zu testen, die auf Datenbankserver zugreifen.
• Das Benutzerprofil wurde erfolgreich konvertiert, und die Desktopeinstellungen, die
Desktopdarstellung, Verknüpfungen und der Zugriff auf den Ordner Eigene Dateien sind
erhalten geblieben. Vergewissern Sie sich außerdem, dass Anwendungen im Menü Start
angezeigt und über dieses Menü gestartet werden können.
Beim Migrieren von Benutzerkonten kann nicht jede Benutzereigenschaft migriert
werden. Weitere Informationen zu Benutzereigenschaften, die nicht migriert werden
können, finden Sie weiter unten in diesem Handbuch unter Migrieren von
Benutzerkonten.
Nachdem Sie Ressourcen migriert haben, melden Sie sich als Testbenutzer in der Zieldomäne an
und vergewissern sich dann, dass Sie ordnungsgemäß auf Ressourcen zugreifen können.
Wenn in einem der Schritte des Testverfahrens Fehler auftreten, ermitteln Sie die Ursache des
Problems, und stellen Sie dann fest, ob Sie das Problem beheben können, bevor der Zugriff auf
das Objekt in der Zieldomäne möglich sein muss. Wenn Sie das Problem nicht beheben können,
bevor der Zugriff auf das Objekt erforderlich ist, führen Sie einen Rollbackvorgang in die
ursprüngliche Konfiguration aus, damit der Zugriff auf das Benutzer- oder Ressourcenobjekt
sichergestellt ist. Weitere Informationen zum Erstellen eines Rollbackplans finden Sie unter
Erstellen eines Rollbackplans weiter unten in diesem Handbuch.
Erstellen Sie eine Migrationstestmatrix als Teil Ihres Testplans. Füllen Sie eine Testmatrix für
jeden Schritt im Migrationsvorgang aus. Wenn Sie z. B. 10 Lose von Benutzern migrieren, füllen
Sie die Testmatrix 10 Mal aus – einmal für jedes migrierte Los. Wenn Sie 10 Mitgliedsserver
migrieren, füllen Sie die Testmatrix für jeden der 10 Server aus.
Ein Arbeitsblatt, das Sie beim Erstellen einer Testmatrix unterstützt, finden Sie unter "Migration
Test Matrix" (DSSREER_3.doc) im Download
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services der Job Aids für das
Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/?LinkId=14384,
englischsprachig).
Die folgende Abbildung zeigt ein Beispiel für eine ausgefüllte Migrationstestmatrix.

224
Erstellen eines Rollbackplans
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Nachdem Sie den Migrationsvorgang begonnen haben, können Sie die Änderungen nicht mehr
rückgängig machen, die Sie an Active Directory-Domänen in Ihrer Gesamtstruktur vornehmen.
Da Konten aus einer Domäne in eine andere verschoben und nicht kopiert werden, wenn Sie
Domänen neu strukturieren, sind die Änderungen nicht rückgängig zu machen. Wenn Sie Ihre
Pläne ändern, nachdem Sie mit dem Migrationsvorgang begonnen haben, besteht die einzige

225
Möglichkeit, Konten erneut in der Quelldomäne zu speichern, im erneuten Migrieren der Konten.
Erstellen Sie einen Rollbackplan für den Fall, dass Sie Konten erneut migrieren müssen,
nachdem Sie mit der Neustrukturierung Ihrer Domänen begonnen haben. Wenn Sie einen
Rollbackplan erstellen möchten, wählen Sie die Methode aus, die Sie zum erneuten Migrieren
von Konten verwenden möchten.

Hinweis

Zum Sicherstellen eines erfolgreichen Rollbacks einer gesamtstrukturinternen Migration


dürfen Sie nicht versuchen, die Objekte in der Zieldomäne zu löschen und sie dann in der
Quelldomäne wiederherzustellen. Sie können sonst die Objekte nicht mehr in der
Quelldomäne wiederherstellen, weil sie vom Proxy für das domänenübergreifende
Verschieben automatisch gelöscht werden, wenn eine Wiederherstellung versucht wird.
Sie können das Active Directory-Migrationsprogramm (ADMT) zum erneuten Migrieren von
Konten aus der Zieldomäne zurück in die Quelldomäne verwenden. In diesem Fall wird die
ursprüngliche Zieldomäne die neue Quelldomäne, und die ursprüngliche Quelldomäne wird zur
neuen Zieldomäne. Führen Sie die gleichen Schritte in den Assistenten aus, die Sie zuvor zum
Migrieren der Konten verwendet haben. Wenn Sie die Konten erneut migrieren, verfügen die
Objekte, die in die Zieldomäne migriert und dann erneut in die Quelldomäne migriert wurden,
neue Sicherheitskennungen (Security Identifiers, SIDs). Sie weisen jedoch ihre ursprüngliche
Sicherheitskennung in ihrem SID-Verlauf auf. Aus diesem Grund sind sie zwar nicht mit den
Konten vor der Migration identisch, sie besitzen jedoch die gleiche Funktionalität.
Wenn Sie eine Dienstkontenmigration umkehren möchten, müssen Sie die Dienste nochmals
aufzählen und die Dienstkonten dann erneut migrieren, indem Sie die Ziel- und Quelldomänen
vertauschen.
Wenn Sie Skripts zum Ausführen der ursprünglichen Migration verwenden, ist die Verwendung
von Skripts für die erneute Migration von Konten die schnellste Methode zum Rückgängigmachen
der Änderungen. Invertieren Sie einfach die Objekte im Skript, die für die Quell- und Zieldomänen
verwendet werden, um die Objekte neu zu migrieren.
Nachdem Sie Ihren Rollbackplan erstellt haben, müssen Sie ihn testen, um ggf. auftretende
Probleme zu identifizieren und zu beheben, bevor Sie mit der Neustrukturierung der
Active Directory-Domänen beginnen.

Erstellen eines Endbenutzermigrationsplans


Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Entwickeln Sie einen Plan, um alle betroffenen Benutzer über die bevorstehende Kontomigration
zu informieren und so sicherzustellen, dass sie ihre Zuständigkeiten kennen, die Auswirkungen
der Migration verstehen und wissen, an wen sie sich wegen Hilfe und Support wenden können.
Bevor Sie mit der Benutzermigration beginnen, senden Sie einen Hinweis an alle Benutzer, die
für die Migration vorgesehen sind. Da Benutzer normalerweise in Losen von ungefähr 100
Benutzern zugleich migriert werden, ist es außerdem sinnvoll, den Benutzern in jedem Los zwei

226
oder drei Tage vor der geplanten Umstellung ihres Loses eine letzte Benachrichtigung zu senden.
Wenn Ihre Organisation ein Intranet betreibt, veröffentlichen Sie den Zeitplan zur Kontomigration
und die in der Benutzer-E-Mail enthaltenen Informationen auf einer leicht zugänglichen Webseite.
Nehmen Sie die folgenden Informationen in Ihre Endbenutzerkommunikation auf.

Allgemeine Informationen
Machen Sie Benutzer auf die Tatsache aufmerksam, dass für ihre Benutzerkonten die Migration
zu einer neuen Domäne geplant ist. Verweisen Sie die Benutzer auf eine Webseite oder auf eine
interne Ressource, wo sie weitere Informationen finden und den Zeitplan für die Migration
einsehen können.
Teilen Sie den Benutzern den neuen Domänennamen mit. Achten Sie darauf, die Benutzer zu
informieren, dass sich ihre Kontokennwörter nicht ändern werden. Lassen Sie die Benutzer
wissen, dass das ursprüngliche Domänenkonto unmittelbar im Anschluss an die Migration
deaktiviert wird und dass das deaktivierte Konto nach einem festgelegten Zeitraum gelöscht wird.
Dies ist nicht erforderlich, wenn sie sich mit UPNs (User Principal Names) anmelden.

Auswirkungen
Vergewissern Sie sich, dass den Benutzern bewusst ist, dass sie nach der Migration ihres Kontos
möglicherweise auf einige Ressourcen, wie etwa Websites, freigegebene Ordner oder
Ressourcen, die von Personen in der Gruppe oder Abteilung nicht häufig verwendet werden,
nicht mehr zugreifen können.
Stellen Sie Informationen für Benutzer hinsichtlich der Personen bereit, die sie um Hilfe bitten
können, um den Zugriff auf erforderliche Ressourcen wieder zu erlangen.

Anmeldestatus während der Migration


Achten Sie darauf, dass den Benutzern bewusst ist, dass sie sich während des
Migrationsvorgangs nicht bei der Domäne anmelden oder auf E-Mail oder sonstige Ressourcen
zugreifen können. Achten Sie unbedingt darauf, den Zeitraum anzugeben, in dem keine
Benutzeranmeldung möglich ist.

Schritte vor der Migration


Machen Sie die Benutzer auf alle Schritte aufmerksam, die sie vor dem Beginn des
Migrationsvorgangs ausführen müssen. Beispielsweise müssen sie alle mithilfe von EFS
(Encrypting File System) verschlüsselten Dateien entschlüsseln. Das Versäumnis, die
verschlüsselten Dateien zu entschlüsseln, bewirkt den Verlust des Zugriffs auf die
verschlüsselten Dateien nach der Migration.
Die Benutzer müssen darüber hinaus sicherstellen, dass ihre Computer zum Zeitpunkt der
geplanten Kontenmigration mit dem Netzwerk verbunden sind.

227
Erwartete Änderungen
Beschreiben Sie weitere Änderungen, die den Benutzern im Anschluss an die Migration auffallen
werden, wie etwa Änderungen in der Verwendung von SmartCards, sicherer E-Mail oder Instant
Messaging, falls zutreffend.

Informationen zu Planung und Support


Stellen Sie Informationen zu weiteren Informationsquellen bereit, z. B. eine interne Website, auf
der Sie Informationen zur Migration bekanntmachen. Geben Sie darüber hinaus Informationen zu
Kontaktpersonen an, an die sich Benutzer bei Terminkonflikten für das Datum der Migration
wenden können.

Erstellen von Migrationskontengruppen


Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Wenn Sie Konten und Ressourcen innerhalb einer Gesamtstruktur migrieren möchten, können
Sie eine Kontenmigrationsgruppe und eine Ressourcenmigrationgruppe mit den entsprechenden
Anmeldeinformationen erstellen. Anschließend müssen Sie die Konten, die die ADMT-
Migrationen (Active Directory Migration Tool, Active Directory-Migrationsprogramm) ausführen,
der Kontenmigrationsgruppe bzw. der Ressourcenmigrationgruppe hinzufügen. Da ADMT nur
eine beschränkte Sammlung von Berechtigungen benötigt, können Sie durch das Erstellen
separater Migrationsgruppen die Verwaltung vereinfachen, indem Sie die Gruppen erstellen, die
entsprechenden Berechtigungen zuweisen und diesen Gruppen dann die erforderlichen
Administratoren hinzufügen. Wenn Sie Migrationstasks für Ihre Organisation über mehrere
administrative Gruppen verteilt sind, erstellen Sie separate Migrationsgruppen für jede
administrative Gruppe, die die Migration ausführt.
Weisen Sie die erforderlichen Berechtigungen zum Ändern von Objekten wie z. B. Benutzern,
globalen Gruppen und lokalen Profilen gemäß der folgenden Tabelle zu. Der Benutzer, der ADMT
ausführt, muss ein Administrator auf dem Computer sein, auf dem ADMT installiert ist.
Verwenden Sie in der Zieldomäne eine Gruppe mit delegierter Steuerung der
Computerorganisationseinheit und der Benutzerorganisationseinheit. Sie können ggf. eine
separate Gruppe für die Migration von Arbeitsstationen verwenden, wenn dieser
Migrationsvorgang an Administratoren delegiert wird, die sich am gleichen Standort wie die
Arbeitsstationen befinden.
Verwenden Sie die Informationen in der folgenden Tabelle, um die Anmeldeinformationen zu
ermitteln, die für Ihre Migration erforderlich sind.

Migrationsobjekt In der Quelldomäne In der Zieldomäne erforderliche


erforderliche Anmeldeinformationen
Anmeldeinformationen

Benutzer/Verwaltetes Lokaler Administrator, Delegierte Berechtigungen Erstellt,

228
Migrationsobjekt In der Quelldomäne In der Zieldomäne erforderliche
erforderliche Anmeldeinformationen
Anmeldeinformationen

Dienstkonto/Gruppe Domänenadministrator und entfernt und verwaltet


delegierte Berechtigung Liest Benutzerkonten, Erstellt, entfernt
Hinweis
alle Benutzerinformationen und verwaltet Gruppen und
Für verwaltete für die Ändert die Mitgliedschaft einer
Dienstkonten wird Quellorganisationseinheit. Gruppe für die
bei einer Migration Benutzerorganisationseinheit oder
innerhalb der die Gruppenorganisationseinheit
Gesamtstruktur der sowie lokaler Administrator auf dem
SID-Verlauf nicht Computer, auf dem ADMT installiert
gespeichert. ist.

Computer Domänenadministrator oder Delegierte Berechtigung für die


delegierte Rechte zum Computerorganisationseinheit und
Löschen der Objekte in der lokaler Administrator auf dem
Quellorganisationseinheit und Computer, auf dem ADMT installiert
Mitglied der Gruppe ist.
Administratoren auf jedem
Hinweis
Computer.
Wenn auf dem Computer
ein verwaltetes Dienstkonto
installiert ist, verwenden
Sie ein Konto mit der
Berechtigung zum
Aktualisieren der
Sicherheitsbeschreibung
des verwalteten
Dienstkontos in der
Zieldomäne.

Profil Lokaler Administrator oder Delegierte Berechtigung Erstellt,


Domänenadministrator, für entfernt und verwaltet
servergespeicherte Profile: Benutzerkonten für die
Administrator des Computers, Computerorganisationseinheit und
der den freigegebenen lokaler Administrator auf dem
Ordner des Computer, auf dem ADMT installiert
servergespeicherten Profils ist.
hostet.
Hinweis
Möglicherweise müssen
zusätzliche
Vorbereitungsschritte
ausgeführt werden, wenn

229
Migrationsobjekt In der Quelldomäne In der Zieldomäne erforderliche
erforderliche Anmeldeinformationen
Anmeldeinformationen

Sie servergespeicherte
Profile für Computer mit
Windows Vista oder
Windows 7 migrieren
möchten. Weitere
Informationen finden Sie
unter Vorbereiten von
servergespeicherten
Profilen für die Migration
von Computern unter
Windows Vista und
Windows 7.

ADMT enthält außerdem Datenbankverwaltungsrollen, mit denen Sie Benutzern, die bestimmte
Migrationstasks ausführen, eine Untermenge von Datenbankberechtigungen zuweisen können.
Die Datenbankverwaltungsrollen und die Migrationstasks, die sie ausführen können, werden in
der folgenden Tabelle aufgelistet.

Rolle Migrationstask

Kontenmigratoren Kontenmigrationstasks, z. B. Benutzer- und


Gruppenmigration.

Ressourcenmigratoren Ressourcenmigrationstasks, z. B.
Computermigration und
Sicherheitskonvertierung. Kontenmigratoren
üben außerdem die Rolle von
Ressourcenmigratoren aus.

Datenleser Fragt die betreffende Datenbank ab.


Kontenmigratoren und Ressourcenmigratoren
üben außerdem die Rolle von Datenlesern aus.

Benutzer, denen die Rolle SQL Server-Systemadministrator zugewiesen wurde, üben alle
ADMT-Datenbankverwaltungsrollen aus. Sie sind berechtigt, die folgenden Aktionen auszuführen:
• Anzeigen von Datenbankrollen und Benutzern, die diese Rollen ausüben.
• Hinzufügen von Gruppen oder Benutzern zu Rollen.
• Entfernen von Gruppen oder Benutzern aus Rollen.
Standardmäßig wird der lokalen Gruppe Administratoren die Rolle des Systemadministrators
zugewiesen. Diese Gruppe kann alle ADMT-Datenbankfunktionen ausführen.

230
Installieren von ADMT in der Zieldomäne
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Verwenden Sie je nach der Version, die Sie installieren möchten, eine der folgenden Anleitungen
für die Installation des Active Directory-Migrationsprogramms (Active Directory Migration Tool,
ADMT): ADMT Version 3.1 bietet eine Option zum Installieren einer vorkonfigurierten
Datenbankinstanz von Microsoft SQL Server® Express an. Bei ADMT Version 3.2 muss eine
bereits installierte SQL Server-Datenbankinstanz vorhanden sein. Die übrigen Anleitungen zum
Trennen, Neukonfigurieren und Entfernen einer Datenbankdatei gelten für beide ADMT-
Versionen.
• Installieren von ADMT v3.1
• Installieren von ADMT v3.2
• Trennen einer vorhandenen Datenbankdatei von einer vorherigen Version von ADMT und
SQL Server
• Neukonfiguration einer Datenbankinstallation mit "Admtdb.exe"
• Erneutes Verwenden einer ADMT-Datenbank aus einer vorherigen Installation

Installieren von ADMT v3.1


Dieser Abschnitt behandelt die folgenden Probleme beim Installieren von ADMT v3.1
• Voraussetzungen für die Installation von ADMT v3.1
• Installieren von ADMT v3.1 mithilfe des Standarddatenbankspeichers

Voraussetzungen für die Installation von ADMT v3.1


Wenn Sie das Active Directory-Migrationsprogramm Version 3.1 (Active Directory Migration Tool,
ADMT v3.1) installieren, wird außerdem SQL Server 2005 Express Edition standardmäßig als
Datenspeicher installiert. Als Option können Sie ADMT v3.1 für die Verwendung einer Datenbank
aus SQL Server 2000 mit Service Pack 4 (SP4) Standard oder Enterprise Edition bzw. einer
SQL Server 2005 Standard- oder Enterprise Edition-Installation konfigurieren, die Sie zuvor
erstellt haben.
Bevor Sie ADMT v3.1 installieren, führen Sie die folgenden erforderlichen Tasks aus:
• Installieren Sie Windows Server 2008.
• Entfernen Sie alle früheren Versionen von ADMT mithilfe der Option Software in der
Systemsteuerung. Wenn Sie versuchen, ADMT v3.1 auf einem Server zu installieren, auf
dem eine frühere Version von ADMT installiert ist, wird eine Fehlermeldung angezeigt, und
die Installation wird nicht fortgesetzt. Wenn erforderlich, können Sie die Datenbank während
der Installation aus der vorherigen Version von ADMT (z. B. aus ADMT v2.0 oder ADMT v3.0)
in ADMT v3.1 importieren.
• Wenn Sie nicht planen, die lokale Standarddatenbankinstallation zu verwenden, stellen
Sie sicher, dass eine andere SQL Server 2000- oder SQL Server 2005-Datenbankinstallation

231
mit einer ADMT-Instanz konfiguriert ist. Weitere Informationen zum Erstellen einer ADMT-
Instanz für eine a SQL Server-Datenbank finden Sie unter Installieren von ADMT mithilfe
einer vorkonfigurierten SQL-Datenbank.

Installieren von ADMT v3.1 mithilfe des


Standarddatenbankspeichers
Sie können den Standarddatenbankspeicher basierend auf SQL Server 2005 Express Edition
oder eine vorkonfigurierte SQL-Datenbank zum Installieren von ADMT verwenden. Die gängigste
und empfohlene Installationsmethode besteht in der Verwendung des
Standarddatenbankspeichers, den der Installations-Assistent des Active Directory-
Migrationsprogramms automatisch konfiguriert.

So installieren Sie ADMT mithilfe des Standarddatenbankspeichers

• Laden Sie je nach vorhandener Umgebung ADMT v3.1


(http://go.microsoft.com/fwlink/?LinkId=121732) oder ADMT v3.2
(http://go.microsoft.com/fwlink/?LinkId=186197) herunter. Weitere Informationen dazu,
welche Version von ADMT Sie verwenden können, finden Sie unter Versionen vom Active
Directory-Migrationsprogramm und unterstützte Umgebungen. Doppelklicken Sie auf der
Downloadwebsite auf admtsetup.exe. Der Installations-Assistent wird geöffnet.

232
Seite des Assistenten Vorgang

Willkommen Klicken Sie auf Weiter.

Komponenten werden konfiguriert Die ADMT-Datenbankinstanz


(MS_ADMT) wird auf dem lokalen
Computer erstellt.
Zwar wird SQL Server 2005 Express
Edition unabhängig davon, ob ADMT
diese Anwendung verwendet,
standardmäßig lokal installiert, ADMT
deaktiviert SQL Server 2005 Express
Edition jedoch, wenn Sie eine andere
Datenbankinstanz auf der nächsten Seite
des Assistenten angeben.

Datenbankauswahl Geben Sie die Datenbankinstanz an, mit


der Sie eine Verbindung herstellen
möchten. Die empfohlene Auswahl ist
Lokale SQL Server 2005 Express
Edition verwenden. Dann wird
ADMT v3.1 so konfiguriert, dass die lokal
installierte Datenbankinstanz verwendet
wird.
Wenn Sie mehrere ADMT v3.1-Konsolen
verwenden oder einen dedizierten
Datenbankserver einsetzen, auf dem Sie
die ADMT-Datenbank zentralisieren
möchten, wählen Sie die Option
Vorhandenen Microsoft SQL Server
verwenden aus. Geben Sie den Server
im Format Server\Instanz an.
Sie sollten die SQL Server-
Datenbankinstanz konfigurieren, bevor
Sie diese Option auswählen. Die
ADMT v3.1-Installation wird zwar
fortgesetzt, wenn keine Verbindung mit
der Datenbank hergestellt werden kann,
Sie können ADMT jedoch erst zum
Migrieren von Konten oder Ressourcen
verwenden, nachdem die
Datenbankinstanz erstellt wurde und
verfügbar ist.

233
Seite des Assistenten Vorgang

Datenbankimport des Active Directory- Sie können eine ADMT v3.0-Installation


Migrationsprogramms v3 nicht auf ADMT v3.1 aktualisieren, Sie
können jedoch Daten aus einer
ADMT v3.0-Datenbank in eine
ADMT v3.1-Datenbank importieren.
Wenn Sie keine Daten aus einer
ADMT v3.0-Datenbank importieren
möchten, wählen Sie Nein, keine Daten
aus einer vorhandenen Datenbank
importieren (Standard) aus.
Wenn Sie Daten aus ADMT v3.0 in die
neue ADMT v3.1-Datenbank importieren
möchten, wählen Sie Ja, Daten aus
einer ADMT v3.0-Datenbank
importieren aus.
Wenn Sie Daten importieren möchten,
geben Sie den Pfad zur ADMT v3.0-
Datenbankdatei an.

234
Seite des Assistenten Vorgang

Datenbankimport des Active Directory- Sie können eine ADMT v2.0-Installation


Migrationsprogramms v2 nicht auf ADMT v3.1 aktualisieren, Sie
können jedoch Daten aus einer
ADMT v2.0-Datenbank in eine
ADMT v3.0-Datenbank importieren.
Wenn Sie keine Daten aus einer
ADMT v2.0-Datenbank importieren
möchten, wählen Sie Nein, keine Daten
aus einer ADMT v2-Datenbank
importieren aus.
Wenn Sie Daten aus ADMT v2.0 in die
neue ADMT v3.1-Datenbank importieren
möchten, wählen Sie Ja, Daten aus
einer ADMT v2.0-Datenbank
importieren aus.
Wenn Sie Daten importieren möchten,
geben Sie den Pfad zur ADMT v2.0-
Datenbankdatei an.
Die ADMT v2.0-Datenbank besitzt den
Dateinamen protar.mdb und sollte in
dem Verzeichnis gespeichert sein, das
zuvor für die ADMT v2.0-Installation
verwendet wurde.

Zusammenfassung Diese Seite fasst die von Ihnen


ausgewählten Optionen zusammen.
Klicken Sie auf Fertig stellen, um die
ADMT v3.1-Installation abzuschließen.

Installieren von ADMT v3.2


Für ADMT v3.2 ist eine vorkonfigurierte Instanz von SQL Server als zugrunde liegender
Standarddatenspeicher erforderlich. Verwenden Sie hierzu SQL Server Express. Wenn Sie eine
der folgenden Versionen von SQL Server Express verwenden, ergeben sich aus der Installation
von ADMT zwingend die folgenden Service Pack-Anforderungen:
SQL Server 2005 Express muss mit Service Pack 3 (SP3) oder später installiert werden.
SQL Server 2008 Express muss mit Service Pack 1 (SP1) oder später installiert werden.

235
Hinweis

Wenn Sie SQL Server Express verwenden, muss die ADMT-Konsole lokal auf dem
Server, auf dem die SQL Server Express-Datenbankinstanz gehostet wird, installiert
und ausgeführt werden.
Als Option können Sie Vollversionen von SQL Server 2005 bzw. SQL Server 2008 verwenden. In
diesem Fall können Sie die ADMT-Konsole auf einem Remotecomputer installieren und
ausführen sowie mehrere ADMT-Konsolen auf verschiedenen Remotecomputern ausführen.
Wenn Sie eine Vollversion von SQL Server verwenden, ergeben sich aus der Installation von
ADMT keine zwingenden Service Pack-Anforderungen.
Im Rest dieses Abschnitts werden die folgenden Installationsprobleme behandelt:
• Voraussetzungen für die Installation von ADMT v3.2
• Installieren von ADMT v3.2

Voraussetzungen für die Installation von ADMT v3.2


Bevor Sie ADMT v3.2 installieren, führen Sie die folgenden erforderlichen Aufgaben aus:
• Verwenden Sie Software in der Systemsteuerung, um alle Versionen von ADMT zu
entfernen, die älter als ADMT v3.2 sind.
Obgleich ADMT v3.2 ein Upgrade von einer früheren Version von ADMT nicht unterstützt,
können Sie eine vorhandene Datenbank aus einer vorherigen ADMT-Installation
wiederverwenden, vorausgesetzt, es handelt sich nicht um eine Datenbank aus ADMT
Version 2 (v2) oder ADMT Version 1 (v1). Weitere Informationen finden Sie unter Erneutes
Verwenden einer ADMT-Datenbank aus einer vorherigen Installation.
• Installieren oder aktualisieren Sie nach Bedarf einen Servercomputer (vorzugsweise
einen Mitgliedsserver) in der Quell- oder Zieldomänenumgebung, um Windows
Server 2008 R2 auszuführen.
Sie können ADMT v3.2 zwar zum Migrieren von Konten und Ressourcen aus
Active Directory-Umgebungen mit einer Domänenfunktionsebene von Windows Server 2003
oder später verwenden, ADMT v3.2 kann aber nur auf einem Server mit Windows
Server 2008 R2 installiert werden.
Der Servercomputer, den Sie zum Installieren von ADMT v3.2 verwenden, muss nicht nur
Windows Server 2008 R2 ausführen, sondern darf auch nicht unter der Server Core-
Installationsoption installiert sein oder als schreibgeschützter Domänencontroller (Read-Only
Domain Controller, RODC) ausgeführt werden.
• Konfigurieren Sie eine SQL Server-Datenbankinstallation mit einer ADMT-Instanz. Sie
können SQL Server Express entweder herunterladen und lokal installieren oder eine
Datenbankinstanz für ADMT aus einer vorhandenen SQL Server-Datenbank erstellen.
Weitere Informationen zum Installieren von SQL Server Express finden Sie unter Installieren
von ADMT v3.2. Weitere Informationen zum erstellen einer ADMT-Instanz aus einer
SQL Server-Datenbank finden Sie unter Installieren von ADMT durch Neukonfiguration
einer Datenbankinstallation mit "Admtdb.exe".

236
Installieren von ADMT v3.2
Laden Sie SQL Server 2005 Express (http://go.microsoft.com/fwlink/?LinkId=181159) herunter,
oder erstellen Sie eine neue Datenbankinstanz auf einer vorhandenen SQL Server-Installation,
die mit ADMT v3.2 verwendet werden soll. Wählen Sie während der SQL Server-Installation
Windows-Authentifizierungsmodus. Verwenden Sie im Anschluss an die Installation von
SQL Server das folgende Verfahren, um ADMT v3.2 zu installieren.
Die Mitgliedschaft in der Gruppe Administratoren (oder eine äquivalente Berechtigung) ist
mindestens erforderlich, um dieses Verfahren auszuführen. Weitere Informationen zum
Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und
Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477).

So installieren Sie ADMT v3.2

1. Doppelklicken Sie im ADMT-Downloadpaket auf admtsetup32.exe.


2. Stellen Sie auf der Seite Willkommen sicher, dass die Empfehlungen erfüllt sind,
und klicken Sie dann auf Weiter.
3. Klicken Sie auf der Seite Lizenzvertrag auf Ich stimme zu und dann auf Weiter.
4. Geben Sie auf der Seite Datenbankauswahl die Server\Instanz ein.
Der Servername muss auch für lokale Datenbankinstanzen eingegeben werden. Sie
können einen Punkt (".") eingeben, um den lokalen Server zu kennzeichnen. Die
SQL Server Express-Instanz wird standardmäßig SQLEXPRESS genannt.
Wenn Sie also eine standardmäßige SQL Server Express-Instanz auf dem lokalen
Server verwenden möchten, geben Sie .\SQLEXPRESS ein.
5. Wenn Sie eine SQL Express-Installation gewählt haben, aber keine Datenbankdatei
ADMT.mdf am Standard-Datenspeicherort %windir%\ADMT\Data vorhanden ist, wird
die Seite Datenbankimport angezeigt. Andernfalls wird diese Datenbankdatei von
ADMT-Setup automatisch angefügt und die Seite Zusammenfassung angezeigt.
Wenn Sie keine Daten importieren müssen, klicken Sie auf der Seite Datenbankimport
auf Nein, keine Daten aus einer vorhandenen Datenbank importieren (Standard).
Wenn Sie Daten aus einer vorherigen ADMT-Installation importieren müssen, klicken Sie
auf Ja, Daten aus einer vorhandenen ADMT v3.0- oder ADMT v3.1-Datenbank
importieren und dann auf Durchsuchen, um zum Speicherort der vorhandenen
Datenbankdatei zu navigieren.
Bevor die Daten aus einer vorhandenen Datenbank importiert werden können, müssen
Sie die Datenbankdatei mithilfe von SQL Server-Befehlen von SQL Server trennen.
Weitere Informationen finden Sie unter Trennen einer vorhandenen Datenbankdatei
von einer vorherigen Version von ADMT und SQL Server.
Klicken Sie nach Fertigstellung des Vorgangs auf Weiter.
6. Prüfen Sie auf der Seite Zusammenfassung die Ergebnisse der Installation, und
klicken Sie auf Fertig stellen.

237
Trennen einer vorhandenen Datenbankdatei von
einer vorherigen Version von ADMT und SQL
Server
Wenn Sie SQL Server Express verwenden, wird die Datenbank automatisch beim Entfernen von
ADMT getrennt. Die getrennte SQL Server Express-Datenbank kann als Teil einer anderen
ADMT-Installation zu einem späteren Zeitpunkt wiederverwendet werden. In diesem Fall wird
ADMT automatisch an die vorhandene, bei der Installation angegebene Datenbank angefügt.
Sie können die ADMT-Datenbankdatei von einer vollständigen SQL Server-Instanz trennen, wenn
Sie dieser Datenbank eine andere Anwendung anfügen möchten. Wenn Sie beispielsweise eine
vollständige SQL Server-Installation nach SQL Server Express verschieben möchten oder wenn
Sie eine ADMT-Datenbank aus einer früheren Installation verwenden möchten, die Sie den
SQL Server-Verwaltungstools anfügen möchten, muss diese von der Datenbank getrennt sein,
bevor Sie von ADMT verwendet werden kann.
Zum Trennen einer Datenbank können Sie folgende gespeicherte SQL-Prozedur verwenden:
sp_detach_db [ @dbname = ] 'dbname'

Weitere Informationen zu dieser gespeicherten Prozedur finden Sie in der Dokumentation von
SQL Server. Weitere Informationen zum Verwenden von SQL Server Management Studio zum
Trennen der Datenbank finden Sie unter Vorgehensweise: Trennen einer Datenbank (SQL Server
Management Studio) (http://go.microsoft.com/fwlink/?LinkId=183994).

Neukonfiguration einer Datenbankinstallation mit


"Admtdb.exe"
Wenn Sie während der Installation Probleme mit der Datenbankkonfiguration haben, oder wenn
während der ADMT v3.2-Installation SQL Server Express angegeben wurde, Sie aber nach der
Installation zu SQL Server (oder umgekehrt) wechseln möchten, können Sie Admtdb.exe
verwenden. Die Befehlszeilensyntax für Admtdb.exe finden Sie in der folgenden Tabelle.
Sie können Admtdb.exe von einer Eingabeaufforderung mit erhöhten Rechten auf jedem Server
ausführen, der eine Verbindung mit dem Servercomputer mit SQL Server herstellen kann, um die
ADMT-Instanz auf diesem Servercomputer zu erstellen.

Syntax Beschreibung

admtdb create /{s|server}: "Server\Instanz" Installiert eine neue ADMT-Datenbank oder


bereitet eine leere Datenbank vor.
Der Parameter /server gibt den Namen des
Computers mit SQL Server und der Instanz an,
mit dem bzw. der eine Verbindung hergestellt
werden soll, um die Datenbank zu erstellen.
Dieser Parameter ist erforderlich.

238
Syntax Beschreibung

admtdb upgrade /s|server: Server\Instanz Aktualisiert eine vorherige Version einer


ADMT v3.0- oder ADMT v3.1-Datenbank.
Der erforderliche Parameter /server gibt den
Namen des Computers mit SQL Server und der
Instanz an, mit dem bzw. der eine Verbindung
hergestellt werden soll, um die ADMT v3.0-
oder ADMT v3.1-Datenbank zu aktualisieren.

Hinweis
Bevor Sie die ADMT-Datenbank
aktualisieren, überprüfen Sie die
Kompatibilität zwischen der Datenbank
und der ADMT-Konsole, indem Sie
zuerst die ADMT-Konsole öffnen.

admtdb attach [/{a|attach}: "v3x- Fügt eine vorhandene ADMT-Datenbank an die


Datenbankpfad" lokale SQL Express 2005- oder
SQL Server Express 2008-Instanz an.
Der erforderliche Parameter /attach gibt den
Pfad zu einer getrennten Datenbankdatei
Admt.mdf an.

Geben Sie an der Eingabeaufforderung admtdb /? ein, um die Hilfe zu allen


Befehlszeilenoptionen von Admtdb.exe anzuzeigen.
Wenn Sie die Migration unter Verwendung einer lokalen SQL Server Express-Datenbank
begonnen und dann eine Remoteinstanz einer SQL Server-Datenbank konfiguriert haben, nun
aber zur Verwendung einer lokalen SQL Server Express-Datenbank zurückwechseln müssen,
führen Sie folgendes Verfahren aus. In diesem Fall ist die ADMT-Datenbank bereits der
SQL Express-Instanz angefügt. Deshalb muss sie nicht explizit erneut angefügt werden.
Wenn Sie die Migration unter Verwendung von SQL Server begonnen haben, aber zu
SQL Server Express zurückwechseln möchten, finden Sie Informationen unter Erneutes
Verwenden einer ADMT-Datenbank aus einer vorherigen Installation.
Die Mitgliedschaft in der Gruppe Administratoren (oder eine äquivalente Berechtigung) ist
mindestens erforderlich, um dieses Verfahren auszuführen. Weitere Informationen zum
Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und
Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477).

So verwenden Sie eine lokale Datenbank erneut, nachdem Sie eine Remoteinstanz einer
SQL Server-Datenbank konfiguriert haben

1. Klicken Sie auf dem lokalen Computer auf Start, zeigen Sie auf Verwaltung, und
klicken Sie dann auf Dienste.

239
2. Vergewissern Sie sich im Bereich Details, dass der Dienst, von dem die SQL Server
Express-Instanz gehostet wird, ausgeführt wird und dass der Starttyp auf Automatisch
festgelegt ist. Wenn Sie ADMT v3.1 verwenden und SQL Server Express vom ADMT-
Installationsprogramm installiert haben lassen, lautet der Dienstname
MSSQL$MS_ADMT.
Wenn der Dienst nicht gestartet wurde oder der Starttyp nicht auf automatischen Start
beim Systemstart festgelegt wurde, klicken Sie auf Gestartet, klicken mit der rechten
Maustaste auf den Namen des Diensts und klicken dann auf Eigenschaften.
3. Klicken Sie auf der Registerkarte Allgemein in der Liste Starttyp auf Automatisch.
4. Klicken Sie unter Dienststatus auf Starten, und klicken Sie dann auf OK.
5. Schließen Sie Dienste.
6. Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

Hinweis
Der Befehl admtdb attach ist nur erforderlich, wenn Sie zuvor SQL-Befehle zum
Trennen der lokalen SQL Server Express-Instanz ausgeführt haben.
admtdb attach /{s | Server}:"Lokale SQL Server Express-Instanz"

admt config setdatabase /s:Server\Instanz.

Sie können die lokale Datenbank nun verwenden.

Erneutes Verwenden einer ADMT-Datenbank aus


einer vorherigen Installation
Wenn Sie eine vorhandene (getrennte) Datenbank aus einer früheren ADMT v3.0-, ADMT v3.1-
oder ADMT v3.2-Installation mit einer lokalen SQL Server-Instanz verwenden möchten, können
Sie das folgende Verfahren ausführen.

Hinweis

Die Mitgliedschaft in der Gruppe Administratoren (oder eine äquivalente Berechtigung)


ist mindestens erforderlich, um dieses Verfahren auszuführen. Einzelheiten zum
Verwenden der richtigen Konten und Gruppenmitgliedschaften finden Sie unter Lokale
und Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477).

So verwenden Sie eine vorhandene (getrennte) ADMT-Datenbank mit einer lokalen


SQL Server-Instanz

1. Klicken Sie auf dem lokalen Computer auf Start, zeigen Sie auf Verwaltung, und
klicken Sie dann auf Dienste.
2. Vergewissern Sie sich im Bereich Details, dass der Dienst, von dem die SQL Server
Express-Instanz gehostet wird, ausgeführt wird und dass der Starttyp auf Automatisch
festgelegt ist. Wenn Sie ADMT v3.1 verwenden und SQL Server Express vom ADMT-
Installationsprogramm installiert haben lassen, lautet der Dienstname
240
MSSQL$MS_ADMT.
Wenn der Dienst nicht gestartet wurde oder der Starttyp nicht auf automatischen Start
beim Systemstart festgelegt wurde, klicken Sie auf Gestartet, klicken mit der rechten
Maustaste auf den Namen des Diensts und klicken dann auf Eigenschaften.
3. Klicken Sie auf der Registerkarte Allgemein in der Liste Starttyp auf Automatisch.
4. Klicken Sie unter Dienststatus auf Starten, und klicken Sie dann auf OK.
5. Schließen Sie Dienste.
6. Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:
admtdb attach /{s | Server}:”Lokale SQL Server Express-Instanz” /{a |
Attach}:”Pfad zur anzufügenden ADMT v3.x-Datenbankdatei"

admt config setdatabase /s: Server\Instanz

Sie können jetzt die vorhandene ADMT-Datenbank mit der lokalen SQL Server-Instanz
verwenden. Es ist nicht erforderlich, den ADMT-Installations-Assistenten erneut
auszuführen. Die ADMT-Installation kann nur einmal ausgeführt werden. Alle
nachfolgenden Änderungen an der Datenbankkonfiguration können mithilfe der Befehle
admtdb.exe und admt config setdatabase ausgeführt werden.

Planen der Aktualisierung von Dienstkonten


Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Die meisten Dienste werden im Kontext des lokalen Systemkontos ausgeführt. Dies hat zur
Folge, dass sie bei der Migration zu einer anderen Domäne keine Wartung erfordern. Einige
Dienste werden jedoch im Kontext eines Benutzerkontos statt in dem des lokalen Systemkontos
ausgeführt.
Die Konvertierung von Dienstkonten bezieht sich auf den Prozess des Identifizierens, Migrierens
und Aktualisierens von Diensten, die im Kontext von Benutzerkonten ausgeführt werden. Dieser
Prozess umfasst drei Schritte. Zuerst startet der Administrator das Active Directory-
Migrationsprogramm (Active Directory Migration Tool, ADMT) auf dem Active Directory-
Domänencontroller und führt den Assistenten zum Migrieren von Dienstkonten aus. Im zweiten
Schritt sendet der Assistent zum Migrieren von Dienstkonten einen Agent an einen angegebenen
Computer und identifiziert alle Dienste auf dem Computer, die im Kontext eines Benutzerkontos
ausgeführt werden (er migriert die Dienste jedoch nicht). Als dritter Schritt, der später im
Migrationsprozess erfolgen kann, wird dann die Migration der Konten ausgeführt, wenn die
anderen Benutzerkonten mit dem Assistenten zum Migrieren von Benutzerkonten migriert
werden.
Der Assistent zum Migrieren von Dienstkonten überprüft jeden Dienst auf einem Computer, um
Dienste zu identifizieren, die im Kontext eines Benutzerkontos ausgeführt werden. Während der
Migration von Dienstkonten kann eine Sicherheitslücke auftreten, wenn eine Person, die kein
Dienstadministrator ist, sich mit Administratorberechtigungen bei einem Konto in der
241
Quelldomäne anmeldet, jedoch auf dem eigenen Computer ein ungültiges Kennwort zum Starten
des Diensts verwendet. Der Dienst wird vor der Kontomigration nicht gestartet – da das Kennwort
nicht richtig ist – es funktioniert jedoch nach der Migration, da ADMT das Kennwort des
Dienstkontos zurücksetzt und alle Dienste, die das betreffende Dienstkonto verwenden, mit dem
neuen Kennwort konfiguriert.
Zur Vermeidung dieses möglichen Sicherheitsproblems ist es wichtig, nur die Server in den
Assistenten zum Migrieren von Dienstkonten aufzunehmen, die von vertrauenswürdigen
Administratoren verwaltet werden. Verwenden Sie den Assistenten zum Migrieren von
Dienstkonten nicht zur Erkennung von Dienstkonten auf Computern, die nicht von
vertrauenswürdigen Administratoren verwaltet werden, wie z. B. Arbeitsstationen.
Wenn Sie einen vertrauenswürdigen Computer nicht identifizieren und konvertieren, dessen
Dienstkonto daher nicht aktualisiert wird, müssen Sie das neue Kennwort, das von ADMT erstellt
wird, manuell festlegen. Rufen Sie zu diesem Zweck das Kennwort aus der Datei Password.txt
ab, und geben Sie dann manuell die Konto- und Kennwortinformationen für den Dienst auf dem
Computer ein, der nicht konvertiert wurde.
Wenn die Konten, die vom Assistenten für die Migration von Dienstkonten in der ADMT-
Datenbank als im Kontext eines Benutzerkontos ausgeführt identifiziert wurden, in die
Zieldomäne migriert werden, erteilt ADMT jedem Konto das Recht zur Anmeldung als Dienst.

So führen Sie den Assistenten zum Migrieren von Dienstkonten aus

1. Starten Sie in ADMT den Assistenten zum Migrieren von Dienstkonten.


2. Verwenden Sie den Assistenten, indem Sie die in der folgenden Tabelle
beschriebenen Schritte ausführen.

242
Seite des Assistenten Vorgang

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Quelldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Wenn Sie eine Migration innerhalb der
Gesamtstruktur ausführen, wird der
Domänencontroller, der die Funktion des
RID-Betriebsmasters (Relative ID) ausübt,
unabhängig von Ihrer Auswahl immer als
Quelldomänencontroller verwendet.
Geben Sie unter Ziel in der Dropdownliste
Domäne den NetBIOS- oder DNS-Namen
der Zieldomäne an. Geben Sie in der
Dropdownliste Domänencontroller den
Namen des Domänencontrollers an, oder
wählen Sie einenbeliebigen
Domänencontroller aus, und klicken Sie
auf Weiter.

Informationen aktualisieren Klicken Sie auf Ja, Informationen


aktualisieren.

Computerauswahloption Klicken Sie auf Computer aus Domäne


auswählen, und klicken Sie dann auf
Weiter. Klicken Sie auf der Seite
Dienstkontoauswahl auf Hinzufügen, um
die Konten in der Quelldomäne
auszuwählen, die Sie migrieren möchten,
klicken Sie auf OK und dann auf Weiter.
Oder
Klicken Sie auf Objekte aus Includedatei
lesen und anschließend auf Weiter.
Geben Sie den Speicherort der
Includedatei ein, und klicken Sie auf
Weiter.

243
Seite des Assistenten Vorgang

Dialogfeld "Agent" Wählen Sie unter Agent-Aktionen den


Eintrag Vorüberprüfung und Agent
ausführen aus, und klicken Sie dann auf
Start. Eine Nachricht wird in der Agent-
Zusammenfassung angezeigt, wenn die
Agentvorgänge abgeschlossen sind.
Klicken Sie nach dem Abschluss der
Agentvorgänge auf Schließen.

Dienstkontoinformationen Wählen Sie alle Benutzerkonten aus, die in


der ADMT-Datenbank nicht als
Dienstkonten markiert werden müssen,
und klicken Sie dann auf
Überspringen/Einbeziehen, um für die
Konten Überspringen zu markieren.

Der Assistent stellt eine Verbindung mit den ausgewählten Computern her und sendet
dann einen Agent, um jeden Dienst auf den Remotecomputern zu überprüfen. Auf der
Seite Dienstkontoinformationen sind die Dienste, die im Kontext eines Benutzerkontos
ausgeführt werden, zusammen mit dem Namen des betreffenden Benutzerkontos
aufgelistet. ADMT vermerkt in seiner Datenbank, dass diese Benutzerkonten als
Dienstkonten migriert werden müssen. Wenn ein Benutzerkonto nicht als Dienstkonto
migriert werden soll, wählen Sie das Konto aus und klicken dann auf
Überspringen/Einbeziehen, um den Status von Einbeziehen in Überspringen zu
ändern.
3. Zum Aktualisieren des Dienststeuerungs-Managers mit den neuen Informationen
verwenden Sie SCM aktualisieren. Sofern kein Fehler beim Erreichen eines Computers
zum Zweck der Aktualisierung vorliegt, ist die Schaltfläche SCM aktualisieren nicht
verfügbar. Wenn nach der Identifikation und Migration des Kontos ein Problem beim
Aktualisieren eines Dienstkontos auftritt, stellen Sie sicher, dass der Computer, den Sie
zu erreichen versuchen, verfügbar ist, und starten Sie dann den Assistenten zum
Migrieren von Dienstkonten erneut. Klicken Sie im Assistenten auf SCM aktualisieren,
um die Aktualisierung des Diensts zu versuchen. Wenn Sie den Assistenten zum
Migrieren von Dienstkonten bereits zuvor ausgeführt haben und die Schaltfläche SCM
aktualisieren nicht zur Verfügung steht, untersuchen Sie die ADMT-Protokolldateien, um
die Ursache des Problems zu ermitteln. Nachdem Sie das Problem behoben haben und
der Agent erfolgreich eine Verbindung hergestellt hat, steht die Schaltfläche SCM
aktualisieren zur Verfügung.

So identifizieren Sie Dienstkonten mithilfe der ADMT-Befehlszeilenoption

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.

244
2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie
dann die EINGABETASTE:
ADMT SERVICE /N "<Computername1>" "<Computername2>" /SD:"<Quelldomäne>" /TD:"
<Zieldomäne>"

Dabei sind <computername1> und <computername2> die Namen von Computern in der
Quelldomäne, auf denen die Dienstkonten ausgeführt werden.
Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT SERVICE /N "<Computername1>" "<Computername2>" /O:" <Optionsdatei>.txt"

In der folgenden Tabelle sind die allgemeinen Parameter zum Identifizieren von
Dienstkonten aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter und dem
entsprechenden Äquivalent in der Optionsdatei.

Parameter Befehlszeilensyntax Optionsdateisyntax

<Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne"

<Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne"

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.

So identifizieren Sie Dienstkonten mithilfe eines Skripts

• Erstellen Sie mithilfe des folgenden Beispielskripts ein Skript, das ADMT-Befehle und
-Optionen zum Identifizieren von Dienstkonten enthält. Kopieren Sie das Skript in
Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im gleichen
Ordner wie die Datei „AdmtConstants.vbs“.
<Job id="IdentifyingServiceAccounts" >

<Script language="VBScript" src="AdmtConstants.vbs" />

<Script language="VBScript" >

Option Explicit

Dim objMigration

Dim objServiceAccountEnumeration

'

'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte.

'

Set objMigration = CreateObject("ADMT.Migration" )

245
Set objServiceAccountEnumeration = _

objMigration.CreateServiceAccountEnumeration

'

'Geben Sie die allgemeinen Migrationsoptionen an.

'

objMigration.SourceDomain = "Quelldomäne"

'

'Listen Sie die Dienstkonten der angegebenen Computer auf.

'

objServiceAccountEnumeration.Enumerate admtData, _

Array("Computername1" ,"Computername2" )

Set objServiceAccountEnumeration = Nothing

Set objMigration = Nothing

</Script>

</Job>

Beispiel: Vorbereiten der Neustrukturierung


von Active Directory-Domänen
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Contoso Corporation hat die Hardware aktualisiert, um die Netzwerkbandbreite und den
Replikationsdatenverkehr zu vergrößern, der unterstützt werden kann. Als Folge dieses
Umstands führt das Unternehmen seine Domäne Africa mit der Domäne EMEA zusammen.
Die Domäne Africa ist die Quelldomäne, und die Domäne EMEA ist die Zieldomäne für die
Migration. Die Organisation muss insgesamt 1.800 Benutzer aus der Domäne Africa in die
Domäne EMEA migrieren. Neben den Benutzerkonten muss die Organisation auch Ressourcen
wie etwa Arbeitsstationen, Server und Gruppen migrieren.
Da Contoso Corporation eine große Organisation mit zahlreichen globalen Gruppen ist, sind
geschlossene ;engen schwierig zu identifizieren. Daher hat sich das Unternehmen entschieden,
globale Gruppen als universelle Gruppen zu migrieren. Das Unternehmen kann so vorgehen, weil
246
die Infrastruktur des Unternehmens die verstärkte Replikation der universellen Gruppen
verarbeiten kann und die Domänen Africa und EMEA auf der Funktionsebene Windows 2000
(einheitlicher Modus) betrieben werden. Das Unternehmen hat identische
Organisationseinheitsstrukturen in den Domänen Africa und EMEA erstellt. Aus diesem Grund
muss keine neue Organisationseinheitsstruktur erstellt werden, und es müssen auch keine
Organisationseinheiten migriert werden.
Contoso Corporation hat eine Liste der Computer erstellt, die Dienstkonten ausführen, damit der
Assistent zum Migrieren von Dienstkonten zum Identifizieren von Diensten verwendet werden
kann, die im Kontext von Benutzerkonten ausgeführt werden. Das Unternehmen macht sich am
meisten Sorgen um eine Sammlung von Konten, die auf eine SQL Server-Datenbank zugreifen
müssen. Der Zugriff auf diese Datenbank ist ein wichtiger Teil des Geschäfts.
Das Unternehmen hat sich entschieden, das Active Directory-Migrationsprogramm
(Active Directory Migration Tool, ADMT) als Migrationstool zu verwenden und die zugehörigen
Assistenten zu nutzen. Das Unternehmen installiert ADMT und erstellt zwei
Kontenmigrationsgruppen, die für den Migrationsvorgang verwendet werden. Das Unternehmen
weist der erste Gruppe Berechtigungen auf hoher Ebene zu und fügt dieser Gruppe dann die
entsprechenden Mitglieder des Bereitstellungsteams hinzu. Das zentralisierte
Bereitstellungsteam verwendet dieses Konto zum Migrieren von Benutzern. Das Unternehmen
weist der zweiten Gruppe Berechtigungen für Arbeitsstationen und lokale Ressourcen zu. Das
Bereitstellungsteam verwendet die zweite Gruppe zum Migrieren von Ressourcen an den
Remotestandorten.

Migrieren von Domänenobjekten zwischen


Active Directory-Domänen
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Die Umstrukturierung von Active Directory-Domänen in einer Gesamtstruktur umfasst das
Migrieren von Domänenobjekten in einer bestimmten Reihenfolge, um sicherzustellen, dass die
Benutzer weiterhin Zugriff auf Ressourcen haben. Die folgenden Abbildungen zeigen den
Vorgang des Migrierens von Domänenobjekten zwischen verschiedenen Active Directory-
Domänen.

247
Migrieren von Gruppen
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Migrieren Sie Gruppen, bevor Sie die Benutzerkonten migieren, die Mitglied dieser Gruppen sind,
um Ihr System vor dem Problem offener Mengen beim Umstrukturieren von Active Directory-
Domänen innerhalb einer Gesamtstruktur zu schützen. Wenn Sie Gruppen zugleich mit
Benutzern migrieren, können Sie möglicherweise keine verschachtelten Gruppen migrieren,
wodurch eine offene Menge entsteht.
Befolgen Sie darüber hinaus beim Migrieren von Gruppen diese Richtlinien:
• Migrieren Sie universelle Gruppen zuerst, gefolgt von globalen Gruppen.
• Migrieren Sie domänenlokale Gruppen beim Migrieren der Ressourcen
(Domänencontroller und Mitgliedsserver), auf denen sie zum Zuweisen von Berechtigungen
verwendet werden.
• Sie können sich entscheiden, computerlokale Gruppen beim Migrieren des Computers zu
einem späteren Zeitpunkt im Umstrukturierungsprozess zu migrieren.

248
Migrieren universeller Gruppen
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Migrieren Sie universelle Gruppen aus der Quell- in die Zieldomäne, ohne Benutzer zu migrieren,
die gleichzeitig Mitglied in diesen Gruppen sind. Wenn Sie universelle Gruppen ohne die
Benutzer migrieren, bietet dies Schutz vor dem Problem offener Mengen. Durch den SID-Verlauf
besitzen Gruppenmitglieder basierend auf der Mitgliedschaft in der universellen Gruppe weiterhin
Zugriff auf Ressourcen. Wenn Sie universelle Gruppen in Zieldomäne migrieren, sind diese in der
Quelldomäne nicht mehr vorhanden.

Hinweis

Wenn Sie eine kleine Anzahl universeller Gruppen migrieren, können Sie diese
universellen Gruppen zum gleichen Zeitpunkt wie globale Gruppen migrieren.
Sie können universelle Gruppen mithilfe des ADMT-Snap-Ins (Active Directory Migration Tool,
Active Directory-Migrationsprogramm), der ADMT-Befehlszeilenoption oder eines Skripts
migrieren.

So migrieren Sie universelle Gruppen mithilfe des ADMT-Snap-Ins

• Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
• Verwenden Sie den Assistenten zum Migrieren von Gruppenkonten, und führen Sie
die in der folgenden Tabelle beschriebenen Schritte aus.

249
Seite des Assistenten Vorgang

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Quelldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Wenn Sie eine Migration innerhalb der
Gesamtstruktur ausführen, wird der
Domänencontroller, der die Funktion des
RID-Betriebsmasters (Relative ID, auch
als Flexible Single Master Operations oder
FSMO bezeichnet) ausübt, unabhängig
von Ihrer Auswahl immer als
Quelldomänencontroller verwendet.
Geben Sie unter Ziel in der Dropdownliste
Domäne den NetBIOS- oder DNS-Namen
der Zieldomäne an. Geben Sie in der
Dropdownliste Domänencontroller den
Namen des Domänencontrollers an, oder
wählen Sie einenbeliebigen
Domänencontroller aus, und klicken Sie
auf Weiter.

Gruppenauswahloption Klicken Sie auf Gruppen aus Domäne


auswählen, und klicken Sie dann auf
Weiter. Klicken Sie auf der Seite
Gruppenauswahl auf Hinzufügen, um
die zu migrierenden Gruppen in der
Quelldomäne auszuwählen, klicken Sie
auf OK, und klicken Sie dann auf Weiter.
Oder
Klicken Sie auf Objekte aus Includedatei
lesen und anschließend auf Weiter.
Geben Sie den Speicherort der
Includedatei ein, und klicken Sie auf
Weiter.

250
Seite des Assistenten Vorgang

Auswahl der Organisationseinheit Geben Sie den Namen der


Organisationseinheit (Organizational Unit,
OU) ein, oder klicken Sie auf
Durchsuchen.
Suchen Sie im Dialogfeld Container
suchen den Container in der Zieldomäne,
in den die universellen Gruppen
verschoben werden sollen, und klicken Sie
dann auf OK.

Gruppenoptionen Die Kontrollkästchen Gruppen-SIDs zur


Zieldomäne migrieren und
Gruppenmitgliedschaft korrigieren sind
aktiviert und werden abgeblendet
angezeigt.
Stellen Sie sicher, dass keine anderen
Optionen ausgewählt sind.

Konfliktverwaltung Wählen Sie Quellobjekt nicht migrieren,


wenn in der Zieldomäne ein Konflikt
ermittelt wird aus.

So migrieren Sie universelle Gruppen mithilfe der ADMT-Befehlszeilenoption

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.

Hinweis
Wenn Sie eine Gruppenmigration mit sIDHistory-Migration über die Befehlszeile
starten, muss der Befehl auf einem Domänencontroller in der Zieldomäne
ausgeführt werden.
2. Geben Sie den Befehl ADMT Group mit den entsprechenden Parametern in der
Befehlszeile ein, und drücken Sie dann die EINGABETASTE:
ADMT GROUP /N "<Gruppenname1>" "<Gruppenname2>" /IF:YES /SD:" <Quelldomäne>" /TD:"
<Zieldomäne>" /TO:" <Zielorganisationseinheit>"

Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT GROUP /N "<Gruppenname1>" "<Gruppenname2>" /O: "<Optionsdatei>.txt"

Die folgende Tabelle nennt die Parameter, die für die Migration universeller Gruppen
erforderlich sind, die Befehlszeilenparameter sowie die Optionsdateientsprechungen.
Eine vollständige Liste aller verfügbaren Parameter finden Sie in der Hilfe zu ADMT v3.1.

251
Parameter Befehlszeilensyntax Optionsdateisyntax

Innerhalb einer /IF:YES IntraForest=YES


Gesamtstruktur

<Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne"

<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
it"

Konfliktverwaltung /CO:IGNORE (Standard) ConflictOptions=IGNORE

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie dann die
Organisationseinheit der Zieldomäne. Überprüfen Sie, ob die universellen Gruppen in der
Organisationseinheit der Zieldomäne vorhanden sind.

So migrieren Sie universelle Gruppen mithilfe eines Skripts

• Verwenden Sie das folgende Beispiel, um ein Skript vorzubereiten, das ADMT-
Befehle und Optionen zum Migrieren von Gruppen innerhalb einer Gesamtstruktur
beinhaltet. Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der
Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“.

Hinweis
Wenn Sie eine Gruppenmigration mit sIDHistory-Migration über ein Skript
starten, müssen Sie das Skript auf einem Domänencontroller in der Zieldomäne
ausführen.
<Job id="MigratingGroupsWithinForest" >

<Script language="VBScript" src="AdmtConstants.vbs" />

<Script language="VBScript" >

Option Explicit

Dim objMigration

Dim objGroupMigration

'

'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte.

'

Set objMigration = CreateObject("ADMT.Migration" )

252
Set objGroupMigration = objMigration.CreateGroupMigration

'

'Geben Sie die allgemeinen Migrationsoptionen an.

'

objMigration.IntraForest = True

objMigration.SourceDomain = "Quelldomäne"

objMigration.SourceOu = "Quellcontainer"

objMigration.TargetDomain = "Zieldomäne"

objMigration.TargetOu = "Zielcontainer"

'

'Migrieren Sie die angegebenen Gruppenobjekte.

'

objGroupMigration.Migrate admtData,
Array("Gruppenname1" ,"Gruppenname2" )

Set objGroupMigration = Nothing

Set objMigration = Nothing

</Script>

</Job>

Migrieren globaler Gruppen


Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Migrieren Sie globale Gruppen (ohne Mitglieder) aus der Quelldomäne in die Zieldomäne, um
sich vor dem Problem offener Mengen zu vermeiden. (Weitere Informationen zu offenen Mengen
finden Sie unter Hintergrundinformationen zum Neustrukturieren von Active Directory-Domänen
innerhalb einer Gesamtstruktur weiter oben in diesem Handbuch.) Nachdem die globalen
Gruppen in die Zieldomäne migriert wurden, sind sie in der Quelldomäne nicht mehr vorhanden,
wenn die Quelldomäne die Funktionsebene Windows 2000 im einheitlichen Modus oder höher
aufweist.

253
Da globale Gruppen nur Mitglieder aus ihrer eigenen Domäne enthalten, können Sie nicht aus
einer Domäne in eine andere migriert werden. Das Active Directory-Migrationsprogramm (ADMT)
ändert globale Gruppen während ihrer Migration in universelle Gruppen. Die universelle Gruppe
in der Zieldomäne speichert den SID-Verlauf (Security Identifier, Sicherheitskennung) der
globalen Gruppe in der Quelldomäne. Auf diese Weise können Benutzer weiterhin auf
Ressourcen in der Quelldomäne zugreifen, nachdem die globalen Gruppen migriert wurden.
ADMT setzt die universellen Gruppen auf globale Gruppen zurück, nachdem alle Mitglieder der
globalen Gruppe aus der Quelldomäne in die Zieldomäne migriert wurden.
Sie müssen integrierte und bekannte globale Gruppen nicht in die Migration einschließen, weil
diese Gruppen in der Zieldomäne bereits vorhanden sind. Wenn Sie eine integrierte und
bekannte globale Gruppe für die Migration auswählen, migriert ADMT diese nicht. ADMT fügt
stattdessen einen Vermerk in das Protokoll ein und setzt die Migration anderer globaler Gruppen
fort.
Das Verfahren zum Verwenden des Assistenten zum Migrieren von Gruppenkonten zum
Migrieren globaler Gruppen ist mit dem Verfahren zum Migrieren universeller Gruppen identisch.
Weitere Informationen zum Verfahren zum Migrieren globaler und universeller Gruppen finden
Sie unter Migrieren universeller Gruppen weiter oben in diesem Handbuch.
Nachdem Sie den Migrationsvorgang für globale Gruppen abgeschlossen haben, verwenden Sie
Active Directory-Benutzer und -Computer, um zu überprüfen, ob die globalen Gruppen
erfolgreich migriert wurden. Bestätigen Sie, dass die globalen Gruppen in der Quelldomäne nicht
mehr vorhanden sind und die Gruppen in der Zieldomäne in der Organisationseinheit angezeigt
werden, die Sie während des Migrationsvorgangs angegeben haben. Die globalen Gruppen
werden als universelle Gruppen in der Zieldomäne aufgelistet, wenn sie noch Mitglieder in der
Quelldomäne besitzen. Wenn Sie eine Liste der Mitglieder der universellen Gruppe anzeigen
möchten, klicken Sie mit der rechten Maustaste auf die Gruppe, klicken Sie auf Eigenschaften,
und klicken Sie dann auf die Registerkarte Mitglieder. Die ursprünglichen Mitglieder der globalen
Gruppe werden aufgelistet. Beachten Sie jedoch, dass die Benutzerkonten noch nicht migriert
wurden.
Wenn Sie während der Migration innerhalb einer Gesamtstruktur Benutzerkonten migrieren, nicht
jedoch die globalen Gruppen in der Quelldomäne, bei der die Benutzerkonten Mitglieder sind,
aktualisiert ADMT die globalen Gruppen in der Quelldomäne trotzdem. ADMT entfernt die
Mitgliedschaft der migrierten Benutzerkonten in der globalen Gruppe in der Quelldomäne, weil die
globale Gruppe nur Mitglieder aus der Quelldomäne enthalten kann. Als Ergebnis besteht die
Möglichkeit, dass Benutzer nach der Migration nicht mehr auf Ressourcen in der Quelldomäne
zugreifen, weil sie nicht mehr Mitglieder der betreffenden Gruppen sind.
Sie können globale Gruppen mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption oder
eines Skripts migrieren.

So migrieren Sie globale Gruppen mithilfe des ADMT-Snap-Ins

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Verwenden Sie den Assistenten zum Migrieren von Gruppenkonten, und führen Sie

254
die in der folgenden Tabelle beschriebenen Schritte aus.

255
Seite des Assistenten Aktion

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Quelldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Wenn Sie eine Migration innerhalb der
Gesamtstruktur ausführen, wird der
Domänencontroller, der die Funktion des
RID-Betriebsmasters (Relative ID, auch als
Flexible Single Master Operations oder
FSMO bezeichnet) ausübt, unabhängig
von Ihrer Auswahl immer als
Quelldomänencontroller verwendet.
Geben Sie unter Ziel in der Dropdownliste
Domäne den NetBIOS- oder DNS-Namen
der Zieldomäne an. Geben Sie in der
Dropdownliste Domänencontroller den
Namen des Domänencontrollers an, oder
wählen Sie einenbeliebigen
Domänencontroller aus, und klicken Sie
auf Weiter.

Gruppenauswahl Klicken Sie auf Gruppen aus Domäne


auswählen, und klicken Sie dann auf
Weiter. Klicken Sie auf der Seite
Gruppenauswahl auf Hinzufügen, um die
zu migrierenden Gruppen in der
Quelldomäne auszuwählen, klicken Sie auf
OK, und klicken Sie dann auf Weiter.
Oder
Klicken Sie auf Objekte aus Includedatei
lesen und anschließend auf Weiter.
Geben Sie den Speicherort der
Includedatei ein, und klicken Sie auf
Weiter.

256
Seite des Assistenten Aktion

Auswahl der Organisationseinheit Geben Sie den Namen der


Organisationseinheit ein, oder klicken Sie
auf Durchsuchen.
Suchen Sie im Dialogfeld Container
suchen den Container in der Zieldomäne,
in den die globalen Gruppen verschoben
werden sollen, und klicken Sie dann auf
OK.

Gruppenoptionen Die Kontrollkästchen Gruppen-SIDs zur


Zieldomäne migrieren und
Gruppenmitgliedschaft korrigieren sind
aktiviert und werden abgeblendet
angezeigt.
Stellen Sie sicher, dass keine anderen
Optionen ausgewählt sind.

Konfliktverwaltung Wählen Sie Quellobjekt nicht migrieren,


wenn in der Zieldomäne ein Konflikt
ermittelt wird aus.

3. Nachdem der Assistent ausgeführt wurde, klicken Sie auf Protokoll anzeigen, und
überprüfen Sie das Migrationsprotokoll dann auf Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie dann die
Organisationseinheit der Zieldomäne. Bestätigen Sie, dass die globalen Gruppen in der
Organisationseinheit der Zieldomäne vorhanden sind.

So migrieren Sie globale Gruppen mithilfe der ADMT-Befehlszeilenoption

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.

Hinweis
Wenn Sie eine Gruppenmigration mit sIDHistory-Migration über die Befehlszeile
starten, müssen Sie den Befehl auf einem Domänencontroller in der Zieldomäne
ausführen.
2. Geben Sie den Befehl ADMT Group mit den entsprechenden Parametern in der
Befehlszeile ein, und drücken Sie dann die EINGABETASTE:
ADMT GROUP /N "<Gruppenname1>" "<Gruppenname2>" /IF:YES /SD:" <Quelldomäne>" /TD:"
<Zieldomäne>" /TO:" <Zielorganisationseinheit>"

Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:

257
ADMT GROUP /N "<Gruppenname1>" "<Gruppenname2>" /O: "<Optionsdatei>.txt"

Die folgende Tabelle nennt die Parameter, die für die Migration globaler Gruppen
erforderlich sind, die Befehlszeilenparameter sowie die Optionsdateientsprechungen.

Parameter Befehlszeilensyntax Optionsdateisyntax

Innerhalb einer /IF:YES IntraForest=YES


Gesamtstruktur

<Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne"

<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
it"

Konfliktverwaltung /CO:IGNORE (Standard) ConflictOptions=IGNORE

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.
4. Öffnen Sie „Active Directory-Benutzer und -Computer“, und suchen Sie dann die
Organisationseinheit der Zieldomäne. Bestätigen Sie, dass die globalen Gruppen in der
Organisationseinheit der Zieldomäne vorhanden sind.

So migrieren Sie globale Gruppen mithilfe eines Skripts

1. Verwenden Sie ein Skript, das ADMT-Befehle und Optionen für die Migration
universeller Gruppen verbindet. Weitere Informationen zum Migrieren universeller
Gruppen finden Sie unter Migrieren universeller Gruppen weiter oben in diesem
Handbuch.

Hinweis
Wenn Sie eine Gruppenmigration mit sIDHistory-Migration über ein Skript
starten, muss das Skript auf einem Domänencontroller in der Zieldomäne
ausgeführt werden.
2. Nach Abschluss der Migration der globalen Gruppe mithilfe eines Skripts überprüfen
Sie das Migrationsprotokoll. Die Datei migration.log wird in dem Ordner gespeichert, in
dem Sie ADMT installiert haben. Dies ist normalerweise Windows\ADMT\Logs.

Hinweis
Da universelle Gruppen in den globalen Katalog repliziert werden, kann sich die
Konvertierung globaler Gruppen in universelle Gruppen negativ auf den
Replikationsdatenverkehr auswirken. Wenn die Gesamtstruktur auf der
Funktionsebene Windows Server 2003 oder Windows Server 2008 betrieben
wird, werden diese Auswirkungen verringert, weil nur Änderungen an der
Mitgliedschaft der universellen Gruppe repliziert werden. Wenn die
Gesamtstruktur jedoch nicht auf der Funktionsebene Windows Server 2003 oder
Windows Server 2008 betrieben wird, wird die gesamte Gruppenmitgliedschaft

258
bei jeder Änderung der Mitgliedschaft der universellen Gruppe repliziert.

Migrieren von Dienstkonten


Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Migrieren Sie die Dienstkonten, die Sie zuvor im Umstrukturierungsprozess innerhalb einer
Gesamtstruktur identifiziert haben, mithilfe des Assistenten zum Migrieren von Dienstkonten. Die
Konten wurden von diesem Assistenten in der Datenbank des Active Directory-
Migrationsprogramms (Active Directory Migration Tool, ADMT) als Dienstkonten markiert. Weitere
Informationen zur Verwendung von ADMT zum Identifizieren von Dienstkonten, die im Kontext
eines Benutzerkontos ausgeführt werden, finden Sie unter Planen der Aktualisierung von
Dienstkonten weiter vorn in diesem Handbuch.
Sie können Dienstkonten mithilfe des ADMT-Snap-Ins, der ADMT-Befehlszeilenoption oder eines
Skripts migrieren.

So migrieren Sie Dienstkonten mithilfe des ADMT-Snap-Ins

• Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
• Verwenden Sie den Assistenten zum Migrieren von Benutzerkonten, und führen Sie
die in der folgenden Tabelle beschriebenen Schritte aus.

259
Seite des Assistenten Vorgang

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Quelldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Wenn Sie eine Migration innerhalb der
Gesamtstruktur ausführen, wird der
Domänencontroller, der die Funktion des
RID-Betriebsmasters (Relative ID, auch als
Flexible Single Master Operations oder
FSMO bezeichnet) ausübt, unabhängig
von Ihrer Auswahl immer als
Quelldomänencontroller verwendet.
Geben Sie unter Ziel in der Dropdownliste
Domäne den NetBIOS- oder DNS-Namen
der Zieldomäne an. Geben Sie in der
Dropdownliste Domänencontroller den
Namen des Domänencontrollers an, oder
wählen Sie einenbeliebigen
Domänencontroller aus, und klicken Sie
auf Weiter.

Benutzerauswahl Klicken Sie auf Benutzer aus Domäne


auswählen, und klicken Sie dann auf
Weiter. Klicken Sie auf der Seite
Benutzerauswahl auf Hinzufügen, um
die Konten in der Quelldomäne
auszuwählen, die Sie migrieren möchten,
klicken Sie auf OK und dann auf Weiter.
Oder
Klicken Sie auf Objekte aus Includedatei
lesen und anschließend auf Weiter.
Geben Sie den Speicherort der
Includedatei ein, und klicken Sie auf
Weiter.

260
Seite des Assistenten Vorgang

Auswahl der Organisationseinheit Geben Sie den Namen der


Organisationseinheit (Organizational Unit,
OU) ein, oder klicken Sie auf
Durchsuchen.
Suchen Sie im Dialogfeld Container
suchen den Container in der Zieldomäne,
in den die Konten verschoben werden
sollen, und klicken Sie dann auf OK.

Benutzeroptionen Aktivieren Sie das Kontrollkästchen


Benutzerrechte aktualisieren.
Vergewissern Sie sich, dass keine
weiteren Einstellungen ausgewählt sind,
einschließlich der Option Zugeordnete
Benutzergruppen migrieren. Ein
Warnfeld wird angezeigt, um Sie zu
informieren, dass die Benutzer den Zugriff
auf Ressourcen verlieren, wenn die
globalen Gruppen, denen die
Benutzerkonten angehören, nicht ebenfalls
migriert werden. Wählen Sie OK, um die
Migration fortzusetzen.

Konfliktverwaltung Wählen Sie Quellobjekt nicht migrieren,


wenn in der Zieldomäne ein Konflikt
ermittelt wird aus.

Dienstkontoinformationen Klicken Sie auf Alle Dienstkonten


migrieren und SCM für einbezogene
Elemente aktualisieren. Der Assistent
zeigt eine Liste der Dienstkonten für die
Migration an (falls Sie Konten migrieren,
die keine Dienstkonten darstellen, werden
diese Konten migriert, aber nicht in der
Liste aufgeführt). Standardmäßig sind
diese Konten als Einbeziehen
gekennzeichnet. Wenn Sie den Status des
Kontos ändern möchten, wählen Sie das
Konto aus, und klicken Sie dann auf
Überspringen/Einbeziehen.
Klicken Sie auf Weiter, um die Konten zu
migrieren.

261
Ein Dialogfeld Migrationsstatus setzt Sie über den aktuellen Status der Migration in
Kenntnis. Zu diesem Zeitpunkt verschiebt ADMT die Konten in die Zieldomäne, erstellt
ein neues Kennwort für die Konten, weist den Konten das Recht zur Anmeldung als
Dienst zu und stellt diese neuen Informationen den Diensten zur Verfügung, die die
Konten verwenden. Wenn der Status im Dialogfeld Migrationsstatus als
Abgeschlossen aufgeführt wird, können Sie mit der verbleibenden
gesamtstrukturinternen Migration fortfahren.
Vor dem Abschluss der Migration der Dienstkonten stellen Benutzer möglicherweise
Unterbrechungen bei der Verwendung der Dienste fest. Dies hat den Grund, dass die
Dienste bis zu ihrem Neustart immer noch das migrierte Konto verwenden. Führen Sie
für alle Dienste, die kontinuierlich Anmeldeinformationen verwenden, einen manuellen
Neustart aus, um optimale Ergebnisse sicherzustellen.

So migrieren Sie Dienstkonten mithilfe der ADMT-Befehlszeilenoption

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie
dann die EINGABETASTE:
ADMT USER /N "<Servername1>" "<Servername2>" /IF:YES /SD:" <Quelldomäne>" /TD:"
<Zieldomäne>" /TO:" <Zielorganisationseinheit>" /MSA:YES

Dabei sind <Servername1> und <Servername2> die Namen von Servern in der
Quelldomäne, auf denen die Dienstkonten ausgeführt werden. Als Alternative können Sie
auch Parameter in eine Optionsdatei einfügen, die wie folgt über die Befehlszeile
angegeben wird:
ADMT USER /N "<Servername1>" "<Servername2>" /O: "<Optionsdatei>.txt"

Die folgende Tabelle nennt die Parameter, die für die Migration von Dienstkonten
erforderlich sind, die Befehlszeilensyntax sowie die Optionsdateientsprechungen.

262
Parameter Befehlszeilensyntax Optionsdateisyntax

Innerhalb einer /IF:YES IntraForest=YES


Gesamtstruktur

<Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne"

<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
it"

Dienstkonten migrieren /MSA:YES MigrateServiceAccounts=YES

Benutzerrechte /UUR:YES UpdateUserRights=YES


aktualisieren

In Konflikt stehende /CO:IGNORE (Standard) ConflictOptions=IGNORE


Konten ignorieren (Standard)

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie die
Organisationseinheit der Zieldomäne. Überprüfen Sie, ob die Dienstkonten in der
Organisationseinheit der Zieldomäne vorhanden sind.

So migrieren Sie Dienstkonten mithilfe eines Skripts

• Verwenden Sie die folgende Auflistung, um ein Skript vorzubereiten, das ADMT-
Befehle und -Optionen für das Migrieren von Dienstkonten enthält. Kopieren Sie das
Skript in Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF im
gleichen Ordner wie die Datei „AdmtConstants.vbs“.
<Job id=" MigratingServiceAccountsWithinForest" >

<Script language="VBScript" src="AdmtConstants.vbs" />

<Script language="VBScript" >

Option Explicit

Dim objMigration

Dim objUserMigration

'

'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte.

'

Set objMigration = CreateObject("ADMT.Migration" )

263
Set objUserMigration = objMigration.CreateUserMigration

'

'Geben Sie die allgemeinen Migrationsoptionen an.

'

objMigration.IntraForest = True

objMigration.SourceDomain = "Quelldomäne"

objMigration.SourceOu = "Quellcontainer"

objMigration.TargetDomain = "Zieldomäne"

objMigration.TargetOu = "Zielcontainer"

'

'Geben Sie die spezifischen Optionen der Benutzermigration an.

'

objUserMigration.UpdateUserRights = True

objUserMigration.MigrateServiceAccounts = True

'

'Migrieren Sie die angegebenen Dienstkonten.

'

objUserMigration.Migrate admtData, _

Array("Name des Dienstkontos1", "Name des Dienstkontos2" )

Set objUserMigration = Nothing

Set objMigration = Nothing

</Script>

</Job>

264
Migrieren von verwalteten Dienstkonten
Ein verwaltetes Dienstkonto ist ein Domänenkontoobjekt, das im Active Directory-Schema von
Windows Server 2008 R2 verfügbar ist. Ein verwaltetes Dienstkonto kann auf Computern
installiert werden, auf denen Windows 7 oder Windows Server 2008 R2 ausgeführt wird. Nur
ADMT v3.2 kann verwaltete Dienstkonten migrieren.
Das Ermitteln und Migrieren verwalteter Dienstkonten mithilfe von ADMT v3.2 erfolgt in zwei
Schritten:
1. Verwenden Sie den Assistenten zum Migrieren von verwalteten Dienstkonten oder das
Befehlszeilenprogramm admt managedserviceaccount, um verwaltete Dienstkonten wie in
diesem Thema beschrieben in die Zieldomäne zu migrieren.
2. Verwenden Sie den Computermigrations-Assistenten oder das Befehlszeilenprogramm
admt computer, um die Computer zu migrieren, auf denen die verwalteten Dienstkonten
gehostet sind. Weitere Informationen über das Migrieren von Computern bei einer Migration
zwischen Gesamtstrukturen finden Sie unter Erneute losweise Migration von Benutzerkonten
und Migration von Arbeitsstationen. Weitere Informationen über das Migrieren von
Computern bei einer Migration innerhalb einer Gesamtstruktur finden Sie unter Migrieren von
Arbeitsstationen und Mitgliedsservern.
Die verwalteten Dienstkonten, die im vorherigen Schritt migriert und ursprünglich auf den
migrierten Computern installiert wurden, werden bei der Computermigration identifiziert. Nach
Abschluss der Computermigration werden die verwalteten Dienstkonten erneut auf dem
Computer in der Zieldomäne installiert (sofern nicht eine Anforderung vorliegt, diese zu
überspringen). Wenn Sie eine Sicherheitskonvertierung auf den Mitgliedsservern ausgeführt
haben, die über Ressourcen verfügen, den verwalteten Dienstkonten Berechtigungen zu
erteilen, verfügen die Konten in der Zieldomäne über dieselben Berechtigungen für den
Ressourcenzugriff wie in der Quelldomäne.

Wichtig

Bei der Migration verwalteter Dienstkonten zwischen Domänen in derselben


Gesamtstruktur müssen Sie auf den Mitgliedsservern in der Quelldomäne, die über
Ressourcen verfügen, den verwalteten Dienstkonten Berechtigungen zu erteilen, die
Sicherheitskonvertierung ausführen. Bei einer Migration innerhalb einer
Gesamtstruktur ist eine Sicherheitskonvertierung normalerweise nicht erforderlich, da
die SID mit dem Konto verschoben wird. Verwaltete Dienstkonten, die zwischen
Domänen innerhalb einer Gesamtstruktur migriert werden, werden kopiert. In der
Zieldomäne wird ein neues Konto erstellt, und die Kontoeigenschaften (mit
Ausnahme der SID) werden aus der Quelldomäne kopiert. Aus diesem Grund muss
die Sicherheitskonvertierung ausgeführt werden.
Wenn die Ressourcen in der Quelldomäne, die dem verwalteten Dienstkonto
Berechtigungen erteilen, auf demselben Computer gehostet werden wie das
verwaltete Dienstkonto, empfiehlt es sich, die Sicherheitskonvertierung für die
entsprechenden Ressourcen (Dateien und Ordner, lokale Gruppen usw.) auf der

265
Seite Objekte konvertieren im Computermigrations-Assistenten auszuwählen.
Wenn sich die Ressourcen auf anderen Computern befinden, die nicht migriert
werden, müssen Sie auf diesen Computern den Sicherheitskonvertierungs-
Assistenten ausführen und auf der Seite Optionen für die
Sicherheitskonvertierung die Option Zuvor migrierte Objekte auswählen oder die
MSA-Konten explizit in einer SID-Zuordnungsdatei bereitstellen. Weitere
Informationen zur Sicherheitskonvertierung finden Sie unter Konvertieren der
Sicherheit auf Mitgliedsservern.

So werden verwaltete Dienstkonten mit ADMT-Snap-In migriert

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Klicken Sie im ADMT-Snap-In auf Vorgang, und klicken Sie dann auf Assistent zum
Migrieren von verwalteten Dienstkonten.
3. Führen Sie den Assistenten zum Migrieren von verwalteten Dienstkonten mit den
Informationen aus der folgenden Tabelle aus.

266
Seite des Assistenten Vorgang

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Quelldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Geben Sie unter Ziel in der Dropdownliste
Domäne den NetBIOS- oder DNS-Namen
der Zieldomäne an. Geben Sie in der
Dropdownliste Domänencontroller den
Namen des Domänencontrollers an, oder
wählen Sie einenbeliebigen
Domänencontroller aus, und klicken Sie
auf Weiter.

267
Seite des Assistenten Vorgang

Option für die Auswahl verwalteter Klicken Sie auf Verwaltete Dienstkonten
Dienstkonten aus Domäne auswählen, um verwaltete
Dienstkonten entweder mithilfe des
Dialogfelds für die Objektauswahl oder
mittels einer Includedatei aus der Domäne
zu migrieren. Diese Option eignet sich
optimal, wenn alle verwalteten
Dienstkonten aus der Quelldomäne
migriert werden sollen.
Oder
Klicken Sie auf Computer für die Abfrage
nach installierten verwalteten
Dienstkonten angeben, und klicken Sie
dann auf Weiter. Klicken Sie auf der Seite
Auswahl verwalteter Dienstkonten auf
Hinzufügen, um die Computerkonten in
der Quelldomäne auszuwählen, die Sie
nach verwalteten Dienstkonten abfragen
möchten, klicken Sie auf OK und dann auf
Weiter. Diese Option bietet sich bevorzugt
an, wenn nur verwaltete Dienstkonten
migriert werden sollen, die auf bestimmten
Computern installiert sind. Auf jedem von
Ihnen angegebene Computer können
mehrere verwaltete Dienstkonten installiert
sein.
Sie können diese beiden Optionen auch
miteinander kombinieren, indem Sie sich
im Assistenten zurück und wieder vorwärts
bewegen. So können Sie z. B. Computer
angeben, die abgefragt werden sollen, und
die auf diesen Computern installierten
verwalteten Dienstkonten dann der Liste
der Konten hinzufügen, die migriert werden
sollen. Anschließend können Sie im
Assistenten auf Zurück klicken, um wieder
auf diese Seite zurückzukehren und
weitere verwaltete Dienstkonten aus der
Domäne oder aus einer Includedatei
auswählen.

268
Seite des Assistenten Vorgang

Option für die Auswahl verwalteter Klicken Sie auf Verwaltete Dienstkonten
Dienstkonten aus Domäne auswählen, und klicken Sie
Diese Seite wird nur dann angezeigt, dann auf Weiter. Klicken Sie auf der Seite
wenn Sie verwaltete Dienstkonten aus Auswahl verwalteter Dienstkonten auf
der Domäne auswählen. Hinzufügen, um die Konten in der
Quelldomäne auszuwählen, die Sie
migrieren möchten, klicken Sie auf OK,
und klicken Sie dann auf Weiter.
Oder
Klicken Sie auf Objekte aus Includedatei
lesen und anschließend auf Weiter. Geben
Sie den Speicherort der Includedatei ein,
und klicken Sie auf Weiter.

Auswahl der Organisationseinheit Klicken Sie auf Durchsuchen, um einen


Speicherort für die migrierten Konten
anzugeben, und klicken Sie anschließend
auf Weiter.

Optionen für verwaltete Dienstkonten Aktivieren Sie das Kontrollkästchen


Kontenrechte aktualisieren.
Aktivieren Sie das Kontrollkästchen
Gruppenmitgliedschaften der Konten
korrigieren.
Wenn das Konto in eine andere
Gesamtstruktur migriert wird, aktivieren Sie
das Kontrollkästchen Konto-SIDs in
Zieldomäne migrieren. Diese Option ist
bei einer Migration innerhalb einer
Gesamtstruktur nicht verfügbar.
Klicken Sie auf Weiter. Geben Sie den
Benutzernamen, das Kennwort und die
Domäne eines Kontos ein, das
administrative Anmeldeinformationen in der
Quelldomäne besitzt, und klicken Sie dann
auf Weiter.

Fertigstellen des Assistenten Überprüfen Sie Ihre Auswahl, und klicken


Sie dann auf Fertig stellen.

4. Wenn die Ausführung des Assistenten abgeschlossen ist, klicken Sie auf Protokoll
anzeigen, und überprüfen Sie dann das Migrationsprotokoll auf eventuelle Fehler.

269
5. Starten Sie Active Directory-Benutzer und -Computer, und überprüfen Sie dann, ob
die verwalteten Dienstkonten in der entsprechenden Organisationseinheit in der
Zieldomäne vorhanden sind.

So migrieren Sie verwaltete Dienstkonten mithilfe der ADMT-Befehlszeilenoption

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie
dann die EINGABETASTE:
ADMT MANAGEDSERVICEACCOUNT /N "<Verwaltetes_Dienstkonto1_Name>"
"<Verwaltetes_Dienstkonto2_Name>" /IF:NO /SD:"<Quelldomäne>" /TD:"<Zieldomäne>"
/UUR:YES /FGM:YES /MSS:YES

Dabei stehen <Verwaltetes_Dienstkonto1_Name> und <Verwaltetes_Dienstkonto2_Name> für


die Namen der verwalteten Dienstkonten in der Quelldomäne.
Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT MANAGEDSERVICEACCOUNT /N "<Verwaltetes_Dienstkonto1_Name>"
"<Verwaltetes_Dienstkonto2_Name>" /O:"<Optionsdatei>.txt"

Die folgende Tabelle enthält die allgemeinen Parameter für das Migrieren von
verwalteten Dienstkonten zusammen mit dem jeweiligen Befehlszeilenparameter und
dem entsprechenden Äquivalent in der Optionsdatei.

270
Werte Befehlszeilensyntax Optionsdateisyntax

Migration zwischen /IF:No Intraforest=No


Gesamtstrukturen

<Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne"

<Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne"

Kontenrechte aktualisieren /UUR:Yes UpdateUserRights=Yes

Gruppenmitgliedschaften der /FGM:Yes FixGroupMembership=Yes


Konten aktualisieren

Migrieren von Konten-SIDs /MSS:Yes MigrateSIDs=Yes

Hinweis
SIDs für verwaltete
Dienstkonten
können Sie nur
zwischen
Gesamtstrukturen
migrieren. Wenn
Sie diesen
Parameter bei
einer Migration
innerhalb einer
Gesamtstruktur
verwenden, wird
ein Fehler
angezeigt.

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.

Bei verwalteten Dienstkonten, die auf Mitgliedscomputern in der Quelldomäne gehostet sind,
können Sie den Mitgliedscomputer beim Ausführen einer Computermigration mit einbeziehen. Die
verwalteten Dienstkonten werden dann auf dem Mitgliedscomputer in der Zieldomäne installiert,
nachdem der Computer migriert wurde.

Migrieren von Benutzerkonten


Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Domänen können eine große Anzahl Benutzerkonten enthalten. Verwenden Sie eine Technik, die
als gestufte Konvertierung bezeichnet wird und in deren Verlauf Sie Benutzerkonten auf Lose
aufteilen, die dann einzeln migriert werden, um die Migration von Benutzerkonten verwaltbar zu
gestalten. Sie können die Benutzer auf jede gewünschte Weise in Gruppen zusammenfassen.

271
Beim Migrieren von Benutzerkonten kann nicht jede Benutzereigenschaft migriert werden. So
werden z. B. Daten, die durch die DPAPI (Data Protection API) geschützt sind, nicht migriert.
DPAPI unterstützt den Schutz der folgenden Elemente:
• Anmeldeinformationen für Webseiten (z. B. Kennwörter)
• Anmeldeinformationen für Dateifreigaben
• Private Schlüssel, die EFS, S/MIME (Secure/Multipurpose Internet Mail Extensions) und
anderen Zertifikaten zugeordnet sind
• Programmdaten, die mithilfe der Funktion CryptProtectData() geschützt sind
Aus diesem Grund ist das Testen von Benutzermigrationen wichtig. Verwenden Sie Ihr
Migrationstestkonto, um alle Eigenschaften zu identifizieren, die nicht migriert wurden, und die
Benutzerkonfigurationen in der Zieldomäne entsprechend zu aktualisieren.
Wenn Sie Gruppenrichtlinienobjekte zum Verwalten der Softwareinstallation verwenden,
bedenken Sie, dass die Dateien des Windows Installers für bestimmte Vorgänge, wie etwa
Reparieren und Deinstallieren, Zugriff auf die Originalquelle benötigen. Der Administrator muss in
diesem Fall erneut Berechtigungen für den Softwareverteilungspunkt zuweisen, um Zugriff auf
Konten bereitzustellen.
Führen Sie die folgenden Aufgaben aus, um den Zugriff auf die Softwareverteilung beizubehalten:
1. Migrieren von Benutzern mithilfe des Active Directory-Migrationsprogramms
(Active Directory Migration Tool, ADMT)
2. Ausführen des Sicherheitskonvertierungs-Assistenten auf dem Softwareverteilungspunkt.

Migrieren von Organisationseinheiten und


Unterstrukturen von
Organisationseinheiten
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Wenn Sie Organisationseinheiten (Organizational Units, OUs) und Unterstrukturen Ihrer
Organisationseinheiten in die Zieldomäne kopieren möchten, können Sie entweder die
Befehlszeilen- oder die Skriptoption verwenden und die entsprechenden Parameter ersetzen. Sie
müssen eine Quellorganisationseinheit und eine Zielorganisationseinheit angeben, und die
Zielorganisationseinheit muss vorhanden sein. Alle Objekte in der Quellorganisationseinheit und
alle untergeordneten Organisationseinheiten werden in die Zielorganisationseinheit migriert, die
angegebene Quellorganisationseinheit wird selbst jedoch nicht migriert.
Wenn Sie die Befehlszeilenoption zum Migrieren der Konten, Gruppen oder Benutzer verwenden
und darüber hinaus Organisationseinheiten migrieren möchten, ändern Sie die Befehlszeile, um
die Option /D zu verwenden. Statt die Option /N (/IncludeName) zu verwenden, müssen Sie die
Option /D (/IncludeDomain) mit RECURSE und MAINTAIN wie folgt verwenden:
ADMT /D:RECURSE+MAINTAIN /O "<Optionsdatei.txt>"

272
Wenn Sie Konten, Gruppen oder Computer mithilfe der Skriptoption migrieren und darüber
hinaus Organisationseinheiten migrieren möchten, ändern Sie das Skript, um die Option
admtDomain zu verwenden. Statt die Option admtData oder admtFile zu verwenden, müssen
Sie die Option admtDomainmit admtRecurse und admtMaintainHierarchy wie folgt
verwenden:
objUserMigration.Migrate admtDomain + admtRecurse + admtMaintainHierarchy

Migrieren von Konten


Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Sie können jedes Benutzerkontenlos mithilfe des ADMT-Snap-Ins (Active Directory Migration
Tool, Active Directory-Migrationsprogramm), der ADMT-Befehlszeilenoption oder eines Skripts
migrieren. Wenn Sie Benutzerkonten migrieren, bei denen AMA (Authentication Mechanism
Assurance, Sicheres Authentifizierungsverfahren) aktiviert ist, verwenden Sie eine Includedatei.
Geben Sie in der Includedatei den ursprünglichen UPN (User Principal Name) aus der
Quelldomäne als Ziel-UPNs an, damit AMA funktioniert. Weitere Informationen dazu finden Sie
unter Verwenden einer Includedatei.

So migrieren Sie Benutzerkonten mithilfe des ADMT-Snap-Ins

• Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
• Verwenden Sie den Assistenten zum Migrieren von Benutzerkonten, und führen Sie
die in der folgenden Tabelle beschriebenen Schritte aus.

273
Seite des Assistenten Vorgang

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Quelldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Wenn Sie eine Migration innerhalb der
Gesamtstruktur ausführen, wird der
Domänencontroller, der die Funktion des
RID-Betriebsmasters (Relative ID, auch als
Flexible Single Master Operations oder
FSMO bezeichnet) ausübt, unabhängig
von Ihrer Auswahl immer als
Quelldomänencontroller verwendet.
Geben Sie unter Ziel in der Dropdownliste
Domäne den NetBIOS- oder DNS-Namen
der Zieldomäne an. Geben Sie in der
Dropdownliste Domänencontroller den
Namen des Domänencontrollers an, oder
wählen Sie einenbeliebigen
Domänencontroller aus, und klicken Sie
auf Weiter.

Benutzerauswahl Klicken Sie auf Benutzer aus Domäne


auswählen, und klicken Sie dann auf
Weiter. Klicken Sie auf der Seite
Gruppenauswahl auf Hinzufügen, um die
Benutzer in der Quelldomäne
auszuwählen, die Sie im aktuellen Los
migrieren möchten, klicken Sie auf OK und
dann auf Weiter.
Oder
Klicken Sie auf Objekte aus Includedatei
lesen und anschließend auf Weiter.
Geben Sie den Speicherort der
Includedatei ein, und klicken Sie auf
Weiter.

274
Seite des Assistenten Vorgang

Auswahl der Organisationseinheit Stellen Sie sicher, dass in ADMT die


richtige Zielorganisationseinheit
(Organizational Unit, OU) aufgelistet wird.
Falls es sich nicht um die richtige
Organisationseinheit handelt, geben Sie
diese ein, oder klicken Sie auf
Durchsuchen.
Suchen Sie im Dialogfeld Container
suchen nach der Zieldomäne und
-organisationseinheit, und klicken Sie dann
auf OK.

Benutzeroptionen Aktivieren Sie das Kontrollkästchen


Servergespeicherte Profile
konvertieren.
Aktivieren Sie das Kontrollkästchen
Benutzerrechte aktualisieren.
Deaktivieren Sie das Kontrollkästchen
Zugeordnete Benutzergruppen
migrieren. Ein Warnfeld wird angezeigt,
das Sie informiert, dass die Benutzer den
Zugriff auf Ressourcen verlieren, wenn die
globalen Gruppen, denen die
Benutzerkonten angehören, nicht ebenfalls
migriert werden. Klicken Sie auf OK, um
die Migration fortzusetzen.

Konfliktverwaltung Klicken Sie auf Quellobjekt nicht


migrieren, wenn in der Zieldomäne ein
Konflikt ermittelt wird.

Nachdem Sie im Assistenten zum Migrieren von Benutzerkonten auf Fertig stellen geklickt
haben, wird das Dialogfeld Migrationsstatus angezeigt. Nachdem sich der Status in
Abgeschlossen geändert hat, zeigen Sie das Migrationsprotokoll an, um zu bestimmen, ob
während des Migrationsprozesses Fehler aufgetreten sind. Klicken Sie im Dialogfeld
Migrationsstatus auf Schließen.
Die migrierten Benutzerkonten können sich nur bei der Zieldomäne anmelden, und sie
werden bei der ersten Anmeldung an der Zieldomäne zum Ändern des Kennworts
aufgefordert.

So migrieren Sie Benutzerkonten mithilfe der ADMT-Befehlszeilenoption

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,

275
mit dem Migrationskonto des ADMT-Kontos an.

Hinweis
Wenn Sie eine Benutzermigration mit sIDHistory-Migration über die Befehlszeile
starten, müssen Sie den Befehl auf einem Domänencontroller in der Zieldomäne
ausführen.
2. Geben Sie in einer Befehlszeile den Befehl ADMT User mit den entsprechenden
Parametern ein, z. B.:
ADMT USER /N "<Benutzername1>" "<Benutzername2>" /IF:YES /SD:" <Quelldomäne>"
/TD:" <Zieldomäne>" /TO:" <Zielorganisationseinheit>" /TRP:YES /UUR:YES

Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT USER /N "<Benutzername1>" "<Benutzername2>" /O "<Optionsdatei>.txt"

Die folgende Tabelle nennt die Parameter, die für die Migration von Benutzerkonten
erforderlich sind, die Befehlszeilenparameter sowie die Optionsdateientsprechungen.

Parameter Befehlszeilensyntax Optionsdateisyntax

Innerhalb einer /IF:YES IntraForest=YES


Gesamtstruktur

<Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne"

<Quellorganisationsein / SourceOU="Quellorganisationsei
heit> Speicherort SO:"Quellorganisationsein nheit"
heit"

<Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne"

<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
it"

Konfliktverwaltung /CO:IGNORE (Standard) ConflictOptions=IGNORE

Servergespeichertes /TRP:YES (Standard) TranslateRoamingProfile=YES


Profil konvertieren

Benutzerrechte /UUR:YES UpdateUserRights=YES


aktualisieren

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie dann die
Organisationseinheit der Zieldomäne. Vergewissern Sie sich, dass die Benutzer in der
Organisationseinheit der Zieldomäne vorhanden sind.

276
So migrieren Sie Benutzerkonten mithilfe eines Skripts

Hinweis
Wenn Sie eine Benutzermigration mit sIDHistory-Migration über ein Skript
starten, muss das Skript auf einem Domänencontroller in der Zieldomäne
ausgeführt werden.
Verwenden Sie das folgende Beispiel, um ein Skript vorzubereiten, das ADMT-Befehle
und Optionen zum Migrieren von Benutzerkonten innerhalb einer Gesamtstruktur
beinhaltet. Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der
Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“.
<Job id=" MigratingUserAccountsWithinForest" >

<Script language="VBScript" src="AdmtConstants.vbs" />

<Script language="VBScript" >

Option Explicit

Dim objMigration

Dim objUserMigration

'

'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte.

'

Set objMigration = CreateObject("ADMT.Migration" )

Set objUserMigration = objMigration.CreateUserMigration

'

'Geben Sie die allgemeinen Migrationsoptionen an.

'

objMigration.IntraForest = True

objMigration.SourceDomain = "Quelldomäne"

objMigration.SourceOu = "Quellcontainer"

objMigration.TargetDomain = "Zieldomäne"

objMigration.TargetOu = "Zielcontainer"

277
'

'Geben Sie die spezifischen Optionen der Benutzermigration an.

'

objUserMigration.TranslateRoamingProfile = True

objUserMigration.UpdateUserRights = True

objUserMigration.FixGroupMembership = True

objUserMigration.MigrateServiceAccounts = False

'

'Migrate specified user objects.

'

objUserMigration.Migrate admtData, Array("Benutzername1" ,


"Benutzername2" )

Set objUserMigration = Nothing

Set objMigration = Nothing

</Script>

</Job>

Konvertieren lokaler Benutzerprofile


Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Konvertieren Sie lokale Benutzerprofile, nachdem Sie Benutzerkonten migriert haben. Um die
Dienstunterbrechung für Benutzer so gering wie möglich zu halten, konvertieren Sie lokale
Benutzerprofile sofort nach der Migration eines Los von Benutzern. Wenn Ihre Quelldomäne nur
eine kleine Anzahl von Vor-Active Directory-Clients enthält, migrieren Sie diese als Gruppe, und
konvertieren Sie dann ihre Benutzerprofile, bevor Sie das nächste Los migrieren.
Normalerweise sind keine Aktionen erforderlich, um eine lokales Profil auf Clients zwischen
Domänen in der gleichen Gesamtstruktur zu konvertieren, weil die GUID des Benutzers gleich
bleibt. Das lokale Profil kann die SID-zu-GUID-Zuordnung verwenden, die in der Registrierung
gespeichert wird, um das Profil des Benutzers erneut zuzuweisen und es dann der neuen
Sicherheitskennung (Security Identifier, SID) erneut zuzuordnen.

278
Wenn Sie das Benutzerkonto in eine Domäne innerhalb der Gesamtstruktur migrieren, der Pfad
für das lokale Profil jedoch ein anderer ist, wird das Benutzerprofil geändert, und es wird ein
neuer Profilordner auf dem Server mit den richtigen Zugriffssteuerungslisten (Access Control
Lists, ALCs) erstellt. Der Administrator muss sicherstellen, dass der Benutzer auf den Profilordner
zugreifen kann.
Sie können lokale Benutzerprofile mithilfe des Active Directory-Migrationspgrogramm-Snap-Ins
(ADMT), der ADMT-Befehlszeilenoption oder eines Skripts konvertieren.

Vorsicht

Vergewissern Sie sich, dass die Benutzerprofilkonvertierung für jeden Benutzer


erfolgreich ist, bevor sich der betreffende Benutzer anmelden darf. Wenn bei der
Benutzerprofilkonvertierung für einen Benutzer ein Fehler auftritt, darf sich dieser
Benutzer nicht an der Zieldomäne anmelden. In diesem Fall führen Sie manuell einen
Rollbackvorgang für das Benutzerkonto aus, indem Sie das Benutzerkonto in der
Zieldomäne deaktivieren und das Benutzerkonto in der Quelldomäne aktivieren.

So konvertieren Sie lokale Benutzerprofile mithilfe des ADMT-Snap-Ins

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Klicken Sie im Active Directory Migrationsprogramm-Snap-In (ADMT) auf Vorgang,
und klicken Sie dann auf Sicherheitskonvertierungs-Assistent.
3. Führen Sie den Sicherheitskonvertierungs-Assistenten mithilfe der Informationen in
der folgenden Tabelle aus.

279
Seite des Assistenten Vorgang

Optionen für die Klicken Sie auf Zuvor migrierte Objekte.


Sicherheitskonvertierung

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Quelldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Wenn Sie eine Migration innerhalb der
Gesamtstruktur ausführen, wird der
Domänencontroller, der die Funktion des
RID-Betriebsmasters (Relative ID, auch
als Flexible Single Master Operations oder
FSMO bezeichnet) ausübt, unabhängig
von Ihrer Auswahl immer als
Quelldomänencontroller verwendet.
Geben Sie unter Ziel in der Dropdownliste
Domäne den NetBIOS- oder DNS-Namen
der Zieldomäne an. Geben Sie in der
Dropdownliste Domänencontroller den
Namen des Domänencontrollers an, oder
wählen Sie einenbeliebigen
Domänencontroller aus, und klicken Sie
auf Weiter.

Computerauswahl Klicken Sie auf Computer aus Domäne


auswählen, und klicken Sie dann auf
Weiter. Klicken Sie auf der Seite
Computerauswahl auf Hinzufügen, um
die Computer mit zu migrierenden
Benutzerprofilen in der Quelldomäne
auszuwählen, klicken Sie auf OK, und
klicken Sie dann auf Weiter.
Oder
Klicken Sie auf Objekte aus Includedatei
lesen und anschließend auf Weiter.
Geben Sie den Speicherort der
Includedatei ein, und klicken Sie auf
Weiter.

Objekte konvertieren Klicken Sie auf Benutzerprofile.

280
Seite des Assistenten Vorgang

Optionen für die Klicken Sie auf Ersetzen.


Sicherheitskonvertierung

So konvertieren Sie lokale Benutzerprofile mithilfe der ADMT-Befehlszeilenoption

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Geben Sie in der Befehlszeile den Befehl ADMT Security mit den entsprechenden
Parametern ein, und drücken Sie dann die EINGABETASTE.
ADMT SECURITY /N "<Computername1>" "<Computername2>" /SD:" <Quelldomäne>" /TD:"
<Zieldomäne>" /TOT:REPLACE /TUP:YES

Alternativ können Sie Parameter in eine Optionsdatei aufnehmen, die Sie in der
folgenden Weise auf der Befehlszeile angeben:
ADMT SECURITY /N "<Computername1>" "<Computername2>" /O "Optionsdatei.txt "

Die folgende Tabelle nennt die Parameter, die für die Konvertierung lokaler
Benutzerprofile erforderlich sind, die Befehlszeilenparameter sowie die
Optionsdateientsprechungen.

Parameter Befehlszeilensyntax Optionsdateisyntax

Innerhalb einer /IF:YES IntraForest=YES


Gesamtstruktur

<Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne"

<Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne"

<Zieldomäne> /TOT:REPLACE TranslateOption=REPLACE

Ändern der Sicherheit /TUP:YES TranslateUserProfiles=YES


des lokalen
Benutzerprofils

3. Überprüfen Sie die im Migrationsprotokoll aufgeführten Ergebnisse auf Fehler.

So konvertieren Sie lokale Benutzerprofile mithilfe eines Skripts

• Verwenden Sie das folgende Beispiel, um ein Skript vorzubereiten, das ADMT-
Befehle und Optionen zum Konvertieren lokaler Benutzerprofile beinhaltet. Kopieren Sie
das Skript in Notepad, und speichern Sie die Datei mit der Dateinamenerweiterung WSF
im gleichen Ordner wie die Datei „AdmtConstants.vbs“.
<Job id=" TranslatingLocalProfilesWithinForest" >

<Script language="VBScript" src="AdmtConstants.vbs" />

281
<Script language="VBScript" >

Option Explicit

Dim objMigration

Dim objSecurityTranslation

'

'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte.

'

Set objMigration = CreateObject("ADMT.Migration")

Set objSecurityTranslation = objMigration.CreateSecurityTranslation

'

'Geben Sie die allgemeinen Migrationsoptionen an.

'

objMigration.IntraForest = True

objMigration.SourceDomain = "Quelldomäne"

objMigration.TargetDomain = "Zieldomäne"

'

'Geben Sie die spezifischen Optionen der Sicherheitskonvertierung an.

'

objSecurityTranslation.TranslationOption = admtTranslateReplace

objSecurityTranslation.TranslateUserProfiles = True

'

'Führen Sie die Sicherheitskonvertierung für die angegebenen


Computerobjekte durch.

'

282
objSecurityTranslation.Translate admtData, _

Array("Computername1" ,"Computername2" )

Set objSecurityTranslation = Nothing

Set objMigration = Nothing

</Script>

</Job>

Migrieren von Arbeitsstationen und


Mitgliedsservern
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Migrieren von Arbeitsstationen und Mitgliedsservern aus der Quelldomäne in die Zieldomäne.
Beim Migrieren von Computern werden die Änderungen erst nach dem Neustart des Computers
wirksam. Führen Sie den Neustart von Computern nach der Migration so bald wie möglich aus,
um den Migrationsprozess abzuschließen.

Hinweis

Starten Sie Mitgliedsarbeitsstationen und Server sofort neu, nachdem Sie die der
Zieldomäne hinzugefügt haben, indem Sie einen niedrigen Wert für den Parameter
RestartDelay auswählen. Ressourcen, die nach der Migration nicht neu gestartet werden,
befinden sich in einem unbestimmten Zustand.
Firewalls, wie etwa die Windows-Firewall in Windows XP Service Pack 2 (SP 2), können den
Abschluss der ADMT-Computerkontomigration (Active Directory Migration Tool, Active Directory-
Migrationsprogramm) verhindern. Testen Sie die Computermigration ausführlich in einer
Laborumgebung, um alle möglichen Probleme einzukreisen, bevor Sie die Migration in der
Produktionsumgebung ausführen. Weitere Informationen zum Konfigurieren der Windows-
Firewall finden Sie unter "Windows-Firewall sperrt nach der Installation von Windows XP Service
Pack 2 eventuell den Internetzugriff für einige Programme" (http://go.microsoft.com/fwlink/?
LinkId=76705) und "Dienste und Port-Anforderungen für das Microsoft Windows-Serversystem"
(http://go.microsoft.com/fwlink/?LinkId=58432).
Computerkonten werden bei der Migration zwischen Domänen innerhalb einer Active Directory-
Gesamtstruktur anders als Benutzer- und Gruppenkonten behandelt. Während Benutzer- und
Gruppenkonten in der Quelldomäne während einer Migration innerhalb einer Gesamtstruktur
gelöscht werden, bleiben Computerkonten in der Quelldomäne aktiviert, und es wird ein neues
Computerkonto in der Zieldomäne erstellt.
Dadurch wird ein späteres Rollback der Computermigration ermöglicht, sollte es erforderlich
werden. Nachdem die Migration abgeschlossen wurde, und Ihre Tests bestätigen, dass der
283
Computer wie erwartet funktioniert, können Sie das Computerkonto in der Quelldomäne ohne
Gefahr löschen.
Wenn auf einer Arbeitsstation verwaltete Dienstkonten installiert sind und diese Konten zuvor
migriert wurden, wird von ADMT eine Option zur erneuten Installation des migrierten verwalteten
Dienstkontos auf dem migrierten Computer und zur Aktualisierung des Dienststeuerungs-
Managers (Service Control Manager, SCM) bereitgestellt. Damit dieser Vorgang von ADMT
ausgeführt werden kann, muss das Konto, von dem die Computermigration ausgeführt wird, die
Berechtigung zum Ändern der Sicherheitsbeschreibungen für das migrierte verwaltete
Dienstkonto aufweisen.
Sie können Arbeitsstationen und Mitgliedsserver mithilfe des ADMT-Snap-Ins, der ADMT-
Befehlszeilenoption oder eines Skripts migrieren.

So migrieren Sie Arbeitsstationen und Mitgliedsserver mithilfe des ADMT-Snap-Ins

1. Melden Sie sich bei dem Computer in der Zieldomäne, in der ADMT installiert ist, mit
einem Benutzerkonto an, das Mitglied der ADMT-Ressourcenmigrationsgruppe ist.
2. Verwenden Sie den Assistenten zum Migrieren von Computerkonten, und führen Sie
die in der folgenden Tabelle beschriebenen Schritte aus.

284
Seite des Assistenten Vorgang

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Quelldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Wenn Sie eine Migration innerhalb der
Gesamtstruktur ausführen, wird der
Domänencontroller, der die Funktion des
RID-Betriebsmasters (Relative ID, auch
als Flexible Single Master Operations
oder FSMO bezeichnet) ausübt,
unabhängig von Ihrer Auswahl immer als
Quelldomänencontroller verwendet.
Geben Sie unter Ziel in der Dropdownliste
Domäne den NetBIOS- oder DNS-Namen
der Zieldomäne an. Geben Sie in der
Dropdownliste Domänencontroller den
Namen des Domänencontrollers an, oder
wählen Sie einenbeliebigen
Domänencontroller aus, und klicken Sie
auf Weiter.

Computerauswahl Klicken Sie auf Computer aus Domäne


auswählen, und klicken Sie dann auf
Weiter. Klicken Sie auf der Seite
Computerauswahl auf Hinzufügen, um
die Computer in der Quelldomäne
auszuwählen, die Sie migrieren möchten,
klicken Sie auf OK und dann auf Weiter.
Oder
Klicken Sie auf Objekte aus Includedatei
lesen und anschließend auf Weiter.
Geben Sie den Speicherort der
Includedatei ein, und klicken Sie auf
Weiter.

285
Seite des Assistenten Vorgang

Informationen zu verwalteten Wählen Sie alle verwalteten Dienstkonten


Dienstkonten (wird angezeigt, wenn auf aus, die nicht auf dem migrierten
dem Computer ein verwaltetes Computer in der Zieldomäne installiert
Dienstkonto installiert ist) werden sollen, und klicken Sie dann auf
Überspringen/Einbeziehen, um die
Konten mit Überspringen zu
kennzeichnen.

Auswahl der Organisationseinheit Klicken Sie auf Durchsuchen.


Suchen Sie im Dialogfeld Container
suchen in der Zieldomäne nach der
Organisationseinheit, in die die Computer
migriert werden, und klicken Sie dann auf
OK.

Objekte konvertieren Aktivieren Sie das Kontrollkästchen


Lokale Gruppen.
Aktivieren Sie das Kontrollkästchen
Benutzerrechte.

Optionen für die Klicken Sie auf Ersetzen.


Sicherheitskonvertierung Wenn Sie eine Migration innerhalb der
Gesamtstruktur ausführen, migriert ADMT
den SID-Verlauf (Security Identifier) und
löscht das Quellobjekt. Wenn Sie eine
Migration innerhalb der Gesamtstruktur
ausführen, erlaubt ADMT die
Sicherheitskonvertierung daher nur im
Ersetzungsmodus.

Computeroptionen Akzeptieren Sie im Feld Minuten, bis der


Computer nach Beenden des
Assistenten neu gestartet wird den
Standardwert von 5 Minuten, oder geben
Sie einen anderen Wert ein.

286
Seite des Assistenten Vorgang

Objekteigenschaftsausnahme Wenn Sie bestimmte Objekteigenschaften


von der Migration ausschließen möchten,
aktivieren Sie das Kontrollkästchen
Bestimmte Objekteigenschaften von
der Migration ausschließen, wählen Sie
die Objekteigenschaften aus, die
ausgeschlossen werden sollen,
verschieben Sie diese in
Ausgeschlossene Eigenschaften, und
klicken Sie dann auf Weiter.

Konfliktverwaltung Klicken Sie auf Quellobjekt nicht


migrieren, wenn in der Zieldomäne ein
Konflikt ermittelt wird.

Dialogfeld "ADMT-Agent" Wählen Sie Vorüberprüfung und Agent


ausführen aus, und klicken Sie dann auf
Start.

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Nachdem
der Assistent abgeschlossen wurde, klicken Sie auf Protokoll anzeigen, um die Liste der
Computer, den Abschlussstatus und den Pfad zur Protokolldatei für jeden Computer
anzuzeigen. Wenn ein Fehler für einen Computer aufgezeichnet wurde, müssen Sie die
Protokolldatei auf dem betreffenden Computer auf Probleme mit lokalen Gruppen
überprüfen. Die Protokolldatei für jeden Computer trägt den Namen "MigrationTaskID.log"
und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert.

So migrieren Sie Arbeitsstationen und Mitgliedsserver mithilfe der ADMT-


Befehlszeilenoption

1. Melden Sie sich bei dem Computer in der Zieldomäne, in der ADMT installiert ist, mit
einem Benutzerkonto an, das Mitglied der ADMT-Ressourcenmigrationsgruppe ist.
2. Geben Sie den Befehl ADMT Computer mit den entsprechenden Parametern in der
Befehlszeile ein, und drücken Sie dann die EINGABETASTE:
ADMT COMPUTER /N "<Computername1>" "<Computername2>" /IF:YES
/SD:"<Quelldomäne>" /TD:"<Zieldomäne>" /TO:"<Zielorganisationseinheit>" [/M:
"<Name des einzelnen verwalteten Dienstkontos 1>" "<Name des einzelnen verwalteten
Dienstkontos 2>"] [/UALLMSA:Yes] /RDL:1

Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT COMPUTER /N "<Computername1>" "<Computername2>" /O:" <Optionsdatei>.txt"

Die folgende Tabelle nennt die Parameter, die für die Migration von Arbeitsstationen und
Mitgliedsservern erforderlich sind, die Befehlszeilenparameter sowie die

287
Optionsdateientsprechungen.

288
Parameter Befehlszeilensyntax Optionsdateisyntax

Innerhalb einer /IF:YES IntraForest=YES


Gesamtstruktur

<Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne"

<Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne"

Aktualisieren der /M:"Benutzer/Verwaltetes UpdateMSAName=


angegebenen Dienstkonto/Gruppe" "Benutzer/Verwaltetes
verwalteten Dienstkonto/Gruppe"
Dienstkonten

Hinweis
Der
Parameter
„/M“ hat
Vorrang
vor dem
Parameter
„/UALLMS
A“.

Aktualisieren aller /UALLMSA: YES UpdateAllManagedServiceAccounts


verwalteten =Yes
Dienstkonten

Aktualisieren /M "Name 1" "Name 2"… UPDATEMSANAME="Name 1" "Name


bestimmter verwalteter 2"…
Dienstkonten

Hinweis
Der
Parameter
„/M“ hat
Vorrang
vor dem
Parameter
„/UALLMS
A“.

<Zielorganisationseinh / TargetOU="Zielorganisationseinhei
eit> Speicherort TO:"Zielorganisationseinh t"
eit"

Neustartverzögerung /RDL:5 RestartDelay=5


(Minuten)

289
Parameter Befehlszeilensyntax Optionsdateisyntax

Konfliktverwaltung /CO:IGNORE (Standard) ConflictOptions=IGNORE

Optionen für die /TOT:ADD TranslationOption=YES


Sicherheitskonvertieru
ng

Konvertieren von /TUR:YES TranslateUserRights=YES


Benutzerrechten

Konvertieren lokaler /TLG:YES TranslateLocalGroups=YES


Gruppen

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler. Das
Migrationsprotokoll listet Computer, den Abschlussstatus und den Pfad zur Protokolldatei
für jeden Computer auf. Wenn ein Fehler für einen Computer aufgezeichnet wurde,
müssen Sie die Protokolldatei für den betreffenden Computer auf Probleme mit lokalen
Gruppen überprüfen. Die Protokolldatei für jeden Computer trägt den Namen
"MigrationTaskID.log" und wird im Ordner "Windows\ADMT\Logs\Agents" gespeichert.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie dann die
Organisationseinheit der Zieldomäne. Vergewissern Sie sich, dass die Arbeitsstationen
und Mitgliedsserver in der Organisationseinheit der Zieldomäne vorhanden sind.

So migrieren Sie Arbeitsstationen und Mitgliedsserver mithilfe eines Skripts

• Verwenden Sie die folgende Auflistung, um ein Skript vorzubereiten, das ADMT-
Befehle und Optionen zum Migrieren von Arbeitsstationen und Mitgliedsservern innerhalb
einer Gesamtstruktur beinhaltet. Kopieren Sie das Skript in Notepad, und speichern Sie
die Datei mit der Dateinamenerweiterung WSF im gleichen Ordner wie die Datei
„AdmtConstants.vbs“.
<Job id=" MigratingWorkstationsMemberServersWithinForest" >

<Script language="VBScript" src="AdmtConstants.vbs" />

<Script language="VBScript" >

Option Explicit

Dim objMigration

Dim objComputerMigration

'

'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte.

'

290
Set objMigration = CreateObject("ADMT.Migration" )

Set objComputerMigration = objMigration.CreateComputerMigration

'

'Geben Sie die allgemeinen Migrationsoptionen an.

'

objMigration.IntraForest = True

objMigration.SourceDomain = "Quelldomäne"

objMigration.SourceOu = "Computer"

objMigration.TargetDomain = "Zieldomäne"

objMigration.TargetOu = "Computer"

'

'Geben Sie die spezifischen Optionen für die Computermigration an.

'

objComputerMigration.TranslationOption = admtTranslateAdd

objComputerMigration.TranslateLocalGroups = True

objComputerMigration.TranslateUserRights = True

objComputerMigration.UpdateAllManagedServiceAccounts = True

objComputerMigration.RestartDelay = 1

'

'Migrieren Sie die Computerobjekte für die angegebenen Computerobjekte.

'

objComputerMigration.Migrate admtData, _

Array("Computername1" ,"Computername2")

Set objComputerMigration = Nothing

Set objMigration = Nothing

</Script>

291
</Job>

Migrieren lokaler Domänengruppen


Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Migrieren Sie die lokalen Domänengruppen, die in der Active Directory-Domäne vorhanden sind.
Sie können die lokalen Domänengruppen mithilfe des ADMT-Snap-Ins (Active Directory Migration
Tool, Active Directory-Migrationsprogramm), der ADMT-Befehlszeilenoption oder eines Skripts
migrieren.

So migrieren Sie lokale Domänengruppen mithilfe des ADMT-Snap-Ins

• Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
• Verwenden Sie den Assistenten zum Migrieren von Gruppenkonten, und führen Sie
die in der folgenden Tabelle beschriebenen Schritte aus.

292
Seite des Assistenten Vorgang

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Quelldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Wenn Sie eine Migration innerhalb der
Gesamtstruktur ausführen, wird der
Domänencontroller, der die Funktion des
RID-Betriebsmasters (Relative ID, auch als
Flexible Single Master Operations oder
FSMO bezeichnet) ausübt, unabhängig
von Ihrer Auswahl immer als
Quelldomänencontroller verwendet.
Geben Sie unter Ziel in der Dropdownliste
Domäne den NetBIOS- oder DNS-Namen
der Zieldomäne an. Geben Sie in der
Dropdownliste Domänencontroller den
Namen des Domänencontrollers an, oder
wählen Sie einenbeliebigen
Domänencontroller aus, und klicken Sie
auf Weiter.

Gruppenauswahl Klicken Sie auf Gruppen aus Domäne


auswählen, und klicken Sie dann auf
Weiter. Klicken Sie auf der Seite
Gruppenauswahl auf Hinzufügen, um die
zu migrierenden Gruppen in der
Quelldomäne auszuwählen, klicken Sie auf
OK, und klicken Sie dann auf Weiter.
Oder
Klicken Sie auf Objekte aus Includedatei
lesen und anschließend auf Weiter.
Geben Sie den Speicherort der
Includedatei ein, und klicken Sie auf
Weiter.

293
Seite des Assistenten Vorgang

Auswahl der Organisationseinheit Geben Sie den Namen der


Organisationseinheit (Organizational Unit,
OU) ein, oder klicken Sie auf
Durchsuchen.
Suchen Sie im Dialogfeld Container
suchen in der Zieldomäne nach der
Organisationseinheit, in die die lokalen
Domänengruppen migriert werden, und
klicken Sie dann auf OK.

Gruppenoptionen Die Kontrollkästchen Gruppen-SIDs zur


Zieldomäne migrieren und
Gruppenmitgliedschaft korrigieren sind
aktiviert und werden abgeblendet
angezeigt.
Stellen Sie sicher, dass keine anderen
Optionen ausgewählt sind.

Namenskonflikte Klicken Sie auf In Konflikt stehende


Konten ignorieren und nicht migrieren.

So migrieren Sie lokale Domänengruppen mithilfe der ADMT-Befehlszeilenoption

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Geben Sie den Befehl ADMT Group mit den entsprechenden Parametern in der
Befehlszeile ein, und drücken Sie dann die EINGABETASTE:
ADMT GROUP /N "<Gruppenname1>" "<Gruppenname2>" /IF:YES /SD:" <Quelldomäne>" /TD:"
<Zieldomäne>" /TO:" <Zielorganisationseinheit>"

Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT GROUP /N "<Gruppenname1>" "<Gruppenname2>" /O: "<Optionsdatei>.txt"

Die folgende Tabelle nennt die Parameter, die für die Migration lokaler Domänengruppen
erforderlich sind, die Befehlszeilenparameter sowie die Optionsdateientsprechungen.
Eine vollständige Liste aller verfügbaren Parameter finden Sie in der Hilfe zu ADMT v3.1.

294
Parameter Befehlszeilensyntax Optionsdateisyntax

Innerhalb einer /IF:YES IntraForest=YES


Gesamtstruktur

<Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne"

<Zielorganisationseinhe / TargetOU="Zielorganisationseinh
it> Speicherort TO:"Zielorganisationseinhe eit"
it"

Konfliktverwaltung /CO:IGNORE (Standard) ConflictOptions=IGNORE

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.
4. Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie dann die
Organisationseinheit der Zieldomäne. Überprüfen Sie, ob die lokalen Domänengruppen
in der Organisationseinheit der Zieldomäne vorhanden sind.

So migrieren Sie lokale Domänengruppen mithilfe eines Skripts

• Verwenden Sie ein Skript, das ADMT-Befehle und Optionen für die Migration lokaler
Domänengruppen verbindet. Sie können das gleiche Skript verwenden, das Sie zum
Migrieren universeller Gruppen verwendet haben. Weitere Informationen zum Migrieren
universeller Gruppen finden Sie unter Migrieren universeller Gruppen weiter oben in
diesem Handbuch.

Beispiel: Neustrukturierung von Active


Directory-Domänen
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Contoso Corporation möchte die Objekte der Domäne „Afrika“ in die Domäne „EMEA“ migrieren.
Damit die Beeinträchtigung der Benutzer und die Zeit mit hoher Netzwerklast so gering wie
möglich gehalten werden können, hat sich Contoso entschieden, die Migration der
Domänenobjekte so schnell wie möglich auszuführen. Bei der Migration werden alle migrierten
globalen Gruppen zu universellen Gruppen, bis jeder zur Gruppe gehörende Benutzer in die
Zieldomäne migriert wurde. Da in der Gesamtstruktur auch Domänen enthalten sind, die auf der
Funktionsebene von Windows Server 2003 ausgeführt werden, werden nur die inkrementellen
Änderungen der Mitgliedschaft für universelle Gruppen im globalen Katalog repliziert.
Die Contoso-Administratoren haben eine komplexe Testlaborumgebung eingerichtet, in der der
Migrationsvorgang vor der Ausführung getestet werden soll. Beim Test des Vorgangs haben sie
ermittelt, dass die Migration innerhalb von zwei Wochen ausgeführt werden könnte. Die globalen
und universellen Gruppen werden am Montag und Dienstag der ersten Woche migriert. Am

295
Mittwoch werden die Dienstkonten migriert und die Dienste aktualisiert. Donnertag, Freitag und
Samstag werden für die Migration der Benutzerkonten genutzt. Am Sonntag der ersten Woche
werden die Server migriert. In der zweiten Woche erfolgt die Migration der Server und
Arbeitsstationen. Die lokalen Domänengruppen werden am Ende der zweiten Woche migriert.

Ausführen von Aufgaben nach der Migration


Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Nach dem Abschluss aller für die Umstrukturierung von Active Directory-Domänen in einer
Gesamtstruktur erforderlichen Migrationsaufgaben müssen Sie überprüfen, ob die Migration wie
geplant erfolgt ist, und einige Anschlussaufgaben an die Migration ausführen. Die folgende
Abbildung stellt den Prozess für das Ausführen von Aufgaben nach der Migration dar.

Untersuchen von Migrationsprotokollen auf


Fehler
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) unterhält ein
detailliertes Protokoll jeder Aktion, die beim Migrieren von Ressourcen zwischen Active Directory-
296
Domänen ausgeführt wird. Fehler, die während des Migrationsprozesses auftreten, werden im
Migrationsprotokoll vermerkt, obwohl sie möglicherweise keine Warnmeldung in ADMT auslösen.
Das Untersuchen des Migrationsprotokolls nach dem Abschluss einer Migration ist eine gute
Methode, um festzustellen, ob alle Aufgaben erfolgreich abgeschlossen wurden. Da es wichtig ist,
die Schritte der Migration in einer bestimmten Reihenfolge durchzuführen, ist es sinnvoll, das
Migrationsprotokoll nach jedem Schritt zu überprüfen, damit alle Fehler rechtzeitig entdeckt
werden, um sie beheben zu können.

Hinweis

Protokolldateien werden im Ordner Windows\ADMT\Logs auf dem Computer erstellt,


auf dem ADMT installiert ist.

Zugriff auf ADMT-Protokolldateien


ADMT protokolliert alle Migrationsaufgaben und speichert die Protokolle in der ADMT-
Datenbank. Die Protokolle für die letzten 20 Migrationsaufgaben werden auf dem lokalen
Computer gespeichert. Sie können die in der ADMT-Datenbank gespeicherten
Protokollinformationen mithilfe des ADMT-Snap-Ins anzeigen, oder Sie können den Befehl admt
task verwenden, um die betreffenden Informationen abzurufen und an einem angegebenen
Speicherort zu speichern.
Beim Ausführen von Migrationen zwischen Gesamtstrukturen können Sie sich entscheiden, die
Attribute für jedes migrierte Benutzer-, Gruppen und Computerobjekt zu protokollieren. Dies wird
als ausführliche Protokollierung bezeichnet und mit dem Befehl admt config logging ausgeführt.
Weitere Informationen und Beispiele zu Befehlen im Zusammenhang mit dem Zugriff auf ADMT-
Protokolldateien finden Sie, wenn Sie in der ADMT-Hilfe nach "admt config logging" oder "admt
task" suchen.

Überprüfen der Gruppentypen


Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) ändert globale
Gruppen in universelle Gruppen, wenn Sie diese aus der Quelldomäne in die Zieldomäne
migrieren. Diese Änderung findet automatisch statt, weil globale Gruppen nur Mitglieder ihrer
eigenen Domäne enthalten können. Daher können sie nicht als globale Gruppen erhalten
bleiben, wenn sie in eine andere Domäne migriert werden, bis die Gruppenmitglieder migriert
werden. ADMT ändert die universellen Gruppen zurück in globale Gruppen, wenn das letzte
Mitglied der Gruppe in die Zieldomäne migriert wird. Da universelle Gruppen ihre Mitgliedschaft in
den globalen Katalog replizieren, ist die Überprüfung wichtig, ob die universellen Gruppen
ordnungsgemäß zurück in globale Gruppen geändert werden.
Verwenden Sie das Snap-In Active Directory-Benutzer und -Computer, um zu bestätigen,
dass universelle Gruppen erfolgreich migriert wurden. Wenn Sie lokale Domänengruppen

297
manuell geändert haben, stellen Sie sicher, dass Sie diese auf lokale Domänengruppen
zurücksetzen, nachdem alle Ressourcen migriert wurden.

Konvertieren der Sicherheit auf


Mitgliedsservern
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Konvertieren der Sicherheit auf Mitgliedsservern, um die Zugriffssteuerungslisten (Access Control
Lists, ACLs) der Ressourcen zu bereinigen. Nach der Migration von Objekten in die Zieldomäne
enthalten die Ressourcen die ACL-Einträge der Quelldomänenobjekte. Obwohl der SID-Verlauf
(Security Identifier) Zugriff auf Ressourcen während der Migration bietet, sollten
Zugriffssteuerungslisten nach der Migration bereinigt werden, damit sie die neue primäre SID der
migrierten Gruppen enthalten. Verwenden Sie den Sicherheitskonvertierungs-Assistenten in
ADMT, um die SIDs der Quelldomäne durch die SIDs der Zieldomäne zu ersetzen.

Wichtig

Bei der Migration verwalteter Dienstkonten zwischen Domänen in derselben


Gesamtstruktur müssen Sie auf den Mitgliedsservern in der Quelldomäne, die über
Ressourcen verfügen, den verwalteten Dienstkonten Berechtigungen zu erteilen, die
Sicherheitskonvertierung ausführen. Verwaltete Dienstkonten, die zwischen Domänen
innerhalb einer Gesamtstruktur migriert werden, werden kopiert. In der Zieldomäne wird
ein neues Konto erstellt, und die Kontoeigenschaften (mit Ausnahme der SID) werden
aus der Quelldomäne kopiert. Aus diesem Grund muss die Sicherheitskonvertierung
ausgeführt werden. Weitere Informationen hierzu finden Sie unter Migrieren von
verwalteten Dienstkonten.

So konvertieren Sie Sicherheit auf Mitgliedsservern mithilfe des ADMT-Snap-Ins

• Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
• Verwenden Sie den Sicherheitskonvertierungs-Assistenten, indem Sie die in der
folgenden Tabelle beschriebenen Schritte ausführen.

298
Seite des Assistenten Vorgang

Optionen für die Klicken Sie auf Zuvor migrierte Objekte.


Sicherheitskonvertierung Wenn Sie beabsichtigen, eine SID-
Zuordnungsdatei zu verwenden, klicken
Sie auf Andere in einer Datei
angegebene Objekte, und geben Sie
dann den Speicherort der SID-
Zuordnungsdatei an, die Sie erstellt
haben.

Domänenauswahl Geben Sie unter Quelle in der


Dropdownliste Domäne den NetBIOS-
oder DNS-Namen der Quelldomäne an.
Geben Sie in der Dropdownliste
Domänencontroller den Namen des
Domänencontrollers an, oder wählen Sie
einenbeliebigen Domänencontroller aus.
Wenn Sie eine Migration innerhalb der
Gesamtstruktur ausführen, wird der
Domänencontroller, der die Rolle des RID-
Betriebsmasters (Relative ID, auch als
Flexible Single Master Operations oder
FSMO bezeichnet) ausübt, unabhängig
von Ihrer Auswahl immer als
Quelldomänencontroller verwendet.
Geben Sie unter Ziel in der Dropdownliste
Domäne den NetBIOS- oder DNS-Namen
der Zieldomäne an. Geben Sie in der
Dropdownliste Domänencontroller den
Namen des Domänencontrollers an, oder
wählen Sie einenbeliebigen
Domänencontroller aus, und klicken Sie
auf Weiter.

299
Seite des Assistenten Vorgang

Computerauswahl Klicken Sie auf Computer aus Domäne


auswählen, und klicken Sie dann auf
Weiter. Klicken Sie auf der Seite
Dienstkontoauswahl auf Hinzufügen,
um die Konten in der Quelldomäne
auszuwählen, die Sie migrieren möchten,
klicken Sie auf OK und dann auf Weiter.
- oder -
Klicken Sie auf Objekte aus Includedatei
lesen und anschließend auf Weiter.
Geben Sie den Speicherort der
Includedatei ein, und klicken Sie auf
Weiter.

Objekte konvertieren Klicken Sie auf Datei und Ordner,


Freigaben, Drucker, Benutzerrechte
und Registrierung.

Optionen für die Klicken Sie auf Ersetzen.


Sicherheitskonvertierung

So konvertieren Sie Sicherheit auf Mitgliedsservern mithilfe der ADMT-


Befehlszeilenoption

1. Melden Sie sich in der Zieldomäne an dem Computer, auf dem ADMT installiert ist,
mit dem Migrationskonto des ADMT-Kontos an.
2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie
dann die EINGABETASTE:
ADMT Security /N "<Computername1>" "<Computername2>" /SD:" <Quelldomäne>" /TD:"
<Zieldomäne>"

Dabei stehen <Computername1> und <Computername2> für die Namen von Computern, für
die Sie die Sicherheit konvertieren möchten.
Als Alternative können Sie auch Parameter in eine Optionsdatei einfügen, die wie folgt
über die Befehlszeile angegeben wird:
ADMT Security /N "<Computername1>" "<Computername2>" /O:" <Optionsdatei>.txt"

In der folgenden Tabelle sind die allgemeinen Parameter zum Konvertieren der Sicherheit
auf Mitgliedsservern aufgeführt, zusammen mit dem jeweiligen Befehlszeilenparameter
und dem entsprechenden Äquivalent in der Optionsdatei.

300
Parameter Befehlszeilensyntax Optionsdateisyntax

<Quelldomäne> /SD:"Quelldomäne" SourceDomain="Quelldomäne"

<Zieldomäne> /TD:"Zieldomäne" TargetDomain="Zieldomäne"

3. Überprüfen Sie die auf dem Bildschirm angezeigten Ergebnisse auf Fehler.

So konvertieren Sie Sicherheit auf Mitgliedsservern mithilfe eines Skripts

• Verwenden Sie das folgende Beispiel, um ein Skript vorzubereiten, das ADMT-
Befehle und Optionen zum Konvertieren der Sicherheit auf Mitgliedsservern beinhaltet.
Kopieren Sie das Skript in Notepad, und speichern Sie die Datei mit der
Dateinamenerweiterung WSF im gleichen Ordner wie die Datei „AdmtConstants.vbs“.
<Job id=" TranslatingSecurityOnMemberServersWithinForest" >

<Script language="VBScript" src="AdmtConstants.vbs" />

<Script language="VBScript" >

Option Explicit

Dim objMigration

Dim objSecurityTranslation

'

'Erstellen Sie eine Instanz der ADMT-Migrationsobjekte.

'

Set objMigration = CreateObject("ADMT.Migration" )

Set objSecurityTranslation = objMigration.CreateSecurityTranslation

'

'Geben Sie die allgemeinen Migrationsoptionen an.

'

objMigration.IntraForest = True

objMigration.SourceDomain = "Quelldomäne"

objMigration.TargetDomain = "Zieldomäne"

objMigration.TargetOu = "Computer"

301
'

'Geben Sie die spezifischen Optionen der Sicherheitskonvertierung an.

'

objSecurityTranslation.TranslationOption = admtTranslateReplace

objSecurityTranslation.TranslateFilesAndFolders = True

objSecurityTranslation.TranslateLocalGroups = True

objSecurityTranslation.TranslatePrinters = True

objSecurityTranslation.TranslateRegistry = True

objSecurityTranslation.TranslateShares = True

objSecurityTranslation.TranslateUserProfiles = False

objSecurityTranslation.TranslateUserRights = True

'

'Führen Sie die Sicherheitskonvertierung für die angegebenen


Computerobjekte durch.

'

objSecurityTranslation.Translate admtData, _

Array("Computername1" ,"Computername2" )

Set objSecurityTranslation = Nothing

Set objMigration = Nothing

</Script>

</Job>

Konvertieren der Sicherheit mithilfe einer


SID-Zuordnungsdatei
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Wenn Sie Sicherheitskonvertierung durchführen müssen, damit die dem Quellkonto oder der
Quellkontengruppe erteilten Berechtigungen dem Zielkonto oder der Zielkontengruppe erteilt
werden, verwenden Sie eine Datei für die SID-Zuordnung (Security Identifier), um die zwei
Konten einander zuzuordnen. Die SID-Zuordnungsdatei ist eine Datei im Format mit durch

302
Kommas getrennten Werten (CSV), die Kontenpaare auflistet, entweder im Windows NT-
Kontennamen- (Domäne\Name) oder SID-Format. Das Konto auf der linken Seite ist das
Quellkonto, und das Konto auf der rechten Seite ist das Zielkonto. Die Sicherheitskonvertierung
des Active Directory-Migrationsprogramms (Active Directory Migration Tool, ADMT) überträgt die
Sicherheit vom Quellkonto auf das Zielkonto.
Auf die SID-Zuordnungsdatei kann im Sicherheitskonvertierungs-Assistenten oder auf der
Befehlszeile verwiesen werden. Die Option lautet /SMF, sodass die vollständige Befehlszeile
folgendermaßen aussieht:
ADMT SECURITY /N "<Computername>" /SMF:"<Pfad_zur_SID-Zuordnungsdatei>"

Außerbetriebnahme der Quelldomänen


Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Nachdem Sie alle Objekte aus der Quelldomäne in die Zieldomäne migriert haben, einschließlich
aller Computer und Mitgliedsserver, verbleiben nur die Domänencontroller in der Quelldomäne.
Führen Sie zum Dekommissionieren der Quelldomäne den Assistenten zum Installieren von
Active Directory aus, um Active Directory oder die Active Directory-Domänendienste
(Active Directory Domain Services, AD DS) von den Domänencontrollern in der Quelldomäne zu
entfernen.
Migrieren Sie die Domänencontroller aus der Quelldomäne als Mitgliedsserver in die Zieldomäne.
Verwenden Sie erforderlichenfalls, je nach der beabsichtigten neuen Rolle der Server in der
Zieldomäne, den Assistenten zum Installieren von Active Directory, um Active Directory oder
AD DS auf den Mitgliedsservern zu installieren, um ihnen in der Zieldomäne wieder den Status
als Domänencontroller zu verleihen. Führen Sie die Sicherheitskonvertierung für
Domänencontroller aus, wenn sich Ressourcen auf dem Computer befinden, der als der neue
Domänencontroller verwendet werden soll.

Beispiel: Ausführen von Aufgaben nach der


Migration
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Das Team für die Migrationsnacharbeit bei Contoso Corporation beginnt die Aufgaben nach
Abschluss der Migration während der ersten Woche der Migration. Die Teammitglieder
untersuchen das Migrationsprotokoll nach dem Abschluss der ersten Gruppe von Migrationen am
ersten Tag. Sie analysieren das Migrationsprotokoll und definieren die Aktion, die zum Migrieren
von Konten erforderlich ist, bei denen Fehler festgestellt wurden. Auf diese Weise kann das
Migrationsteam ohne Unterbrechung mit der Migration fortfahren.
Während der zweiten Woche des Migrationsprozesses überprüft das Bereitstellungsteam, ob
globale Gruppen nach dem Abschluss der Benutzermigration aus dem Status als universelle
Gruppe wieder in den Status als globale Gruppe zurückgekehrt sind. Nachdem die

303
Mitgliedsserver migriert wurden, führt das Bereitstellungsteam den Sicherheitskonvertierungs-
Assistenten aus, um die SIDs (Security Identifiers) der Quelldomäne aus den
Zugriffssteuerungslisten (Access Control Lists, ACLs) der Mitgliedsserver zu entfernen.
Schließlich dekommissionieren die Mitglieder des Bereitstellungsteams die Domäne Africa am
Ende der zweiten Woche, indem sie Active Directory oder AD DS von den Domänencontrollern in
der Africa-Domäne entfernen. Anschließend migrieren sie die Domänencontroller als
Mitgliedsserver in die Domäne EMEA.

Anhang: Erweiterte Verfahren


Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Die nachfolgend aufgelisteten Verfahren stellen fortgeschrittene Methoden zum Ausführen
verschiedener Aufgaben dar, die beim Umstrukturieren von Domänen mithilfe des
Active Directory-Migrationsprogramms (Active Directory Migration Tool, ADMT) nützlich sein
können.
• Konfigurieren eines veborzugten Domänencontrollers
• Umbenennen von Objekten während der Migration
• Verwenden einer Includedatei
• Verwenden einer Optionsdatei

Konfigurieren eines veborzugten


Domänencontrollers
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) stellt eine
Option zum Auswählen des für die Migration verwendeten Quell- und Zieldomänencontrollers zur
Verfügung, anstatt ihn durch den DC-Locatordienst (Domain Controller Locator) auswählen zu
lassen.
Auf der Seite Domänenauswahl, die in allen ADMT-Assistenten enthalten ist, haben Sie nun die
Möglichkeit, bestimmte Quell- und Zieldomänencontroller auszuwählen. Nur ein beschreibbarer
Domänencontroller kann als bevorzugter Domänencontroller ausgewählt werden.
Als Alternative können Sie auch Beliebiger Domänencontroller in der Dropdownliste
auswählen. Wenn Sie einen Domänencontroller angeben, wird dieser verwendet, wenn er
verfügbar ist. Wenn Sie Beliebiger Domänencontroller auswählen, fragt ADMT einen
bevorzugten Domänencontroller ab. Wenn kein bevorzugter Domänencontroller konfiguriert
wurde, verwendet ADMT den DC-Locatordienst, um einen Domänencontroller in der
angegebenen Domäne zu suchen.
Sie können einen bevorzugten Domänencontroller auch mithilfe der Befehlszeilenoption admt
config angeben. Sie müssen die Quell- und Zieldomänencontroller unabhängig voneinander

304
konfigurieren. Nachdem Sie einen bevorzugten Domänencontroller konfiguriert haben, ermittelt
ADMT dessen Gültigkeit und Verfügbarkeit und verwendet ihn dann bei jeder Ausführung von
ADMT automatisch.

Hinweis

Wenn Sie eine Migration innerhalb der Gesamtstruktur ausführen, wird immer der
Domänencontroller, der die Funktion des RID-Betriebsmasters (Relative ID, auch als
Flexible Single Master Operations oder FSMO bezeichnet) ausübt, standardmäßig
verwendet. Wenn Sie einen anderen Domänencontroller als den RID-Betriebsmaster als
bevorzugten Domänencontroller auswählen, setzt ADMT Ihre Auswahl außer Kraft und
verwendet immer den RID-Betriebsmaster.

So konfigurieren Sie einen bevorzugten Domänencontroller in der Quelldomäne

• Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie
dann die EINGABETASTE:
admt config setdomaincontroller /Domain:<Domänenname>
/sdc:<Quelldomänencontroller>

Wert Beschreibung

DomainName Gibt den Namen einer Active Directory-Domäne


an.

SourceDomainController Gibt den Computernamen eines


Domänencontrollers in der Quelldomäne an.

So konfigurieren Sie einen bevorzugten Domänencontroller in der Zieldomäne

• Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie
dann die EINGABETASTE:
admt config setdomaincontroller /Domain:<Domänenname> /tdc:<Zieldomänencontroller>

Wert Beschreibung

Domänenname Gibt den Namen einer Active Directory-Domäne


an.

TargetDomainController Gibt den Computernamen eines


Domänencontrollers in der Zieldomäne an.

Sie können den bevorzugten Domänencontroller auch löschen, den Sie in der Quell- oder
Zieldomäne konfiguriert haben.

305
So löschen Sie bevorzugte Domänencontroller in einer angegebenen Domäne

• Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie
dann die EINGABETASTE:
admt config cleardomaincontrollers /Domain:<Domänenname>

Wert Beschreibung

Domänenname Gibt den Namen einer Active Directory-Domäne


an.

Sie können die bevorzugten Domänencontroller auch anzeigen, die Sie in der Quell- oder
Zieldomäne konfiguriert haben.

So zeigen Sie von Ihnen konfigurierte bevorzugte Domänencontroller an

• Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie
dann die EINGABETASTE:
admt config getdomaincontrollers

Umbenennen von Objekten während der


Migration
Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Im Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) können Sie eine
Includedatei zum Umbenennen von Quelldomänenobjekten verwenden, damit sie nach dem
Migrieren in die Zieldomäne einen neuen Namen erhalten.
Weitere Informationen zum Verwenden einer Includedatei während einer Migration finden Sie
unter Verwenden einer Includedatei.
Verwenden Sie das folgende Format in einer Includedatei, um Computer-, Benutzer- oder
Gruppenobjekte während der Migration umzubenennen.

So benennen Sie Objekte mithilfe einer Includedatei um

• Verwenden Sie SourceName, TargetRDN, TargetSAM, und TargetUPN als


Spaltenüberschriften oben in der Includedatei. SourceName ist der Name des
Quellkontos und muss als erste Spaltenüberschrift aufgelistet werden.

Hinweis
Wenn der Ziel-UPN (User Principal Name, Benutzerprinzipalname) für einen

306
Benutzer die Angabe eines Domänennamens erfordert, der sich vom UPN der
Zieldomäne unterscheidet, verwenden Sie dieses Format, um sicherzustellen,
dass der Benutzername beibehalten und von ADMT während der Migration nicht
geändert wird.
• Sie müssen den Kontonamen als Benutzernamen, relativ definierten Namen oder
kanonischen Namen angeben. Wenn Sie den Kontonamen als relativ definierten Namen
angeben, müssen Sie auch die Quellorganisationseinheit angeben.
• Die Spaltenüberschriften TargetRDN, TargetSAM und TargetUPN sind optional und
können in beliebiger Reihenfolge aufgelistet werden.

Hinweis
Die Spaltenüberschrift TargetUPN ist nur für die Migration von Benutzerkonten
relevant, da Gruppen- und Computerkonten keinen UPN aufweisen.
Die folgenden Beispiele zeigen gültige Includedateien, in denen die Umbenennungsoption
verwendet wird:
SourceName,TargetSam
abc,def
Dieser Includedateieintrag ändert den Kontonamen TargetSAM für den Benutzer "abc" in "def".
Die Angaben TargetRDN und TargetUPN, die in dieser Includedatei nicht angegeben werden,
ändern sich als Ergebnis der Migration nicht.
SourceName,TargetRDN,TargetUPN
abc,CN=def,def@contoso.com
Dieser Includedateieintrag ändert den TargetRDN für den Benutzer "abc" in "CN=def" und den
TargetUPN in def@contoso.com. Der TargetSAM für den Benutzer "abc" ändert sich als
Ergebnis der Migration nicht.

Wichtig

Sie müssen "CN=" angeben, bevor Sie einen RDN-Wert verwenden.

Verwenden einer Includedatei


Dies gilt für: Active Directory Migration Tool 3.1 (ADMT 3.1) und ADMT 3.2
Wenn Sie eine große Anzahl von Benutzern, Gruppen oder Computern migrieren, ist es
effizienter, eine Includedatei zu verwenden. Eine Includedatei ist eine Textdatei, in der Sie die zu
migrierenden Benutzer-, Gruppen- und Computerobjekte auflisten. Dabei wird für jedes Objekt
eine separate Zeile verwendet. Sie können Benutzer, Gruppen und Computer zusammen in einer
Datei auflisten, oder Sie können eine separate Datei für jeden Objekttyp erstellen.
Nachdem Sie die Includedatei (oder Includedateien) erstellt haben, geben Sie den Namen der
Datei während der Migration an. Das Active Directory-Migrationsprogramm (Active Directory
Migration Tool, ADMT) greift zum Abrufen der enthaltenen Informationen auf die Datei zu.

307
So geben Sie eine Includedatei an
Aus einem ADMT-Assistenten
Von der Befehlszeile

So geben Sie eine Includedatei aus einem ADMT-Assistenten an

• Klicken Sie auf der Seite


• Computerauswahloption des Computermigrations-Assistenten
• Benutzerauswahloption des Assistenten zum Migrieren von Benutzerkonten
• Gruppenauswahloption des Assistenten zum Migrieren von Gruppenkonten
auf Objekte aus Includedatei lesen. Wenn die Aufforderung angezeigt wird, geben
Sie den Speicherort der Includedatei an.

So geben Sie eine Includedatei auf der Befehlszeile an

• Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie
dann die EINGABETASTE:
admt computer /sd:<Quelldomäne> /td:<Zieldomäne> /F:<NameDerIncludedatei>

Hinweis
Informationen zur richtigen Befehlszeilensyntax für das Migrieren von Benutzern
und Gruppen finden Sie, wenn Sie in der Hilfe von ADMT, Version 3.1, nach
"admt benutzer" und "admt gruppe" suchen.

Die folgenden Informationen beschreiben die Felder einer Includedatei und bieten Beispiele zu
jedem Feld:
Feld "SourceName"
Das Feld SourceName gibt den Namen des Quellobjekts an. Sie können