Экран 3. Параметры пароля

После определения местонахождения можно указать метод обработки паролей пользовательских учетных записей (см. экран 3). В стандартном режиме Complex Passwords создаются новые сложные пароли на основе случайной последовательности символов. Альтернативный вариант — назначить пароли, совпадающие с именем учетных записей. В любом случае мастер записывает файл истории, в котором каждая учетная запись пользователя связана со своим новым паролем, и администратору следует попросить пользователей изменить пароли после регистрации в домене. Третий вариант — перенести пароли пользовательских учетных записей из исходного домена, хотя до тех пор, пока не будут выполнены действия, описанные в следующем разделе статьи, функция Migrate passwords практически недоступна. Если выбрать ее и щелкнуть на кнопке Next, на экране появится сообщение об ошибке. Пока следует принять стандартные параметры и перейти к следующему экрану мастера.

Экран 4. Параметры миграции учетной записи

На следующем экране представлено несколько вариантов активизации учетной записи (см. экран 4). Я рекомендую выбрать режим Target same as source, чтобы программа ADMT создала в целевом домене учетные записи с тем же статусом запуска, какой они имели в исходном домене. Этот режим дает некоторую уверенность, что даже случайно перенесенная ненужная или неактивная учетная запись останется неактивизированной. Кроме того, ADMT может автоматически отмечать исходные учетные записи для блокирования. На этом же экране имеется функция для миграции SID пользовательских учетных записей. По умолчанию при создании учетной записи пользователя в целевом домене AD назначает новой учетной записи новый SID и лишает ее полномочий и ограничений, определенных в исходном домене. Функция Migrate user SIDs to target domain копирует SID исходной учетной записи в предысторию новой учетной записи. Затем Windows использует этот параметр, чтобы связать старую и новую учетные записи и предоставить пользователю те же полномочия, которые он имел в исходном домене. В этом режиме назначаются заданные функции аудита, которые мастер автоматически активизирует в исходном и целевом доменах. Очевидно, перенос SID имеет смысл, если полномочия групп в целевом домене такие же, как в исходном.

Миграция SID вносит в процедуру дополнительный этап. На данном этапе мастер просит ввести действительные административные данные для исходного домена (IKDOM01). ADMT нуждается в явном указании таких данных, так как доступ к SID учетных записей — привилегированная операция.

Экран 5. Параметры учетной записи пользователя

На следующем экране User Account Migration Wizard (см. экран 5) можно определить другие параметры учетной записи пользователя, в том числе два важных групповых параметра. Следует выбрать первый параметр (Migrate associated user groups), чтобы перенести, наряду с учетными записями пользователей, выбранные группы исходного домена, которые не были определены в целевом домене. Необходимо также выбрать сопутствующий подпараметр (Update previously migrated objects), тем самым мы поставим ADMT в известность, что после создания новой группы для первого перенесенного пользователя, члена данной группы, необходимо обновлять эту группу, а не создавать новую в процессе миграции остальных ее пользователей. ADMT автоматически сохраняет членство пользователей в специализированных группах; если переносятся и SID, то все полномочия остаются неизменными.

Второй групповой параметр — Fix users’ group memberships. Он связывает учетные записи пользователей с существующей группой в целевом домене на основании их членства в исходном домене (таким образом, термин fix в данном случае означает присоединение, а не исправление). Например, если учетная запись пользователя принадлежит к группе Domain Administrators в IKDOM01, то после миграции новая учетная запись будет членом группы Domain Administrators в IKDOM2. ADMT достаточно интеллектуален, чтобы не дублировать такие встроенные группы (при миграции групп), и дает администратору возможность указать, следует ли автоматически переносить эти сведения.

На последнем экране мастер просит выбрать стандартный способ переименования любых пользовательских записей, дублирующих существующие учетные записи в целевом домене. Ответив на этот вопрос, следует щелкнуть на кнопке Finish, чтобы начать или протестировать процесс миграции. В ходе миграции в окне статуса отображаются объекты, перенесенные мастером, и любые ошибки. Мастер также создает файл журнала, который можно просмотреть в конце миграции. Журнал доступен лишь до того, как будет закрыто окно мастера. Когда окно будет закрыто, в распоряжении администратора останутся только отчеты, генерируемые ADMT.

Перенос пароля

Одна из самых интересных функций ADMT 2.0 — возможность переносить пароли. Функция миграции паролей заслуживает особого внимания, так как требует дополнительных настроек как исходного, так и целевого DC, а также запуска службы в исходном домене. Служба работает с ключом, который предоставляется целевым доменом исходному и используется для шифрования и восстановления информации о пароле. Благодаря разделению процедур настройки миграции паролей и учетных записей пользователей сокращается число неполадок и время диагностики неисправностей.

Настройка процедуры миграции паролей начинается на целевом DC. Первый шаг состоит в распространении полномочий группы Everyone целевого домена на анонимных пользователей. Для этого следует открыть оснастку Domain Security Policy консоли MMC. Чтобы получить список доступных режимов безопасности, нужно развернуть Local Policies and Security Options. Требуется активизировать режим Network access: Let Everyone permissions apply to anonymous users(см. экран 6).

Экран 6. Подготовка целевого домена для переноса паролей

Следующий шаг — генерация ключевого файла пароля на целевом DC (в нашем примере — IKDOM2). Для генерации этого ключа в ADMT имеется утилита, запускаемая из командной строки; пример команды, генерирующей ключ:

admt key ikdom01 C:\test *

где key — указание на необходимость генерировать ключ, ikdom01 — исходный домен, C:\test — папка, в которой будет сохранен ключевой файл, а * выводит на экран приглашение задать пароль для ключевого файла в процессе генерации ключа. В командной строке на целевом DC следует ввести еще одну команду

net localgroup
"Pre-Windows 2000
Compatible Access"
Everyone /Add

а затем перезапустить целевой DC.

Далее следует обратиться к исходному домену. Мы использовали PDC домена IKDOM01 в качестве машины-источника в процессе миграции учетной записи пользователя, но специалисты Microsoft рекомендуют задействовать производственный BDC (резервный контроллер домена) в качестве сервера для экспорта пароля. Последствия ошибки будут менее заметны, так как BDC обычно располагает свободными вычислительными ресурсами, а в процессе настройки требуется перезагрузка компьютера, что лучше делать на BDC, чем на PDC. Однако использовать BDC не обязательно, необходимое программное обеспечение можно развернуть и на PDC. Программы находятся в папке pwdmig, внутри папки, созданной файлом admt2.exe при запуске этого файла на целевом DC. Папку pwdmig и ключевой файл, подготовленный на целевом DC, следует скопировать на исходный DC, а затем запустить файл установки сервера экспорта пароля на исходном DC. На системе NT 4.0 необходимо запустить файл \pwdmig\pwdmig.exe, чтобы развернуть сервер экспорта пароля (на системе Windows 2003 или Windows 2000 нужно запустить файл \pwdmig\pwdmig.msi).

В процессе установки сервера экспорта пароля система попросит ввести путь к ключевому файлу *.pes. Другой запрос относится к паролю (если он имеется), назначенному для данного файла. После установки сервера экспорта пароля систему необходимо перезагрузить, но сначала нужно отредактировать реестр исходного DC таким образом, чтобы пришлось перезагружаться только один раз. Параметру AllowPasswordExport under the HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\Lsa типа DWORD следует присвоить значение 1, чтобы разрешить экспорт пароля. После смены параметра необходимо перезагрузить исходный DC.

После перезагрузки можно воспользоваться мастером User Account Migration Wizard на целевом DC для миграции паролей вместе с учетными записями пользователей. Я обнаружил, что при миграции пароля часто происходят ошибки, поэтому советую познакомиться с рекомендациями по диагностике, приведенными в статье Microsoft «How to Troubleshoot Inter-Forest Password Migration with ADMTv2» (http://support.microsoft.com/?kbid=322981).

Вперед с ADMT

Я рассказал, как работать с ADMT 2.0 из графического интерфейса и, в меньшей степени, интерфейса командной строки. Одна из новых возможностей версии 2.0, о которой не упоминалось в данной статье, — сценарный интерфейс. Этот интерфейс не только позволяет обращаться к командной строке ADMT из сценария, но и открывает доступ к целому набору интерфейсов объектов. Чтобы использовать ADMT в сценарии, лучше всего начинать с тестового сценария, поставляемого вместе с инструментом. В сценарии Templatescript.vbs перечислены стандартные параметры для работы с различными интерфейсами и приведен текст примера для построения интерфейса ADMT.Migration.

ADMT 2.0 — мощный инструмент, который обеспечивает не только переход от старой версии Windows к более новой, но и текущее обслуживание и консолидацию доменов внутри предприятия. Благодаря расширенным функциям миграции объектов каталогов можно внести изменения в рабочий каталог и динамически расширить инфраструктуру. Несомненно, в будущих версиях ADMT появятся еще более мощные возможности консолидации — в конечном итоге даже отдельных элементов структуры каталогов.