Active Directory.pdf - Gattner

258 Kapitel 7: Migrieren auf die Active Directory-Domänendienste
Migrieren von Kennwörtern Durch Auswahl dieser Option werden die Benutzerkennwörter von
der Quelldomäne auf die Zieldomäne migriert. Wenn Sie diese Option wählen möchten, müssen
Sie den Domänencontroller der Kennwortmigrationsquelle ermitteln.
Hinweis Bei dem Domänencontroller der Kennwortmigrationsquelle handelt es sich um den Domänencontroller
in der Quelldomäne, der durch die Installation der Kennwortmigrations-DLL als Kennwortexportserver
(Password Export Server, PES) konfiguriert wurde. Bei der Kennwortmigration handelt es
sich um eine eigene Komponente des ADMTs, die auf jedem beliebigen Domänencontroller in der Quelldomäne
installiert werden kann. Um die Kennwortmigrations-DLL auf dem Quelldomänencontroller zu
installieren, öffnen Sie den Ordner \%systemroot%\windows\
ADMT\PWDMIG, und doppelklicken Sie auf die Datei Pwdmig.msi. Der PES verwaltet eine Datenbank
der Benutzerkennwörter der Quelldomäne und baut einen sicheren Kommunikationskanal mit der Zieldomäne
auf, um diese Kennwörter migrieren zu können.
5. Verwalten Sie den Kontostatus mithilfe der Optionen für die Kontoaktualisierung. Mithilfe des
ADMTs können Sie den Übergang vom Quellkonto zum Zielkonto auf der Seite Account Transition
Options verwalten. Dadurch können Sie den Status des Zieldomänenkontos (aktiviert, deaktiviert
oder identisch mit Quelle) und des Quelldomänenkontos (deaktiviert oder aktiviert für eine
konfigurierbare Anzahl an Tagen) steuern.
In einem gängigen Szenario werden mehrere Benutzerkonten zum Migrieren zusammengefasst,
jedoch erst nach Abschluss der Migration aktiviert. Zu diesem Zeitpunkt können Sie alle Benutzerkonten
programmgesteuert aktivieren und in die Zieldomäne übernehmen. Aus Sicherheitsgründen
sollte ein Konto nicht gleichzeitig in der Quell- und der Zieldomäne aktiviert sein. Wenn Sie Benutzern
die Anmeldung an der Windows Server 2008-Domäne direkt im Anschluss an die Migration
ihrer Konten ermöglichen möchten, sollten Sie das ADMT zum Deaktivieren des Quelldomänenkontos
während der Migration verwenden. Wenn Sie Benutzern während der Migration jedoch den Rückgriff
auf die Quelldomäne ermöglichen möchten, sollten Sie das ADMT verwenden, um das Quelldomänenkonto
erst einige Tage nach Ausführung des ADMTs zu deaktivieren.
Ermitteln von Dienstkonten
Bei Dienstkonten handelt es sich um spezielle Benutzerkonten, die zum Betreiben von Diensten auf
Computern verwendet werden, auf denen Windows 2000 Server, Windows Server 2003 und Windows
Server 2008 ausgeführt werden. Ein Großteil der Dienste wird mit den Konto Lokale Sicherheitsautorität
(Local Security Authority, LSA) ausgeführt. Beim Migrieren der Quelldomäne müssen
Sie zuerst alle Dienste ermitteln, die entsprechend ihrer Konfiguration nicht mit der LSA ausgeführt
werden.
Beim Migrieren von Dienstkonten handelt es sich um ein in zwei Stufen gegliedertes Verfahren.
Zuerst müssen die Dienstkonten ermittelt werden. Anschließend können die ermittelten Dienstkonten
nach der Migration der Computer, auf denen ein Vorgängerversions-Betriebssystem ausgeführt wird,
auf die Windows Server 2008-Zieldomäne migriert werden.
Führen Sie die folgenden Schritte aus, um mithilfe des ADMTs die Dienstkonten zu ermitteln, die in
der Quelldomäne betrieben werden:
1. Öffnen Sie den Assistenten zum Migrieren von Dienstkonten.
2. Wählen Sie die Quell- und Zieldomänen.