Итак - следуя моему предыдущему вопросу: Как остановить репликацию DFSR, не позволяющую контроллеру домена рекламировать доменные службы?, Я потерял контроллер домена FSMO, и мой единственный другой контроллер домена был в неустранимом состоянии.
Я создал новый домен, чтобы продолжить тестирование, но теперь у меня есть проблема, которая, как я подозреваю, актуальна для любого домена, переживающего «катастрофу».
У меня есть учетные записи пользователей и клиентские ПК «на старом домене». (Фактически 1 клиентский ПК и 3 аккаунта)
Я все еще могу войти в клиентский компьютер как любой из этих пользователей в «мертвом» домене, потому что он кэширован.
К счастью, в "старом" домене нет зашифрованных файлов.
Теперь я хотел бы перенести весь контент (файлы, настройки и т.д.) из «мертвого» домена в новый «активный» домен для любых / всех учетных записей пользователей на «старом» ПК.
Есть ли что-нибудь, что может мне в этом помочь?
Чтобы сделать это как можно более безболезненным, вам нужно будет восстановить хотя бы один из контроллеров домена из резервной копии. Надеюсь, у вас есть резервные копии, поскольку речь идет о неисправном контроллере домена, который является краеугольным камнем вашей инфраструктуры AD. Если вы не можете этого сделать, вам придется воссоздавать почти все вручную на стороне сервера (или, по крайней мере, с помощью много ручного взаимодействия).
Как только вы сможете поддержать DC из резервной копии для старого домена, вам придется использовать ADMT для миграции старых пользователей / компьютеров / серверов в новый домен. Этот инструмент будет прозрачно переводить NTFS и общие разрешения на старых серверах / рабочих станциях / профилях пользователей в соответствующие объекты в новом домене. Все, что вам нужно, - это учетные данные в обоих доменах и сервер для запуска ADMT.
Если вы не можете получить хотя бы один рабочий DC, вам придется вручную скопировать и установить разрешения для всех ваших рабочих станций и серверов. Средство миграции пользовательской среды может сделать локальные профили менее болезненными для вас, но все серверные списки контроля доступа NTFS должны быть написаны или созданы вручную.
У вас все еще есть доступ к старым AD DC? Я наткнулся на инструмент, который утверждает, что может восстанавливать AD с незагружаемой машины, если ваша папка SYSVOL все еще существует: http://utools.com/UMove.asp
Уоринг: Я вообще не пробовал эту утилиту, поэтому я ничего не подразумеваю - так или иначе - о ее качестве.
Я сейчас прохожу переход с Windows XP на Win7. Мы переносим пользователей из одного домена в другой и изменение их идентификатора пользователя. Я написал сценарий USMT, чтобы сделать это максимально безболезненно. Вот ссылка на другой пост, где он есть и прокомментирован:
Дайте мне знать, если вам понадобится помощь. Удачи!