В связи с приобретением нескольких более мелких организаций мы теперь должны перенести пользователей и их машины (Windows 2000 и XP Pro) из их старых доменов (NT и 2000) в домен 2003 года. Каковы лучшие практики? Как лучше всего гарантировать, что локально установленные приложения не ломаются?
Доступны ли хорошие инструменты (бесплатные и платные), чтобы помочь? Мы рассматриваем около 2500 пользователей и машин.
Вот поворот: у всех пользователей была настроена их электронная почта (Exchange 2003) в текущих настройках, поэтому у них есть учетные записи пользователей в новом домене.
Пережив небольшую миграцию домена, это выполнимо. Но ... ожидайте боли. А наличие Exchange может означать Мир боли, если у вас нет какого-то плана по смягчению последствий перехода.
Проблема не столько в том, что приложения сломаются, сколько в том, сколько вещей сломается из-за отсутствия привилегий учетной записи в файлах и т. Д. Чтобы дать вам представление о затраченных усилиях, наша установка была простой - файловые службы, услуги печати, электронная почта обрабатывается с помощью linux box. Четыре человека работали 38 часов без перерывов, чтобы все было перемещено и запущено, потому что учетные записи пользователей приходилось переделывать, то есть новые идентификаторы безопасности в процессе. Новые идентификаторы безопасности = ничего не имеет правильных настроек безопасности. Мы перешли от плоской доменной модели в стиле NT4 к модели, состоящей всего из двух уровней.
Использование Exchange существующих учетных записей AD может как помочь, так и помешать вам. Поскольку эти учетные записи исчезают, у Exchange не будет возможности выяснить, кто и какой почтовый ящик получит (эти идентификаторы безопасности сейчас просто исчезли). Поэтому важно иметь полную резервную копию хранилища данных. Если у вас нет кого-то, кто хорошо разбирается в запуске Exhcange, вам может быть лучше использовать новую установку и восстанавливать почтовые ящики из резервной копии. Получение восстановления для определения того, какая учетная запись имеет почтовый ящик, будет ключевым. Запланируйте несколько тренировочных заездов.
IME на стороне сервера относительно прост. Создайте новые учетные записи компьютеров и пользователей и установите для пароля известное значение, принудительно изменив его при следующем входе в систему.
Настоящая PITA - это локальный профиль, хотя иногда нам нравится делать вид, что пользователи действительно привязаны к своим профилям. Просто войти в систему под другим пользователем не получится.
мне нравиться Мастер профилей пользователей ForensiT для этого. Он повторно синхронизирует разрешения NTFS и реестра с новым идентификатором безопасности и укажет новую учетную запись на старый профиль. Когда пользователи входят в систему со своей новой учетной записью, их профиль будет продолжать работать. Это сценарий, а также может присоединиться к новому домену как часть процесса.
Поскольку Outlook уже настроен под их существующим профилем, использование того же профиля должно работать нормально.
Единственная возможная странность - это наличие пользователя с именем mbrackett (например, из-за правил, диктованных первым инициалом, фамилией), имеющим %USERPROFILE% из C:\Users\mark (например, потому что это было имя старой учетной записи).
Бесплатно от Microsoft Средство миграции пользовательской среды Windows здесь может помочь. Я использовал его в небольших масштабах, преобразовывая учетные записи локальных пользователей в учетные записи домена.
Я столкнулся с несколькими небольшими глюками, но почти все оказалось в целости и сохранности.
Не бесплатно - я добился большого успеха с Квестом инструмент именно с этим вопросом -
Взгляните на набор инструментов Microsoft ADMT 3.x. Он позволяет вам перемещать пользователей (с паролями), а также компьютеры, общие профили и работы. Это довольно изящно. К нему прилагается довольно тяжелый (как обычно) документ, но, на мой взгляд, все сводится к довольно простой миграции. Если вы воспользуетесь Google AdMT, вы получите кучу хороших сообщений в блоге с основами.
-Тронд