Migracja kont z domeny A do domeny B- MS Windows 2003

Poniżej przedstawiam krótki opis krok po kroku, jak przenieść konta użytkowników z domeny A do domeny B (na przykładzie MS Windows 2003) na poszczególnych komputerach z zachowaniem profili.
Istnieje kilka sprawdzonych sposobów na bezproblemową migrację. W tym poście opiszę tą czynność przy pomocy narzędzia ADMT (Active Directory Migration Tool) i Security Translation Wizard.
Zakładam, że w domenie docelowej B istnieją już odpowiednie konta, odpowiadające kontom z domeny A.
Poniższe czynności przeprowadzić należy na kontrolerze domeny A.
1. Pierwszą rzeczą jaką musimy zrobić, to przygotować sobie plik ze wszystkimi kontami (SID’ami), jakie chcemy zmigrować.
Do tego celu posłuży nam narzędzie GETSID. Przygotowujemy plik .txt z zawartością:
getsid \domainA nazwa_konta1_z_domeny_A \domainB nazwa_konta1_z_domeny_B >>migracja.txt
getsid \domainA nazwa_konta2_z_domeny_A \domainB nazwa_konta2_z_domeny_B >>migracja.txt

Zapisujemy tak przygotowany plik z rozszerzeniem .bat.
Po uruchomieniu naszego bat’a stworzył nam się plik ‘migracja.txt’ mniej więcej z taką zawartością:

The SID for account domainAnazwa_konta1_z_domeny_A does not match account domainBnazwa_konta1_z_domeny_B
The SID for account domainAnazwa_konta1_z_domeny_A is S-1-2-34-567890123-45678901-234567890-12345
The SID for account domainBnazwa_konta1_z_domeny_B is S-1-0-98-54896447-587875785-56454554555-4557
The SID for account domainAnazwa_konta2_z_domeny_A does not match account domainBnazwa_konta2_z_domeny_B
The SID for account domainAnazwa_konta2_z_domeny_A is S-1-0-58-7884646-25588745-111477788-1776475
The SID for account domainBnazwa_konta2_z_domeny_B is S-1-3-54-45886335-4533675252-4574576545-6542
Teraz musimy go trochę ‘obrobić’. Usuwamy wszystko oprócz SID’ów, do postaci:
S-1-2-34-567890123-45678901-234567890-12845,S-1-0-98-54896447-58775785-5644554555-4557
S-1-0-58-7884646-25588745-111477788-1776475,S-1-3-54-4586335-4533675252-457456545-6542
2. Teraz należy się przelogować na konto domenowe z prawami lokalnego administratora.
Odpalamy mmc i dodajemy przystawkę ‘Active Directory Migration Tool’. Prawym myszy na ADMT i wybieramy Security Translation Wizard.
Pojawia się okno powitalne, klikamy NEXT.
W oknie Security Translation Options zaznaczamy ‘Other objects specified in a file’ i w polu ‘Sid mapping file’ wskazujemy ścieżkę do naszego pliku migracja.txt. Klikamy NEXT.
Następnie w oknie ‘Computer Selection’ dodajemy te komputery które chcemy przepiąć do ‘domainB’ i na których istnieją profile migrowanych kont. Opcję ‘Additional trusting domain’ pozostawiamy pustą. Klikamy NEXT.

W oknie Translate Objects zaznaczamy co chcemy poprzekładać: pliki i foldery, grupy lokalne, drukarki itd. klikamy NEXT.

W oknie Security Translation Options zaznaczamy ‘Replace’. Pojawi się komunikat: ‘User rights translation will be performed in ‘Add’ mode only. Any other objects will be translated in adherence to your mode selection.’ Klikamy OK.
Przechodzimy do okna kończącego proces, klikamy FINISH.
Pojawia się okno Active Directory Migration Toll Agent Dialog z listą naszych komputerów, które wcześniej zdefiniowaliśmy.
Agent umożliwia nam dwie akcje: ‘Run pre-check’ oraz ‘Run pre-check and agent operation’
Zalecam zawsze najpierw uruchomić ‘Run pre-check’. W tym miejscu nasz kontroler sprawdza połączenie z komputerami występującymi na liście.
UWAGA!!! W CELU NAWIĄZANIA POŁĄCZENIA, NALEŻY WYŁĄCZYĆ FIREWALL NA KAŻDYM KOMPUTERZE
Poprawne nawiązanie połączenia zakończy się stanem ‘PASSED’. Teraz możemy uruchomić akcję ‘Run pre-check and agent operation’.
W zależności od ilości migrowanych danych, czas migracji może się wydłużyć.
Po zakończeniu powinniśmy zobaczyć stan ‘FINISHED’. Czasem mogą wystąpić jakieś błędy, wtedy należy zajrzeć do logu.
3. Teraz możemy komputery poprzepinać do nowej domeny domainB i zalogować się na nazwa_konta_z_domeny_B.
Użytkownik nie powinien zauważyć różnicy w swoim profilu, gdyż przenieśliśmy wszystkie jego obiekty.