Questo tools è stato studiato per spostare gli oggetti contenuti in un dominio Active Directory (users,password,computers,policy,groups, directory Exchange ecc….) ad un altro dominio, con la passibilità, ad esempio per gli users, di migrare anche la cronologia SID, che in parole povere è un attributo di un account migrato che contiene l'identificatore di protezione (SID) dell'account originale. Se, ad esempio, il Dominio A è il dominio di origine e il Dominio B è il dominio di destinazione, e se l'account viene migrato con Cronologia SID, l'account migrato nel Dominio B avrà un attributo che conserverà il SID dell'account originale dal Dominio A, di conseguenza consentirà all'account di accedere a tutte le risorse per cui disponeva dei necessari diritti nel Dominio A. Uno dei scenari tipici che richiedono l’utilizzo di questo tools è la migrazione degli account utente ed il relativo computer, quando si ha intenzione di installare un nuovo dominio ActiveDirectory e “rijoinare” i vari pc da un dominio all’altro. Questo passaggio senza l’utilizzo di ADMT causerà inevitabilmente la perdita del profilo utente che era legato al dominio originario con la conseguente generazione di un nuovo profile, ma avendo migrato i vari SID, tutta l’operazione del nuovo join risulta trasparente al vecchio profilo. Non voglio entrare nello specifico sull’argomento SID visto che richiederebbe molto tempo, ma soprattutto non riguarda direttamente questa mini guida.
OK, prima di spostare un qualsivoglia oggetto “che nello specifico sarà uno user” dobbiamo eseguire due passaggi che ritengo importanti per la corretta funzionalità di ADMT, e sono: rendere visibile a livello DNS i due domini, creare un TRUST tra di loro per le varie permission sugli oggetti.
1) A livello DNS ci creiamo su entrambi i domini una zona STUB del dominio remoto. La zona STUB non è altro che la copia locale dei principali record del server DNS remoto.
Apriamo la console del DNS Managerà tasto dx su zona di ricerca direttaà nuova zonaà selezionate zona di STUB e lasciate il flag su “Archivia la zona in ActiveDirectory”à nel nome inserite quello del dominio per esteso, quello DNS, per intenderci il classico domain.local e non domainà poi indicate l’ip del server DNS remoto ed il gioco è fatto. Se la zona viene segnalata con una X rossa cliccate con il tasto dx e selezionare “trasferisci dal master”. Questo va fatto su entrambi i domini.
2) Per il Trust andiamo nei strumenti amministrativi di Windows Server 2003 e clicchiamo su “Domini e trust di Active Directory”à tasto dx sul dominio, proprietà e poi trustà selezioniamo “Nuova relazione Trust”à nel campo nome mettiamo quello del Dominio remoto nel formato dns esteso “domain.local”à per semplificare l’operazione scegliamo come direzione del trust quello “Bidirezionale”à impostiamo il trust per entrambi i Dominià ora una credenzialità a livello amministrativo del dominio remoto “consiglio di mettere il nome utente comprensivo di dominio domain\administrator”à infine nel livello di autenticazione del trust in uscita selezioniamo “Autenticazione estesa a tutto il dominio” sia per quello locale che quello specificato. Ora basta confermare la relazione del Trust sia in ingresso che in uscita.
Ok, adesso siamo pronti ad installare in nostro tools, scaricabile qui: http://www.microsoft.com/downloads/details.aspx?FamilyID=788975b1-5849-4707-9817-8c9773c25c6c&DisplayLang=en
Fatta l’installazione troveremo il programma in questo percorso startàprogrammiàadministrative toolsàactive directory migration tools, aperta la console selezioniamo la cartella active directory migration tools tasto dx e selezioniamo “user account migration wizard”à possiamo selezionare un test di migrazione o la migrazione immediata, selezioniamo la secondaà specifichiamo il dominio sorgente e quello di destinazioneà add e selezioniamo l’account da migrareà adesso selezioniamo il contenitore di destinazione dell’account nel formato LDAP es: LDAP://domain.local/CN=Users,DC=domain,DC=localà selezioniamo “abilita account di destinazione” ed “esegui migrazione sid utente sul dominio di destinazione”à nella schermata “user options” ci sono delle informazione relative alla vostra impostazione di Dominio roaming profile, gruppi associati all’utente ecc. quindi selezionate quello che ritenete opportuno migrareà le prossime due schermate lasciatela nella configurazione di default. Alla fine della migrazione c’è una schermata che vi indicherà lo stato della stessa e nel caso eventuali errori.