  Restructurer un domaine Windows NT 4.0 vers Windows 2003
[60 mn de lecture - paru le 11/3/2003 - Public : Expert]
|
 
|
Auteur
2.
Restructuration des comptes du domaine nt 4.0
après avoir planifié la migration en ayant choisi la topologie cible, préparé les domaines sources et cibles et initialisé ADMT en lui faisant effectuer quelques taches pré installation dans le but de tests, nous allons maintenant passer à la migration du domaine Français vers une architecture Windows 2003.Celle-ci peut être faite par pallié dans la mesure où les étapes stipulées plus haut ont bien été accomplies.
La restructuration des comptes NT 4.0 demande une migration des utilisateurs, des groupes et des comptes de service existant dans le domaine source. Les comptes de domaine incluant des ressources, il faudra aussi migrer celles-ci. Dans l'ordre, il faut procéder par :
• Migrer les comptes de service
• Migrer les groupes globaux
• Migrer les comptes utilisateurs par grappe
• Migrer les comptes ordinateurs
• Effectuer les taches post migration
2.1.
Migration des comptes de service
Nous allons commencer le processus de migration en transvasant les comptes de service identifiés plus haut. L'utilisation d'ADMT permet de :
• Migrer les comptes de services depuis NT 4 vers notre domaine cible
• Modifier les services de chaque serveur du domaine source, afin qu'il utilise les comptes de service du domaine cible, à la place des siens
Attention
l'ADMT ne met à jour que le droit log on as a service (se connecter en tant que service). Si un compte de service a d'autres droits du à son appartenance à groupe local spécifique, il faudra à la suite mettre à jour ses droits en utilisant l'assistant de transvasement de sécurité.
Pour migrer les comptes de service, après s'être logué sur le domaine cible avec le compte administrateur ( pas le compte res_migrator ), suivre les étapes suivantes :
Page de l'assistant |
Action |
Tester ou effectuer des changements |
Choisir Effectuer la migration maintenant |
Sélection du domaine |
Dans l‘onglet Domaine source, sélectionner le nom du domaine source.
Dans l'onglet Domaine cible, sélectionner le nom du domaine cible. |
Sélection des utilisateurs |
Cliquer sur Ajouter .
Dans la liste déroulante Sélection Utilisateurs , choisir tous les comptes de service identifiés précédemment et cliquer sur Ajouter.
Cliquer sur OK . |
Sélection de l'unité d'organisation |
Cliquer sur Parcourir
Dans la boite de dialogue Parcourir le conteneur , naviguer dans le domaine cible, et choisir le conteneur pour les comptes de service, puis cliquer sur OK. |
Options de mot de passe |
Choisir Mots de passe complexes . |
Options de transition de compte |
Choisir Activer les comptes cibles .
Choisir la boite Effectuer la migration des identificateurs SID des utilisateurs vers le domaine cible . |
Compte d'utilisateur |
Entrer les login, mot de passe et domaine d'un membre du groupe administrateurs. |
User Options |
Sélectionner la case Mettre à jour les droits des utilisateurs
S'assurer que Ne pas renommer les comptes est sélectionné
Ne RIEN choisir d'autre. |
Conflits de nommage |
Sélectionner Ignorer les comptes conflictuels et ne pas effectuer la migration . |
Informations de comptes de service |
Choisir Migrer tous les comptes de service et mettre à jour le SCM pour les objets marqués inclure .
Cliquer sur suivant |
• A la fin de l'assistant, vérifier les fichiers log pour s'assurer qu'il n'y a pas d'erreur
• Lancer utilisateurs et ordinateurs pour vérifier que les comptes de services sont bien présents
• Vérifier que les applications nécessitant ces comptes fonctionnent toujours.
2.2.
Migration des groupes globaux
Afin de préserver l'appartenance aux groupes, il faut migrer les groupes globaux avant les utilisateurs. Pour migrer les groupes en utilisant ADMT, voici les étapes à suivre :
Page de l'assistant |
Action |
Tester ou effectuer des changements |
Sélectionner Effectuer la migration maintenant |
Sélection du domaine |
Dans l‘onglet Domaine source , sélectionner le nom NetBIOS du domaine source.
Dans l'onglet Domaine cible , sélectionner le nom NetBIOS ou DNS du domaine cible. |
Sélection des groupes |
Cliquer sur Ajouter .
Dans la boite de dialogue Sélection des groupes , choisir tous les groupes globaux à migrer (sauf les groupes prédéfinis), choisir Ajouter puis OK. |
Sélection de l'unité d'organisation |
Choisir le nom de l'OU ou faire Parcourir , chercher le conteneur du domaine cible vers lequel déplacer les groupes (par défaut users) et cliquer sur OK . |
Options de groupe |
Sélectionner Effectuer la migration des identificateurs SID de groupe vers le domaine cible .
Sélectionner Ne pas renommer les comptes .
S' assurer que toutes les autres options sont décochées. |
Compte d'utilisateur |
Entrer les login, mot de passe et domaine d'un membre du groupe administrateurs. |
Conflits de nommage |
Sélectionner Ignorer les comptes conflictuels et ne pas effectuer la migration |
• Lorsque l'assistant a fini de s'exécuter, vérifier les fichiers log pour s'assurer qu'il n'y a pas d'erreur.
• Lancer utilisateurs et ordinateurs, et naviguer jusqu'à l'OU où les groupes ont été exportés afin de s'assurer qu'ils existent bien.
2.3
Migration des comptes utilisateurs par grappe
Pour démarrer la migration, il faut commencer par un petit nombre pour faire des test et voir s'ils sont capables d'accéder aux ressources après le transvasement entre les domaines. Puis, migrer le reste des utilisateurs par grappe de 50, ou plus simplement par ardre alphabétique. A la suite de la migration, des évènements d'audit sont créés dans les deux domaines, du fait du choix de basculer l'historique des SID.
L'utilisation de ADMT pour migrer les comptes préserve les appartenances aux groupes. Dans la mesure où un groupe ne peut contenir que des membres de son propre domaine, les utilisateurs déplacés dans le groupe cible ne sont plus membres de groupes du domaine source. C'est pourquoi ADMT place automatiquement les utilisateurs déplacés dans les copies des groupes.
ADMT gère tout seul la migration des mots de passe si la préparation vue plus haut a bien été effectuée.
Attention
il n'est pas toujours possible de migrer toutes les caractéristiques des utilisateurs lors du transvasement, il faut donc tester complètement la migration afin d'identifier si une propriété particulière a été perdu pendant le processus et la rajouter. Ainsi les caractéristiques des objets Builtin comme le compte administrateur ne sont pas migrées, il faudra les ajouter à la main.
Afin de migrer les utilisateurs correctement, suivre les instructions suivantes :
Page de l'assistant |
Action |
Tester ou effectuer des changements |
Cliquer sur Effectuer la migration maintenant |
Sélection du domaine |
Dans l‘onglet Domaine source , sélectionner le nom NetBIOS du domaine source.
Dans l'onglet Domaine cible , sélectionner le nom NetBIOS ou DNS du domaine cible. |
Sélection des utilisateurs |
Cliquer sur Ajouter .
Dans la boite de dialogue Sélection Utilisateurs , choisir tous les comptes utilisateurs à migrer (sauf les comptes prédéfinis), choisir Ajouter puis OK . |
Sélection de l'unité d'organisation |
ADMT liste ici une OU, la laisser comme telle ou corriger au choix. Puis cliquer sur OK . |
Options de mot de passe |
Sélectionner Migrer les mots de passe . |
Options de transition de compte |
Sélectionner Activer les comptes cibles .
Sélectionner la case Effectuer la migration des identificateurs SID des utilisateurs vers le domaine cible . |
Compte d'utilisateur |
Entrer les login, mot de passe et domaine d'un membre du groupe administrateurs. |
Options de l'utilisateur |
Sélectionner la case Traduire les profils itinérants
Sélectionner la case Mettre à jour les droits des utilisateurs
Décocher la case Effectuer la migration des groupes d'utilisateurs associés
Sélectionner la case Corriger les appartenances du groupe d'utilisateurs .
Sélectionner la case Ne pas renommer les comptes |
Conflits de nommage |
Cliquer sur Ignorer les comptes conflictuels et ne pas effectuer la migration |
• Lorsque l'assistant a fini son exécution, vérifier les fichiers log afin de s'assurer qu'il n'y a pas d'erreur.
• Lancer utilisateurs et ordinateurs, et naviguer jusqu'à l'OU où les utilisateurs ont été exportés afin de s'assurer qu'ils existent bien.
2.4
Migration des profiles utilisateurs
Les profiles contiennent l'état du bureau ainsi que les données utilisateurs du domaine source.
ADMT ne peut migrer les profiles que depuis des stations Windows NT 4.0, Windows 2000 et Windows XP. Il faudra donc faire attention aux utilisateurs étant encore sous Windows 98. De plus, La migration de profiles tests doit immédiatement suivre celle de la grappe d'utilisateurs test, avant même de vérifier leur consistance.
Si la translation de profile d'un utilisateur échoue, celui-c ne pourra pas s'authentifier sur le domaine cible. Bien que la migration des profiles itinérants soit prise en compte lors du processus de transvasement des comptes utilisateurs, il est cependant obligatoire de transvaser une copie locale de ceux-ci
Afin de migrer correctement les profiles locaux, lancer l'assistant de traduction de la sécurité et faire comme suit :
Page de l'assistant |
Action |
Tester ou effectuer des changements |
Sélectionner Effectuer la migration maintenant |
Options de traduction de la sécurité |
Sélectionner Objets précédemment inclus dans une migration |
Sélection du domaine |
dans la case Domaine source , entrer le nom du domaine source.
Dans la case Domaine cible , entrer le nom du domaine cible |
Sélection Ordinateur |
Cliquer sur Ajouter et ajouter les ordinateurs du domaine, contenant des comptes d'ordinateur. |
Traduire les objets |
Sélectionner Profil des utilisateurs. |
Options de traduction de la sécurité |
Sélectionner Remplacer |
Après la migration des profiles utilisateur locaux, il faut vérifier son succès, pour se faire :
• Vérifier le message de statut de chaque ordinateur pour lequel une migration de profile à eu lieu.
• Pour les ordinateur dont le statut n'est pas Succès , vérifier dans les fichiers log les raison de cet échec.
• Pour chaque ordinateur dont le statut est à Succès , cliquer sur Détail de Agent et vérifier le rapport
• Utiliser l'assistant Nouvelle tentative d'exécution des taches pour relancer la procédure sur les ordinateurs qui ont posé problème.
• Tester la connexion d'un utilisateur depuis le PDNF (penser à modifier la stratégie local du contrôleur de domaine pour permettre temporairement la connexion d'un compte sans privilège.
Attention
Si le profil n'est pas trouvé, c'est probablement q'un problème d'autorisation a eu lieu lors de son rapatriement, ainsi chez NET2S, seul les groupes globaaux SYNET1 utilisateurs du domaine et Admins du domaine peuvent accéder au partage, y ajouter NET2S\utilisateurs du domaine et NET2S\Admins du domaine afin que la connexion au partage sur PDC ou Net2s-Fic se fasse. Penser aussi à modifier les sous-dossiers contenant les noms des profiles.
Pour chaque grappe d'utilisateurs migrée, il faut de même déplacer une grappe contenant les stations de ceux-ci, de sorte que compte utilisateur et ordinateur existent dans le domaine cible, lorsque l'utilisateur se logue.
Lors du déplacement de comptes ordinateurs entre les domaines, la base SAM se déplace aussi. Les comptes situés dans la base SAM locale (ex : les groupes locaux) se déplacent en même temps, il n'y a donc pas d'étape de plus à exécuter.
Attention : Il faut immédiatement redémarrer les stations de travail qui ont été déplacées afin que leurs ressources ne restent pas dans un état dit ‘'indéterminé''.
Afin de migrer correctement les comptes ordinateurs, procéder comme suit :
Page de l'assistant |
Action |
Tester ou effectuer des changements |
Sélectionner Effectuer la migration maintenant |
Sélection du domaine |
Dans l‘onglet Domaine source , sélectionner le nom NetBIOS du domaine source.
Dans l'onglet Domaine cible , sélectionner le nom NetBIOS ou DNS du domaine cible. |
Sélection Ordinateur |
Cliquer sur Ajouter .
Dans la boite de dialogue Sélectionner Ordinateurs , choisir tous les comptes ordinateur à migrer, choisir Ajouter puis OK . . |
Sélection de l'unité d'organisation |
Cliquer sur Parcourir .
Dans la boite de dialogue Parcourir le conteneur , chercher le container vers lequel les ordinateurs vont être migrés, puis cliquer sur OK . |
Traduire les objets |
S'assurer qu'aucune case ne soit sélectionnée. |
Computer Options |
Dans Temps en minutes avant le redémarrage des ordinateurs à la fin de l'assistant , taper une valeur, par exemple 1.
Sélectionner Do ne pas renommer les ordinateurs. |
Conflits de nommage |
Sélectionner Ignorer les comptes conflictuels et ne pas effectuer la migration. |
• Lorsque l'assistant a fini de s'exécuter, vérifier les fichiers log, afin de s'assurer qu'il n'y a pas d'erreur. En cas d'erreur, lancer l'assistant Nouvelle tentative d'exécution des taches pour dispatcher des agents sur les stations à problème
• Lancer utilisateurs et ordinateurs, et naviguer jusqu'à l'OU où les ordinateurs ont été exportés afin de s'assurer qu'ils existent bien.
• Modifier le domaine des ordinateurs en spécifiant le nouveau, à la main ou en utilisant l'outil Netdom.
Après avoir migré les comptes utilisateurs, groupes, … vers le domaine cible, il faut compléter le processus de migration de comptes. Pour ce faire :
• Transférer l'administration des utilisateurs et groupes vers le domaine cible en :
• Stoppant l'administration des utilisateurs et groupes du domaine source
• Maintenant au moins un contrôleur de domaine dans le domaine SYNET1 jusqu'à la fin totale de la migration
• Sauvegardant le PDC du domaine source
• Commencer l'administration des utilisateurs et groupes du domaine cible.
• Supprimer les relations d'approbation entre le domaine NT 4.0 et le nouveau domaine.
• Supprimer le compte utilisé pour la migration
• Au cas où un groupe ou utilisateur affiche account unknown , lancer l'assistant Traduction de la sécurité pour nettoyer les entrées.
|
8889 Visites
Jonathan BISMUTH
[15 mn de lecture - paru le 11/2/2003 - Public : Débutant]