Verschieben von Objekten in Active Directory
Objekte um in Active Directory Umzug verbunden sein können Objekte von einem Ort zum anderen innerhalb einer Domäne bewegen, oder Sie können Objekte von einer Domäne in eine andere verschieben. Sie müssen die Details mit jedem Betrieb für die MCSE Directory Services Prüfung im Zusammenhang kennen. Glücklicherweise brauchen Sie nur ein paar einfache Regeln zu erinnern.
Verschieben von Objekten innerhalb einer Domäne
Verschieben von Objekten innerhalb einer Domäne ist ein einfacher Prozess: Genau richtig, klicken Sie auf das Objekt und verschieben wählen. Windows 2000 zeigt ein Dialogfeld, in dem Sie einfach das Ziel Container-Objekt für den Umzug wählen. (In neueren Versionen von Windows 2000 können Sie per Drag & Active Directory-Objekte von einer OU zum anderen fallen.)
Ein reales Beispiel eines Objekts innerhalb einer Domäne Umlagern eines Benutzerkontos aus einer OU zum anderen, wenn der Benutzer Übertragungen von einer Abteilung zur anderen in Ihrer Organisation. Verschieben das Konto des Benutzers ermöglicht dem Anwender die Vorteile und Einschränkungen erhalten Sie für die neue OU definiert haben.
Was nicht so einfach ist (und was Sie brauchen für die Prüfung zu wissen) ist die Wirkung, die auf Berechtigungen Objekte hat zu bewegen. Hier sind die Regeln, die Sie wissen müssen:
- Berechtigungen, die Sie direkt zu einem Active Directory-Objekt zuweisen, bleiben mit dem Objekt, nachdem Sie das Objekt bewegen.
- Das Objekt erbt die Berechtigungen für die neue OU zugewiesen und verliert alle zuvor geerbten Berechtigungen.
Sie haben vielleicht schon diese eine herausgefunden: Eine ausgezeichnete Strategie Active Directory-Objekte für die Verwaltung ist es, Objekte zu verschieben, die ähnliche Berechtigungseinstellungen in der gleichen OU benötigen. Auf diese Weise können Sie ganz einfach Ihr Netzwerk verwalten, Berechtigungen zuweisen und Autorität effektiv mit nur wenigen Mausklicks zu delegieren.
Verschieben von Objekten zwischen Domänen
In einem mit mehreren Domänen Windows 2000 Wald, können Sie Objekte (Benutzer, Organisationseinheiten, Gruppen) zwischen diesen mehreren Domänen verschieben müssen. Sie verwenden die MoveTree Kommandozeilenprogramm viele dieser Operationen auszuführen.
Wenn Sie Benutzer und Gruppen in eine neue Domäne verschieben, wird sie neue Sicherheitskennungen (SIDs). Glücklicherweise Windows 2000 im einheitlichen Modus ausgeführt unterstützt das Attribut SIDHistory. Wie Sie einen Benutzer von Domäne zu Domäne verschieben, Windows 2000 auffüllt SIDHistory, so dass Sie jedes Mal, Berechtigungen für Objekte nicht zurückgesetzt müssen Sie den Verschiebungsvorgang auszuführen.
MoveTree hilft Ihnen bei den meisten Bewegungsoperationen zwischen den Domänen. Und in jenen Fällen, in denen MoveTree nicht die Arbeit machen können, können Sie zu einem anderen Dienstprogramm drehen genannt NETDOM. MoveTree kann
- Bewegen Sie die meisten Active Directory-Objekte (einschließlich nicht leere Container) von einer Domäne in eine andere in der gleichen Gesamtstruktur.
- Verschieben Domäne lokale und globale Gruppen zwischen den Domänen. Diese Gruppen können nicht Mitglieder enthalten, jedoch. Die Domänen müssen innerhalb der gleichen Gesamtstruktur vorhanden sind.
- Bewegen Sie universelle Gruppen und ihre Mitglieder zwischen den Domänen des gleichen Wald.
MoveTree bewegen kann die meisten Active Directory-Objekte. Diejenigen, die es sich nicht bewegen kann, wenn Sie versuchen, Gruppen von Objekten zu verlagern werden verwaist. Windows 2000 Stellen diese verwaiste Objekte in einem speziellen Container genannt LostAndFound. Sie können diesen Container anzeigen, indem Sie die Advanced View-Funktion von Active Directory-Benutzer und -Computer.
Sie müssen die entsprechenden Administratorrechte verfügen, MoveTree von der Eingabeaufforderung zu verwenden. Dieser Befehl verwendet die folgende Syntax:
MoveTree / Start / s SrcDSA / d DstDSA / sDN SrcDN / ddn DstDN [/ U [Domain]Benutzername / p Passwort] [/ Verbose] [/? ]
Die kursiv gesetzten Einträge in dieser Syntax stellen Informationen, die Sie müssen. Tabelle 1 beschreibt die Optionen, die Sie mit dem MoveTree Befehl verwenden können.
Tabelle 1 MoveTree Befehl Wechsel
Schalter | Was es macht |
/Anfang | Leitet den Verschiebevorgang. |
/ startnocheck | Startet ein MoveTree Betrieb ohne / Check. |
/fortsetzen | Setzt die Ausführung eines zuvor eingefrorenen oder MoveTree Vorgang ist fehlgeschlagen. |
/prüfen | Führt einen Testlauf des MoveTree Betrieb. |
/ S SrcDSA | Gibt den vollständig qualifizierten Domänennamen des Quellservers (FQDN). |
/ D DstDSA | Gibt den FQDN des Zielservers. |
/ SDN SrcDN | Gibt den definierten Namen des Objekts, das Sie von der Quelle zu bewegen. |
/ Ddn DstDN | Gibt den definierten Namen des Objekts, das Sie an das Ziel bewegen. |
/ u | Läuft MoveTree unter den Anmeldeinformationen des Benutzernamen und Passwort zur Verfügung gestellt. |
/ verbose | Ursachen MoveTree mehr Details anzuzeigen, wie es läuft. |
/? | Zeigt Hilfe über MoveTree. |
MoveTree erstellt Protokolldateien, wenn Operationen ausgeführt werden. Sie können diese Protokolldateien für Informationen über den Erfolg oder Misserfolg von MoveTree Ereignisse überprüfen:
- MoveTree.err: Listet alle Fehler aufgetreten sind.
- MOVETREE.LOG: Führt die statistischen Ergebnisse der Operation.
- MOVETREE.CHK: Listet alle erkannten Fehler von MoveTree im Prüfmodus ausgeführt wird.
MoveTree bewegt Computerobjekte von einer Domäne in eine andere für Sie, aber es kann den Computer nicht aus der Quelldomäne abzutrennen und es in die Zieldomäne beizutreten. Diese Einschränkung macht NETDOM ein viel besseres Werkzeug für Computer zwischen Domänen in einer Windows 2000 Active Directory-Umgebung zu bewegen.
NETDOM verwendet die folgende Syntax Computerkonten zu verschieben:
MoveTree {/ NETDOM move / D:Domain [/ OU:ou_path] [/ Ud:Benutzer / Pd: *] [/ UO:Benutzer / Po:Passwort] [/ Reboot: [time_in_seconds]]
Tabelle 2 beschreibt die Optionen, die Sie mit dem NETDOM Befehl verwenden.
Tabelle 2 NETDOM Befehl Wechsel
Schalter | Was es macht |
/Domain | Bezeichnet die Zieldomäne. |
/ OU: ou_path | Gibt das Ziel OU. |
/ Ud: User | Gibt das Benutzerkonto verwendet, um die Verbindung mit der Zieldomäne zu machen. |
Pd: Passwort | Gibt das Kennwort für das Benutzerkonto an, das Ziel domänen zu verbinden, wenn Sie * verwenden, NETDOM das Paßwort abfragt. |
/ UO: User | Identifiziert das Benutzerkonto verwendet, um die Verbindung zum Quelldomäne zu machen. |
/ Po: * | Gibt das Kennwort für das Benutzerkonto an, das ursprüngliche domänen zu verbinden, wenn Sie * verwenden, NETDOM das Paßwort abfragt. |
/ Reboot: [time_in_seconds] | Gibt an, dass der Computer heruntergefahren bewegt werden soll und automatisch in die angegebene Anzahl von Sekunden nach dem Verschiebevorgang neu starten. |