Flyttande objekt i Active Directory - dummies

Flytta objekt runt i Active Directory kan innebära att objekt flyttas från en plats till en annan inom en domän, eller du kan behöva flytta objekt från en domän till en annan. Du behöver veta detaljerna som är kopplade till någon operation för MCSE Directory Services-tentamen. Lyckligtvis behöver du bara komma ihåg några enkla regler.

Flytta objekt inom en domän

Flytta objekt inom en domän är en enkel process: Högerklicka på objektet och välj Flytta. I Windows 2000 visas en dialogruta där du enkelt väljer destinationbehållarobjektet för flytten. (I nyare versioner av Windows 2000 kan du dra och släppa Active Directory-objekt från en OU till en annan.)

Ett verkligt exempel på att flytta ett objekt inom en domän innebär att man flyttar ett användarkonto från en OU till en annan när användaren överför från en avdelning till en annan i din organisation. Genom att flytta användarens konto kan användaren få de fördelar och begränsningar som du har definierat för den nya OU.

Vad som inte är lika enkelt (och vad du behöver veta för provet) är den effekt som rörliga objekt har på behörigheter. Här är de regler du måste veta:

• Tillstånd som du tilldelar direkt till ett Active Directory-objekt förblir med objektet när du flyttar objektet.
• Objektet ärver de behörigheter som tilldelats den nya OU och förlorar eventuella tidigare ärftliga behörigheter.

Du kanske redan har tänkt på den här: En utmärkt strategi för att administrera Active Directory-objekt är att flytta objekt som behöver liknande behörighetsinställningar i samma OU. Genom att göra det kan du enkelt hantera ditt nätverk, tilldela behörigheter och delegera myndighet effektivt med bara några musklick.

Flytta objekt mellan domäner

I en domän med flera domäner i Windows 2000 kan du behöva flytta objekt (användare, organisatoriska enheter, grupper) mellan dessa flera domäner. Du använder MOVETREE-kommandoradsverktyget för att utföra många av dessa operationer.

När du flyttar användare och grupper till en ny domän får de nya säkerhetsidentifierare (SID). Lyckligtvis kan Windows 2000 som körs i inbyggt läge stödja ett attribut som heter SIDHistory. När du flyttar en användare från domän till domän, fyller Windows 2000 SIDHistory så att du inte behöver återställa behörigheter till objekt varje gång du utför flyttningsoperationen.

MOVETREE hjälper dig med de flesta flyttningar mellan domäner. Och i de fall där MOVETREE inte kan göra jobbet, kan du gå till ett annat verktyg som heter NETDOM.MOVETREE kan

• Flytta de flesta Active Directory-objekt (inklusive icke-behållare) från en domän till en annan i samma skog.
• Flytta domän lokala och globala grupper mellan domäner. Dessa grupper kan emellertid inte innehålla medlemmar. Domänerna måste existera inom samma skog.
• Flytta universella grupper och deras medlemmar mellan domäner i samma skog.

MOVETREE kan flytta mest Active Directory-objekt. De som den inte kan flytta när du försöker flytta grupper av objekt blir föräldralösa . Windows 2000 placerar dessa föräldralösa objekt i en särskild behållare som heter LostAndFound. Du kan se den här behållaren med hjälp av funktionen Avancerad vy i Active Directory-användare och datorer.

Du måste ha rätt administrativ behörighet att använda MOVETREE från kommandotolken. Kommandot använder följande syntax:

MOVETREE {/ start | / startnocheck | / fortsätt | / / d DstDSA / sdn SrcDN / ddn DstDN [/ u [ Domän ] Användarnamn / p Lösenord ] [/ verbose] [{/? | / help}] De kursiverade posterna i den här syntaxen representerar information du måste tillhandahålla. Tabell 1 beskriver de växlar du kan använda med kommandot MOVETREE. Tabell 1 MOVETREE Kommandokontakter

Switch

Vad det gör

/ start	Startar flyttningsoperationen.
/ startnocheck	Startar en MOVETREE-funktion med nej / kontroll.
/ fortsätt	Fortsätter utförandet av en tidigare pausad eller misslyckad MOVETREE-operation.
/ check	Utför en testkörning av funktionen MOVETREE.
/ s SrcDSA	Anger källserverns fullt kvalificerade domännamn (FQDN).
/ d DstDSA	Anger destinationsserverns FQDN.
/ sdn SrcDN	Anger namnet på det objekt du flyttar från källan.
/ ddn DstDN	Anger det utmärkande namnet på objektet som du flyttar till destinationen.
/ u	Körar MOVETREE under inloggningsuppgifterna för användarnamnet och lösenordet.
/ verbose	Orsakar MOVETREE för att visa mer information när den körs.
/?	Visar hjälp om MOVETREE.
MOVETREE skapar loggfiler när åtgärder utförs. Du kan kontrollera dessa loggfiler för information om framgång eller misslyckande av MOVETREE-händelser:	MOVETREE. ERR: Visar eventuella fel.

MOVETREE. LOG: Visar statistiska resultat av operationen.

• MOVETREE. CHK: Visar alla fel som detekteras från MOVETREE som körs i kontrollläget.
• MOVETREE flyttar datorobjekt från en domän till en annan för dig, men den kan inte avbryta datorn från källdomänen och ansluta den till måldomenen. Denna begränsning gör NETDOM till ett mycket bättre verktyg för att flytta datorer mellan domäner i en Windows 2000 Active Directory-inställning.
• NETDOM använder följande syntax för att flytta datorkonton:

MOVETREE {/ NETDOM move / D:

domän

[/ OU: ou_path ] [/ Ud: Användare / Pd: { Lösenord | *}] [/ Uo: Användare / Po: { Lösenord | *}] [/ Reboot: time_in_seconds ]] Tabell 2 beskriver de växlar du använder med NETDOM-kommandot. Tabell 2 NETDOM Command Switches

Switch

Vad det gör

/ domän	Identifierar måldomänen.
/ OU: ou_path	Anger målet OU.
/ Ud: Användare	Anger det användarkonto som används för att ansluta till måldomänen.
Pd: {Lösenord | *}	Anger lösenordet för användarkontot som används för att ansluta till destinationsdomänen; Om du använder *, frågar NETDOM för lösenordet.
/ Uo: Användare	Identifierar användarkontot som används för att ansluta till källdomänen.
/ Po: {Lösenord | *}	Anger lösenordet för användarkontot som används för att ansluta till den ursprungliga domänen; Om du använder *, frågar NETDOM för lösenordet.
/ Reboot: [time_in_seconds]	Anger att datorn som flyttas ska stängas av och starta om automatiskt i det angivna antalet sekunder efter flyttningen.