ADMT Migración y Reestructuración de Dominios

Gua de ADMT: Migracin y reestructuracin de dominios de Active Directory
Microsoft Corporation Publicado: Junio de 2010 Autor: Justin Hall Editores: Jim Becker, Margery Spears
Resumen
En esta gua se explica cmo usar la Herramienta de migracin para Active Directory Migration Tool versin 3.1 (ADMT v3.1) o ADMT v3.2 para migrar usuarios, grupos, cuentas de servicio administradas y equipos entre dominios de Active Directory en bosques diferentes (migracin entre bosques) o entre dominios de Active Directory en el mismo bosque (migracin interna del bosque). Tambin se muestra cmo usar ADMT para realizar la conversin de seguridad entre distintos bosques de Active Directory.
La informacin contenida en este documento, incluidas las direcciones URL y las referencias a otros sitios Web de Internet, est sujeta a cambios sin previo aviso. A menos que se indique lo contrario, los nombres de las compaas, organizaciones, productos, nombre de dominio, direcciones de correo electrnico, logotipos, personas, lugares y acontecimientos aqu mencionados son ficticios y no representan de ningn modo a ninguna compaa, organizacin, producto, nombre de dominio, direccin de correo electrnico, logotipo, persona, lugar o acontecimiento real. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Sin limitacin en los derechos de autor, ninguna parte de este documento puede reproducirse o transmitirse de ninguna forma, ni por ningn medio, ya sea electrnico, mecnico, fotocopiado, grabado o cualquier otro, con ningn propsito, sin la previa autorizacin por escrito de Microsoft Corporation. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y otros derechos de propiedad intelectual sobre el contenido de este documento. El suministro de este documento no le otorga ninguna licencia sobre estas patentes, marcas, derechos de autor u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato por escrito de licencia de Microsoft. 2010 Microsoft Corporation. Reservados todos los derechos. Active Directory, Microsoft, Windows y Windows Server son marcas registradas o marcas comerciales de Microsoft Corporation en EE.UU. y/o en otros pases. Los nombres de compaas reales y productos que se mencionan aqu pueden ser marcas registradas de sus respectivos propietarios.
Contenido
Gua de ADMT: Migracin y reestructuracin de dominios de Active Directory...............................1 Resumen..................................................................................................................................1 Contenido........................................................................................................................................3 Gua de ADMT: Migracin y reestructuracin de dominios de Active Directory.............................10 Reestructuracin de dominios de Active Directory entre bosques.............................................11 Reestructuracin de dominios de Active Directory dentro de un mismo bosque.......................11 Trminos y definiciones.............................................................................................................12 Herramienta de migracin para Active Directory.......................................................................13 Uso de un archivo de inclusin...............................................................................................15 Campo SourceName..........................................................................................................16 Campo TargetName............................................................................................................16 Campos TargetRDN, TargetSAM y TargetUPN...................................................................17 Cambio de nombre de objetos............................................................................................17 Uso de un archivo de exclusin..........................................................................................18 Uso de secuencias de comandos...........................................................................................18 Herramienta de migracin Active Directory: versiones y entornos admitidos................................20 Compatibilidad con caractersticas de Windows Server ...........................................................23 Prcticas recomendadas para la migracin de Active Directory...................................................24 Prcticas recomendadas para el uso de la Herramienta de migracin para Active Directory.......24 Prcticas recomendadas para la realizacin de migraciones de cuentas de grupo y usuario......25 Prcticas recomendadas para realizar migraciones de equipos...................................................27 Prcticas recomendadas para revertir una migracin...................................................................27 Reestructuracin de dominios de Active Directory entre distintos bosques..................................28 Lista de comprobacin: Realizacin de una migracin entre bosques.........................................28 Introduccin a la reestructuracin de dominios de Active Directory entre bosques......................32 Proceso para la reestructuracin de Active Directory entre bosques............................................32 Informacin general bsica para la reestructuracin de dominios de Active Directory entre bosques.....................................................................................................................................33 Proceso de migracin de cuenta...............................................................................................34 Proceso de migracin de recursos............................................................................................35
Planeamiento para la reestructuracin de dominios de Active Directory entre bosques...............35 Determinacin del proceso de migracin de cuentas...................................................................36 Uso del historial de SID para conservar el acceso a recursos......................................................38 Uso de filtrado de SID al migrar cuentas de usuarios...................................................................39 Asignacin de las funciones y ubicaciones de objetos.................................................................40 Desarrollo de un plan de prueba para la migracin......................................................................42 Creacin de un plan de reversin.................................................................................................44 Administracin de usuarios, grupos y perfiles de usuario.............................................................45 Administracin de cuentas de usuario.......................................................................................46 Atributos que el sistema excluye siempre..............................................................................47 Lista de exclusin de atributos del sistema............................................................................47 Lista de exclusin de atributos...............................................................................................47 Administracin de grupos globales............................................................................................47 Planeamiento para la migracin de perfil de usuario.................................................................48 Preparacin para la migracin de perfiles mviles con equipos que ejecutan Windows Vista y Windows 7..........................................................................................................................49 Creacin de un plan de comunicacin con los usuarios finales....................................................51 Informacin general...................................................................................................................51 Impacto......................................................................................................................................51 Estado de inicio de sesin durante la migracin........................................................................52 Pasos de migracin previa........................................................................................................52 Cambios esperados...................................................................................................................52 Programacin e informacin de soporte tcnico........................................................................52 Preparacin de los dominios de origen y destino..........................................................................52 Instalacin de software de cifrado alto de 128 bits.......................................................................53 Establecimiento de confianzas necesarias para la migracin.......................................................54 Establecimiento de cuentas de migracin para la migracin........................................................54 Configuracin de los dominios de origen y destino para la migracin del historial de SID...........58 Configuracin de la estructura de unidades organizativas del dominio de destino para la administracin...........................................................................................................................61 Instalacin de ADMT en el dominio de destino.............................................................................61 Instalacin de ADMT v3.1..........................................................................................................62 Requisitos previos para la instalacin de ADMT v3.1.............................................................62 Instalacin de ADMT v3.1 usando el almacn de la base de datos predeterminado.............62
Instalacin de ADMT v3.2..........................................................................................................66 Requisitos previos para la instalacin de ADMT v3.2.............................................................66 Instalar ADMT v3.2.................................................................................................................67 Separar un archivo de base de datos existente de una versin anterior de ADMT y de SQL Server............................................................................................................................68 Reconfigurar la instalacin de la base de datos con Admtdb.exe..............................................68 Reutilizar una base de datos de ADMT existente desde una instalacin anterior......................70 Habilitacin de la migracin de contraseas.................................................................................71 Inicializacin de ADMT ejecutando una migracin de prueba.......................................................75 Identificacin de cuentas de servicios para la migracin..............................................................78 Identificacin de las cuentas de servicio....................................................................................78 Migracin de cuentas....................................................................................................................84 Transicin de cuentas de servicio en su migracin.......................................................................85 Migracin de grupos globales.......................................................................................................92 Migracin de cuentas mientras utiliza el historial de SID..............................................................98 Migracin de cuentas de servicio administradas.........................................................................101 Migracin de todas las cuentas de usuario.................................................................................107 Repeticin de la migracin de las cuentas de usuario y migracin de las estaciones de trabajo en lotes.........................................................................................................................................115 Conversin de perfiles de usuario local...................................................................................115 Migracin de estaciones de trabajo en lotes............................................................................120 Repeticin de la migracin de las cuentas de usuarios en lotes.............................................128 Repeticin de la migracin de todos los grupos globales despus de la migracin de cuenta de usuario.................................................................................................................................134 Repeticin de la migracin de todos los grupos globales despus de migrar todos los lotes.....134 Migracin de cuentas sin utilizar el historial de SID....................................................................140 Migracin de cuentas de servicio administradas.........................................................................142 Migracin de todas las cuentas de usuario.................................................................................148 Conversin de seguridad en modo Agregar................................................................................155 Repeticin de la migracin de las cuentas de usuario y migracin de las estaciones de trabajo en lotes.........................................................................................................................................159 Conversin de perfiles de usuarios locales.............................................................................160 Migracin de estaciones de trabajo en lotes............................................................................164
Repeticin de la migracin de las cuentas de usuarios en lotes.............................................172 Repeticin de la migracin de todos los grupos globales despus de la migracin de cuenta de usuario.................................................................................................................................181 Repeticin de la migracin de todos los grupos globales despus de migrar todos los lotes.....182 Conversin de seguridad en modo Quitar...................................................................................187 Migracin de recursos.................................................................................................................191 Migracin de estaciones de trabajo y servidores miembro.........................................................192 Migrar grupos locales compartidos y de dominios......................................................................200 Migracin de controladores de dominio......................................................................................204 Finalizacin de la migracin........................................................................................................204 Conversin de seguridad en los servidores miembro.................................................................205 Cmo dar de baja el dominio de origen.......................................................................................211 Reestructuracin de dominios de Active Directory dentro de un mismo bosque.........................212 Lista de comprobacin: Realizacin de una migracin dentro del mismo bosque......................212 Introduccin a la reestructuracin de dominios de Active Directory dentro de un bosque mediante ................................................................................................................................................215 Reestructuracin de dominios de Active Directory dentro de un bosque mediante ADMT v3.1..216 Informacin general para la reestructuracin de dominios de Active Directory dentro de un bosque.....................................................................................................................................216 Conjuntos cerrados y conjuntos abiertos.................................................................................217 Usuarios y grupos................................................................................................................217 Recursos y grupos locales...................................................................................................219 Historial de SID........................................................................................................................219 Asignacin de acceso de recursos a grupos...........................................................................219 Preparacin para la reestructuracin de dominios de Active Directory dentro de un bosque.....220 Evaluacin de la nueva estructura de bosque de Active Directory..............................................221 Identificar los dominios de origen............................................................................................221 Identifique y evale la estructura de unidades organizativas del dominio de destino..............221 Asignacin de las funciones y ubicaciones de objetos de dominio.............................................222 Plan para la migracin de grupos...............................................................................................224 Plan para migraciones de prueba...............................................................................................226
Crear un plan de reversin..........................................................................................................228 Crear un plan de comunicacin con los usuarios finales............................................................229 Informacin general.................................................................................................................230 Impacto....................................................................................................................................230 Estado de inicio de sesin durante la migracin......................................................................230 Pasos de migracin previa......................................................................................................230 Cambios esperados.................................................................................................................230 Programacin e informacin de soporte tcnico......................................................................231 Creacin de grupos de cuentas de migracin.............................................................................231 Instalacin de ADMT en el dominio de destino...........................................................................233 Instalacin de ADMT v3.1........................................................................................................234 Requisitos previos para la instalacin de ADMT v3.1...........................................................234 Instalacin de ADMT v3.1 usando el almacn de la base de datos predeterminado...........234 Instalacin de ADMT v3.2........................................................................................................238 Requisitos previos para la instalacin de ADMT v3.2...........................................................238 Instalar ADMT v3.2...............................................................................................................239 Separar un archivo de base de datos existente de una versin anterior de ADMT y de SQL Server..........................................................................................................................240 Reconfigurar la instalacin de la base de datos con Admtdb.exe............................................240 Reutilizar una base de datos de ADMT existente desde una instalacin anterior....................242 Plan para transiciones de cuentas de servicios..........................................................................243 Ejemplo: Preparacin para la reestructuracin de dominios de Active Directory........................248 Migracin de objetos de dominio entre dominios de Active Directory.........................................249 Migracin de grupos...................................................................................................................250 Migrar grupos universales...........................................................................................................251 Migrar grupos globales................................................................................................................255 Migrar cuentas de sercivios........................................................................................................261 Migracin de cuentas de servicio administradas.........................................................................267 Migrar cuentas de usuario...........................................................................................................273 Migracin de unidades organizativas y subrboles de unidades organizativas..........................274 Migracin de cuentas..................................................................................................................275 Conversin de perfiles de usuarios locales.................................................................................281 Migracin de estaciones de trabajo y servidores miembro.........................................................286
Migrar grupos locales de dominios.............................................................................................295 Ejemplo: Reestructuracin de dominios de Active Directory.......................................................299 Finalizacin de las tareas posteriores a la migracin..................................................................300 Examen de los registros de migracin en busca de errores.......................................................301 Acceso a archivos de registro de ADMT..................................................................................301 Comprobar tipos de grupos.........................................................................................................301 Conversin de seguridad en los servidores miembro.................................................................302 Conversin de seguridad mediante un archivo de asignacin SID.............................................306 Baja del dominio de origen..........................................................................................................307 Ejemplo: Finalizacin de las tareas posteriores a la migracin...................................................307 Apndice: Procedimientos avanzados........................................................................................308 Configurar un controlador de dominio preferido..........................................................................308 Cambiar los nombres de objetos durante la migracin...............................................................310 Uso de un archivo de inclusin...................................................................................................311 Especificacin de un archivo de inclusin................................................................................311 Uso de un archivo de opciones...................................................................................................314 Solucin de problemas de ADMT................................................................................................316 Solucin de problemas de instalacin de ADMT.........................................................................316 Solucin de problemas relativos a la migracin de usuarios.......................................................317 Solucin de problemas relativos a la migracin de grupos.........................................................319 Solucin de problemas relativos a la migracin de cuentas de servicios....................................320 Solucin de problemas relativos a la migracin de cuentas de servicios administradas............321 Solucin de problemas relativos a la migracin de equipos........................................................323 Solucin de problemas relativos a la migracin de contraseas.................................................325 Solucin de problemas relativos a la conversin de seguridad...................................................326 Solucin de problemas relativos a la migracin dentro de un mismo bosque.............................328 Solucin de problemas relativos a los archivos de registro de ADMT.........................................330 Solucin de problemas relativos a la lnea de comandos de ADMT...........................................331
Solucin de problemas relativos a las operaciones de agentes..................................................331 Recursos adicionales..................................................................................................................333 Informacin relacionada..........................................................................................................333 Herramientas relacionadas......................................................................................................333 Ayudas para tareas relacionadas............................................................................................334
Gua de ADMT: Migracin y reestructuracin de dominios de Active Directory

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Si desea obtener una versin descargable de esta gua en formato .doc, consulte la Gua ADMT: Migracin y reestructuracin de dominios de Active Directory (http://go.microsoft.com/fwlink/? LinkId=191734) (en ingls). Como parte de la implementacin del servicio de directorio de Active Directory o de Servicios de dominio de Active Directory (AD DS), puede elegir reestructurar su entorno por los motivos siguientes: Para optimizar la disposicin de los elementos dentro de la estructura lgica de Active Directory Para ayudar a finalizar una fusin, adquisicin o desinversin empresarial La reestructuracin implica la migracin de recursos entre los dominios de Active Directory bien en el mismo bosque o en distintos bosques. Despus de implementar Active Directory o AD DS, podr decidir si desea reducir an ms la complejidad de su entorno reestructurando dominios entre bosques o reestructurando dominios dentro de un solo bosque. Puede usar la Herramienta de migracin Active Directory (ADMT) para realizar migraciones de objetos y conversiones de seguridad, en caso necesario, con el fin de que los usuarios puedan mantener el acceso a los recursos de red durante el proceso de migracin. Para obtener ms informacin acerca de las diferentes versiones de ADMT que existen, de cundo usar cada una y de cmo obtenerlas, consulte Herramienta de migracin Active Directory: versiones y entornos admitidos. En esta gua Prcticas recomendadas para la migracin de Active Directory Reestructuracin de dominios de Active Directory entre distintos bosques Reestructuracin de dominios de Active Directory dentro de un mismo bosque Apndice: Procedimientos avanzados Solucin de problemas de ADMT Recursos adicionales
En las siguientes secciones se explican los principales escenarios de migracin para el uso de ADMT. Una vez que determine el escenario adecuado para su entorno, siga los pasos correspondientes que se describen ms adelante en esta gua.
10
Reestructuracin de dominios de Active Directory entre bosques

Es posible que desee realizar una reestructuracin entre distintos bosques por cambios empresariales, como fusiones, adquisiciones o desinversiones, en los que las organizaciones deben combinar o dividir recursos. Como parte del proceso de reestructuracin, cuando migra objetos entre bosques, tanto los entornos de dominio de origen como el de destino existen simultneamente. Esto hace posible que, si fuera necesario, se pueda revertir al entorno de origen durante la migracin. No se admite la divisin o clonacin de bosques, por ejemplo, para acomodar la desinversin de una organizacin. Para obtener ms informacin, consulte Limitaciones de la reestructuracin (http://go.microsoft.com/fwlink/?LinkId=121736). Importante Si utiliza ADMT v3.1, todos los dominios de destino deben estar al menos en el nivel funcional nativo de Microsoft Windows 2000. Si utiliza ADMT v3.2, todos los dominios de origen y destino deben estar al menos en el nivel funcional de Windows Server 2003.
Reestructuracin de dominios de Active Directory dentro de un mismo bosque

Cuando reestructura los dominios de un bosque, puede consolidar su estructura de dominio y reducir la complejidad y sobrecarga administrativa. A diferencia del proceso de reestructuracin de dominios entre bosques, cuando se reestructuran dominios de un bosque, las cuentas migradas ya no existen en el dominio de origen. Por tanto, la reversin de la migracin slo puede tener lugar cuando se realiza de nuevo el proceso de migracin en orden inverso desde el dominio de destino anterior al dominio de origen anterior. Importante Si utiliza ADMT v3.1, todos los dominios de destino deben estar al menos en el nivel funcional nativo de Windows 2000. Si utiliza ADMT v3.2, todos los dominios de origen y destino deben estar al menos en el nivel funcional de Windows Server 2003. En la tabla siguiente se muestran las diferencias entre una reestructuracin de dominios entre distintos bosques y una reestructuracin de dominios dentro del mismo bosque.
Consideracin de migracin Restructuracin entre distintos bosques Restructuracin dentro del mismo bosque
Preservacin de objetos
Los objetos se clonan ms que migran. El objeto original permanece en la ubicacin de origen para mantener el acceso a los recursos
Los objetos de grupo y de usuario se migran y ya no existen en la 11
Consideracin de migracin
Restructuracin entre distintos bosques
Restructuracin dentro del mismo bosque
para los usuarios.
ubicacin de origen. Los objetos de la cuenta de servicio administrada y del equipo copiados y las cuentas originales permanecen habilitadas en el dominio de origen. El historial de SID es necesario para el usuario, el grupo y las cuentas de equipo, pero no para las cuentas de servicio administradas. Las contraseas siempre se conservan. Los perfiles locales se migran automticamente dado que se preserva el identificador nico global (GUID) del usuario.
Mantenimiento del historial de SID
El mantenimiento del historial de SID es opcional
Conservacin de contrasea Migracin de perfiles locales
La conservacin de contrasea es opcional. Debe usar herramientas como ADMT para migrar perfiles locales.
Conjuntos cerrados
No tiene que migrar cuentas en conjuntos Debe migrar las cerrados. Para obtener ms informacin, cuentas en conjuntos consulte Informacin general para la cerrados. reestructuracin de dominios de Active Directory dentro de un bosque (http://go.microsoft.com/fwlink/?LinkId=122123).
Trminos y definiciones
Los trminos siguientes se aplican al proceso de reestructuracin de dominios de Active Directory. Migracin Proceso de mover o copiar un objeto de un dominio de origen a un dominio de destino, a la vez que se mantienen o modifican las caractersticas del objeto para hacerlo accesible en el nuevo dominio. 12
Reestructuracin de dominios Proceso de migracin que implica el cambio de la estructura de dominios de un bosque. Una reestructuracin de dominios puede implicar la consolidacin o adicin de dominios, y puede producirse entre bosques o dentro de un bosque. Objetos de migracin Objetos del dominio que se mueven desde el dominio de origen al dominio de destino durante el proceso de migracin. Los objetos de migracin pueden ser cuentas de usuario, cuentas de servicio, grupos o equipos. Dominio de origen El dominio desde el que se mueven los objetos durante una migracin. Al reestructurar dominios de Active Directory entre bosques, el dominio de origen es un dominio de Active Directory en un bosque diferente del dominio de destino. Dominio de destino El dominio al que se mueven los objetos durante una migracin. Cuentas integradas Grupos de seguridad predeterminados con conjuntos comunes de derechos y permisos. Puede usar cuentas integradas para conceder permisos a cuentas o grupos que designe como miembro de dichos grupos. Los SID de cuentas integradas son idnticos en todos los dominios. Por lo tanto, las cuentas integradas no pueden ser objetos de migracin.
Herramienta de migracin para Active Directory

Puede usar ADMT para migrar objetos en los bosques de Active Directory. Esta herramienta incluye asistentes que automatizan las tareas de migracin, como la migracin de usuarios, grupos, cuentas de servicio, equipos y confianzas y la realizacin de conversin de seguridad. Puede ejecutar tareas de ADMT usando la consola de ADMT, una lnea de comandos o un script. Cuando ejecuta ADMT en la lnea de comandos, con frecuencia es ms eficaz usar un archivo de opciones para especificar las opciones de lnea de comandos. Puede usar la referencia del archivo de opciones de ADMT del ejemplo siguiente para ayudarle a crear archivos de opciones. Se incluyen ejemplos de sintaxis de lnea de comandos para cada tarea que debe realizar para reestructurar los dominios dentro del bosque. En la lista siguiente se muestran las opciones comunes que se aplican a varias tareas de migracin. Cada tipo de tarea de migracin cuenta con una seccin que muestra las opciones especficas de dicha tarea. El nombre de la seccin se corresponde con el nombre de la tarea cuando ejecuta ADMT en la lnea de comandos. Puede incluir comentarios de los elementos agregando un punto y coma. En la lista siguiente, se incluyen comentarios de los valores predeterminados.
[Migracin] ;IntraForest=No ;SourceDomain="nombre_dominio_origen" ;SourceOu="ruta_acceso_unidad_organizativa_origen"
;TargetDomain="nombre_dominio_destino" ;TargetOu="ruta_acceso_unidad_organizativa_destino" ;PasswordOption=Complex
13
;PasswordServer="" ;PasswordFile="" ;ConflictOptions=Ignore ;UserPropertiesToExclude="" ;InetOrgPersonPropertiesToExclude="" ;GroupPropertiesToExclude="" ;ComputerPropertiesToExclude=""
[Usuario] ;DisableOption=EnableTarget ;SourceExpiration=None ;MigrateSIDs=Yes ;TranslateRoamingProfile=No ;UpdateUserRights=No ;MigrateGroups=No ;UpdatePreviouslyMigratedObjects=No ;FixGroupMembership=Yes ;MigrateServiceAccounts=No ;UpdateGroupRights=No
[Grupo] ;MigrateSIDs=Yes ;UpdatePreviouslyMigratedObjects=No ;FixGroupMembership=Yes ;UpdateGroupRights=No ;MigrateMembers=No ;DisableOption=EnableTarget ;SourceExpiration=None ;TranslateRoamingProfile=No ;MigrateServiceAccounts=No
[Seguridad] ;TranslationOption=Add ;TranslateFilesAndFolders=No
14
;TranslateLocalGroups=No ;TranslatePrinters=No ;TranslateRegistry=No ;TranslateShares=No ;TranslateUserProfiles=No ;TranslateUserRights=No ;SidMappingFile="SidMappingFile.txt"
Cuando ejecuta ADMT en la lnea de comandos, no tiene que incluir una opcin en el comando si desea aceptar el valor predeterminado. Sin embargo, en esta gua, se incluyen como referencia las tablas que muestran los posibles parmetros y valores. En las tablas se enumera el equivalente en lnea de comandos de cada opcin que se muestra en el procedimiento correspondiente de la consola de ADMT, incluyendo esas opciones para las que acepta el valor predeterminado. Puede copiar la referencia del archivo de opciones en el Bloc de notas y guardarla con una extensin de nombre de archivo .txt. Como ejemplo, para migrar un nmero pequeo de equipos, debera escribir el nombre de cada equipo en la lnea de comandos, usando la opcin /N y, a continuacin, enumerar otras opciones de migracin dentro de un archivo de opciones de la forma siguiente:
ADMT COMPUTER /N "<nombre_equipo1>" "<nombre_equipo2>" /O:"<archivo_opcin>.txt"
Donde <nombre_equipo1> y <nombre_equipo2> son los nombres de equipos del dominio de origen que va a migrar a este lote.
Uso de un archivo de inclusin

Cuando migre un gran nmero de usuarios, grupos o equipos, es ms eficaz el uso de un archivo de inclusin. Un archivo de inclusin es un archivo de texto en el que se incluyen los objetos de usuario, grupo y equipo que desea migrar, con cada objeto en una lnea separada. Debe usar un archivo de inclusin si desea cambiar el nombre de los objetos durante la migracin. Puede incluir usuarios, grupos y equipos juntos en un archivo o puede crear un archivo independiente para cada tipo de objeto. A continuacin, especifique el nombre del archivo de inclusin con la opcin /F, de la forma siguiente:
ADMT COMPUTER /F "<nombre_archivo_inclusin>" /IF:YES /SD:"<dominio_origen> /TD:"<dominio_destino>" /TO:"<unidad_organizativa_destino>"
Para especificar los nombres de los usuarios, grupos o equipos, use una de las siguientes convenciones: El nombre de cuenta del Administrador de cuentas de seguridad (SAM). Para especificar un nombre de equipo en este formato, debe agregar un signo de dlar ($) al nombre del equipo. Por ejemplo, para especificar un equipo con el nombre Workstation01, use Workstation01$.
15
El nombre distintivo relativo (tambin conocido como RDN), por ejemplo, cn= Workstation01. Si especifica la cuenta como un nombre distintivo relativo, debe especificar la unidad organizativa de origen. El nombre cannico. Puede especificar el nombre cannico como nombre dominio DNS/ruta_ou/nombre_objeto o ruta_ou/nombre_objeto, por ejemplo, Asia.trccorp.treyresearch.net/Computers/Workstation01 o Computers/Workstation01. En las secciones siguientes se describen los campos de un archivo de inclusin y se proporcionan ejemplos de cada campo:
Campo SourceName
El campo SourceName especifica el nombre del objeto de origen. Puede especificar un nombre de cuenta o un nombre distintitvo relativo. Si slo especifica nombres de origen, es opcional definir un encabezado en la primera lnea del archivo. En el ejemplo siguiente se muestra una lnea de encabezado que especifica el campo SourceName. En el ejemplo tambin se muestra un nombre de objeto de origen que se especifica en varios formatos. La segunda lnea especifica un nombre de cuenta. La tercera lnea especifica un nombre distintivo relativo. SourceName name CN=name
Campo TargetName
Puede utilizar el campo TargetName para especificar un nombre base que se utilice para generar un nombre distintivo relativo de destino, un nombre de cuenta del Administrador de cuentas de seguridad (SAM) y un nombre principal de usuario de destino (UPN). El campo TargetName no se puede combinar con otros campos de nombre de destino que se describen ms adelante en esta seccin. Nota El UPN de destino se genera slo para los objetos de usuario y slo se genera un prefijo de UPN. Se anexa un sufijo de UPN mediante un algoritmo que depende de si se define un sufijo UPN para el OU de destino o para el bosque de destino. Si el objeto es un equipo, el nombre de cuenta del SAM de destino incluye un sufijo "$". En el ejemplo siguiente de entrada se genera un nombre distintivo relativo de destino, un nombre de cuenta del SAM de destino y un UPN de destino como "CN=newname", "newname" y "newname" respectivamente. SourceName,TargetName oldname, newname
16
Campos TargetRDN, TargetSAM y TargetUPN

Puede utilizar los campos TargetRDN, TargetSAM y TargetUPN para especificar los nombres de destino diferentes para cada uno. Puede especificar una combinacin de estos campos en cualquier orden. TargetRDN especifica el nombre distintivo relativo de destino del objeto. TargetSAM especifica el nombre de cuenta del SAM de destino del objeto. En los equipos, el nombre debe incluir un sufijo "$" para que sea un nombre de cuenta de SAM vlido. TargetUPN especifica el UPN de destino del objeto. Puede especificar slo el prefijo de UPN o un nombre completo de UPN (prefix@suffix). Si el nombre especificado contiene un espacio o una coma, debe incluir el nombre entre comillas dobles (" "). SourceName,TargetRDN oldname, CN=newname SourceName,TargetRDN,TargetSAM oldname, "CN=New RDN", newsamname SourceName,TargetRDN,TargetSAM,TargetUPN oldname, "CN=last\, first", newsamname, newupnname Nota Una coma dentro del valor CN debe ir precedida de un carcter de escape ("\") o la operacin producir un error y ADMT registrar un error de sintaxis no vlida en el archivo de registro. SourceName,TargetSAM,TargetUPN,TargetRDN oldname, newsamname, newupnname@targetdomain, "CN=New Name"
Cambio de nombre de objetos

Use el formato siguiente en un archivo de inclusin para cambiar el nombre del equipo, usuario u objetos de grupo durante la migracin: Use SourceName, TargetRDN, TargetSAM y TargetUPN como encabezados de columna en la parte superior del archivo de inclusin. SourceName es el nombre de cuenta de origen y se debe mostrar como el encabezado de la primera columna. Los encabezados de columna TargetRDN, TargetSAM y TargetUPN son opcionales y pueden incluirlos en cualquier orden. Debe especificar el nombre de cuenta como nombre de usuario, nombre distintivo relativo o nombre cannico. Si especifica el nombre de cuenta como un nombre distintivo relativo, tambin debe especificar la unidad organizativa (OU) de origen. A continuacin se incluyen ejemplos de archivos de inclusin vlidos en los que se usa la opcin de cambio de nombre: SourceName,TargetSAM abc,def 17
Esta entrada del archivo de inclusin cambia el nombre de cuenta TargetSAM para el usuario "abc" a "def". TargetRDN y TargetUPN, que no se han especificado en el archivo de inclusin, no cambian como resultado de la migracin. SourceName,TargetRDN,TargetUPN abc,CN=def,def@contoso.com Esta entrada del archivo de inclusin cambia el TargetRDN para el usuario abc a CN=def y TargetUPNo a def@contoso.com. TargetSAM para el usuario abc no cambia como resultado de la migracin. Importante Debe especificar CN= antes usando un valor RDN.
Uso de un archivo de exclusin

Puede excluir objetos de la migracin utilizando un archivo de exclusin. Un archivo de exclusin es un archivo de texto que enumera el atributo SAMAccountName de los objetos que desea excluir. Por ejemplo, para excluir las siguientes cuentas de servicio administradas, cree un archivo de texto:
MSA_USER5$ MSA_USER6$
A continuacin, especifique el nombre del archivo de exclusin cuando ejecute el comando admt. Por ejemplo:
admt managedserviceaccount /ef:nombre de archivo de exclusin
Tambin puede excluir cuentas especficas con el parmetro /en:

admt managedserviceaccount /en:cuenta de servicio administrada 1 cuenta de servicio administrada 2
Uso de secuencias de comandos

Las secuencias de comandos de muestra que se incluyen en esta gua se refieren a las constantes simblicas que se definen en el archivo denominado AdmtConstants.vbs. La lista que sigue a continuacin muestra el archivo de constantes ADMT de Microsoft Visual Basic Scripting Edition (VBScript). Las constantes tambin se incluyen en la carpeta de instalacin de ADMT, en el archivo TemplateScript.vbs del directorio %systemroot%\WINDOWS\ADMT. Para usar las secuencias de comandos de muestra de esta gua, copie el archivo VBScript de constantes de ADMT en el Bloc de notas y gurdelo como AdmtConstants.vbs. Asegrese de guardarlo en la misma carpeta en la que piensa guardar las secuencias de comandos de muestra que se incluyen en esta gua.
Option Explicit
18
'---------------------------------------------------------------------------' Constantes de secuencia de comandos de ADMT '----------------------------------------------------------------------------
' Constantes de PasswordOption
Const admtComplexPassword Const admtCopyPassword
= &H0001 = &H0002
' Observe que la siguiente constante no se puede especificar por s sola. ' Se debe especificar junto con admtComplexPassword o admtCopyPassword. Const admtDoNotUpdatePasswordsForExisting = &H0010
' Constantes de ConflictOptions
Const admtIgnoreConflicting Const admtMergeConflicting Const admtRemoveExistingUserRights Const admtRemoveExistingMembers Const admtMoveMergedAccounts
= &H0000 = &H0001 = &H0010 = &H0020 = &H0040
' Constantes de DisableOption
Const admtLeaveSource Const admtDisableSource
= &H0000 = &H0001
Const admtTargetSameAsSource = &H0000 Const admtDisableTarget Const admtEnableTarget = &H0010 = &H0020
' Constante de SourceExpiration
Const admtNoExpiration = -1
' Opcin de traduccin
19
Const admtTranslateReplace = 0 Const admtTranslateAdd Const admtTranslateRemove = 1 = 2
' Tipo de informe
Const admtReportMigratedAccounts
= 0
Const admtReportMigratedComputers = 1 Const admtReportExpiredComputers = 2
Const admtReportAccountReferences = 3 Const admtReportNameConflicts = 4
' Constantes de opciones
Const admtNone Const admtData Const admtFile Const admtDomain Const admtRecurse
= 0 = 1 = 2 = 3 = &H0100 = &H0000
Const admtFlattenHierarchy
Const admtMaintainHierarchy = &H0200
Herramienta de migracin Active Directory: versiones y entornos admitidos

En este tema se explican las diferentes versiones que estn disponibles de la Herramienta de migracin Active Directory (ADMT). Se ofrecen vnculos para descargar cada versin y se describen los requisitos para instalarlas, los entornos compatibles en los que se pueden utilizar y el modo en que funcionan con determinadas caractersticas de Active Directory en Windows Server.
20
Versin de ADMT
Platafor ma de instalaci n
Requisito Requisitos del dominio de s del dominio de origen destino
Objetos de migracin de equipo admitidos
ADMT v3.0 (http://go.microsoft.com/fw link/?LinkID=68791)
Window s Server 2003
Los El nivel funcional mnimo del dominios dominio de destino es de Windows 2000 nativo. origen pueden contener controlad ores de dominio que ejecuten Windows NT, Windows 2000 Server o Windows Server 2003, no requiere n un nivel funcional mnimo de dominio. Los dominios de origen pueden contener controlad ores que ejecuten Windows 2000 Server, Windows El nivel funcional mnimo del dominio de destino es Windows 2000 nativo. Si el dominio de destino tiene controladores de dominio que ejecutan Windows Server 2008 R2, utilice ADMT v3.2. Nota Existen problemas conocidos cuando se utiliza ADMT v3.1 para
Migra los equipos que ejecutan Windows 2000 Profes sional, Windows XP, Windows NT 4, Windows 20 00 Server y Windows Server 2003.
ADMT v3.1 (http://go.microsoft.com/fw link/?LinkId=121732)
Window s Server 2 008
Migra los equipos que ejecutan Windows 2000 Profes sional, Windows XP, Windows Vista, Windows 20 00 Server, Windows Server 2003 21
Versin de ADMT
Server 2003 o Windows Server 2 008. Aunque un dominio de origen no requiere un nivel funcional mnimo de dominio, ADMT v3.1 no se puede utilizar para migrar objetos de dominios de Windows NT 4. ADMT v3.2 (http://go.microsoft.com/fw link/?LinkId=186197) Window s Server 2 008 R2
migrar objetos a un dominio que tiene controladores de dominio de Windows Server 2008 R2. Para obtener ms informacin, consulte el artculo 976659 de Microsoft Knowledge Base (http://go.microsoft.com /fwlink/? LinkId=182290).
yWindows Server 2008.
El nivel El nivel funcional mnimo del funcional dominio de destino es mnimo Windows Server 2003 nativo. del dominio de origen es Windows Server 2003 nati
Migra los equipos que ejecutan Windows XP, Windows Vis ta, Windows 7, Windows Server 2003, Windows 22
Versin de ADMT
vo.
Server 2008 y Windows Server 2008 R2.
Compatibilidad con caractersticas de Windows Server

No se puede instalar ninguna versin de ADMT en un controlador de dominio de slo lectura (RODC) o en una instalacin de Server Core. Un RODC no se puede utilizar como controlador de dominio de origen o de destino para la migracin. Adems, ADMT v3.2 proporciona la siguiente compatibilidad con las nuevas caractersticas de Active Directory en Windows Server 2008 R2.
Caracterstica Efecto de uso de ADMT v3.2
Cuentas de servicio administradas
Se pueden migrar mediante el Asistente para migracin de cuentas de servicio administradas o el comando admt managedserviceaccount. Las cuentas de usuario que estn habilitadas para la seguridad del mecanismo de autenticacin, se deben migrar mediante un archivo de inclusin Importante El Nombre principal del usuario (UPN) cambia cuando se migra un usuario, lo que impide que funcione la seguridad del mecanismo de autenticacin. Para solucionar este problema, debe mantener un registro de los UPN de las cuentas de usuario que estn habilitadas para la seguridad del mecanismo de autenticacin y migrarlas mediante un archivo de 23
Seguridad del mecanismo de autenticacin
Caracterstica
Efecto de uso de ADMT v3.2
inclusin. En un archivo de inclusin, puede especificar los UPN de destino de estos usuarios que se van a migrar. De esta manera, puede reemplazar los nombres UPN de ese dominio de destino con los UPN originales del dominio de origen. Para obtener ms informacin acerca del uso de un archivo de inclusin, consulte Uso de un archivo de inclusin. Unin a un dominio sin conexin Papelera de reciclaje de Active Directory Windows PowerShell Sin efecto Sin efecto No se incorpora a ADMT v3.2
Prcticas recomendadas para la migracin de Active Directory

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Para garantizar que el proceso de migracin sea todo lo perfecto posible, siga estas recomendaciones de prcticas recomendadas: Prcticas recomendadas para el uso de la Herramienta de migracin para Active Directory Prcticas recomendadas para la realizacin de migraciones de cuentas de grupo y usuario Prcticas recomendadas para realizar migraciones de equipos Prcticas recomendadas para revertir una migracin
Prcticas recomendadas para el uso de la Herramienta de migracin para Active Directory

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Realice copias de seguridad regulares de los controladores de dominio tanto en el dominio de origen como en el de destino en todo el recorrido de las migraciones. Si migra 24
equipos que contienen recursos compartidos de archivo para realizar la conversin de seguridad, recomendamos que tambin realice copias de seguridad de dichos equipos durante las migraciones. Antes de comenzar una migracin, realice una de prueba creando un usuario de prueba, agregndolo a los grupos globales adecuados y, a continuacin, verificando el acceso a los recursos antes y despus de la migracin. Pruebe sus casos prcticos de migracin en un entorno de prueba antes de migrar objetos en el entorno de produccin. Cuente con un plan de recuperacin y asegrese de que funcione durante la fase de prueba de su migracin. Descifre los archivos cifrados por medio del Sistema de cifrado de archivos (EFS). Si no se descifran los archivos cifrados, se perder el acceso a los archivos cifrados despus de la migracin. Asegrese de comunicar a los usuarios finales que deben descifrar cualquier archivo cifrado o perdern el acceso a esos archivos. Asegrese de que la hora del sistema est sincronizada en cada dominio del que se van a migrar objetos. La autenticacin Kerberos fallar si la hora no coincide.
Prcticas recomendadas para la realizacin de migraciones de cuentas de grupo y usuario

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Realice copias de seguridad regulares de los controladores de dominio tanto en el dominio de origen como en el de destino en todo el recorrido de las migraciones. Si migra equipos que contienen recursos compartidos de archivo para realizar la conversin de seguridad, recomendamos que tambin realice copias de seguridad de dichos equipos durante las migraciones. Le recomendamos que migre usuarios en lotes. Un tamao de lote de 100 usuarios permite que el proceso de migracin se pueda administrar. Administre siempre los cambios de las cuentas de usuario y cuentas de grupo en el dominio de origen durante el proceso de migracin. Use la opcin Migrar y combinar objetos en conflicto en la pgina Gestin de conflictos del Asistente para migracin de cuentas de usuario y el Asistente para migracin de cuentas de grupo para repetir la migracin de usuarios y grupos con la mayor frecuencia posible durante la migracin. La administracin de cambios en el dominio de origen y el posterior uso de la opcin Migrar y combinar objetos en conflicto durante la migracin le garantizan que todos los cambios realizados en un objeto en el dominio de origen queden reflejados despus de su migracin al dominio de destino.
25
Para conservar el acceso a los recursos, asegrese de que la pertenencia al grupo cumple las siguientes reglas: Use grupos globales para los usuarios de grupos. Use grupos locales para proteger recursos.
Coloque los grupos globales en grupos locales para otorgar a los miembros de los grupos globales acceso a un recurso. Cumpla las reglas de la siguiente tabla cuando convierta perfiles de usuario.
Reglas de conversin
Tipo de perfil
Perfiles mviles
Seleccione la opcin Convertir perfiles mviles en la pgina Opciones de usuario del Asistente para migracin de cuentas de usuario. A continuacin, convierta los perfiles de usuario locales de un lote de usuarios inmediatamente despus de la migracin de dichos usuarios. Convierta los perfiles locales como un paso independiente del proceso de migracin de cuentas de usuario. Seleccione la opcin Perfiles de usuario en la pgina Convertir objetos del Asistente para conversin de seguridad. Convierta los perfiles de usuario locales de un lote de usuarios inmediatamente despus de la migracin de dichos usuarios. Los usuarios pierden sus perfiles existentes cuando se migran sus cuentas de usuario.
Perfiles locales
Perfiles no administrados
Importante Es importante comprobar que la conversin de perfil local se ha producido correctamente antes de que los usuarios intenten iniciar sesin en el dominio de destino. Si los usuarios inician sesin en el dominio de destino mediante sus nuevas cuentas de destino y sus perfiles no se han convertido correctamente, dichos usuarios se debern volver a migrar del dominio de origen al de destino. Para obtener ms informacin sobre los pasos que debe seguir si se produce un error en la conversin de perfiles locales, consulte Solucin de problemas relativos a la conversin de seguridad.
26
Prcticas recomendadas para realizar migraciones de equipos

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Realice copias de seguridad regulares de los controladores de dominio tanto en el dominio de origen como en el de destino en todo el recorrido de las migraciones. Si est migrando equipos que contienen recursos compartidos de archivo para realizar la conversin de seguridad, recomendamos que tambin realice una copia de seguridad de esos equipos durante la migracin. Compruebe que las estaciones de trabajo y los servidores miembro han reiniciado inmediatamente despus de unirlos en el dominio de destino. La Herramienta de migracin para Active Directory (ADMT) automatiza el reinicio de las estaciones de trabajo y los servidores miembro, pero utilice la opcin Minutos que habrn de transcurrir para que se reinicien los equipos tras la finalizacin del asistente en el Asistente para migracin de equipos para seleccionar la cantidad de tiempo que transcurre antes de que se reinicie el equipo. Los equipos que no reinician despus de la migracin estn en un estado indeterminado. Comunique a los usuarios finales que sus equipos deben conectarse a la red cuando su equipo est programado para la migracin.
Prcticas recomendadas para revertir una migracin

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Revierta cuentas de grupo y usuario que se han migrado entre los bosques habilitando las cuentas en el dominio de origen (si se deshabilita durante la migracin), compruebe que las cuentas tienen acceso a los recursos del dominio de origen y, a continuacin, compruebe que las secuencias de comandos y los perfiles de usuario funcionan segn se configuraron en el dominio de origen. Revierta los recursos que se han migrado entre bosques cambiando la pertenencia a los dominios de servidores y estaciones de trabajo y, a continuacin, reincielos. Inicie sesin en los recursos del dominio de origen para garantizar que los recursos estn accesibles. Revierta las cuentas y recursos que se han migrado dentro de un bosque volviendo a migrar los objetos del dominio de destino al de origen. Las cuentas y los recursos que se han migrado dentro de un bosque se mueven y no se copian. Por consiguiente, dejan de existir en el dominio de origen. Para garantizar una correcta reversin de una migracin en el mismo bosque, no Nota intente eliminar los objetos en el dominio de destino y restaurarlos en el dominio de origen. No podr recuperar los objetos en el dominio de origen porque se eliminan automticamente por el proxy de movimiento entre dominios si se intenta restaurar. 27
Nota Cuando realiza una migracin en el mismo bosque con ADTM v3.1, si el nivel funcional del dominio de origen es Windows 2000 mixto, no podr volver a migrar los objetos del dominio de destino al de origen para deshacer los cambios de la migracin. Una repeticin de la migracin requiere que el dominio de origen sea el dominio de destino, y con ADMT v3.1 el nivel funcional del dominio de destino debe ser al menos Windows 2000 nativo.
Reestructuracin de dominios de Active Directory entre distintos bosques

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 La reestructuracin de dominios de Active Directory entre bosques implica la reubicacin de objetos desde dominios de origen en un bosque a dominios de destino en otro bosque. Puede que tenga que reestructurar los dominios de Active Directory entre bosques para: Migrar un dominio piloto al entorno de produccin. Combinar usuarios y recursos con otra organizacin debido a una fusin corporativa y a la necesidad de consolidar las dos infraestructuras de tecnologa de la informacin (TI). Reubicar usuarios y recursos de forma regular debido a una implantacin en varios bosques planificada. Quitar objetos de su bosque debido a una desinversin a otra organizacin o para combinarlos ms adelante en un bosque nuevo o existente para esa organizacin. En esta seccin Lista de comprobacin: Realizacin de una migracin entre bosques Introduccin a la reestructuracin de dominios de Active Directory entre bosques Limitaciones de la reestructuracin Planeamiento para la reestructuracin de dominios de Active Directory entre bosques Preparacin de los dominios de origen y destino Migracin de cuentas Migracin de recursos Finalizacin de la migracin
Lista de comprobacin: Realizacin de una migracin entre bosques

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 28
La migracin de dominios de Active Directory entre bosques (migracin entre distintos bosques) implica la reubicacin de objetos desde dominios de origen en un bosque a dominios de destino en otro bosque. Es posible que tenga que reestructurar los dominios de Active Directory entre bosques por los siguientes motivos: Para migrar un dominio piloto al entorno de produccin Para combinar su bosque de Active Directory con el bosque de otra organizacin y consolidar las dos infraestructuras de tecnologa de la informacin (TI)
Tarea Referencia
Revise las instrucciones de preinstalacin de la Herramienta de migracin Active Directory (ADMT). Para migrar equipos que ejecuten Windows Server 2008, Windows Server 2003, Windows Vista (sin Service Pack 1), Windows XP y Microsoft Windows 2000 (utilizando ADMT 3.1) a un dominio de destino con controladores de dominio que ejecuten Windows Server 2008 R2 o Windows Server 2008, debe configurar primero la siguiente clave del Registro en los controladores de dominio de destino: Nota No es necesario configurar esta clave para migrar los equipos que ejecuten Windows Server 2008 R2, Windows 7 o Windows Vista SP1. Ruta de Registro: HKLM\System\CurrentControlSet\Services\Netlogon \Parameters Valor del Registro: AllowNT4Crypto Tipo: REG_DWORD Datos: 1 Nota Esta configuracin de registro corresponde a la configuracin Permitir algoritmos de cifrado con Windows NT 4.0 en la directiva de grupo. Para cualquier tarea de migracin que use la implementacin de agente y el Firewall de Windows, habilite la excepcin Compartir impresoras y archivos. Esto puede incluir la migracin en las siguientes situaciones: Migracin de equipos de estacin de trabajo y
Instalacin de ADMT en el dominio de destino Para obtener ms informacin acerca de cmo realizar cambios mediante la directiva de grupo, consulte Problemas conocidos de instalacin y eliminacin de AD DS (http://go.microsoft.com/fwlink/? LinkId=119321) (en ingls).
Para obtener ms informacin acerca de cmo realizar cambios en el Firewall de Windows, consulte Habilitar o deshabilitar la regla de excepcin de uso compartido de archivos e impresoras 29
Tarea
Referencia
servidores miembro que ejecuten Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 7, Windows Vista o Windows XP. Migracin de configuracin de seguridad o conversin de seguridad Preprese para la reestructuracin de los dominios de Active Directory dentro de un bosque. Esta tarea contiene las siguientes subtareas: Determine su proceso de migracin de cuentas. Asigne funciones y ubicaciones de objetos. Desarrolle un plan de prueba para la migracin. Cree un plan de reversin.
(http://go.microsoft.com/fwlink/? LinkID=119315) (en ingls).
Instalacin de ADMT en el dominio de destino Planeamiento para la reestructuracin de dominios de Active Directory entre bosques
Administre usuarios, grupos y perfiles de usuario. Cree un plan de comunicacin con los usuarios. Instalacin de ADMT en el dominio de destino Planeamiento para la reestructuracin de dominios de Active Directory entre bosques
Prepare los dominios de origen y destino. Esta tarea contiene las siguientes subtareas: Instale software de cifrado de 128 bits. Establezca las confianzas necesarias para la migracin. Establezca cuentas de migracin para la migracin. Configure los dominios de origen y destino para la migracin del historial de identificadores de seguridad (SID). Configure la estructura de la unidad organizativa (OU) del dominio de destino. Instale ADMT en el dominio de destino. Especifique cuentas de servicio para la migracin. Especifique y realice la transicin de las cuentas de servicio usando el Asistente para migracin de cuentas de servicios o herramientas de lnea de comandos de ADMT. Puede usar la herramienta de lnea de comandos admt service para especificar cuentas de servicio en el dominio de origen. Puede usar la herramienta de lnea de comandos admt user para
Transicin de cuentas de servicio en su migracin
30
Tarea
Referencia
realizar la transicin de las cuentas de servicio que especifique. Migre los grupos globales usando el Asistente para migracin de cuentas de servicios o la herramienta de lnea de comandos admt group. Migre las cuentas de servicio administradas, las cuentas de usuario y las cuentas de estacin de trabajo con sus historiales de SID en lotes. Puede usar el Asistente para migracin de cuentas de grupo o la herramienta de lnea de comandos admt user para migrar cuentas de usuario. Puede usar el Asistente para migracin de cuentas de servicio administradas o la herramienta de lnea de comandos admt managedserviceaccount para migrar cuentas de servicio administradas. Migre los recursos, como servidores miembro y grupos locales de dominios. Puede usar el Asistente para migracin de cuentas de equipo o la herramienta de lnea de comandos admt computer para migrar cuentas de equipo. Puede usar el Asistente para migracin de cuentas de grupo o la herramienta de lnea de comandos admt group para migrar grupos. Convierta la seguridad en servidores para agregar los SID de las cuentas de usuario y grupo en el dominio de destino a las listas de control de acceso (ACL) de los recursos. Puede usar el Asistente para conversin de seguridad o la herramienta de lnea de comandos admt security. Repita una migracin de cuentas de usuario, equipos de estaciones de trabajo y servidores miembro, incluida la conversin de perfiles de usuarios locales a objetos de usuario y equipo que haya migrado previamente. Migre los grupos locales de dominios usando el Asistente para migracin de cuentas de grupo o la herramienta de lnea de comandos admt group. Migre controladores de dominio. Complete las tareas posteriores a la migracin. Esta tarea contiene las siguientes subtareas: Migracin de grupos globales
Migracin de cuentas mientras utiliza el historial de SID Migracin de cuentas de servicio administradas Migracin de todas las cuentas de usuario
Repeticin de la migracin de las cuentas de usuario y migracin de las estaciones de trabajo en lotes
Conversin de seguridad en modo Agregar
Repeticin de la migracin de las cuentas de usuario y migracin de las estaciones de trabajo en lotes Migrar grupos locales compartidos y de dominios Migracin de controladores de dominio Conversin de seguridad en los servidores miembro 31
Tarea
Referencia
Convierta la seguridad de los servidores miembro. Retire los dominios de origen.
Cmo dar de baja el dominio de origen
Introduccin a la reestructuracin de dominios de Active Directory entre bosques

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Cuando reestructura dominios entre bosques, puede reducir el nmero de dominios en la organizacin, lo que ayudar a reducir la complejidad administrativa y los costos de sobrecarga asociados de su entorno de Active Directory. La reestructuracin de los dominios supone copiar las cuentas y los recursos de un dominio de origen a un dominio de destino en un bosque diferente de Active Directory. Si utiliza la versin 3.1 de la Herramienta de migracin Active Directory (ADMT), el dominio de destino debe estar al menos en el nivel funcional nativo de Windows 2000. Si utiliza la versin 3.2 de ADMT, los dominios de origen y de destino deben estar al menos en el nivel funcional de Windows Server 2003. Si su organizacin se ha fusionado recientemente con otra organizacin o infraestructura de tecnologa de la informacin (TI), puede reestructurar dominios o consolidar cuentas y recursos entre dos infraestructuras. En esta seccin Proceso para la reestructuracin de Active Directory entre bosques Informacin general bsica para la reestructuracin de dominios de Active Directory entre bosques
Proceso para la reestructuracin de Active Directory entre bosques

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 La reestructuracin de los dominios de Active Directory entre bosques implica el planeamiento y preparacin de la reestructura del dominio en la organizacin. Tambin conlleva la migracin satisfactoria de cuentas y recursos a un dominio de Active Directory en otro bosque. En la figura siguiente se muestra el proceso de la reestructuracin de dominios de Active Directory entre bosques.
32
Informacin general bsica para la reestructuracin de dominios de Active Directory entre bosques
Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 El proceso de migracin entre bosques no se considera destructivo, ya que los objetos de migracin continan existiendo en el dominio de origen hasta que el dominio de origen se d de baja. Dado que los entornos de dominio de origen y destino existen simultneamente durante la migracin, tiene la opcin de retroceder al entorno de origen si se produce un error en la migracin por cualquier motivo, por ejemplo, si un objeto particular no migra o el acceso no se mantiene o conserva en el dominio de destino una vez realizada la migracin. Puede utilizar la Herramienta de migracin para Active Directory (ADMT) para migrar cuentas y recursos entre dominios al mismo tiempo que conserva los permisos de objeto y usuario. Durante el proceso de reestructuracin entre distintos bosques, los usuarios tienen acceso continuo a los recursos necesarios. Adems, puede mover usuarios, grupos y recursos de forma independiente unos de otros. En el resto de secciones de este tema se explica el proceso de migracin de las cuentas y los recursos.
33
Proceso de migracin de cuenta

La reestructuracin de cuentas entre los bosques de Active Directory implica la copia de usuarios, grupos y perfiles locales desde el dominio de origen al dominio de destino, al mismo tiempo que conserva los derechos de acceso y atributos de dichos objetos. Cuando las cuentas de usuarios migran entre dominios de Active Directory de diferentes bosques, la cuenta original permanece en el lugar del dominio de origen y se crea una nueva cuenta en el dominio de destino. Dado que el identificador de seguridad (SID) de un principal de seguridad (usuario o grupo) siempre contiene un identificador para el dominio en el que se sita el principal de seguridad, se crea un nuevo SID para el usuario en el dominio de destino. Ya que la ADMT puede migrar la SID del principal de seguridad inicial al principal de seguridad del dominio de destino, no tiene que realizar tareas adicionales para garantizar el acceso a los recursos, a menos que utilice el filtrado de la SID entre los bosques. Si utiliza ADMT v3.1 y Microsoft Exchange Server versin 5.5, use el Asistente para migracin de Exchange Server de ADMT para convertir la seguridad de los buzones de correo de los usuarios migrados. Si utiliza los servidores Exchange 2000, la ADMT no proporciona herramientas de migracin de buzones de correo. En este caso, piense en migrar primero los buzones de correo utilizando la herramienta de migracin de buzones de correo de Exchange 2000 y, a continuacin, migrar las cuentas de usuarios. Si utiliza la directiva de grupo para administrar la redireccin de la carpeta o la distribucin de software, asegrese de que estas directivas continuarn aplicndose cuando migre cuentas de usuarios a un nuevo bosque. Asimismo, si utiliza un objeto de directiva de grupo para conceder o denegar acceso remoto al dominio de origen y no al dominio de destino, la ADMT no puede determinar qu acceso remoto desea asignar al usuario. Si utiliza directivas de grupo para administrar la redireccin de carpetas, los archivos sin conexin no funcionarn despus de que la cuenta del usuario se migre a un nuevo bosque. Los archivos sin conexin almacenan el SID del usuario como propietario; el SID cambia cuando la cuenta de usuario se migra. Para restaurar la propiedad de los archivos sin conexin, utilice el Asistente de conversin de seguridad de la ADMT para reemplazar los permisos de los archivos y carpetas del equipo cliente que contiene la cach de los archivos sin conexin. Para asegurarse de que los usuarios continan teniendo acceso a los archivos sin conexin despus de haber migrado las cuentas de usuarios al dominio de destino, puede realizar las siguientes acciones: 1. Convertir la seguridad de los equipos cliente para actualizar los archivos sin conexin. 2. Si el historial de SID de la cuenta de usuario no se ha migrado al dominio de destino, convierta la seguridad del servidor que alberga carpetas redirigidas. Si utiliza la redireccin de carpetas, se dar una de las siguientes situaciones: Si la ruta de redireccin de carpetas es diferente en el nuevo entorno, los usuarios pueden tener acceso a la carpeta si el historial de SID de la cuenta del usuario se migr al dominio de destino. La extensin de redireccin de carpetas copia los archivos de la ubicacin original del dominio de origen en la nueva ubicacin del dominio de destino. El historial de SID permite a la cuenta de usuario tener acceso a las carpetas de origen. 34
Si la ruta de redireccin de carpetas es la misma en el nuevo entorno, los usuarios no pueden tener acceso a la carpeta redireccionada dado que la redireccin de carpetas comprobar la propiedad de la carpeta redireccionada y se produce un error. A continuacin, debe convertir la seguridad en la carpeta redirigida en el servidor. Si utiliza la directiva de grupo para administrar la instalacin de software y el paquete de Windows Installer requiere el acceso al origen inicial de las operaciones como reparar y quitar, debe convertir la seguridad en el punto de distribucin de software despus de migrar usuarios para garantizar que la instalacin de software contina funcionando correctamente en el dominio de destino.
Proceso de migracin de recursos

Los dominios de Active Directory incluyen tres tipos de recursos: Cuentas de estacin de trabajo Cuentas de servidor miembro Recursos de los servidores miembro
La migracin de las estaciones de trabajo y los servidores de miembros son un proceso sencillo. Los grupos locales que crea para asignar permisos de usuarios se ubican en la base de datos local del Administrador de cuentas de seguridad (SAM) y, a continuacin, se mueven cuando mueve el servidor. No tiene que volver a configurar las listas de control de acceso (ACL), de manera que los usuarios pueden tener acceso a los recursos despus de la migracin. Para migrar controladores de dominio entre dominios, elimine los Servicios de dominio de Active Directory (AD DS) del controlador de dominio, mgrelo como un servidor miembro al dominio de destino y, a continuacin, vuelva a instalar AD DS.
Planeamiento para la reestructuracin de dominios de Active Directory entre bosques

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 La finalizacin de las tareas de planeacin necesarias antes de comenzar la migracin garantiza a los usuarios que pueden continuar conectndose a la red y tener acceso a los recursos durante la migracin. La planeacin de la reestructuracin de dominio implica lo siguiente: Determinacin del proceso de migracin de cuentas Asignacin de funciones y ubicaciones de objetos Desarrollo de un plan de prueba Creacin de un plan de reversin para su uso si la migracin produce un error Administracin de usuarios, grupos y perfiles de usuario Creacin de un plan de comunicacin con los usuarios finales 35
Para preparar el proceso de reestructuracin, el equipo de implementacin de Active Directory debe obtener la informacin de diseo necesaria del equipo de diseo de Active Directory. En la ilustracin siguiente se muestran los pasos implicados en la planeacin de la reestructuracin de dominios de Active Directory entre bosques.
Determinacin del proceso de migracin de cuentas

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Con la Herramienta de migracin para Active Directory (ADMT), puede utilizar el historial de identificadores de seguridad (SID) para conservar los permisos de los recursos al migrar cuentas. No obstante, si el filtrado de SID se habilita entre sus dominios de origen y de destino y no confa en los administradores del dominio de origen, no puede deshabilitar el filtrado de SID. Tampoco podr utilizar el historial de SID para habilitar el acceso a los recursos en el dominio de origen. En este caso, debe utilizar un proceso de migracin diferente. Puede seleccionar uno de los tres mtodos siguientes para migrar las cuentas entre bosques mientras conserva los derechos de usuario para tener acceso a los recursos en el dominio de origen:
36
Migre las cuentas de usuario mientras utiliza el historial de SID para el acceso a los recursos. Con este mtodo, quita el filtrado de SID en las confianzas entre los dominios para permitir a los usuarios tener acceso a los recursos del dominio de origen por medio de sus credenciales del historial de SID. Si ha establecido una confianza de bosque, quite el filtrado de SID en la confianza de bosque. (Tambin puede invalidar la confianza del bosque creando una confianza externa de manera que el dominio que guarda los recursos confe en el dominio de destino y, a continuacin, quitar el filtrado de SID de la confianza externa). Si no ha establecido una confianza de bosque, establezca confianzas externas entre los dominios de origen y de destino. A continuacin, debe eliminar el filtrado por SID de las confianzas externas si en el controlador de dominio que se utiliza para crear la confianza se ejecuta Windows Server 2008 R2, Windows Server 2008 o Windows Server 2003. Si va a utilizar ADMT v3.1, en el controlador de dominio que se use para crear la confianza se puede estar ejecutando Windows 2000 Service Pack 4 (SP4) o posterior. Para obtener ms informacin sobre este proceso, consulte Migracin de cuentas mientras utiliza el historial de SID, ms adelante en esta gua. Migre todos los usuarios, grupos y recursos al dominio de destino en un paso. Para obtener ms informacin sobre este proceso, consulte Migracin de cuentas mientras utiliza el historial de SID, ms adelante en esta gua. Migre cuentas de usuario sin utilizar el historial de SID para obtener acceso a los recursos, pero convierta la seguridad de todos los recursos antes del proceso de migracin para garantizar el acceso a los recursos. Para obtener ms informacin sobre la migracin de cuentas sin utilizar el historial de SID, consulte Migracin de cuentas sin utilizar el historial de SID, ms adelante en esta gua. Para determinar qu proceso de migracin de cuentas es mejor para su organizacin, primero debe determinar si puede deshabilitar el filtrado de SID y migrar cuentas mientras utiliza el historial de SID para tener acceso a los recursos. Puede realizarlo de forma segura si los administradores del dominio de origen confan plenamente en los administradores del dominio de destino. Es posible que deshabilite el filtrado de SID si se aplica una de las siguientes condiciones: Los administradores del dominio que confa son administradores del dominio de confianza. Los administradores del dominio que confa confan en los administradores del dominio de confianza y estn seguros de que han asegurado el dominio correctamente. Si deshabilita el filtrado de SID, quita el lmite de seguridad entre los bosques, que de lo contrario proporcionara aislamiento de servicios y datos entre los bosques. Por ejemplo, un administrador del dominio de destino que tenga derechos de administrador de servicios o un individuo que tenga acceso fsico a un controlador de dominio puede modificar el historial de SID de una cuenta para incluir el SID de un administrador de dominio en el dominio de origen. Cuando la cuenta de usuario para la que se ha modificado el historial de SID inicia sesin en el dominio de
37
destino, se presentan credenciales de administrador de dominio vlidos para los recursos del dominio de origen, a los que puede obtener acceso. Por este motivo, si no confa en los administradores del dominio de destino o no cree que los controladores de dominio del dominio de destino sean fsicamente seguros, habilite el filtrado de SID entre sus dominios de origen y de destino y migre cuentas de usuario sin utilizar el filtrado de SID para tener acceso a los recursos. La siguiente ilustracin muestra el proceso de decisin implicado en la determinacin del proceso de migracin adecuado para su organizacin.
Uso del historial de SID para conservar el acceso a recursos

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 La mejor forma de otorgar acceso a los recursos es usar los grupos globales para organizar usuarios y los grupos locales de dominios para proteger recursos. Coloque los grupos globales 38
en un grupo local de dominio para otorgar a los miembros del grupo global acceso al recurso. Un grupo global slo puede contener miembros de su propio dominio. Cuando un usuario se migra entre dominios, cualquier grupo global al que pertenezca el usuario tambin se debe migrar. As se garantiza que los usuarios puedan continuar teniendo acceso a los recursos protegidos por las listas de control de acceso discrecional (DACL) en relacin a los grupos globales. Tras la migracin de una cuenta y el mantenimiento del historial de identificadores de seguridad (SID) de la cuenta del dominio de origen, cuando un usuario inicia sesin en el dominio de destino, tanto el SID nuevo como el SID original del atributo del historial de SID se agregan al token de acceso del usuario. Estos SID determinan la pertenencia del usuario al grupo local. Los SID de los grupos a los que pertenece el usuario se agregan a continuacin para el token de acceso, junto con el historial de SID de dichos grupos. Los recursos dentro de los dominios de origen y de destino resuelven sus listas de control de acceso (ACL) a los SID y, a continuacin, comprueban las coincidencias entre las listas ACL y el token de acceso cuando otorga o deniega acceso. Si el SID o el historial de SID coincide, el acceso al recurso se otorga o deniega, segn el acceso especificado en la lista ACL. Si el recurso est en el dominio de origen y no ha ejecutado una conversin de seguridad, utiliza el historial de SID de la cuenta de usuario para otorgar acceso. Tambin puede conservar el SID original para los grupos globales y los grupos universales en el historial de SID del grupo global o el grupo universal en el dominio de destino. Dado que la pertenencia al grupo local se basa en los SID, cuando migra el SID al historial de SID del grupo global o grupo universal del dominio de destino, la pertenencia al grupo local del grupo global o grupo universal se conservan automticamente. El historial de SID se utiliza para las siguientes tareas: Acceso al perfil de usuario mvil Acceso de autoridad de certificacin Acceso de instalacin de software Acceso a recursos
Si no utiliza el historial de SID para el acceso a los recursos, tendr que migrar el historial de SID para facilitar el acceso a dichos elementos.
Uso de filtrado de SID al migrar cuentas de usuarios

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 En una confianza de dominio a dominio, el filtrado por identificadores de seguridad (SID) no permite el uso de SID que no pertenezcan al dominio de confianza con el fin de permitir el acceso a cualquier recurso del dominio que confa. En una confianza de bosque a bosque, el filtrado por identificadores de seguridad (SID) no permite el uso de SID que provengan de dominios que no pertenezcan al bosque de confianza con el fin de permitir el acceso a cualquier dominio del bosque que confa. 39
Puede habilitar el SID de un usuario en un bosque diferente para tener acceso a un recurso dentro de un bosque que tiene el filtrado de SID habilitado por la conversin de seguridad en el recurso para incluir el SID del usuario en la lista de permisos. El filtrado de SID se aplica de forma predeterminada cuando se establece una confianza de bosque entre dos dominios raz de bosque. Adems, el filtrado por SID se habilita de forma predeterminada cuando se establecen confianzas externas entre controladores de dominio que ejecutan Windows 2000 Service Pack 4 (SP4) o posterior. De este modo, se evitan los posibles ataques a la seguridad por parte de un administrador de un bosque diferente. Puesto que el filtrado de SID no se aplica a la autenticacin dentro de un dominio, tambin es posible permitir el acceso a recursos mediante el historial de SID, si el recurso y la cuenta estn en el mismo dominio. Para permitir que los usuarios o grupos accedan a un recurso mediante el historial de SID, el bosque en el que el recurso est ubicado debe confiar en el bosque en el se encuentra la cuenta. Para obtener ms informacin acerca de los ataques basados en el historial de SID y el filtrado de SID, consulte "Configuring SID Filtering Settings" (Configuracin de los valores del filtrado de SID) (http://go.microsoft.com/fwlink/?LinkId=73446).
Asignacin de las funciones y ubicaciones de objetos

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Cree una tabla de asignacin de objetos que enumere las funciones y ubicaciones de todos los objetos que est migrando. Cree una tabla para objetos de cuenta, como usuarios, grupos y cuentas de servicios, as como una tabla para los objetos de recursos, como estaciones de trabajo, perfiles y controladores de dominio. En sus tablas, enumere las ubicaciones de origen y de destino para todos los objetos que se van a migrar. Antes de crear su tabla de asignacin de objetos de cuentas, determine si las estructuras de unidades organizativas (OU) del dominio para los dominios de origen y destino son las mismas. Si no son las mismas, debe identificar las unidades organizativas de origen y destino en sus tablas de asignacin de objetos. Para obtener una hoja de clculo para ayudarle a crear una tabla de asignacin de objetos de cuenta, consulte "User and Group Object Assignment Table" (Tabla de asignacin de objetos de grupo y usuario) (DSSREER_1.doc) en la descarga Job_Aids_Designing_and_Deploying_Directory_and_Security_Services de Job Aids for Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink?LinkId=14384). La siguiente ilustracin muestra un ejemplo de una tabla de asignacin de objetos para usuarios y grupos.
40
Para crear una tabla de asignacin de objetos de recursos, identifique las unidades organizativas de origen y destino para cada objeto y observe la ubicacin fsica y la funcin en el dominio de destino. Para obtener una hoja de clculo para ayudarle a crear una tabla de asignacin de objetos de recursos, consulte "Resource Object Assignment Table" (Tabla de asignacin de objetos de recursos) (DSSREER_2.doc) en la descarga Job_Aids_Designing_and_Deploying_Directory_and_Security_Services de Job Aids for Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink?LinkId=14384). La siguiente ilustracin muestra un ejemplo de una tabla de asignacin de objetos de recursos.
41
Desarrollo de un plan de prueba para la migracin

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 La Herramienta de migracin Active Directory no incluye una opcin de migracin de prueba. Sin embargo, puede desarrollar un plan de prueba para probar sistemticamente cada objeto despus de que haya migrado al nuevo entorno y para identificar y solucionar cualquier problema que pueda ocurrir. La comprobacin de que la migracin se ha realizado correctamente le ayuda a asegurar que los usuarios que se migran del dominio de origen al de destino puedan iniciar sesin, tener acceso a los recursos en base a la pertenencia a un grupo y tener acceso a los recursos en base a sus credenciales de usuario. La comprobacin tambin le ayuda a asegurar que los usuarios puedan obtener acceso a los recursos que migre. Una vez completada la comprobacin, puede seguir con la migracin de pequeos grupos piloto y, a continuacin, ir aumentando gradualmente el tamao de cada lote de objetos de migracin en su entorno de produccin. 42
Utilice el siguiente proceso para comprobar la migracin de su objeto de cuenta y objetos de recursos: 1. Cree un usuario de prueba en el dominio de origen. Incluya este usuario de prueba en sus migraciones. 2. Agregue dicho usuario a los grupos globales apropiados para habilitar el acceso a los recursos. 3. Inicie sesin en el dominio de origen como usuario de prueba y compruebe que puede obtener acceso a los recursos correspondientes. 4. Tras migrar la cuenta de usuario, convierta el perfil de usuario y migre la estacin de trabajo del usuario, inicie sesin en el dominio de destino como el usuario de prueba y compruebe que el usuario conserva todos los accesos y funciones necesarios. Por ejemplo, podr comprobar que: El usuario puede iniciar sesin correctamente. El usuario tiene acceso a todos los recursos apropiados, como usos compartidos de impresiones y archivos; acceso a los servicios como mensajera, as como acceso a las aplicaciones de lnea de negocio (LOB). Es especialmente importante comprobar el acceso a aplicaciones desarrolladas internamente que tienen acceso a servidores de bases de datos. El perfil de usuario se ha convertido correctamente y el usuario conservar la configuracin de escritorio, apariencia de escritorio, accesos directos y acceso a la carpeta Mis documentos. Asimismo, compruebe que las aplicaciones aparecen y se inician desde el men Inicio. No puede migrar cada propiedad de usuario al migrar cuentas de usuario. Para obtener ms informacin sobre las propiedades de usuario que no se pueden migrar, consulte Migrar cuentas de usuario, ms adelante en esta gua. Una vez migrados los recursos, inicie sesin como el usuario de prueba en el dominio de destino y compruebe que puede obtener acceso a los recursos correspondientes. Si cualquier paso del proceso de prueba da error, identifique el origen del problema y determine si puede corregir el problema antes de que se deba tener acceso al objeto en el dominio de destino. Si no puede corregir el problema antes de obtener acceso al objeto necesario, revierta a la configuracin original para asegurar el acceso al objeto de recurso o usuario. Para obtener ms informacin sobre la creacin de un plan de reversin, consulte Creacin de un plan de reversin, ms adelante en esta gua. Como parte de su plan de prueba, cree una matriz de prueba de migracin. Complete una matriz de prueba para cada paso que complete en el proceso de migracin. Por ejemplo, si migra 10 lotes de usuarios, complete 10 veces la matriz de prueba, una para cada lote que migre. Si migra 10 servidores miembro, complete la matriz de prueba para cada uno de los 10 servidores. Para obtener una hoja de clculo para ayudarle a crear una matriz de prueba, consulte Migration Test Matrix (DSSREER_3.doc) en la descarga Job_Aids_Designing_and_Deploying_Directory_and_Security_Services de Job Aids for Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink?LinkId=14384). 43
La siguiente ilustracin muestra un ejemplo de una matriz de prueba de migracin completada.
Creacin de un plan de reversin

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Reduzca el riesgo de interrupcin de usuarios finales en su organizacin estableciendo un plan de reversin. En general, es posible aislar o resolver cualquier problema que se produzca durante cada fase de migracin. Sin embargo, es importante analizar los riesgos potenciales e identificar los niveles de impacto de usuario y el tiempo de inactividad que puede llevar la 44
reversin de la migracin. Es posible que tenga que revertir su migracin si se presenta cualquiera de las condiciones siguientes: Los usuarios no pueden iniciar sesin en sus cuentas tras la migracin. Los usuarios no pueden tener acceso a los recursos tras la migracin.
La migracin de usuarios no est completa; por ejemplo, las contraseas no se han migrado. La migracin de usuarios se ha realizado correctamente, pero se ha producido un error en la migracin de estaciones de trabajo de los usuarios o la conversin de los perfiles locales. Si el impacto de usuario o el tiempo de inactividad alcanza un nivel que ha definido como inaceptable en su organizacin, puede implementar su plan de reversin y continuar el funcionamiento en un entorno de migracin previa. Dado que el dominio de origen se conserva intacto durante la reestructura, puede restaurar el entorno original completando unos pasos clave. Para revertir el entorno de migracin previa despus de la migracin de objetos de cuenta: 1. Habilite las cuentas de usuario en el dominio de origen (si deshabilita las cuentas durante el proceso de migracin). 2. Notifique a los usuarios que cierren sesin en el dominio de destino. 3. Notifique a los usuarios que inicien sesin en el dominio de origen. 4. Compruebe que los usuarios pueden tener acceso a los recursos. 5. Compruebe que las secuencias de comandos de inicio de sesin y los perfiles de usuario funcionan conforme a la configuracin en el dominio de origen. El proceso de reversin de objetos de recursos es similar al de los objetos de cuenta. Para revertir el entorno de migracin previa despus de la migracin de objetos de recurso: 1. Cambie la pertenencia a un dominio del servidor o la estacin de trabajo al dominio de origen. 2. Reinicie el servidor o la estacin de trabajo. 3. Inicie sesin como usuario y compruebe que puede tener acceso al recurso. Nota Si tiene que modificar objetos, como servidores miembro o controladores de dominio, para migrarlos al dominio de destino, realice una copia de seguridad de todos los datos antes de aplicar modificaciones y realizar la migracin.
Administracin de usuarios, grupos y perfiles de usuario

Debe definir cmo se van a administrar los objetos que est migrando durante el proceso de reestructuracin entre distintos bosques. Al establecer procedimientos administrativos para los objetos de migracin, puede conservar los objetos tanto en el dominio de origen como en el dominio de destino. En consecuencia, puede volver al entorno previo a la migracin si el proceso de reestructuracin no es correcto. Plan para la administracin de los tipos siguientes de objetos de migracin de cuentas: Cuentas de usuario, incluyendo identificadores de seguridad (SID) Pertenencia a grupos globales Perfiles de usuario
Administracin de cuentas de usuario

Durante el proceso de migracin, las cuentas de usuario existen tanto en los dominios de origen como de destino. Administre los cambios de las cuentas de usuario en el dominio en el que est activo el objeto de usuario. Contine administrando los cambios en las pertenencias al grupo en el dominio de origen mientras la migracin tiene lugar. Utilice la opcin Migrar y combinar objetos en conflicto en la Herramienta de migracin para Active Directory (ADMT) para volver a migrar las cuentas de usuario con la frecuencia que se necesite durante el proceso de migracin. Esto asegura que los cambios realizados en la cuenta del dominio de origen se propagan a la cuenta del dominio de destino. Esta operacin combina la cuenta existente con la nueva cuenta para que la administracin del objeto pueda continuar en el dominio de origen durante el proceso de migracin. La opcin Migrar y combinar objetos en conflicto aplica las pautas siguientes cuando se migra una cuenta: Si cambia un atributo en el dominio de destino y no se usa en el dominio de origen, no se sobrescribe con el valor NULL desde el dominio de origen. Si cambia un atributo en el dominio de destino y se usa en el dominio de origen, se sobrescribe con el valor desde el dominio de origen. Si el usuario tiene pertenencia a grupos, los miembros se fusionan desde la pertenencia de origen y la pertenencia de destino. Si ste no es el comportamiento deseado, puede configurar ADMT para que excluya la migracin de determinados atributos, de tal forma que se conserven los atributos del dominio de destino. Por ejemplo, suponga que despus de la migracin de un usuario establece atributos en el nuevo objeto de usuario en el dominio de destino, como un nmero de telfono o nmero de oficina. Tiene que volver a migrar al usuario usando la opcin Migrar y combinar objetos en conflicto en ADMT, y la nueva informacin se conserva en el dominio de destino. Si ha cambiado la pertenencia al grupo para el usuario del dominio de origen, los cambios se propagan al dominio de destino cuando ejecute la nueva migracin. Algunos atributos se excluyen de la migracin. Estos atributos incluyen lo siguiente: Atributos que el sistema excluye siempre Atributos que estn en la lista de exclusin de atributos del sistema 46
Atributos que estn configurados para su exclusin por el administrador
Atributos que el sistema excluye siempre

ADMT siempre excluye de la migracin algunos atributos y no se pueden configurar para su migracin. De este modo se protegen los atributos que pertenecen al sistema. Estos atributos incluyen lo siguiente: Identificador nico global del objeto (GUID) SID (aunque los SID se pueden agregar al SID History del objeto del dominio de destino). LegacyExchangeDN
Lista de exclusin de atributos del sistema

La primera vez que ejecuta una migracin de usuarios ADMT, esta herramienta genera una lista de exclusin de atributos del sistema, que almacena en su base de datos. La lista de exclusin de atributos del sistema contiene de manera predeterminada dos atributos: mail y proxyAddresses. ADMT tambin lee el esquema del dominio de destino y agrega a la lista los atributos que no forman parte del esquema de base. Los atributos de esta lista se excluyen de las migraciones aunque no estn especificados en la lista de exclusin de atributos. Un administrador puede cambiar la lista de exclusin de atributos del sistema usando nicamente una secuencia de comandos. De este modo se protegen los atributos que son importantes para que funcionen las aplicaciones basadas en servidor, como Microsoft Exchange. Si el esquema de dominio objetivo se ampla an ms despus de que ADMT haya generado la lista, los administradores deben agregar manualmente los nuevos atributos a la lista, a no ser que estn seguros de que la copia de los valores de estos atributos del dominio de origen no interferir con las aplicaciones basadas en servidor.
Lista de exclusin de atributos

Los administradores pueden definir una lista de atributos que se excluyen de cada migracin. Esto se denomina una lista de exclusin de atributos. De manera predeterminada, al usar la consola de ADMT, la informacin de estado de los atributos que se configuran para su exclusin se almacenan en la interfaz de usuario (IU) y se incluyen en la lista de exclusin en la siguiente migracin. Las secuencias de comandos y los atributos de la lnea de comandos no conservan informacin de estado. Por tanto, no se almacenan en la IU. Estos atributos deben agregarse a la lista de exclusin de atributos para cada operacin de migracin, ya sea por medio del nombre de atributo o por medio de un archivo de opciones.
Administracin de grupos globales

Contine administrando los grupos en el dominio de origen durante el proceso de migracin. Vuelva a migrar los grupos con tanta frecuencia como sea necesario usando la opcin Migrar y combinar objetos en conflicto en ADMT. Esto asegura que los cambios realizados en la pertenencia al grupo del dominio de origen se propagan a los grupos del dominio de destino. 47
Planeamiento para la migracin de perfil de usuario

Los perfiles de usuario almacenan los datos e informacin sobre la configuracin del escritorio del usuario. Los perfiles de usuario pueden ser mvil o local. El proceso de migracin es diferente para los perfiles locales o mviles. La conversin del perfil es un tipo de conversin de seguridad, y los perfiles se convierten durante el proceso de migracin. Si realiza la conversin de seguridad en modo Agregar, los SID en los dominios de origen y destino deben tener ambos acceso al perfil. Por tanto, si tiene que revertir al entorno de origen, el SID del dominio de origen puede usar el perfil. Si realiza la conversin de seguridad en el modo de reemplazar, debe volver a convertir el perfil usando un archivo de asignacin SID (deshaciendo la conversin de seguridad) para revertir al entorno de origen. Importante Si tiene que revertir a la configuracin original, notifique a los usuarios que los cambios de perfil realizados en el dominio de destino no se reflejan en el dominio de origen. Algunas organizaciones pueden optar por no migrar los perfiles de usuario. Otras organizaciones podran elegir reemplazar las estaciones de trabajo de los usuarios durante el proceso de migracin de cuentas de usuario, y utilizan una herramienta como la Herramienta de migracin de estado de usuario (USMT) para migrar los datos de usuario y la configuracin a los nuevos equipos de los usuarios. En la tabla siguiente se resumen los requisitos de migracin para los perfiles de usuario.
Tipo Descripcin Requisitos de la migracin
Perfiles mviles
Los perfiles de usuario se almacenan centralmente en los servidores. Los perfiles estn disponibles para el usuario, con independencia de la estacin de trabajo en uso.
Si est migrando perfiles mviles que se utilizan en Windows Vista o posterior, preprelos para la migracin. Para obtener ms informacin, consulte Preparacin para la migracin de perfiles mviles con equipos que ejecutan Windows Vista y Windows 7. Durante la migracin de cuentas de usuario, seleccione Convertir perfiles mviles en la pgina Opciones de usuario en el Asistente para migracin de cuentas de usuario. A continuacin, convierta los perfiles de usuario locales para 48
Tipo
Descripcin
Requisitos de la migracin
un lote de usuarios inmediatamente despus de la migracin de dichos usuarios. Perfiles locales Los perfiles de usuario se almacenan de forma local en la estacin de trabajo. Cuando el usuario inicia sesin en otra estacin de trabajo, se crea un perfil de usuario local nico. Convierta los perfiles locales como un paso independiente del proceso de migracin de cuentas de usuario. Seleccione la opcin Perfiles de usuario en la pgina Convertir objetos del Asistente para conversin de seguridad. Convierta los perfiles de usuario locales de un lote de usuarios inmediatamente despus de la migracin de dichos usuarios. Los usuarios pierden sus perfiles existentes cuando se migran sus cuentas de usuario. Migre como un paso separado desde la migracin de cuentas de usuario. Migre los perfiles al nuevo equipo del usuario mediante una herramienta como USMT.
Perfiles no administrados
Igual para los perfiles locales.
Actualizacin de hardware
La informacin de estado del usuario se almacena localmente en la estacin de trabajo.
Preparacin para la migracin de perfiles mviles con equipos que ejecutan Windows Vista y Windows 7
La ubicacin de un perfil mvil se configura para una cuenta de usuario del dominio y se especifica de la siguiente manera: \\host.name.fqdn\ProfileShare\<nombredeperfil> <nombredeperfil> suele remplazarse por el %nombredeusuario%. Por tanto, la ubicacin real de un perfil mvil para el usuario RoamUserX es: \\host.name.fqdn\ProfileShare\RoamUserX La carpeta del perfil mvil (en este ejemplo, RoamUserX) se crea en el momento de iniciar sesin por primera vez como RoamUserX, y los datos reales del perfil se almacenan en esa carpeta. En Windows Vista se ha realizado un cambio en los perfiles que provocaban incompatibilidad con versiones anteriores de Windows. Para diferenciar los nuevos perfiles, se ha aadido una 49
extensin .V2 a todos los perfiles mviles de los usuarios de equipos que ejecutan Windows Vista y versiones posteriores. La ubicacin del perfil mvil del mismo usuario RoamUserX en un equipo que ejecute Windows Vista o Windows 7 es: \\host.name.fqdn\ProfileShare\RoamUserX.V2 Esta versin puede coexistir con un perfil mvil de una versin anterior de Windows. nicamente ADMT v3.2 distingue entre los dos nombres de carpeta de perfil diferentes. Las versiones anteriores de ADMT slo buscan la carpeta llamada <nombredeperfil> y no intentan encontrar un perfil V2 en caso de que existiera. Por tanto, las versiones anteriores de ADMT no migran los perfiles mviles de equipos que ejecuten Windows Vista y Windows 7. Para migrar una carpeta de perfil mvil mediante ADMT v3.2, es necesario modificar la lista de control de acceso predeterminada de la carpeta. De manera predeterminada, cuando un usuario inicia sesin y se crean los contenidos y la carpeta del perfil mvil, las carpetas <nombredeperfil> o <nombredeperfil>.V2 reciben las siguientes listas de control de acceso: SYSTEM Control total nombre_de_usuario - Control total Propietario = nombre_de_usuario
Por tanto, el propietario del perfil y el sistema local donde reside el uso compartido son los nicos que tienen acceso a la carpeta <nombredeperfil> o <nombredeperfil>.V2. Cuando se asignen estos permisos predeterminados a la carpeta, ADMT no podr acceder a la carpeta para realizar la conversin de seguridad. Si desea configurar los permisos de carpeta para permitir que ADMT v3.2 migre el perfil mvil, puede habilitar una configuracin de directiva de grupo para el dominio. En Windows Server 2008 R2, la configuracin es: Configuracin del equipo\Directivas\Plantillas administrativas\Sistema\Perfiles de usuario\Agregar el grupo de seguridad Administradores a los perfiles de usuario mviles Si esta configuracin se habilita y propaga antes del primer inicio de sesin del usuario (antes de la creacin del perfil mvil), el directorio de perfil mvil tendr un permiso agregado que concede Control total a los miembros del grupo Administradores del host compartido (host.name.fqdn en este ejemplo). Cuando se haya habilitado esta configuracin, las migraciones pueden realizarse si el usuario que ejecuta ADMT v3.2 se encuentra en el grupo Administradores de uso compartido. El usuario que ejecuta ADMT necesita acceso de Control total a las carpetas de perfiles mviles. Para conseguirlo, puede probar una de las siguientes opciones: 1. 2. Cree un script (utilizando, por ejemplo, Windows PowerShell) que realice lo siguiente: a. Se ejecuta como SYSTEM en el equipo compartido (host.name.fqdn en el ejemplo) b. Agrega el grupo de seguridad Administradores al conjunto de ACL de las carpetas de perfil, propagndose a todas las subcarpetas y archivos
50
c. Agrega el grupo de seguridad Administradores con Control total al conjunto de ACL de las carpetas de perfil y obtiene permisos heredados a todas las subcarpetas y archivos 3. Cree un script (utilizando, por ejemplo, Windows PowerShell) que realice lo siguiente: a. Se ejecuta en el contexto de cada usuario mvil (por ejemplo, como una tarea de inicio de sesin). b. Agrega el grupo de seguridad Administradores con Control total al conjunto de ACL de las carpetas de perfil y obtiene permisos heredados a todas las subcarpetas y archivos.
Creacin de un plan de comunicacin con los usuarios finales

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Desarrolle un plan para informar a todos los usuarios afectados sobre la prxima migracin de cuentas, para asegurarse de que saben cules son sus responsabilidades, el impacto de la migracin y con quin tienen que ponerse en contacto para obtener ayuda y soporte tcnico. Antes de comenzar el proceso de migracin de usuarios, enve un aviso a todos los usuarios programados para la migracin. Dado que normalmente migra usuarios en lotes de aproximadamente 100 usuarios de una vez, tambin es til enviar un aviso final a los usuarios de cada lote dos o tres das antes de la programacin de su lote. Si su organizacin dispone de una intranet, publique la programacin de la migracin de cuentas y la informacin contenida en el correo de usuario en una pgina web fcilmente accesible. Incluya la siguiente informacin en su comunicacin al usuario final.
Informacin general
Avise a los usuarios de que sus cuentas de usuario estn programadas para la migracin a un nuevo dominio. Remita a los usuarios a una pgina web o recurso interno donde puedan encontrar informacin adicional y ver una programacin de migracin. Informe a los usuarios del nuevo nombre de dominio. Asegrese de informarles de que sus contraseas de cuentas no cambiarn. Informe a los usuarios de que la cuenta de dominio original se deshabilitar inmediatamente despus de la migracin y la cuenta deshabilitada se eliminar transcurrido un perodo de tiempo especfico. No es necesario si los usuarios inician sesin con nombres principales de usuario (UPN).
Impacto
Asegrese de que los usuarios comprenden que cuando sus cuentas se migran, es posible que no puedan tener acceso a algunos recursos, como sitios web, carpetas compartidas o recursos que los usuarios de su grupo o divisin no utilizan de forma habitual. 51
Proporcione informacin a los usuarios sobre con quin tienen que ponerse en contacto para obtener asistencia para tener acceso a los recursos necesarios.
Estado de inicio de sesin durante la migracin

Asegrese de que los usuarios comprenden que durante el proceso de migracin no podrn iniciar sesin en el dominio o tener acceso al correo electrnico u otros recursos. Asegrese de que especifica el perodo de tiempo durante el que no podrn iniciar sesin.
Pasos de migracin previa

Avise a los usuarios de cualquier paso que deban completar antes de comenzar el proceso de migracin. Por ejemplo, deben descifrar los archivos cifrados por medio del Sistema de cifrado de archivos (EFS). Si se produce un error al descifrar archivos cifrados, se perder el acceso a los archivos cifrados despus de la migracin. Los usuarios tambin deben asegurarse de que sus equipos estn conectados a la red cuando la migracin de su cuenta est programada.
Cambios esperados
Describa otros cambios que los usuarios puedan experimentar despus de la migracin, como cambios en el uso de tarjetas inteligentes, correo electrnico seguro o mensajera instantnea, si procede.
Programacin e informacin de soporte tcnico

Proporcione informacin sobre dnde se pueden dirigir los usuarios para obtener ms informacin. Por ejemplo, pueden visitar un sitio web interno donde publique informacin sobre la migracin. Asimismo, proporcione informacin sobre con quin debe ponerse en contacto si la fecha programada para la migracin presenta un conflicto para un usuario.
Preparacin de los dominios de origen y destino

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Antes de comenzar con la migracin de las cuentas del dominio de origen al dominio de destino, debe preparar los dominios de origen y de destino para la migracin. La siguiente ilustracin muestra las tareas necesarias para preparar los dominios para el proceso de reestructuracin de dominios dentro de un mismo bosque.
52
Instalacin de software de cifrado alto de 128 bits

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 El equipo en el que est instalada la Herramienta de migracin para Active Directory (ADMT) necesita cifrado alto de 128 bits. Este cifrado es estndar en los equipos que ejecutan Windows 2000 Server Service Pack 3 (SP3) o Service Pack 4 (SP4), Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2. Si planea instalar ADMT en un equipo que no admite de forma predeterminada el cifrado de nivel superior de 128 bits, debe instalar el paquete de cifrado de nivel superior de 128 bits. Puede descargar el paquete de cifrado desde Windows 2000 High Encryption Pack (Paquete de cifrado elevado de Windows 2000) (http://go.microsoft.com/fwlink/?LinkId=76037).
53
Establecimiento de confianzas necesarias para la migracin

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Antes de poder migrar cuentas y recursos desde un dominio de origen a un dominio de destino en otro bosque de Active Directory, debe asegurarse de que existen las confianzas apropiadas entre los bosques. Las relaciones de confianza entre los bosques que est reestructurando permiten que la Herramienta de migracin para Active Directory (ADMT) migre usuarios y cuentas de servicio y convierta perfiles de usuarios locales de los dominios de origen a los dominios de destino. Adems, dependiendo de cmo estn configuradas las relaciones de confianza, los usuarios del dominio de origen pueden tener acceso a recursos del dominio de destino. Es ms, los usuarios de los dominios de destino pueden tener acceso a los recursos del dominio de origen que todava no se han migrado. Para migrar usuarios y grupos globales, debe establecer una confianza unidireccional entre el dominio de origen y el dominio de destino, de forma que el dominio de origen confe en el dominio de destino. Para migrar recursos o convertir perfiles locales, debe realizar uno de los siguientes procedimientos: Crear una confianza unidireccional entre el dominio de origen y el dominio de destino. Crear una confianza bidireccional entre los dominios de origen y destino.
Para obtener ms informacin acerca de la creacin de confianzas, consulte Creating Domain and Forest Trust (http://go.microsoft.com/fwlink/?LinkId=77381).
Establecimiento de cuentas de migracin para la migracin

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Para migrar las cuentas y los recursos entre bosques, debe establecer cuentas de migracin y asignar los credenciales apropiados a dichas cuentas. La Herramienta de migracin para Active Directory (ADMT) utiliza las cuentas de migracin para migrar objetos que identifique. Dado que ADMT requiere slo un conjunto limitado de credenciales, la creacin de cuentas de migracin independientes le ayuda a simplificar la administracin. Si las tareas de migracin de su organizacin se distribuyen a ms de un grupo, es til crear una cuenta de migracin para cada grupo implicado en la realizacin de la migracin. Para simplificar la administracin, cree una cuenta nica en el dominio de origen y una cuenta nica en el dominio de destino para todos los objetos, con las credenciales necesarias para modificar los objetos, como usuarios, cuentas de servicio administradas, grupos globales y perfiles locales que desea migrar a esa cuenta. Por ejemplo, una cuenta de migracin que utiliza para migrar cuentas de usuario junto con el historial de identificadores de seguridad (SID), 54
grupos globales junto con el historial de SID, equipos y perfiles de usuario tiene credenciales de administrador local o administrador de dominio en el dominio de origen. La cuenta de migracin tambin ha delegado permiso en el usuario, cuenta de servicio administrada, grupo y las unidades organizativas del equipo (OU) en el dominio de destino, con el derecho extendido para migrar el SID History en la unidad organizativa de usuario. El usuario debe ser un administrador local en el equipo del dominio de destino en el que est instalada ADMT. Una cuenta de migracin que utilice para migrar estaciones de trabajo y controladores de dominio debe tener credenciales de administrador local o administrador de dominio de origen en las estaciones de trabajo, o la cuenta debe tener credenciales de administrador de dominio de origen en el controlador de dominio o en ambos. En el dominio de destino, es necesario utilizar una cuenta que tenga permisos delegados en la unidad organizativa de equipo y la unidad organizativa de usuario. Es posible que desee utilizar una cuenta independiente para la migracin de estaciones de trabajo si este proceso de migracin se delega a los administradores de la misma ubicacin que las estaciones de trabajo. La siguiente tabla muestra los credenciales necesarios en los dominios de origen y de destino para los objetos de migracin diferentes.
Objeto de migracin Credenciales necesarios en dominio de origen Credenciales necesarios en dominio de destino
Usuario/cuenta de servicio administrada/grupo sin SID History
Permiso delegado para Leer toda la informacin del usuario en la unidad organizativa de usuario o unidad organizativa de grupo y credencial de administrador de dominio
Permiso delegado para Crear, eliminar y administrar cuentas de usuario, Crear, eliminar y administrar grupos y Modificar la pertenencia de un grupo para la unidad organizativa de usuario o la unidad organizativa de grupo y administrador local del equipo en el que est instalada ADMT Permiso delegado en la unidad organizativa de usuario o la unidad organizativa de grupo, permiso extendido para migrar historial de SID y administrador local en el equipo en el que est instalada ADMT. Permiso delegado en la unidad organizativa de equipo y administrador local en el equipo en el que est instalada ADMT Nota 55
Usuario/cuenta de servicio administrada/grupo con SID History
Permiso delegado para Leer toda la informacin del usuario en la unidad organizativa de usuario o unidad organizativa de grupo y credencial de administrador de dominio Administrador de dominio o administrador en el dominio de origen y en cada equipo
Equipo
Objeto de migracin
Credenciales necesarios en dominio de origen
Credenciales necesarios en dominio de destino
Si el equipo tiene una cuenta de servicio administrada instalada, deber proporcionar credenciales que tengan permiso para actualizar el descriptor de seguridad de la cuenta de servicio administrada en el dominio de destino. Perfil Administrador local o administrador de dominio Permiso delegado en la unidad organizativa de usuario y administrador local en el equipo en el que est instalada ADMT. Nota Es posible que tenga que seguir otros pasos adicionales de preparacin si migra perfiles mviles de equipos que ejecutan Windows Vista o Windows 7. Para obtener ms informacin, consulte Preparacin para la migracin de perfiles mviles con equipos que ejecutan Windows Vista y Windows 7. Los siguientes procedimientos proporcionan ejemplos para la creacin de grupos o cuentas para migrar cuentas y recursos. Los procedimientos varan en funcin de si existe una confianza unidireccional o bidireccional. El procedimiento de creacin de grupos de migracin cuando existe confianza unidireccional es ms complejo que el procedimiento cuando existe confianza bidireccional. Lo que se debe a que, con una confianza unidireccional, debe agregar el grupo de migracin al grupo local Administradores de las estaciones de trabajo. El procedimiento de muestra para la creacin de grupos de migracin cuando existe una confianza unidireccional implica la creacin de grupos independientes para la migracin de 56
cuentas y recursos. No obstante, puede combinar acct_migrators y res_migrators en un grupo, si no tiene que separarlos para delegar diferentes conjuntos de permisos. Creacin de un grupo de migracin de cuenta cuando existe una confianza unidireccional en la que el dominio de origen confa en el dominio de destino 1. En el dominio de destino, cree un grupo global denominado acct_migrators. 2. En el dominio de destino, agregue el grupo acct_migrators al grupo Admins. del dominio o delegue la administracin de las unidades organizativas que son destino de la migracin de cuentas a este grupo. 3. Si migra el historial de SID y no coloca el grupo acct_migrators en el grupo Admins. del dominio, conceda al grupo acct_migrators el permiso extendido Migrar historial SID en el objeto de dominio de destino. Para ello, siga estos pasos: a. Inicie Usuarios y equipos de Active Directory, haga clic con el botn secundario en el objeto de dominio y, a continuacin, haga clic en Propiedades. b. Haga clic en la ficha Seguridad y en Agregar, a continuacin, seleccione acct_migrators. Si la ficha Seguridad no aparece, en Usuarios y equipos de Active Directory, haga clic en Ver y, a continuacin, haga clic en Caractersticas avanzadas. c. En Permissions for acct_migrators, haga clic en Permitir para el permiso Migrar historial SID. 4. En el dominio de origen, agregue el grupo acct_migrators al grupo Builtin\Administradores. 5. En cada equipo en el que desee convertir perfiles locales, agregue el grupo acct_migrators al grupo local Administradores. Creacin de un grupo de migracin de recursos cuando existe una confianza unidireccional en la que el dominio de origen confa en el dominio de destino 1. En el dominio de destino, cree un grupo global denominado res_migrators. 2. En el dominio de destino, agregue el grupo res_migrators al grupo Admins. del dominio o delegue la administracin de las unidades organizativas que son destino de la migracin de recursos a este grupo. 3. En el dominio de origen, agregue el grupo res_migrators al grupo Administradores. 4. En cada equipo que desee migrar o en el que desee realizar una conversin de seguridad, agregue el grupo res_migrators al grupo local Administradores. Creacin de una cuenta de migracin de recursos cuando existe una confianza bidireccional entre los dominios de origen y de destino. 1. En el dominio de origen, cree una cuenta denominada res_migrator. 2. En el dominio de origen, agregue la cuenta res_migrator al grupo Admins. del 57
dominio. (El grupo Admins. del dominio es un miembro del grupo local Administradores en cada equipo del dominio de forma predeterminada. Por consiguiente, no tiene que agregarlo al grupo local Administradores en cada equipo). 3. En el dominio de destino, delegue los permisos en las unidades organizativas que sean destino de la migracin de recursos para la cuenta res_migrator. ADMT tambin incluye funciones de administracin de base de datos que puede utilizar para asignar un subconjunto de permisos a los usuarios que realicen tareas de migracin especficas. Las funciones de administracin de base de datos y las tareas de migracin que pueden realizar se enumeran en la siguiente tabla.
Funcin Tarea de migracin
Migradores de cuentas Migradores de recursos
Tareas de migraciones de cuentas, como migracin de usuarios y grupos. Tareas de migracin de recursos, como migraciones de equipos y conversin de seguridad. Los migradores de cuentas tambin desempean la funcin de migradores de recursos. Consultas en la base de datos. Los migradores de cuentas y los migradores de recursos tambin desempean la funcin de lectores de datos.
Lectores de datos
Los usuarios que tienen la funcin de administrador del sistema de SQL Server asumen todas las funciones de administracin de base de datos de ADMT. Tienen los credenciales para realizar lo siguiente: Mostrar funciones de base de datos y usuarios que asumen dichas funciones Agregar grupos o usuarios a funciones Quitar grupos o usuarios de funciones
De manera predeterminada, se asigna la funcin de administrador del sistema al grupo local Administradores y puede realizar todas las funciones de la base de datos de ADMT.
Configuracin de los dominios de origen y destino para la migracin del historial de SID
Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2
58
Puede configurar de forma manual los dominios de origen y de destino para migrar el historial de identificadores de seguridad (SID) antes de comenzar una migracin entre distintos bosques, o bien puede dejar que la Herramienta de migracin para Active Directory (ADMT) configure los dominios automticamente la primera vez que se ejecute. Para configurar los dominios de origen y de destino de forma manual, complete los siguientes procedimientos: Cree un grupo local en el dominio de origen para admitir la auditora. Habilite la compatibilidad de cliente TCP/IP en el emulador del controlador principal de dominio (PDC) del dominio de origen. Nota Si est migrando desde un dominio con controladores de dominio que ejecutan Windows Server 2003 o posterior a otro dominio con controladores de dominio que ejecutan Windows Server 2003 o posterior, la entrada del Registro TcpipClientSupport no debe modificarse. Habilite la auditora de la administracin de cuentas en los dominios de origen y de destino. Para Windows Server 2008 R2 y Windows Server 2008, deber habilitar tambin la auditora del acceso al servicio de directorio con el fin de migrar los usuarios con el SID History entre los bosques. Creacin de un grupo local en el dominio de origen para admitir la auditora En el dominio de origen, cree un grupo local denominado SourceDomain$$$, donde SourceDomain es el nombre NetBIOS de su dominio de origen, por ejemplo, Boston$$$. No agregue miembros a este grupo; de lo contrario, se producir un error en la migracin del historial de SID. Activacin de la compatibilidad de cliente TCP/IP en el emulador de PDC del dominio de origen 1. En el controlador de dominio del dominio de origen que realiza el papel de servidor principal de operaciones de emulador PDC (tambin conocidas como operaciones de servidor principal nico flexible o FSMO), haga clic en Inicio y, a continuacin, en Ejecutar. 2. En Abrir, escriba regedit y haga clic en Aceptar. Precaucin La modificacin incorrecta del Registro puede daar gravemente el sistema. Antes de realizar cambios en el Registro, debe hacer una copia de seguridad de los datos valiosos que contenga el equipo. Tambin puede utilizar la opcin de inicio ltima configuracin buena conocida si surgen problemas despus de realizar los cambios. 3. En el Editor del Registro, desplcese a la siguiente subclave del Registro: 59
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA 4. Modifique la entrada del registro TcpipClientSupport, del tipo de datos REG_DWORD, estableciendo el valor a 1. 5. Cierre el Editor del Registro y reinicie el equipo. Para habilitar la auditora en los dominios de Windows Server 2008 R2 y Windows Server 2008 1. Inicie sesin como administrador en cualquier controlador de dominio del dominio de destino. 2. Haga clic en Inicio, seleccione Todos los programas, Herramientas administrativas y, a continuacin, haga clic en Administracin de directivas de grupo. 3. Desplcese al siguiente nodo: Bosque | Dominios | Dominio | Controladores de dominio | Directiva predeterminada de controladores de dominio 4. Haga clic con el botn secundario en Directiva predeterminada de controladores de dominio y haga clic en Modificar. 5. En el Editor de administracin de directivas de grupo, en el rbol de la consola, desplcese el siguiente nodo: Configuracin del equipo | Directivas | Configuracin de Windows | Configuracin de seguridad | Directivas locales | Directiva de auditora 6. En el panel de detalles, haga clic con el botn secundario en Auditar la administracin de cuentas y, a continuacin, haga clic en Propiedades. 7. Haga clic en Definir esta configuracin de directiva y, a continuacin, haga clic en Correcto y Errneo. 8. Haga clic en Aplicar y, a continuacin, haga clic Aceptar. 9. En el panel de detalles, haga clic con el botn secundario en Auditar el acceso del servicio de directorio y, a continuacin, haga clic en Propiedades. 10. Haga clic en Definir esta configuracin de directiva y, a continuacin, haga clic en Correcto. 11. Haga clic en Aplicar y, a continuacin, haga clic Aceptar. 12. Si es necesario que los cambios se reflejen de forma inmediata en el controlador de dominio, abra un smbolo del sistema con privilegios elevados y escriba gpupdate /force. 13. Repita los pasos del 1 al 12 en el dominio de origen.
60
Configuracin de la estructura de unidades organizativas del dominio de destino para la administracin

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 El equipo de diseo de Active Directory crea la estructura de unidades organizativas (OU) para el dominio de destino. Este equipo tambin define los grupos que son responsables de la administracin de cada unidad organizativa y la pertenencia de cada grupo. Puede utilizar esa informacin y el siguiente procedimiento para configurar el dominio de destino para la administracin. Para configurar la estructura de unidades organizativas del dominio de destino para la administracin 1. Inicie sesin como administrador en cualquier controlador de dominio del dominio de destino. 2. Inicie Usuarios y equipos de Active Directory y, a continuacin, cree la estructura de unidades organizativas que ha especificado su equipo de diseo. 3. Cree grupos administrativos y asigne usuarios a estos grupos. 4. Delegue la administracin de la estructura de unidades organizativas a los grupos tal y como lo haya definido el equipo de diseo.
Instalacin de ADMT en el dominio de destino

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Siga una de las siguientes instrucciones para instalar la Herramienta de migracin Active Directory (ADMT), segn la versin que vaya a instalar. La versin 3.1 de ADMT ofrece una opcin para instalar una instancia de base de datos de Microsoft SQL Server Express preconfigurada. La versin 3.2 de ADMT necesita una instancia de base de datos de SQL Server para instalarse previamente. El resto de instrucciones para separar, reconfigurar y eliminar un archivo de base de datos se aplican a cualquier versin de ADTM. Instalacin de ADMT v3.1 Instalacin de ADMT v3.2
Separar un archivo de base de datos existente de una versin anterior de ADMT y de SQL Server Reconfigurar la instalacin de la base de datos con Admtdb.exe 61
Reutilizar una base de datos de ADMT existente desde una instalacin anterior
Instalacin de ADMT v3.1

En esta seccin se tratan los siguientes problemas de instalacin de ADMT v3.1. Requisitos previos para la instalacin de ADMT v3.1 Instalacin de ADMT v3.1 usando el almacn de la base de datos predeterminado
Requisitos previos para la instalacin de ADMT v3.1

Cuando instala la Herramienta de migracin para Active Directory 3.1 (ADMT v3.1), tambin instala SQL Server 2005 Express Edition de forma predeterminada para usarlo como almacn de datos. Como opcin, puede configurar ADMT v3.1 para usar una base de datos SQL Server 2000 con Service Pack 4 (SP4) Standard o Enterprise Edition o una instalacin SQL Server 2005 Standard o Enterprise Edition anteriormente creada. Antes de instalar ADMT v3.1, complete los siguientes requisitos previos: Instale Windows Server 2008. Quite todas las versiones anteriores de ADMT mediante Agregar o quitar programas del Panel de control. Si intenta instalar ADMT v3.1 en un servidor con una versin anterior de ADMT, recibir un mensaje de error y la instalacin se detendr. Si es necesario, puede importar la base de datos de la versin anterior de ADMT (como ADMT v2.0 o ADMT v3.0) en ADMT v3.1 durante la instalacin. Si no piensa usar la instalacin de la base de datos local predeterminada, asegrese de que est configurada otra instalacin de la base de datos SQL Server 2000 o SQL Server 2005 con una instancia de ADMT. Para obtener ms informacin sobre cmo crear una instancia de ADMT en una base de datos de SQL Server, consulte Instalacin de ADMT usando una base de datos de SQL Server preconfigurada.
Instalacin de ADMT v3.1 usando el almacn de la base de datos predeterminado

Para instalar ADMT, puede usar el almacn de la base de datos predeterminado basado en SQL Server 2005 Express Edition o una base de datos SQL preconfigurada. El mtodo de instalacin ms comn y recomendado es usar el almacn de la base de datos predeterminado, configurado automticamente por el Asistente para la instalacin de Herramienta de migracin para Active Directory. Para instalar ADMT usando el almacn de la base de datos predeterminado Segn su entorno, descargue ADMT v3.1 (http://go.microsoft.com/fwlink/? LinkId=121732) o ADMT v3.2 (http://go.microsoft.com/fwlink/?LinkId=186197). Para obtener ms informacin acerca de qu versin de ADMT se debe utilizar, consulte Herramienta de migracin Active Directory: versiones y entornos admitidos. En la ubicacin de descarga, haga doble clic en admtsetup.exe para abrir el asistente de 62
instalacin.
63
Pgina del asistente
Accin
sta es la instalacin de la Herramienta de migracin Active Directory Configuracin de componentes
Haga clic en Siguiente.
La instancia de la base de datos de ADMT (MS_ADMT) se crea en el equipo local. Aunque SQL Server 2005 Express Edition se instala localmente de manera predeterminada lo use o no ADMT, ADMT deshabilita SQL Server 2005 Express Edition si especifica otra instancia de la base de datos en la siguiente pgina del Asistente.
Seleccin de base de datos
Especifique la instancia de la base de datos a la que desea conectarse. La seleccin recomendada es Usar Microsoft SQL Server Express Edition, que configura ADMT v3.1 para usar la instancia de la base de datos instalada localmente. Si est usando varias consolas de ADMT v3.1 y tiene un servidor de base de datos dedicado donde desea centralizar su base de datos de ADMT, seleccione la opcin Utilizar Microsoft SQL Server existente. Especifique el servidor al que se va a conectar mediante el formato Servidor\instancia. Debera configurar la instancia de la base de datos de SQL Server antes de seleccionar esta opcin. Aunque la instalacin de ADMT v3.1 contine a pesar de no poder ponerse en contacto con la base de datos, no podr usar ADMT para migrar cuentas o recursos hasta que se cree la instancia de la base de datos y est disponible.
64
Pgina del asistente
Accin
Importacin de la base de datos de la Herramienta de migracin para Active Directory v3
Aunque no puede actualizar una instalacin de ADMT v3.0 a ADMT v3.1, puede importar los datos a una base de datos de ADMT v3.1 desde una base de datos de ADMT v3.0. Si no desea importar datos desde una base de datos de ADMT v3.0, seleccione No, no importar los datos desde una base de datos existente (predeterminado). Si desea importar los datos de ADMT v3.0 a la nueva base de datos de ADMT v3.1, seleccione S, importar datos desde una base de datos ADMT v3. Si ha elegido importar datos, especifique la ruta de acceso al archivo de la base de datos de ADMT v3.0.
Aunque no puede actualizar una instalacin de ADMT v2.0 a ADMT v3.1, puede importar los datos a una base de datos de ADMT v3.1 desde una base de datos de ADMT v2.0. Si no desea importar datos desde una base de datos de ADMT v2.0, seleccione No, no importar los datos desde una base de datos de ADMT v2. Si desea importar los datos de ADMT v2.0 a la nueva base de datos de ADMT v3.1, seleccione S, importar datos desde una base de datos ADMT v2. Si ha elegido importar datos, especifique la ruta de acceso al archivo de la base de datos de ADMT v2.0. La base de datos de ADMT v2.0 tiene el nombre de archivo protar.mdb y debera estar ubicada en el directorio anteriormente usado para su instalacin de ADMT v2.0.
65
Pgina del asistente
Accin
Resumen
En esta pgina se resumen las opciones que ha seleccionado. Haga clic en Finalizar para completar la instalacin de ADMT v3.1.

ADMT v3.2 requiere una instancia de SQL Server preconfigurada para su almacn de datos subyacente. Debe utilizar SQL Server Express. Al utilizar una de las siguientes versiones de SQL Server Express, la instalacin de ADMT impone los siguientes requisitos de Service Pack: SQL Server 2005 Express se debe instalar con Service Pack 3 (SP3) o posterior. SQL Server 2008 Express se debe instalar con Service Pack 1 (SP1) o posterior. Nota Si utiliza SQL Server Express, la consola de ADMT se debe instalar y ejecutar localmente en el servidor que aloja la instancia de base de datos de SQL Server Express. Como opcin, puede utilizar versiones completas de SQL Server 2005 o SQL Server 2008. En este caso, puede instalar y ejecutar la consola de ADMT en un equipo remoto y puede ejecutar varias consolas de ADMT en diferentes equipos remotos. Si utiliza una versin completa de SQL Server, la instalacin de ADMT no impondr ningn requisito de Service Pack. El resto de la seccin abarca los siguientes problemas de instalacin: Requisitos previos para la instalacin de ADMT v3.2 Instalar ADMT v3.2

Antes de instalar ADMT v3.2, complete las siguientes tareas de requisitos previos: En el Panel de control, seleccione Agregar o quitar programas para quitar todas las versiones de ADMT anteriores a ADMT v3.2. Aunque ADMT v3.2 no admite actualizaciones de una versin anterior de ADMT, puede reutilizar una base de datos existente de una instalacin de ADMT anterior, a menos que sea una base de datos de ADMT v2 o ADMT v1. Para obtener ms informacin, consulte Reutilizar una base de datos de ADMT existente desde una instalacin anterior. Instale o actualice un equipo de servidor (preferiblemente un servidor miembro) en el entorno de dominio de origen o de destino, si fuera necesario, para que se ejecute Windows Server 2008 R2. Aunque puede utilizar ADMT v3.2 para migrar cuentas y recursos desde entornos de Active Directory que tienen el nivel funcional del dominio de Windows Server 2003 o 66
posterior, puede instalar ADMT v3.2 slo en un servidor que est ejecutando Windows Server 2008 R2. Adems de ejecutar Windows Server 2008 R2, no debe instalarse el equipo de servidor utilizado para instalar ADMT v3.2 con la opcin de instalacin de Server Core ni debe estar ejecutndose como un controlador de dominio de slo lectura (RODC). Configure una instalacin de base de datos de SQL Server con una instancia de ADMT. Puede descargar e instalar SQL Server Express localmente o crear una instancia de base de datos para ADMT desde una base de datos existente de SQL Server. Para obtener ms informacin acerca de cmo instalar SQL Server Express, consulte Instalar ADMT v3.2 . Para obtener ms informacin sobre cmo crear una instancia de ADMT en una base de datos existente de SQL Server, consulte Instalar ADMT reconfigurando la instalacin de la base de datos con Admtdb.exe.
Instalar ADMT v3.2

Descargue SQL Server 2005 Express (http://go.microsoft.com/fwlink/?LinkId=181159), o cree una nueva instancia de base de datos en una instalacin existente de SQL Server para utilizar con ADMT v3.2. Durante el proceso de instalacin de SQL Server, seleccioneModo de autenticacin de Windows. Despus de instalar SQL Server, complete el siguiente procedimiento para instalar ADMT v3.2. Para llevar a cabo este procedimiento, se requiere como mnimo pertenecer a Administradores o a un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en Grupos predeterminados locales y de dominio (http://go.microsoft.com/fwlink/?LinkId=83477). Para instalar ADMT v3.2 1. En el paquete de descarga de ADMT, haga doble clic en admtsetup32.exe. 2. En la pgina de bienvenida, asegrese de que las recomendaciones se han cumplido y, a continuacin, haga clic en Siguiente. 3. En la pgina del Contrato de licencia, haga clic en Acepto y, a continuacin, en Siguiente. 4. En la pgina Seleccin de base de datos, escriba servidor\instancia. El requisito de escribir el nombre del servidor se aplica tambin a la instancia de la base de datos local. Puede escribir un punto (.) para indicar el servidor local. De forma predeterminada, la instancia de SQL Server Express se denomina SQLEXPRESS. Por ejemplo, para utilizar una instancia de SQL Server Express predeterminada en el servidor local, escriba .\SQLEXPRESS. 5. Si elige instalar SQL Express y el archivo ADMT.mdf de la base de datos no se encuentra en la ubicacin de datos predeterminada %windir%\ADMT\Data, aparecer la pgina Importacin de base de datos. De lo contrario, la configuracin de ADMT se asocia automticamente a ese archivo de base de datos y aparece la pgina Resumen. En la pgina de Importacin de base de datos, si no necesita realizar una importacin 67
de datos, haga clic en No, no importar los datos desde una base de datos existente (Predeterminado). Si necesita importar datos de una instalacin anterior de ADMT, haga clic en S, importar datos de una base de datos existente de ADMT v3.0 o ADMT v3.1 y, a continuacin, para desplazarse a la ubicacin del archivo de base de datos existente haga clic en Examinar. Antes de importar los datos desde una base de datos existente, debe separar el archivo de base de datos del SQL Server utilizando los comandos de SQL Server. Para obtener ms informacin, consulte Separar un archivo de base de datos existente de una versin anterior de ADMT y de SQL Server. Cuando haya terminado, haga clic en Siguiente. 6. En la pgina Resumen, revise los resultados de la instalacin y, a continuacin, haga clic en Finalizar.
Separar un archivo de base de datos existente de una versin anterior de ADMT y de SQL Server
Si utiliza SQL Server Express, la base de datos se separa automticamente al quitar ADMT. La base de datos de SQL Server Express separada puede reutilizarse para una instalacin de ADMT posterior. En ese caso, ADMT se conecta automticamente con la base de datos existente que especifique durante la instalacin. Puede separar el archivo de base de datos de ADMT desde una instancia completa de SQL Server si tiene otra aplicacin que quiera conectar a la misma base de datos. Por ejemplo, si tiene previsto moverlo desde una instalacin completa de SQL Server a SQL Server Express, o si tiene un archivo de base de datos de ADMT de una instalacin previa que ha conectado a las herramientas de administracin de SQL Server, tendr que separarlo de esa base de datos para que ADMT pueda utilizarlo. Para separar una base de datos, puede completar el procedimiento almacenado de SQL:
sp_detach_db [ @dbname = ] 'dbname'
Para obtener ms informacin acerca de la llamada al procedimiento almacenado, consulte la documentacin de SQL Server. Para obtener ms informacin acerca de cmo usar SQL Server Management Studio para separar la base de datos, consulte Cmo: Separar una base de datos (SQL Server Management Studio (http://go.microsoft.com/fwlink/?LinkId=183994).
Reconfigurar la instalacin de la base de datos con Admtdb.exe

Si durante la instalacin tiene problemas con la configuracin de la base de datos, o si especific SQL Server Express durante la instalacin de ADMT v3.2 pero desea cambiar a SQL Server (o viceversa) despus del proceso de instalacin, puede utilizar Admtdb.exe. La sintaxis de lnea de comandos para Admtdb.exe se encuentra en la tabla siguiente.
68
Puede ejecutar Admtdb.exe desde el smbolo del sistema con privilegios elevados en cualquier servidor que se pueda dirigir al equipo de servidor que ejecute SQL Server para crear una instancia de ADMT en dicho equipo de servidor.
Sintaxis Descripcin
admtdb create /{s|server}: "Servidor\instancia"
Instala una nueva base de datos de ADMT o prepara una base de datos vaca. El parmetro /server especifica el nombre del servidor SQL Server y la instancia a la que se va a conectar para crear la base de datos. Es un parmetro obligatorio.
admtdb upgrade /s|server: Server\Instance
Actualiza a una versin anterior de una base de datos de ADMT v3.0 o ADMT v3.1. El parmetro /server, que es obligatorio, especifica el nombre del servidor SQL Server y la instancia a la que se va a conectar para actualizar la base de datos de ADMT v3.0 o ADMT v3.1. Nota Antes de actualizar la base de datos de ADMT, abra la consola de ADMT para comprobar que es compatible con la base de datos.
admtdb attach [/{a|attach}: "ruta de acceso a la base de datos v3x"
Conecta una base de datos existente de ADMT a la instancia de SQL Server Express 2005 o SQL Server Express 2008 local. El parmetro /attach, que es obligatorio, especifica la ruta al archivo de base de datos Admt.mdf separado.
Para ver la Ayuda de todas las opciones de la lnea de comandos de Admtdb.exe, en el smbolo del sistema, escriba admtdb /? . Si ha empezado la migracin mediante una base de datos local de SQL Server Express y luego ha configurado la instancia remota de una base de datos de SQL Server, y necesita volver a utilizar una base de datos local de SQL Server Express, complete el siguiente procedimiento. En este caso, el archivo de base de datos de ADMT ya est conectado a la instancia de SQL Express. Por lo tanto, no es necesario que se vuelva a conectar. Si ha empezado la migracin mediante SQL Server y desea cambiar a SQL Server Express, consulte Reutilizar una base de datos de ADMT existente desde una instalacin anterior. 69
Para llevar a cabo este procedimiento, se requiere como mnimo pertenecer a Administradores o a un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en Grupos predeterminados locales y de dominio (http://go.microsoft.com/fwlink/?LinkId=83477). Para reutilizar la base de datos local despus de configurar una instancia remota de una base de datos de SQL Server 1. En el equipo local, haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Servicios. 2. En el panel de Detalles, asegrese de que el servicio que aloja la instancia de SQL Server Express se est ejecutando y que el Tipo de inicio se haya establecido en Automtico. Si va a utilizar ADMT v3.1 y tena instalado ADMT con SQL Server Express, el nombre del servicio es MSSQL$MS_ADMT. Si el servicio no se inicia o si no est configurado para iniciarse automticamente en el inicio del sistema, haga clic en Iniciado, haga clic con el botn secundario en el nombre del servicio y, a continuacin, haga clic en Propiedades. 3. En la ficha General, de la lista Tipo de inicio, haga clic en Automtico. 4. En Estado del servicio, haga clic en Inicio y, a continuacin, haga clic en Aceptar. 5. Cierre Servicios. 6. En el smbolo del sistema, escriba los siguientes comandos: Nota El comando admtdb attach es necesario slo si anteriormente ha ejecutado comandos SQL para que separen la instancia local de SQL Server Express.
admtdb attach /{s | Server}:Instancia de SQL Server Express local admt config setdatabase /s:Servidor\Instancia.
Ahora puede utilizar la base de datos local.
Si desea utilizar una base de datos existente (separada) de una instalacin de ADMT v3.0, ADMT v3.1 o ADMT v3.2 anterior con la instancia de SQL Server local, puede completar el siguiente procedimiento. Nota Para llevar a cabo este procedimiento, se requiere como mnimo pertenecer a Administradores o a un grupo equivalente. Revise los detalles sobre cmo usar las cuentas apropiadas y pertenencia a grupos en Grupos de dominio y locales predeterminados (http://go.microsoft.com/fwlink/?LinkId=83477). 70
Para utilizar una base de datos de ADMT existente (separada) con la instancia de SQL Server local 1. En el equipo local, haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Servicios. 2. En el panel de detalles, asegrese de que el servicio que aloja la instancia de SQL Server Express se est ejecutando y que el Tipo de inicio se haya establecido en Automtico. Si va a utilizar ADMT v3.1 y tena instalado ADMT con SQL Server Express, el nombre del servicio es MSSQL$MS_ADMT. Si el servicio no se inicia o si no est configurado para iniciarse automticamente en el inicio del sistema, haga clic en Iniciado, haga clic con el botn secundario en el nombre del servicio y, a continuacin, haga clic en Propiedades. 3. En la ficha General, de la lista Tipo de inicio, haga clic en Automtico. 4. En Estado del servicio, haga clic en Inicio y, a continuacin, haga clic en Aceptar. 5. Cierre Servicios. 6. En el smbolo del sistema, escriba los siguientes comandos:
admtdb attach /{s | Server}:Instancia de SQL Server Express local /{a | Attach}:Ruta de acceso al archivo de base de datos de ADMT v3.x que desea asociar" admt config setdatabase /s: servidor\instancia
Ahora puede utilizar la base de datos de ADMT existente con la instancia de SQL Server local. No es necesario volver a ejecutar el asistente de instalacin de ADMT. La instalacin de ADMT se puede ejecutar una sola vez. Puede realizar cualquier cambio posterior en la configuracin de la base de datos mediante los comandos admtdb.exe y admt config setdatabase.
Habilitacin de la migracin de contraseas

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 La Herramienta de migracin Active Directory (ADMT) utiliza la versin 3.1 del servicio del servidor de exportacin de contraseas (PES v3.1) para ayudar a migrar las contraseas cuando se realiza una migracin entre bosques. Tanto ADMT v3.1 como ADMT v3.2 utilizan la versin 3.1 del servidor de exportacin de contraseas (PES). Descargue PES v3.1 desde el Centro de descarga de Microsoft. Para equipos basados en x86, consulte el servidor de exportacin de contraseas versin 3.1 (x86) (http://go.microsoft.com/fwlink/?LinkId=147652). Para equipos basados en 64 bits, consulte el servidor de exportacin de contraseas versin 3.1 (x64) (http://go.microsoft.com/fwlink/?LinkId=147653). El servicio PES se puede instalar en cualquier controlador de dominio de escritura del dominio de origen que admita el cifrado de 128 bits. 71
Nota El servicio PES no se puede instalar en controladores de dominio de slo lectura (RODC). Como ADMT no comprueba todas las configuraciones de la directiva de contraseas del dominio de destino, los usuarios tienen que configurar expresamente su contrasea despus de la migracin a menos que estn configurados los indicadores La contrasea nunca caduca o Se requiere una tarjeta inteligente para el inicio de sesin interactivo. La instalacin del servicio PES en el dominio de origen requiere una clave de cifrado. Sin embargo, debe crear la clave de cifrado en el equipo que ejecute ADMT en el dominio de destino. Cuando cree la clave, gurdela en una carpeta compartida en su red o en un medio extrable para poder copiarla en la unidad local del controlador del dominio de origen donde est instalado el servicio PES. Gurdela en una ubicacin segura que pueda volver a formatear una vez finalizada la migracin. El servicio PES se puede instalar despus de ADMT. Los siguientes procedimientos explican cmo instalar y utilizar el servicio PES en equipos que ejecutan Windows Server 2008 R2 o Windows Server 2008. Para llevar a cabo este procedimiento, se requiere como mnimo pertenecer a Administradores o a un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en Grupos predeterminados locales y de dominio (http://go.microsoft.com/fwlink/?LinkId=83477). Creacin de una clave de cifrado En una lnea de comandos, escriba el siguiente comando y, a continuacin, presione ENTRAR:
admt key /option:create /sourcedomain:<DominioOrigen> /keyfile:<RutaAccesoArchivoClave> /keypassword:{<contrasea>|*}
Valor
Descripcin
<DominioOrigen>
Especifica el nombre del dominio de origen en el que se instala el servicio PES. Se puede especificar como Sistema de nombres de dominio (DNS) o nombre NetBIOS. Especifica la ruta de acceso a la ubicacin en la que se almacena la clave de cifrado.
<RutaAccesoArchivoClave>
72
Valor
Descripcin
{<contrasea>|*}
Una contrasea, que proporcione cifrado de claves, es opcional. Para proteger la clave compartida, escriba la contrasea o un asterisco (*) en la lnea de comandos. El asterisco hace que se le solicite una contrasea que no aparece en la pantalla.
Despus de crear la clave de cifrado, configure el servicio PES en un controlador de dominio del dominio de origen. ADMT proporciona la opcin para ejecutar el servicio PES en la cuenta del sistema local o utilizando las credenciales de un usuario autenticado en el dominio de destino. Recomendamos que ejecute el servicio PES como un usuario autenticado en el dominio de destino. De esta forma, no tendr que agregar el grupo Todos y el grupo Inicio de sesin annimo al grupo Acceso compatible con versiones anteriores de Windows 2000. Nota Si ejecuta el servicio PES en la cuenta del sistema local, asegrese de que el grupo Acceso compatible con versiones anteriores de Windows 2000 del dominio de destino contiene el grupo Todos y el grupo Inicio de sesin annimo. Configuracin del servicio PES en el dominio de origen 1. En el controlador de dominio que ejecuta el servicio PES en el dominio de origen, inserte el disco de la clave de cifrado. 2. Ejecute Pwdmig.msi. Si define una contrasea durante el proceso de generacin de clave en el controlador de dominio del dominio de destino, proporcione la contrasea facilitada cuado se cre la clave y, a continuacin, haga clic en Siguiente.
73
Pgina del asistente
Accin
ste es el Asistente de instalacin Haga clic en Siguiente. de DLL de migracin de contraseas de ADMT Archivo de cifrado Para instalar la biblioteca de vnculos dinmicos (DLL) de migracin de contraseas de ADMT, debe especificar un archivo que contenga una clave de cifrado de contrasea vlida para este dominio de origen. El archivo de clave debe estar ubicado en una unidad local. Utiliza el comando admt key para generar los archivos de clave. Para obtener ms informacin, consulte el procedimiento anterior "Creacin de una clave de cifrado". Ejecutar el servicio como Especifique la cuenta que desea ejecutar en el servicio PES. Puede especificar una de las siguientes cuentas: La cuenta del sistema local Una cuenta de usuario especificada Nota Si prev ejecutar el servicio PES como una cuenta de usuario autenticado, especifique la cuenta en el formato domain\nombre_usuario. Resumen Haga clic en Finalizar para completar la instalacin del servicio PES. Nota Para utilizar la migracin de contraseas de ADMT, debe reiniciar el servidor donde ha instalado el servicio PES. 3. Tras completar la instalacin, reinicie el controlador de dominio. 4. Una vez reiniciado el controlador de dominio, para iniciar el servicio PES, elija Inicio, Todos los programas, Herramientas administrativas y, a continuacin, en Servicios. 5. En el panel de detalles, haga clic con el botn secundario en Servicio de servidor 74
de exportacin de contraseas y, a continuacin, haga clic en Inicio. Nota Ejecute el servicio PES slo cuando migre contraseas. Detenga el servicio PES despus de completar la migracin de contraseas.
Inicializacin de ADMT ejecutando una migracin de prueba

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Inicie la Herramienta de migracin para Active Directory (ADMT) ejecutando una migracin de prueba de un grupo global y seleccione la opcin denominada Migrar los identificadores de seguridad (SID) de grupos hacia el dominio de destino. Para migrar el historial de identificadores de seguridad (SID), debe completar las tareas de preparacin que se describen en Configuracin de los dominios de origen y destino para la migracin del historial de SID. Si anteriormente no configur los dominios de origen y de destino para migrar el SID History, ADMT se los pide y proporciona una opcin para que las siguientes tareas se completen automticamente. Crea un grupo local, dominio_origen$$$, en el dominio de origen, que se utiliza para auditar las operaciones del historial de SID. No agregue miembros a este grupo; de lo contrario, se producir un error en la migracin del historial de SID. Si el dominio de origen es Windows 2000 y est utilizando ADMT 3.1, la compatibilidad con clientes TCP/IP en el controlador de dominio principal (PDC) del dominio de origen se habilita configurando el valor de la entrada del Registro TcpipClientSupport en 1. Esta entrada se encuentra en la siguiente subclave: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa El establecimiento de TcpipClientSupport en 1 habilita las llamadas a procedimiento remoto (RPC) sobre el transporte TCP, mientras se conserva la seguridad del sistema. Esto no es necesario en los dominios que tengan controladores de dominio que ejecuten Windows Server 2003 o posterior. Habilita las directivas de auditoria en los dominios de origen y de destino. Advertencia ADMT no habilita automticamente la auditora del acceso al servicio de directorio, que es necesario para migrar el SID History a o desde un dominio que tiene controladores de dominio que ejecutan Windows Server 2008 o Windows Server 2008 R2. Utilice el siguiente procedimiento para inicializar ADMT. 75
Para inicializar ADMT ejecutando una migracin de prueba de un grupo global 1. En la consola de ADMT, utilice el Asistente para migracin de cuentas de grupo completando los pasos de la tabla siguiente. Acepte la configuracin predeterminada si no se especifica informacin alguna.
76
Pgina del asistente
Accin
Seleccin de dominio
En la opcin Origen de la lista desplegable Dominio, escriba o seleccione el nombre de DNS (Sistema de nombres de dominio) o NetBIOS del dominio de origen. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio. En la opcin Destino de la lista desplegable Dominio, escriba o seleccione el nombre de DNS o NetBIOS del dominio de destino. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio y, a continuacin, haga clic en Siguiente.
Seleccin de grupo
Haga clic en Seleccionar grupos desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de grupo, haga clic en Agregar para seleccionar los grupos del dominio de origen que desea migrar, haga clic en Aceptar y, a continuacin, haga clic en Siguiente. O bien Haga clic en Leer objetos de un archivo de inclusin y, a continuacin, haga clic en Siguiente. Especifique la ubicacin del archivo de inclusin y, a continuacin, haga clic en Siguiente.
Seleccin de Unidad organizativa
Escriba el nombre de la unidad organizativa o haga clic en Examinar. En el cuadro de dilogo Buscar un contenedor, busque el contenedor del dominio de destino al que desea mover los grupos globales y, a continuacin, haga clic en Aceptar.
77
Pgina del asistente
Accin
Opciones de grupo
Active la casilla de verificacin Migrar SID de grupo al dominio de destino. Asegrese de que no estn seleccionadas todas las opciones.
Cuenta de usuario
Escriba el nombre de usuario, contrasea y el dominio de una cuenta que tenga derechos administrativos en el dominio de origen. Haga clic en No migrar el objeto de origen si se detecta un conflicto en el dominio de destino.
Gestin de conflictos
2. Cuando el asistente haya terminado de ejecutarse, haga clic en Ver registro y, a continuacin, revise si hay errores en el registro de migracin.
Identificacin de cuentas de servicios para la migracin

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 En este tema se explica como identificar las cuentas de servicio que se migrarn con la Herramienta de migracin Active Directory (ADMT) al dominio de destino. Una cuenta de servicio es una cuenta de usuario que proporciona un contexto de seguridad para las aplicaciones y que otorga permiso para iniciar sesin como un servicio. ADMT no migra servicios que se ejecutan en el contexto de la cuenta del sistema local, porque se migran con el equipo. No obstante, los servicios que se ejecutan en el contexto de una cuenta de usuario se deben actualizar en el equipo despus de haber completado el proceso de migracin de cuentas. ADMT tampoco migra las cuentas de servicio local o servicio de red porque son cuentas conocidas que siempre existen en los dominios.
Identificacin de las cuentas de servicio

El proceso de identificacin, migracin y actualizacin de servicios que se ejecutan en el contexto de las cuentas de usuario implica tres pasos. En primer lugar, el administrador inicia ADMT desde el dominio de destino de Active Directory y ejecuta el Asistente para migracin de cuentas de servicio. En segundo lugar, el Asistente para migracin de cuentas de servicios enva un agente al equipo especificado e identifica (pero no migra) todos los servicios del equipo que se ejecutan en el contexto de una cuenta de usuario. En tercer lugar, que puede producirse 78
posteriormente en el proceso de migracin, las cuentas se migran cuando otras cuentas de usuario se migran con el Asistente para migracin de cuentas de usuario. El Asistente para migracin de cuentas de servicios busca servicios configurados para utilizar una cuenta de dominio para la autenticacin en una lista de servidores definida por el administrador. Las cuentas se marcan entonces como cuentas de servicios en la base de datos de ADMT. La contrasea nunca se migra al mismo tiempo que la cuenta de servicios. En su lugar, ADMT utiliza una representacin de texto no cifrado de la contrasea para configurar los servicios tras la migracin de las cuentas de servicios. A continuacin, se almacena una versin cifrada de la contrasea en el archivo password.txt de la carpeta de instalacin de ADMT. Un administrador de una estacin de trabajo o servidor puede instalar cualquier servicio y configurar el servicio con cualquier cuenta de dominio. Si un usuario malintencionado que posee privilegios de administrador configura un servicio para autenticarse con una contrasea que no es correcta (por ejemplo, una que no cumple los requisitos de complejidad), el servicio no se inicia. Una vez migrada la cuenta de servicio, ADMT configura el servicio en la estacin de trabajo o el servidor para utilizar la nueva contrasea y as el servicio se inicia con la cuenta de usuario del dominio de destino. Por lo tanto, slo debe incluir en el Asistente para migracin de cuentas de servicio los servidores que administren los administradores de confianza. No utilice el asistente para detectar las cuentas de servicio en equipos que los administradores de confianza no administran, como las estaciones de trabajo. Distribuya agentes en todos los servidores que administren los administradores de confianza en el dominio para garantizar que no olvida ninguna cuenta de servicio. Si pierde una cuenta de servicio que comparte una cuenta con un servicio que ya se ha migrado, ADMT no puede sincronizar las cuentas de servicio. Debe cambiar manualmente la contrasea de la cuenta de servicio y, a continuacin, restablecer la contrasea de la cuenta de servicio en cada servidor que ejecute ese servicio. Cuando las cuentas que el Asistente para migracin de cuentas de servicios identifica en la base de datos de ADMT como en ejecucin en el contexto de una cuenta de usuario se migran al dominio de destino, ADMT otorga a cada cuenta el derecho de iniciar sesin como servicio. Si a la cuenta de servicio se asignan derechos por medio de su pertenencia a un grupo, el Asistente para conversin de seguridad actualiza la cuenta para asignar dichos derechos. Para obtener ms informacin sobre la ejecucin del Asistente para conversin de seguridad, consulte Transicin de cuentas de servicio en su migracin, ms adelante en esta gua. Puede identificar las cuentas de servicio mediante el complemento de ADMT, la opcin de lnea de comandos de ADMT o una secuencia de comandos. Identificacin de cuentas de servicio mediante el complemento de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En el complemento de ADMT, haga clic en Accin y, a continuacin, haga clic en Asistente para migracin de cuentas de servicios. 3. Complete el Asistente para migracin de cuentas de servicios con la informacin que 79
se proporciona en la tabla siguiente.
80
Pgina del asistente
Accin
Seleccin de dominio
Actualizar informacin Opcin de seleccin de equipos
Haga clic en S, actualizar la informacin. Haga clic en Seleccionar equipos desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de cuentas de servicio, haga clic en Agregar para seleccionar las cuentas del dominio de origen que desea migrar, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
81
Pgina del asistente
Accin
Dilogo de agente
En Acciones de agente seleccione Ejecutar comprobacin previa y operacin de agente y, a continuacin, haga clic en Inicio. Aparecer un mensaje en Resumen de agente cuando se completen las operaciones de agente. Una vez finalizadas las operaciones de agente, haga clic en Cerrar. Seleccione cualquier cuenta de usuario que no tenga que estar marcada como cuenta de servicio en la base de datos de ADMT y, a continuacin, haga clic en Omitir/Incluir para marcar las cuentas como Omitir. Revise sus selecciones y, a continuacin, haga clic en Finalizar.
Informacin de cuentas de servicios
Finalizacin del Asistente para migracin de cuentas de servicios
El asistente se conecta a los equipos seleccionados y, a continuacin, enva un agente para comprobar cada servicio en los equipos remotos. La pgina Informacin de cuentas de servicios muestra los servicios que se ejecutan en el contexto de una cuenta de usuario y el nombre de dicha cuenta de usuario. ADMT indica en su base de datos que estas cuentas de usuario se tienen que migrar como cuentas de servicio. Si no desea migrar una cuenta de usuario como cuenta de servicio, seleccione la cuenta y, a continuacin, haga clic en Omitir/Incluir para cambiar el estado de Incluir a Omitir. Utiliza Actualizar SCM para actualizar el Administrador de control de servicios con la nueva informacin. A menos que se produzca un error de acceso a un equipo para actualizar el servicio, el botn Actualizar SCM no est disponible. Si tiene problemas al actualizar una cuenta de servicio una vez identificada y migrada la cuenta, asegrese de que el equipo al que intenta tener acceso est disponible y, a continuacin, reinicie el Asistente para migracin de cuentas de servicios. En el asistente, haga clic en Actualizar SCM para intentar actualizar el servicio. Si ya ha ejecutado el Asistente para migracin de cuentas de servicios anteriormente y el botn Actualizar SCM no est disponible, examine los archivos de registro de ADMT para determinar la causa del problema. Una vez corregido el problema y cuando el agente se pueda conectar correctamente, el botn Actualizar SCM estar disponible. Identificacin de cuentas de servicio mediante la opcin de lnea de comandos de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el siguiente comando y, a continuacin, presione 82
ENTRAR:
ADMT SERVICE /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:" <dominio_origen>" /TD:" <dominio_destino>"
Donde <nombre_equipo1> y <nombre_equipo2> son nombres de equipos del dominio de origen que ejecutan cuentas de servicio. Como alternativa, puede incluir parmetros en un archivo de opcin que se especifique en la lnea de comandos como se muestra a continuacin:
ADMT SERVICE /N "<nombre_equipo1>" "<nombre_equipo2>" /O:" <archivo_opcin>.txt"
La siguiente tabla enumera los parmetros comunes que se utilizan para la identificacin de cuentas de servicio, junto con el parmetro de lnea de comandos y los equivalentes de archivo de opciones.
Valores Sintaxis de lnea de comandos Sintaxis del archivo de opciones
<Dominio de origen> <Dominio de destino>
/SD:"dominio_origen"
SourceDomain="dominio_origen"
/TD:"dominio_destino"
TargetDomain="dominio_destino"
3. Revise si hay errores en los resultados que se muestran en la pantalla. Identificacin de cuentas de servicio mediante una secuencia de comandos Cree una secuencia de comandos que incorpore los comandos de ADMT y las opciones para la identificacin de cuentas de servicio utilizando la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id="IdentifyingServiceAccounts" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
Dim objMigration Dim objServiceAccountEnumeration
' 'Crear instancia de objetos de migracin de ADMT. '
83
Set objMigration = CreateObject("ADMT.Migration" ) Set objServiceAccountEnumeration = _ objMigration.CreateServiceAccountEnumeration
' 'Especificar opciones de migracin generales. '
objMigration.SourceDomain = "dominio de origen"
' 'Enumerar cuentas de servicio en equipos especificados. '
objServiceAccountEnumeration.Enumerate admtData, _ Array("nombre de equipo1" ,"nombre de equipo2" )
Set objServiceAccountEnumeration = Nothing Set objMigration = Nothing </Script> </Job>
Migracin de cuentas
Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 El proceso de migracin de objetos de cuenta de un dominio de origen a uno de destino en otro bosque de Active Directory implica en primer lugar la migracin de cuentas de servicio y, a continuacin, la migracin de los grupos globales. Una vez que los grupos estn en su lugar en el dominio de destino, puede migrar usuarios segn el proceso que haya seleccionado, ya sea usando el historial de identificadores de seguridad (SID) para el acceso a los recursos o sin usar el historial de SID para el acceso a los recursos. Cuando el proceso de migracin de objetos de cuenta haya terminado, puede instruir a los usuarios del dominio de origen que inicien sesin en el dominio de destino. La siguiente ilustracin muestra el proceso de migracin de cuentas entre dominios en diferentes bosques. 84
Transicin de cuentas de servicio en su migracin

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Para comenzar el proceso de migracin de objetos, migre las cuentas de servicio que se ejecutan como controladores de dominio. Para obtener ms informacin sobre la identificacin de cuentas de servicio para la migracin, consulte Transicin de cuentas de servicio en su migracin. Este tema no se aplica a las cuentas de servicio administradas. Las cuentas de servicio administradas se pueden migrar con el Asistente para migracin de cuentas de servicio administradas y el Asistente para migracin de equipos. Para realizar la transicin de cuentas de servicio, utilice la Herramienta de migracin para Active Directory (ADMT) para completar las tareas siguientes: Migre las cuentas de servicio desde el dominio de origen al dominio de destino. Modifique los servicios de cada servidor en el dominio de origen de manera que los servicios utilicen la cuenta de servicio en el dominio de destino en lugar de en el dominio de origen. Puede realizar la transicin de cuentas de servicio mediante el complemento de ADMT, la opcin de lnea de comandos de ADMT o una secuencia de comandos.
85
Transicin de cuentas de servicio mediante el complemento de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En el complemento de ADMT, haga clic en Accin y, a continuacin, haga clic en Asistente para migracin de cuentas de usuario. 3. Complete el Asistente para migracin de cuentas de usuarios con la informacin que se proporciona en la tabla siguiente.
86
Pgina del asistente
Accin
Seleccin de dominio
Seleccin de usuario
Haga clic en Seleccionar usuarios desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de usuario, haga clic en Agregar para seleccionar las cuentas del dominio de origen que desea migrar, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Haga clic en Examinar. En Buscar un contenedor, busque el dominio de origen, seleccione el contenedor para las cuentas de servicio y, a continuacin, haga clic en Aceptar.
87
Pgina del asistente
Accin
Opciones de contrasea
Haga clic en Generar contraseas complejas. Nota Si realiza una transicin de cuentas de servicio mediante el Asistente para migracin de cuentas de usuario, se generar automticamente una contrasea compleja, independientemente de la opcin seleccionada en la pgina de este asistente. Incluso si se ha seleccionado No actualizar contraseas de usuarios existentes, se generar una contrasea compleja.
Opciones de transicin de cuenta
Haga clic en Habilitar cuentas de destino. Active la casilla de verificacin Migrar SID de usuario para el dominio de destino.
Cuenta de usuario
Escriba el nombre de usuario, la contrasea y el dominio de una cuenta de usuario que tenga credenciales administrativas. Active la casilla de verificacin Actualizar derechos de usuario. Asegrese de que no ha seleccionado otra configuracin, incluida Migrar grupos de usuario asociados.
Opciones de usuario
Haga clic en No migrar el objeto de origen si se detecta un conflicto en el dominio de destino.
88
Pgina del asistente
Accin
Haga clic en Migrar todas las cuentas de servicio y actualizar SCM de los elementos marcados para incluir. Si tambin migra otras cuentas de usuario que no son cuentas de servicio, esta pgina del asistente le indica que ha seleccionado algunas cuentas marcadas como cuentas de servicio en la base de datos de ADMT. De forma predeterminada, las cuentas se marcan como Incluir. Para cambiar el estado de la cuenta, seleccinela y haga clic en Omitir/Incluir. Haga clic en Siguiente para migrar las cuentas.
4. Cuando haya finalizado la ejecucin del asistente, haga clic en Ver registro y revise si hay errores en el registro de migracin. 5. Inicie Usuarios y equipos de Active Directory, desplcese a la unidad organizativa que ha creado para las cuentas de servicio y, a continuacin, compruebe que las cuentas de servicio existen en la unidad organizativa del dominio de destino. 6. Confirme que cada aplicacin para la que la cuenta de servicio se reubic contina funcionando correctamente. Transicin de cuentas de servicio mediante la opcin de lnea de comandos de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el siguiente comando y, a continuacin, presione ENTRAR:
ADMT USER /N "<nombre_servidor1>" "<nombre_servidor2>" /SD:" <dominio_origen>" /TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /MSS:YES
Donde Nombre_servidor1 y Nombre_servidor2 son los nombres de servidores del dominio de origen que ejecutan cuentas de servicio. Como alternativa, puede incluir parmetros en un archivo de opcin que se especifica en la lnea de comandos, de la manera siguiente:
ADMT USER /N "<nombre_servidor1>" "<nombre_servidor2>" /O: "<archivo_opcin>.txt"
La siguiente tabla enumera los parmetros comunes que se utilizan para la transicin de cuentas de servicios, junto con el parmetro de lnea de comandos y los equivalentes de archivo de opciones.
89
Parmetros
Sintaxis de lnea de comandos

Sintaxis del archivo de opciones

<Dominio de origen> <Dominio de destino> Ubicacin de la <Unidad organizativa de destino> Deshabilitar cuentas Migrar contrasea Migrar los SID de usuario = YES Actualizar derechos de usuario=YE S Gestin de conflictos
/ TO:"unidad_organizativa_destin
TargetOU="unidad_organizativa_destin
o"
o"
/DOT:ENABLETARGET
(valor
DisableOption=ENABLETARGET
(valor
predeterminado) (valor predeterminado)

/PO:COMPLEX /MSS:YES
predeterminado)
PasswordOption=COMPLEX
MigrateSIDs=YES
/UUR:YES
UpdateUserRights=YES
(valor predeterminado)
/CO:IGNORE
ConflictOptions=IGNORE
(valor
predeterminado)
3. Revise si hay errores en los resultados que se muestran en la pantalla. 4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa de la cuenta de servicio de destino. Compruebe que las cuentas de servicio existen en la unidad organizativa del dominio de destino. Transicin de cuentas de servicio mediante una secuencia de comandos Prepare una secuencia de comandos que incorpore los comandos de ADMT y las opciones para la transicin de cuentas de servicio utilizando la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" TransitioningServiceAccountsBetweenForests" > <Script language=" VBScript" <Script language="VBScript" > src="AdmtConstants.vbs" />
90
Option Explicit
Dim objMigration Dim objUserMigration
Set objMigration = CreateObject("ADMT.Migration" ) Set objUserMigration = objMigration.CreateUserMigration
objMigration.SourceDomain = "dominio de origen" objMigration.SourceOu = "contenedor de origen" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "contenedor de destino" objMigration.ConflictOptions = admtIgnoreConflicting
' 'Especificar opciones especficas de migracin del usuario. '
objUserMigration.MigrateSIDs = True objUserMigration.UpdateUserRights = True objUserMigration.MigrateServiceAccounts = True
' 'Migrar cuentas de servicio especificadas. '
91
objUserMigration.Migrate admtData, _ Array("nombre de cuenta de servicio1", "nombre de cuenta de servicio2")
Set objUserMigration = Nothing Set objMigration = Nothing </Script> </Job>
Migracin de grupos globales

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Para conservar la pertenencia a los grupos globales, debe migrar los grupos globales antes de migrar usuarios. Nota No migre grupos globales durante las horas punta de trabajo. El proceso de migracin de los grupos globales puede consumir una gran cantidad de recursos de red y de recursos del controlador de dominio del dominio de destino. La migracin de los grupos globales implica la realizacin de los pasos siguientes: 1. El administrador selecciona los objetos de los grupos globales en el dominio de origen. 2. Se crea un nuevo objeto del grupo global en el dominio de destino y se crea un nuevo identificador de seguridad (SID) principal para el objeto en el dominio de destino. 3. Para conservar el acceso a los recursos, la Herramienta de migracin para Active Directory (ADMT) agrega el SID al grupo global del dominio de origen al atributo del historial de SID del nuevo grupo global del dominio de destino. Despus de la migracin, los eventos se registran tanto en el dominio de origen como en el de destino. Nota Si el proceso de migracin de cuenta de usuario tiene lugar en un perodo de tiempo prolongado, puede tener que repetir la migracin de los grupos globales desde el dominio de origen al de destino. El objetivo es propagar los cambios de la pertenencia que se han realizado en el dominio de origen antes de que se complete el proceso de migracin. Para obtener ms informacin sobre cmo repetir la migracin de grupos globales, consulte Repeticin de la migracin de todos los grupos globales despus de migrar todos los lotes, ms adelante en esta gua.
92
Puede migrar grupos globales usando el complemento de ADMT, la opcin de lnea de comandos ADMT o secuencia de comandos. Para migrar grupos globales usando el complemento de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. Utilice el Asistente para migracin de cuentas de grupo realizando los pasos de la tabla siguiente.
93
Pgina del asistente
Accin
Seleccin de dominio
Seleccin de grupo
Haga clic en Seleccionar grupos desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de grupo, haga clic en Agregar para seleccionar los grupos del dominio de origen que desea migrar, haga clic en Aceptar y, a continuacin, haga clic en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
94
Pgina del asistente
Accin
Opciones de grupo
Haga clic en Migrar SID de grupo al dominio de destino. Asegrese de que no estn seleccionadas todas las opciones.
Cuenta de usuario
Escriba el nombre de usuario, contrasea y el dominio de una cuenta que tenga derechos administrativos en el dominio de origen. Haga clic en No migrar el objeto de origen si se detecta un conflicto en el dominio de destino.
3. Cuando haya finalizado la ejecucin del asistente, haga clic en Ver registro y revise si hay errores en el registro de migracin. 4. Abra el complemento Usuarios y equipos de Active Directory y, a continuacin, localice la unidad organizativa del dominio de destino. Compruebe que los grupos globales existen en la unidad organizativa del dominio de destino. Para migrar grupos globales usando la opcin de lnea de comandos de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el comando ADMT GROUP con los parmetros apropiados y, a continuacin, presione ENTRAR:
ADMT GROUP /N "<nombre_grupo1>" "<nombre_grupo2>" /SD:" <dominio_origen>" /TD:" <dominio de destino>" /TO:" <unidad organizativa de destino>" /MSS:YES
Como alternativa, puede incluir parmetros en un archivo de opcin que se especifica en la lnea de comandos como se muestra a continuacin:
ADMT GROUP /N "<nombre_grupo1>" "<nombre_grupo2>" /O: "<archivo_opcin>.txt"
En la tabla siguiente se muestran los parmetros comunes que se utilizan para migrar grupos globales, junto con los parmetros de lnea de comandos y los equivalentes del archivo de opciones.
95
Parmetros


<Dominio de origen> Ubicacin de la <Unidad organizativ a de origen> <Dominio de destino> Ubicacin de la <Unidad organizativ a de destino> Migrar SID de GG Gestin de conflictos
/ SO:"unidad_organizativa_origen"
SourceOU="unidad_organizativa_origen
"
/ TO:"unidad_organizativa_destino
o"
"
/MSS:YES
MigrateSIDs=YES
/CO:IGNORE
3. Revise si hay errores en los resultados que se muestran en la pantalla. 4. Abra el complemento Usuarios y equipos de Active Directory y, a continuacin, localice la unidad organizativa del dominio de destino. Compruebe que los grupos globales existen en la unidad organizativa del dominio de destino. Para migrar grupos globales usando un script Prepare una secuencia de comandos que incorpore las opciones y comandos de ADMT para migrar grupos globales utilizando la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" MigratingGlobalGroupsBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
96
Dim objMigration Dim objGroupMigration
Set objMigration = CreateObject("ADMT.Migration" ) Set objGroupMigration = objMigration.CreateGroupMigration
objMigration.SourceDomain = "dominio de origen" objMigration.SourceOu = "contenedor de origen" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "contenedor de destino"
' 'Especificar opciones especficas de migracin de grupo. '
objGroupMigration.MigrateSIDs = True
' 'Migrar objetos de grupo especificados. '
objGroupMigration.Migrate admtData, Array("nombre de grupo1" ,"nombre de grupo2" )
Set objGroupMigration = Nothing Set objMigration = Nothing
97
</Script> </Job>
Migracin de cuentas mientras utiliza el historial de SID

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Para migrar cuentas mientras utiliza el historial de identificadores de seguridad (SID), primero migre todas las cuentas de usuario (pero no las active en el dominio de destino) para rellenar el dominio de destino y permitir la migracin de perfiles de usuario. Una vez se hayan migrado todas las cuentas de usuario correctamente, inicie la migracin de usuarios en lotes, empezando por la migracin del perfil de usuario, la estacin de trabajo y, a continuacin, la cuenta de usuario. Antes de migrar todas las cuentas de usuarios, asegrese de que ha creado cuentas de prueba que pueda incluir en cada lote para comprobar el xito de la migracin para dicho lote. No puede migrar cada propiedad de usuario al migrar cuentas de usuario. Por ejemplo, el contenido de Almacenamiento protegido (Pstore) para las estaciones de trabajo de Windows NT 4.0, incluidas las claves privadas de Sistema de cifrado de archivos (EFS), no se migra con la Herramienta de migracin para Active Directory (ADMT) al migrar cuentas de usuarios. Para migrar el contenido de Pstore, debe exportar e importar claves durante el proceso de migracin. Para clientes con Windows 2000 Server o posterior, los datos protegidos por la API de proteccin de datos (DPAPI) tampoco se migran. DPAPI ayuda a proteger los siguientes elementos: Los credenciales de pgina Web (por ejemplo, contraseas) Credenciales de recurso compartido de archivo
Las claves privadas asociadas con EFS, Extensiones seguras multipropsito al correo de Internet (S/MIME) y otros certificados Los datos de programa protegidos mediante la funcin CryptProtectData() Por este motivo, es importante para comprobar las migraciones de usuarios. Utilice su cuenta de migracin de prueba para identificar cualquier propiedad que no se haya migrado y actualice las configuraciones en el dominio de destino consecuentemente. Complete los siguientes pasos para migrar las cuentas de usuario al dominio de destino: 1. Migre las cuentas de servicio administradas. Las cuentas de servicio administradas deben migrarse antes de los equipos. 2. Migre todas las cuentas de usuario con la cuenta activada en el dominio de origen, desactivada en el dominio de destino, con una contrasea compleja seleccionada y sin atributos migrados. 3. Convierta los perfiles locales de usuario para un lote de usuarios
98
4. Migre las estaciones de trabajo en lotes que correspondan a los lotes de cuentas de usuario. 5. Antes de migrar el lote de cuentas de usuarios, compruebe que la migracin de la estacin de trabajo y el perfil local se ha realizado correctamente para todos los usuarios del lote. No migre cualquier cuenta de usuario cuya migracin de estacin de trabajo o perfil haya dado error. Esto har que los usuarios sobrescriban sus perfiles existentes cuando inicien sesin en el dominio de destino. 6. Vuelva a migrar las cuentas de usuario de los lotes con la cuenta definida con un perodo de caducidad de siete das en el dominio de origen, la cuenta de destino desactivada, con una migracin de contrasea seleccionada y con todos los atributos migrados. 7. Despus de cada lote, vuelva a migrar todos los grupos para actualizar cualquier cambio de pertenencia a grupos. 8. Notifique a los usuarios del lote para que inicien sesin en el nuevo dominio. 9. Una vez migrados todos los usuarios, ejecute una migracin final de grupo global para actualizar cualquier cambio de pertenencia a grupos. La migracin de cuentas de usuario en lotes le ayuda a realizar un seguimiento de las cuentas que se hayan migrado y comprobar el xito de cada paso de migracin. Si la estructura de la unidad organizativa para el dominio de destino es la misma que la estructura de unidad organizativa para el dominio de origen, migre los grupos de usuarios basados en unidad organizativa. Si las estructuras de unidad organizativa no son las mismas, seleccione una forma alternativa para agrupar a los usuarios en base a la estructura de su organizacin. Por ejemplo, puede migrar usuarios por unidades de negocio o por planta para permitirle consolidar los recursos de servicio de asistencia. Si planifica retener su estructura de unidad organizativa de dominio de origen, migre las unidades organizativas junto con los usuarios que contenan. Por ejemplo, si su dominio de origen es un entorno Active Directory de Windows Server 2003 que tiene una estructura de unidad organizativa funcional y el dominio de destino no tiene una estructura de unidad organizativa, migre las unidades organizativas del dominio de origen. Si ha creado una nueva estructura de unidad organizativa en el dominio de destino, migre los lotes de usuarios sin las unidades organizativas. Por ejemplo, si su entorno de origen era un dominio de Windows NT 4.0 que actualiz a un dominio de Windows Server 2003, es posible que el dominio de origen no tuviese una estructura de unidad organizativa existente; por consiguiente, puede migrar los usuarios sin migrar las unidades organizativas. Para obtener ms informacin acerca de cmo crear una estructura de unidad organizativa, consulte "Designing Organizational Units for Delegation of Administration" (http://go.microsoft.com/fwlink/?LinkId=76628). Hasta que migre todos los usuarios y cuentas de grupos, contine administrando la pertenencia a grupos globales en el dominio de origen. Para admitir una estrategia de reversin, sincronice de forma manual cualquier cambio que realice a los usuarios del dominio de destino con las cuentas del usuario existente en el dominio de origen. Para obtener ms informacin sobre la administracin de los usuarios y grupos durante el proceso de reestructuracin entre distintos
99
bosques, consulte Administracin de usuarios, grupos y perfiles de usuario, expuesto anteriormente en esta gua. Si migra unidades organizativas durante la migracin de cuentas de usuario, se migran los grupos que pertenecen a dichas unidades organizativas a la unidad organizativa del dominio de destino durante el proceso de migracin de cuentas de usuario. Cuando migre grupos globales mediante el proceso de migracin de grupos globales, estos se colocan en la unidad organizativa de destino del dominio de destino. Si migra unidades organizativas desde el dominio de origen al de destino, seleccione la opcin para mover los grupos globales al dominio de destino al mismo tiempo. De esta forma, los grupos se mueven de la unidad organizativa de destino en la que se colocaron durante la migracin inicial de grupos globales a la unidad organizativa a la que pertenecen. Al utilizar ADMT para migrar las cuentas de usuarios se conservan las pertenencias a los grupos. Dado que los grupos globales pueden contener slo miembros del dominio en el que se site el grupo, cuando los usuarios se migran a un nuevo dominio, las cuentas de usuario del dominio de destino no pueden ser miembro de los grupos globales del dominio de origen. Como parte del proceso de migracin, ADMT identifica los grupos globales del dominio de origen al que pertenecen las cuentas de usuario y, a continuacin, determina si los grupos globales se han migrado. Si ADMT identifica los grupos globales del dominio de destino al que pertenecan los usuarios migrados del dominio de destino, la herramienta agrega los usuarios a los grupos globales apropiados del dominio de destino. Al utilizar ADMT para migrar las cuentas de usuarios tambin se conservan las contraseas de usuario. Una vez migradas las cuentas de usuario y activadas en el dominio de destino, los usuarios pueden iniciar sesin en el dominio de destino utilizando las contraseas originales. Tras iniciar sesin, se pide a los usuarios que cambien la contrasea. Si el proceso de migracin de la cuenta de usuario se realiza correctamente, pero se produce un error en el proceso de migracin de la contrasea, ADMT crea una nueva contrasea compleja para la cuenta de usuario en el dominio de destino. De forma predeterminada, ADMT almacena las nuevas contraseas complejas en el archivo C:\Archivos de programa\Herramienta de migracin para Active Directory\Registros\Password.txt. Si tiene una configuracin de directiva de grupo en el dominio de destino que no permite contraseas en blanco (la configuracin Directiva predeterminada de dominio/Configuracin del equipo/Configuracin de seguridad/Directivas de cuenta/Directiva de contraseas/Longitud mnima de contrasea se define como cualquier nmero distinto de cero), la migracin de contraseas no se producir para cualquier usuario que tenga una contrasea en blanco. ADMT genera una contrasea compleja para ese usuario y escribe un error en el registro de errores. Establezca un mtodo para notificar a los usuarios quin tiene contraseas nuevas asignadas. Por ejemplo, puede crear una secuencia de comandos para enviar un mensaje de correo electrnico a los usuarios para notificarles las nuevas contraseas. La siguiente ilustracin muestra los pasos que implica la migracin de cuentas si utiliza el historial de SID para el acceso a los recursos.
100
Migracin de cuentas de servicio administradas

Una cuenta de servicio administrada es un objeto de cuenta de dominio que est disponible en el esquema de Active Directory Windows Server 2008 R2. Una cuenta de servicio administrada puede instalarse en equipos que ejecutan Windows 7 o Windows Server 2008 R2. Las cuentas de servicio administradas slo se pueden migrar con ADMT v3.2. El proceso para identificar y migrar cuentas de servicio administradas mediante ADMT v3.2 consta de dos pasos: 1. Utilice el Asistente para migracin de cuentas de servicio administradas o la herramienta de lnea de comandos admt managedserviceaccount para migrar objetos de cuenta de servicio administrada al dominio de destino como se explica en este tema. 2. Utilice el Asistente para migracin de equipos o la herramienta de lnea de comandos admt computer para migrar los equipos que hospedan las cuentas de servicio administradas. Para obtener ms informacin acerca de la migracin de los equipos como parte de una migracin entre bosques, consulte Repeticin de la migracin de las cuentas de 101
usuario y migracin de las estaciones de trabajo en lotes. Para obtener ms informacin acerca de la migracin de los equipos como parte de una migracin dentro del mismo bosque, consulte Migracin de estaciones de trabajo y servidores miembro. Las cuentas de servicio administradas que se migraron en el paso anterior y que estaban instaladas originalmente en los equipos migrados se identifican durante la migracin del equipo. Cuando la migracin del equipo haya finalizado, las cuentas de servicio administradas vuelven a instalarse en el equipo en el dominio de destino (a menos que solicite ignorarlas). Si ha ejecutado la conversin de seguridad en los servidores miembro que tienen recursos que conceden permisos a las cuentas de servicio administradas, las cuentas tienen los mismos permisos para el acceso a los recursos en el dominio de destino que los que tenan en el dominio de origen. Importante Si migra cuentas de servicio administradas entre dominios dentro del mismo bosque, ejecute la conversin de seguridad en los servidores miembro del dominio de origen que tengan recursos que concedan permisos a las cuentas de servicio administradas. La conversin de seguridad no suele ser necesaria durante una migracin interna del bosque porque se ha movido un SID con una cuenta. No obstante, las cuentas de servicio administradas que se migran entre dominios en el mismo bosque se copian. Se crea una nueva cuenta en el dominio de destino y las propiedades de la cuenta (excepto SID) se copian desde el dominio de origen. Por tanto, ser necesario ejecutar la conversin de seguridad. Si los recursos del dominio de origen que conceden permisos a las cuentas de servicio administradas se hospedan en el mismo equipo que la cuenta de servicio administrada, debera seleccionar la conversin de seguridad en los recursos adecuados (Archivos y carpetas, Grupos locales y as sucesivamente) en la pgina Convertir objetos del Asistente para la migracin de equipos. Si los recursos estn en otros equipos que no se estn migrando, tendr que ejecutar el Asistente para conversin de seguridad en esos equipos y, en la pgina Opciones de conversin de seguridad, seleccione Objetos previamente migrados o proporcione expresamente las cuentas de servicio administradas en un archivo de asignacin de SID. Para obtener ms informacin acerca de la conversin de seguridad, consulte Conversin de seguridad en los servidores miembro. Migracin de cuentas de servicio administradas con el complemento ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En el complemento ADMT, haga clic en Accin y, a continuacin, en Asistente para migracin de cuentas de servicio administradas. 3. Complete el Asistente para migracin de cuentas de servicio administradas con la informacin que se proporciona en la tabla siguiente.
102
Pgina del asistente
Accin
Seleccin de dominio
103
Pgina del asistente
Accin
Opcin de seleccin de cuenta de servicio administrada
Haga clic en Seleccionar cuentas de servicio administradas del dominio para migrar las cuentas de servicio administradas del dominio mediante el cuadro de dilogo de seleccin de objetos o un archivo de inclusin. Esta es la mejor opcin si se desea migrar todas las cuentas de servicio administradas desde el dominio de origen. O bien Haga clic en Proporcionar equipos para consultar las cuentas de servicio administradas instaladas y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de cuentas de servicio administradas, haga clic en Agregar para seleccionar las cuentas de equipo del dominio de origen que desea consultar para conocer las cuentas de servicio administradas, haga clic en Aceptar y, a continuacin, en Siguiente. Se prefiere esta opcin si se desea migrar slo cuentas de servicio administradas que se han instalado en equipos especficos. Cada equipo que proporciona puede tener varias cuentas de servicio administradas instaladas. Puede elegir una combinacin de estas opciones yendo y viniendo en el asistente. Por ejemplo, puede proporcionar los equipos que se van a consultar y agregar las cuentas de servicio administradas que estn instaladas en esos equipos a la lista de cuentas que se van a migrar. A continuacin, puede hacer clic en Atrs en el asistente para volver a esta pgina y seleccionar cuentas de servicio administradas adicionales del dominio o de un archivo de inclusin.
104
Pgina del asistente
Accin
Opcin de seleccin de cuenta de servicio administrada Esta pgina slo aparece si las cuentas de servicio administradas las selecciona del dominio.
Haga clic en Seleccionar cuentas de servicio administradas del dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de cuentas de servicio administradas, haga clic en Agregar para seleccionar las cuentas del dominio de origen que desea migrar, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Haga clic en Examinar para especificar una ubicacin para las cuentas migradas y, a continuacin, haga clic en Siguiente. Active la casilla de verificacin Actualizar derechos de cuenta. Active la casilla de verificacin Revisar la pertenencia a grupos de cuentas. Si la cuenta se est migrando a un bosque diferente, seleccione la casilla Migrar SID de cuenta al domino de destino. Esta opcin no est disponible para una migracin interna del bosque. Haga clic en Siguiente. Escriba el nombre de usuario, la contrasea y el dominio de una cuenta que tenga credenciales administrativas en el dominio de origen, y haga clic en Siguiente.
Opciones de cuenta de servicio administrada
Finalizacin del Asistente de cuenta de servicio administrada
Revise sus selecciones y, a continuacin, haga clic en Finalizar.
4. Cuando el asistente haya terminado de ejecutarse, haga clic en Ver registro y, a continuacin, revise si hay errores en el registro de migracin. 5. Inicie Usuarios y equipos de Active Directory y compruebe que las cuentas de servidor administradas existen en la unidad organizativa apropiada del dominio de destino. 105
Migracin de cuentas de servicio administradas mediante la opcin de lnea de comandos de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el siguiente comando y, a continuacin, presione ENTRAR:
ADMT MANAGEDSERVICEACCOUNT /N "<nombre_cuenta de servicio administrada1>" "<nombre_cuenta de servicio administrada2>" /IF:NO /SD:"<dominio_origen>" /TD:"<dominio_destino>" /UUR:YES /FGM:YES /MSS:YES
Donde <nombre_cuenta de servicio administrada1> y <nombre_cuenta de servicio administrada2> son los nombres de las cuentas de servicio administradas del dominio de origen. Como alternativa, puede incluir parmetros en un archivo de opcin que se especifique en la lnea de comandos como se muestra a continuacin:
ADMT MANAGEDSERVICEACCOUNT /N "<nombre_cuenta de servicio administrada1>" "<nombre_cuenta de servicio administrada2>" /O:"<archivo_opcin>.txt"
En la siguiente tabla se enumeran los parmetros comunes que se utilizan para la migracin de cuentas de servicio administradas, junto con el parmetro de lnea de comandos y los equivalentes de archivo de opciones.
106
Valores
Migracin entre distintos bosques <Dominio de origen> <Dominio de destino> Actualizar derechos de cuenta Actualizar la pertenencia a grupos de cuentas Migrar SID de cuentas Nota Slo puede migrar SID de cuentas de servicio administradas entre bosques. Si utiliza este parmetro durante una migracin dentro del mismo bosque, aparece un error.
/IF:No
Intraforest=No
/SD:"dominio_origen" /TD:"dominio_destino" /UUR:Yes
SourceDomain="dominio_origen" TargetDomain="dominio_destino" UpdateUserRights=Yes
/FGM:Yes
FixGroupMembership=Yes
/MSS:Yes
MigrateSIDs=Yes
3. Revise si hay errores en los resultados que se muestran en la pantalla. Si las cuentas de servicio administradas estn hospedadas en equipos miembro del dominio de origen, puede incluir el equipo miembro cuando realice la migracin de los equipos y la cuenta de servicio administrada se instalar en el equipo miembro del dominio de destino una vez migrado el equipo.
Migracin de todas las cuentas de usuario

Comience el proceso de migracin de cuentas de usuario migrando todos los usuarios. Esto le ayudar a convertir los perfiles locales y garantizar que los usuarios continuarn teniendo acceso a los recursos apropiados despus de la migracin. Nota Las cuentas integradas (como Administradores, Usuarios o Usuarios avanzados) no pueden ser objetos de migracin de la Herramienta de migracin para Active Directory (ADMT). Ya que los identificadores de seguridad (SID) de la cuenta integrada son idnticos en todos los dominios, la migracin de estas cuentas a un dominio de destino provocar la duplicacin de los SID en un dominio nico. Cada SID de un dominio debe ser exclusivo. Las cuentas conocidas (como Admins. del dominio y Usuarios del dominio) tampoco pueden ser objetos de migracin de ADMT. El proceso de migracin de cuentas de usuarios de ADMT incluye los siguientes pasos: 1. ADMT lee los atributos de los objetos de usuario de origen. 2. ADMT crea un nuevo objeto de usuario en el dominio de destino y un nuevo SID principal para la nueva cuenta de usuario. 3. ADMT agrega el SID original de la cuenta de usuario al atributo del historial de SID de la nueva cuenta de usuario. 4. ADMT migra la contrasea de la cuenta de usuario. 5. Si ADMT identifica los grupos globales del dominio de destino al que pertenecan los usuarios migrados del dominio de destino, la herramienta agrega los usuarios a los grupos globales apropiados del dominio de destino. Durante la migracin, los eventos de auditora inician sesin en los dominios de destino y de origen. Puede migrar cuentas de usuario mediante el complemento de ADMT, la opcin de lnea de comandos de ADMT o una secuencia de comandos. Si va a migrar cuentas de usuario que tienen habilitada la seguridad del mecanismo de autenticacin, use un archivo de inclusin. En el archivo de inclusin, especifique los nombres principales de usuario (UPN) originales del dominio de origen como UPN de destino para poder mantener en funcionamiento la seguridad del mecanismo de autenticacin. Para obtener ms informacin acerca del uso de un archivo de inclusin, consulte Uso de un archivo de inclusin. Importante Cuando inicie una migracin de usuarios con el historial SID desde la lnea de comandos o desde una secuencia comandos, debe realizarla en un controlador de dominio del dominio de destino. Migracin del lote actual de usuarios mediante el complemento de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. Utilice el Asistente para migracin de cuentas de usuario realizando los pasos de la 108
tabla siguiente.
109
Pgina del asistente
Accin
Seleccin de dominio
Seleccin de usuario
Haga clic en Seleccionar usuarios desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de usuario, haga clic en Agregar para seleccionar los usuarios del dominio de origen que desea migrar al lote actual, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Asegrese de que ADMT muestra la unidad organizativa de destino correcta. Si no es correcta, escriba la unidad organizativa correcta o haga clic en Examinar. En el cuadro de dilogo Buscar un contenedor, busque el dominio de destino y la unidad organizativa y, a continuacin, haga clic en Aceptar. 110
Pgina del asistente
Accin
Haga clic en No actualizar contraseas de usuarios existentes. Haga clic en Generar contraseas complejas.
En Estado de la cuenta de destino:, haga clic en Deshabilitar cuentas de destino. En Opciones para deshabilitar la cuenta de origen:, haga clic en Das hasta que caduquen las cuentas de origen: y, a continuacin, escriba el nmero de das que desee conservar la cuenta de origen. Se utiliza comnmente un valor de siete. Active la casilla de verificacin Migrar SID de usuario para el dominio de destino.
Cuenta de usuario
Escriba el nombre de usuario, la contrasea y el dominio de una cuenta de usuario que tenga credenciales administrativas en el dominio de origen. Active la casilla de verificacin Convertir perfiles mviles. Desactive la casilla de verificacin Actualizar derechos de usuario. Desactive la casilla de verificacin Migrar grupos de usuario asociados. Active la casilla de verificacin Revisar la pertenencia a grupos de los usuarios.
Opciones de usuario
Exclusin de propiedad de objetos
Desactive la casilla de verificacin Excluir propiedades de objeto especficas de la migracin.
111
Pgina del asistente
Accin
Haga clic en No migrar el objeto de origen si se detecta un conflicto en el dominio de destino. Asegrese de que las casillas de verificacin Antes de combinar, quitar los derechos de usuario de las cuentas de destino existentes y Mover objetos combinados a la Unidad organizativa de destino especificada no estn activadas.
3. Cuando el asistente haya terminado de ejecutarse, haga clic en Ver registro y, a continuacin, revise si hay errores en el registro de migracin. 4. Inicie Usuarios y equipos de Active Directory y compruebe que las cuentas de usuarios existen en la unidad organizativa apropiada del dominio de destino. Migracin de cuentas de usuario mediante la opcin de lnea de comandos de ADMT 1. En un controlador de dominio del dominio de destino en el que est instalado ADMT, inicie sesin con la cuenta de migracin de cuentas de ADMT. Importante Cuando inicie una migracin de usuarios con el historial SID desde la lnea de comandos, debe realizarla en un controlador de dominio del dominio de destino. 2. En la lnea de comandos, escriba el comando ADMT apropiados y, a continuacin, presione ENTRAR.
User
con los parmetros
ADMT USER /N "<nombre_usuario1>" "<nombre_usuario2>" /UUR:NO
/SD:" <dominio_origen>"
/TD:" <dominio_destino>" /TO:"<unidad_organizativa_destino>" /MSS:YES /TRP:YES
Como alternativa, puede incluir parmetros en un archivo de opcin que se especifique en la lnea de comandos como se muestra a continuacin:
ADMT USER /N "<nombre_usuario1>" "<nombre_usuario2>" /O "<archivo_opcin>.txt"
La siguiente tabla enumera los parmetros comunes que se utilizan para migrar cuentas de usuarios, junto con el parmetro de lnea de comandos y los equivalentes de archivo de opciones.
112
Parmetros


<Dominio de origen> <Dominio de destino> Ubicacin de la <Unidad organizativ a de destino> Migrar SID Deshabilita r opcin Caducidad de origen Gestin de conflictos Convertir perfil mvil Actualizar derechos de usuario Opciones de contrasea
o"
"
/MSS:YES /DOT:DISABLETARGET
MigrateSIDs=YES DISABLEOPTION=DISABLETARGET
/SEP:7
SOURCEEXPIRATION=7
/CO:IGNORE /TRP:YES
TranslateRoamingProfile=YES
/UUR:NO
UpdateUserRights=NO
/PO:COMPLEX
3. Revise si hay errores en los resultados que se muestran en la pantalla. 4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa de destino. Compruebe que los usuarios existen en la unidad organizativa de destino. Migracin de cuentas de usuario mediante una secuencia de comandos Prepare una secuencia de comandos que incorpore los comandos de ADMT y las opciones para la migracin de usuarios utilizando la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs. En su secuencia de comandos, especifique los nombres del contenedor de origen y de 113
destino en formato cannico relativo. Por ejemplo, si el contenedor es una unidad organizativa secundaria denominada Ventas y su unidad organizativa principal se denomina Oeste, especifique Oeste/Ventas como el nombre del contenedor. Para obtener ms informacin, consulte TemplateScripts.vbs en la carpeta de instalacin de ADMT.
<Job id=" MigratingAllUserAccountsBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
objMigration.SourceDomain = "dominio de origen" objMigration.SourceOu = "contenedor de origen" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "contenedor de destino" objMigration.PasswordOption = admtComplexPassword objMigration.ConflictOptions = admtIgnoreConflicting
114
objUserMigration.MigrateSIDs = True objUserMigration.TranslateRoamingProfile = True objUserMigration.UpdateUserRights = False objUserMigration.FixGroupMembership = True objUserMigration.MigrateServiceAccounts = False
' 'Migrar objetos de usuario especificados. '
objUserMigration.Migrate admtData, Array("nombre de usuario1" , "nombre de usuario2" )
Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 La repeticin de la migracin de las cuentas de usuario y las estaciones de trabajo en lotes le ayuda a realizar un registro del proceso de migracin. Para cada lote de usuarios, primero convierta los perfiles de usuario local y, a continuacin, migre las estaciones de trabajo. Compruebe que la migracin de la estacin de trabajo y el perfil se ha realizado correctamente y, a continuacin, migre las cuentas de usuario. Repita la migracin de los grupos globales despus de cada lote. Para obtener ms informacin, consulte Repeticin de la migracin de todos los grupos globales despus de migrar todos los lotes, ms adelante en esta gua.
Conversin de perfiles de usuario local

La Herramienta de migracin Active Directory (ADMT) convierte los perfiles para los objetos de migracin de equipo admitidos. Si desea obtener una lista de los sistemas operativos admitidos 115
para objetos de migracin del equipo en las diferentes versiones de ADMT, consulte Herramienta de migracin Active Directory: versiones y entornos admitidos. Los perfiles de usuario se almacenan de forma local en la estacin de trabajo. Cuando un usuario inicia sesin en otra estacin de trabajo, debe crear un nuevo perfil de usuario local nico. Convierta los perfiles de usuario local del primer lote de usuarios inmediatamente despus de la migracin de todas las cuentas de usuario. Los perfiles locales se convierten en modo Reemplazar porque si realiza la conversin del perfil en modo Agregar, es posible que determinados aspectos de la instalacin del software que utilizan la implementacin del software de la directiva de grupo no funcionen. Es posible que cualquier aplicacin incluida con Windows Installer versin 2.0 (incluida en las estaciones de trabajo con Windows 2000 Server Service Pack 3 (SP3) o Service Pack 4 (SP4) y Windows XP Service Pack 1 (SP1) o Service Pack 2 (SP2), as como en muchos paquetes de software comunes) no funcione despus de la conversin del perfil. Por ejemplo, puede que los archivos ejecutables de la aplicacin no se eliminen una vez que el ltimo usuario quite la aplicacin. Cuando el Asistente para conversin de seguridad de ADMT convierta perfiles locales en modo Reemplazar, volver al modo Agregar si se bloquea un perfil. Puede resultar en una conversin de perfil correcta. No obstante, es posible que las instalaciones de aplicacin no funcionen despus de convertir el perfil. Nota La noche anterior a la notificacin a los usuarios para que inicien sesin con sus nuevas cuentas en el dominio de destino, convierta los perfiles de usuario local. La conversin de los perfiles la noche antes garantiza que el nuevo perfil de usuario refleje la configuracin de usuario ms actual. Puede convertir los perfiles de usuario local mediante el complemento de ADMT, la opcin de lnea de comandos de ADMT o una secuencia de comandos. Conversin de perfiles de usuarios locales mediante el complemento de ADMT 1. Para cada estacin de trabajo del dominio de origen que migre, agregue la cuenta de migracin de recursos de ADMT al grupo de administradores locales. 2. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 3. Utilice el Asistente para la conversin de seguridad siguiendo los pasos de la tabla siguiente.
116
Pgina del asistente
Accin
Opciones de conversin de seguridad Seleccin de dominio
Haga clic en Objetos previamente migrados. En la opcin Origen de la lista desplegable Dominio, escriba o seleccione el nombre de DNS (Sistema de nombres de dominio) o NetBIOS del dominio de origen. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio. En la opcin Destino de la lista desplegable Dominio, escriba o seleccione el nombre de DNS o NetBIOS del dominio de destino. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio y, a continuacin, haga clic en Siguiente.
Opcin de seleccin de equipos
Haga clic en Seleccionar equipos desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de equipo, haga clic en Agregar para seleccionar los equipos del dominio de origen para los que desea convertir la seguridad, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Convertir objetos Opciones de conversin de seguridad Dilogo de agente de ADMT
Haga clic en Perfiles de usuario. Haga clic en Reemplazar. Seleccione Ejecutar comprobacin previa y operacin de agente y, a continuacin, haga clic en Inicio.
117
4. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez finalizado el asistente, haga clic en Ver registro de migracin para ver la lista de equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\Agents. Conversin de perfiles de usuarios locales mediante la opcin de lnea de comandos de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el comando ADMT apropiados y, a continuacin, presione ENTRAR.
Security
con los parmetros
ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:" <dominio_origen>" /TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /TOT:Replace /TUP:YES
Como alternativa, puede incluir parmetros en un archivo de opciones que se especifica en la lnea de comandos como se muestra a continuacin:
ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /O "<archivo_opcin>.txt"
En la tabla siguiente se muestran los parmetros comunes que se utilizan para migrar cuentas de usuario, junto con los parmetros de lnea de comandos y los equivalentes del archivo de opciones.
Parmetros Sintaxis de lnea de comandos Sintaxis del archivo de opciones
<Dominio de origen> <Dominio de destino> Opciones de conversin de seguridad Modificar la seguridad de perfil de usuario local
/TOT:REPLACE
TranslateOption=REPLACE
/TUP:YES
TranslateUserProfiles=YES
3. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez finalizado el asistente, haga clic en Ver registro de migracin para ver la lista de equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se 118
informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\Agents. Conversin de perfiles de usuarios locales mediante una secuencia de comandos Prepare una secuencia de comandos que incorpore los comandos de ADMT y las opciones para convertir perfiles de usuarios locales utilizando la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" TranslatingLocalProfilesBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
Dim objMigration Dim objSecurityTranslation
Set objMigration = CreateObject("ADMT.Migration" ) Set objSecurityTranslation = objMigration.CreateSecurityTranslation
objMigration.SourceDomain = "dominio de origen" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "Equipos"
' 'Especificar opciones especificas de conversin de seguridad. '
119
objSecurityTranslation.TranslationOption = admtTranslateReplace objSecurityTranslation.TranslateUserProfiles = True
' 'Realizar conversin de seguridad en objetos de equipo especificados. '
objSecurityTranslation.Translate admtData, _ Array("nombre de equipo1" ,"nombre de equipo2" )
Set objSecurityTranslation = Nothing Set objMigration = Nothing </Script> </Job>
Migracin de estaciones de trabajo en lotes

Tras la migracin de un lote de perfiles de usuarios locales, migre el lote correspondiente de las estaciones de trabajo de usuario. Cuando migre una estacin de trabajo entre dominios, la base de datos del Administrador de cuentas de seguridad (SAM) se migra junto con el equipo. Las cuentas de la base de datos local de SAM (como grupos locales) que se utilizan para habilitar el acceso a los recursos se mueven siempre con el equipo. Por consiguiente, estas cuentas no se tienen que migrar. Si una estacin de trabajo tiene cuentas de servicio administradas instaladas y esas cuentas se han migrado previamente, ADMT proporciona una opcin que permite reinstalar en el equipo migrado la cuenta de servicio administrada migrada y actualizar el Administrador de control de servicios. Para que ADMT pueda realizar esta operacin, la cuenta que realiza la migracin del equipo debe tener permisos para modificar el descriptor de seguridad de la cuenta de servicio administrada migrada. Nota Utilice un valor bajo para el parmetro RestartDelay para reiniciar las estaciones de trabajo de forma inmediata tras agregarlas al dominio de destino, o tan pronto como sea posible. Los recursos que no se han reiniciado despus de la migracin se encuentran en un estado indeterminado. Puede migrar estaciones de trabajo y servidores miembro mediante el complemento de ADMT, la opcin de lnea de comandos de ADMT o una secuencia de comandos.
120
Migracin de estaciones de trabajo mediante el complemento de ADMT 1. En el equipo del dominio de destino en el que instala ADMT, inicie sesin utilizando la cuenta de migracin de recursos de ADMT. 2. Utilice el Asistente para migracin de equipos siguiendo los pasos de la tabla siguiente.
121
Pgina del asistente
Accin
Seleccin de dominio
Seleccin de equipo
Haga clic en Seleccionar equipos desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de equipo, haga clic en Agregar para seleccionar los equipos del dominio de origen que desea migrar, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Informacin sobre la cuenta de servicio administrada (aparece si el equipo tiene alguna cuenta de servicio administrada instalada)
Seleccione cualquier cuenta de servicio administrada que no se tenga que instalar en el equipo migrado en el dominio de destino y, a continuacin, haga clic en Omitir/Incluir para marcar las cuentas como Omitir.
122
Pgina del asistente
Accin
Haga clic en Examinar. En el cuadro de dilogo Buscar un contenedor, busque el contenedor Equipos del dominio de destino o la unidad organizativa apropiada y, a continuacin, haga clic en Aceptar.
Convertir objetos
Active la casilla de verificacin Grupos locales. Active la casilla de verificacin Derechos de usuarios.
Opciones de conversin de seguridad Opciones de equipo
Haga clic en Agregar. En la casilla Minutos que habrn de transcurrir para que se reinicien los equipos tras la finalizacin del asistente, acepte el valor predeterminado de 5 minutos o escriba un valor distinto. Para excluir determinadas propiedades de objeto de la migracin, active la casilla de verificacin Excluir propiedades de objeto especficas de la migracin, seleccione las propiedades de objeto que desee excluir y muvalas a Propiedades excluidas y, a continuacin, haga clic en Siguiente. Haga clic en No migrar el objeto de origen si se detecta un conflicto en el dominio de destino. Seleccione Ejecutar comprobacin previa y operacin de agente y, a continuacin, haga clic en Inicio.
Dilogo de agente de ADMT
3. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez finalizado el asistente, haga clic en Ver registro de migracin para ver la lista de equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\Agents. 4. Abra Usuarios y equipos de Active Directory y compruebe que las estaciones de 123
trabajo existen en la unidad organizativa apropiada del dominio de destino. Migracin de estaciones de trabajo mediante la opcin de lnea de comandos de ADMT 1. En el equipo del dominio de destino en el que se instala ADMT, inicie sesin utilizando la cuenta de migracin de recursos de ADMT. 2. En la lnea de comandos, escriba el comando ADMT Computer con los parmetros apropiados y, a continuacin, presione ENTRAR.
ADMT COMPUTER /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:"<dominio_origen>" /TD:"<dominio_destino>" /TO:"<unidad_organizativa_destino>" [/M: <nombre de cuenta de servicio administrada 1> <nombre de cuenta de servicio administrada 2>] [/UALLMSA:Yes] /RDL:5
Como alternativa, puede incluir parmetros en un archivo de opcin que se especifique en la lnea de comandos, de la manera siguiente:
ADMT COMPUTER /N "<nombre_equipo1>" "<nombre_equipo2>" /O:" <archivo_opcin>.txt"
La siguiente tabla enumera los parmetros comunes que se utilizan para migrar estaciones de trabajo, junto con el parmetro de lnea de comandos y los equivalentes del archivo de opciones.
124
Parmetros
<Dominio de origen> Ubicacin de la <Unidad organizativa de origen> <Dominio de destino> Actualizar todas las cuentas de servicio administradas Actualizar las cuentas de servicio administradas especificadas Nota El parme tro /M tiene prefere ncia sobre el parme tro /UALL MSA. Ubicacin de la <Unidad organizativa de destino> Retraso de reinicio (minutos) Opcin de conversin de seguridad
/ SO:"unidad_organizativa_ori
SourceOU="unidad_organizativa_o
rigen"
gen"
/TD:"dominio_destino" TargetDomain="dominio_destino"
/UALLMSA: YES
UpdateAllManagedServiceAccounts =Yes
/M
nombre 1 nombre 2
UPDATEMSANAME=
nombre 1
nombre 2
/ TO:"unidad_organizativa_de
TargetOU="unidad_organizativa_d
estino"
stino"
/RDL:5
RestartDelay=5
/TOT:ADD
TranslationOption=ADD
125
Parmetros
Convertir derechos de usuario Convertir grupos locales
/TUR:YES
TranslateUserRights=YES
/TLG:YES
TranslateLocalGroups=YES
3. Revise si hay errores en los resultados que se muestran en la pantalla. El registro de migracin muestra los equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\Agents. 4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa de destino. Compruebe que las estaciones de trabajo y los servidores miembro existen en la unidad organizativa de destino. Migracin de estaciones de trabajo mediante una secuencia de comandos Prepare una secuencia de comandos que incorpore los comandos de ADMT y las opciones para la migracin de estaciones de trabajo utilizando la siguiente secuencia de comandos Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs..
<Job id="MigratingWorkstationsBwtweenForest" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
Dim objMigration Dim objComputerMigration
Set objMigration = CreateObject("ADMT.Migration" ) Set objComputerMigration = objMigration.CreateComputerMigration
126
objMigration.SourceDomain = "dominio de origen" objMigration.SourceOu = "Equipos" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "Equipos"
' 'Especificar opciones especficas de migracin de equipo. '
objComputerMigration.RestartDelay = 1 objComputerMigration.TranslationOption = admtTranslateAdd objComputerMigration.TranslateLocalGroups = True objComputerMigration.TranslateUserRights = True objComputerMigration.UpdateAllManagedServiceAccounts = True
' 'Migrar objetos de equipo en objetos de equipo especificados. '
objComputerMigration.Migrate admtData, _ Array("nombre de equipo1" ,"nombre de equipo2" )
Set objComputerMigration = Nothing Set objMigration = Nothing </Script> </Job>
127
Repeticin de la migracin de las cuentas de usuarios en lotes

Despus de haber comprobado el xito de la migracin de la estacin de trabajo y el perfil de usuario local para el lote de usuarios, migre las cuentas de usuario para ese lote. Puede migrar las cuentas de usuario en lotes mediante el complemento de ADMT, la opcin de lnea de comandos de ADMT o una secuencia de comandos. Puede migrar cuentas de usuario mediante el complemento de ADMT, la opcin de lnea de comandos de ADMT o una secuencia de comandos. Si va a migrar cuentas de usuario que tienen habilitada la seguridad del mecanismo de autenticacin, use un archivo de inclusin. En el archivo de inclusin, especifique los nombres principales de usuario (UPN) originales del dominio de origen como UPN de destino para poder mantener en funcionamiento la seguridad del mecanismo de autenticacin. Para obtener ms informacin acerca del uso de un archivo de inclusin, consulte Uso de un archivo de inclusin. Importante Cuando inicie una migracin de usuarios con el historial del identificador de seguridad (SID) desde la lnea de comandos o desde un script, debe realizarla en un controlador de dominio del dominio de destino. Migracin del lote actual de cuentas de usuario mediante el complemento de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. Complete el Asistente para migracin de cuentas de usuarios siguiendo los pasos de la tabla siguiente.
128
Pgina del asistente
Accin
Seleccin de dominio
Seleccin de usuario
Pgina del asistente
Accin
Haga clic en Migrar contraseas. En Controlador de dominio origen de migracin de contrasea:, escriba el nombre del servidor de exportacin de contraseas o acepte el valor predeterminado.
En Estado de la cuenta de destino:, haga clic en Habilitar cuentas de destino. En Opciones para deshabilitar la cuenta de origen:, haga clic en Das hasta que caduquen las cuentas de origen: y, a continuacin, escriba el nmero de das que desee conservar la cuenta de origen. Se utiliza comnmente un valor de siete. Active la casilla de verificacin Migrar SID de usuario para el dominio de destino.
Cuenta de usuario
Escriba el nombre de usuario, la contrasea y el dominio de una cuenta de usuario que tenga credenciales administrativas. Active la casilla de verificacin Convertir perfiles mviles. Active la casilla de verificacin Actualizar derechos de usuario. Desactive la casilla de verificacin Migrar grupos de usuario asociados. Active la casilla de verificacin Revisar la pertenencia a grupos de los usuarios.
Opciones de usuario
130
Pgina del asistente
Accin
Active la casilla de verificacin Migrar y combinar objetos en conflicto. Desactive la casilla de verificacin Antes de combinar, quitar los derechos de usuario de las cuentas de destino existentes. Desactive la casilla de verificacin Mover objetos combinados a la Unidad organizativa de destino especificada.
3. Cuando el asistente haya terminado, haga clic en Ver registro y revise si hay errores en el registro de migracin. 4. Abra Usuarios y equipos de Active Directory y compruebe que las cuentas de usuarios existen en la unidad organizativa apropiada del dominio de destino. Migracin del lote actual de usuarios mediante la opcin de lnea de comandos de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el comando ADMT User con los parmetros apropiados y, a continuacin, presione ENTRAR.
ADMT USER /N "<nombre_usuario1>" "<nombre_usuario2>" /UUR:YES /SD:" <dominio_origen>" /TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /MSS:YES /TRP:YES
131
Parmetros


<Dominio de origen> Ubicacin de la <Unidad organizativ a de origen> <Dominio de destino> Ubicacin de la <Unidad organizativ a de destino> Migrar SID Gestin de conflictos Convertir perfil mvil Actualizar derechos de usuario Opciones de contrasea Caducidad de origen
"
o"
"
/MSS:YES /CO:REPLACE
MigrateSIDs=YES ConflictOptions=REPLACE
/TRP:YES
/UUR:YES
/PO:COPY /PS:<nombre
de
PasswordOption=COPY PasswordServer=:<nombre
servidor PES>
de servidor
PES>
/SEP:7 SourceExpiration=7
3. Revise si hay errores en los resultados que se muestran en la pantalla. 4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa de destino. Compruebe que los usuarios existen en la unidad organizativa de destino. Migracin del lote actual de cuentas de usuario mediante una secuencia de comandos Prepare una secuencia de comandos que incorpore los comandos de ADMT y las 132
opciones para la migracin de usuarios utilizando la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id="MigratingUserAccountsInBatchesBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
objMigration.SourceDomain = "dominio de origen" objMigration.SourceOu = "contenedor de origen" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "contenedor de destino" objMigration.PasswordOption = admtCopyPassword objMigration.PasswordServer = "nombre de servidor de exportacin de contrasea" objMigration.ConflictOptions = admtReplaceConflicting ' 'Especificar opciones especficas de migracin del usuario. ' objUserMigration.SourceExpiration = 7 objUserMigration.MigrateSIDs = True
133
objUserMigration.TranslateRoamingProfile = True objUserMigration.UpdateUserRights = True objUserMigration.FixGroupMembership = True objUserMigration.MigrateServiceAccounts = False
Repeticin de la migracin de todos los grupos globales despus de la migracin de cuenta de usuario
Una migracin de cuentas de usuarios de gran tamao puede tener lugar durante un amplio perodo de tiempo. Por este motivo, es posible que tenga que repetir la migracin de grupos globales desde el dominio de origen al de destino despus de migrar cada lote de usuarios, para reflejar los cambios realizados en la pertenencia de grupos del dominio de origen tras producirse la migracin inicial de grupo global. Para obtener ms informacin y procedimientos para la repeticin de la migracin de los grupos globales, consulte Repeticin de la migracin de todos los grupos globales despus de migrar todos los lotes, ms adelante en esta gua.
Repeticin de la migracin de todos los grupos globales despus de migrar todos los lotes
Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Despus de que se hayan migrado todos los lotes, realice una nueva migracin de grupos globales final para garantizar que cualquier cambio de ltima hora que se efecte en la 134
pertenencia a un grupo global en el dominio de origen se refleja en el dominio de destino. Puede volver a migrar grupos globales mediante el complemento de la Herramienta de migracin para Active Directory (ADMT), la opcin de lnea de comandos de ADMT o una secuencia de comandos. Importante Cuando inicie una migracin del grupo global con SID History desde la lnea de comandos o desde una secuencia comandos, debe realizarla en un controlador de dominio del dominio de destino. Nueva migracin de grupos globales mediante el complemento de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. Utilice el Asistente para migracin de cuentas de grupo realizando los pasos de la tabla siguientes:
135
Pgina del asistente
Accin
Seleccin de dominio
Seleccin de grupo
Haga clic en Seleccionar grupos desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de grupo, haga clic en Agregar para seleccionar los grupos del dominio de origen que desea migrar, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Escriba el nombre de la unidad organizativa o haga clic en Examinar. En el cuadro de dilogo Buscar un contenedor, busque el contenedor en el dominio de destino al que desee mover los grupos globales y, a continuacin, haga clic en Aceptar.
136
Pgina del asistente
Accin
Opciones de grupo
Haga clic en Actualizar derechos de usuario Asegrese de que Copiar miembros de grupo no est seleccionada. Asegrese de que Actualizar objetos previamente migrados no est seleccionada. Haga clic en Revisar la pertenencia al grupo. Haga clic en Migrar SID de grupo al dominio de destino.
Cuenta de usuario
Escriba el nombre de usuario, contrasea y el dominio de una cuenta que tenga derechos administrativos en el dominio de origen. Desactive la casilla de verificacin Excluir propiedades de objeto especficas de la migracin. Active la casilla de verificacin Migrar y combinar objetos en conflicto (el resto de opciones estn desactivadas).
3. Cuando haya finalizado la ejecucin del asistente, haga clic en Ver registro y revise si hay errores en el registro de migracin. 4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa de destino. Compruebe que los grupos globales existen en la unidad organizativa del dominio de destino. Nueva migracin de grupos globales mediante la opcin de lnea de comandos de ADMT 1. En un controlador de dominio del dominio de destino en el que est instalado ADMT, inicie sesin con la cuenta de migracin de cuentas de ADMT. Importante Cuando inicie una migracin del grupo global con SID History desde la lnea de comandos, debe realizarla en un controlador de dominio del dominio de destino. 2. En la lnea de comandos, escriba el comando ADMT apropiados y, a continuacin, presione ENTRAR.
Group
con los parmetros
ADMT GROUP /N "<nombre_grupo1>" "<nombre_grupo2>" /SD:" <dominio_origen>" /TD:"
137
<dominio de destino>" /TO:" <unidad organizativa de destino>" /MSS:YES /CO:REPLACE
Como alternativa, puede incluir parmetros en un archivo de opcin que se especifica en la lnea de comandos como se muestra a continuacin:
Parmetros Sintaxis de lnea de comandos

"
o"
"
/MSS:YES
MigrateSIDs=YES
/CO:REPLACE
ConflictOptions=REPLACE
3. Revise si hay errores en los resultados que se muestran en la pantalla. 4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa de destino. Compruebe que los grupos globales existen en la unidad organizativa del dominio de destino. Nueva migracin de grupos universales mediante una secuencia de comandos Prepare una secuencia de comandos que incorpore las opciones y comandos de ADMT para migrar de grupos globales utilizando la siguiente secuencia de comandos de 138
muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" RemigratingGlobalGroupsBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
objMigration.SourceDomain = "dominio de origen" objMigration.SourceOu = "contenedor de origen" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "contenedor de destino" objMigration.ConflictOptions = admtReplaceConflicting
' 'Migrar objetos de grupo especificados.
139
'
Set objGroupMigration = Nothing Set objMigration = Nothing </Script> </Job>
Migracin de cuentas sin utilizar el historial de SID

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Si no utiliza el historial de identificadores de seguridad (SID) para el acceso a los recursos porque se ha establecido el filtrado de SID entre bosques, su proceso de migracin conlleva la realizacin de los siguientes pasos. En primer lugar, migra todas las cuentas de usuario (pero no las active en el dominio de destino) para rellenar el dominio de destino y permitir la migracin de perfiles de usuario. A continuacin, ejecuta la conversin de seguridad en todos los recursos a los que obtienen acceso los usuarios en todos los bosques. El siguiente paso es migrar usuarios en lotes, empezando por la migracin del perfil de usuario, luego la estacin de trabajo y, a continuacin, la cuenta de usuario. Finalmente, debe repetir la migracin de grupos globales para aplicar los cambios que ha realizado en los grupos globales del dominio de origen y convertir la seguridad en el modo Quitar. Sigue siendo importante migrar el historial de SID aunque las cuentas de usuario no usen el historial de SID para tener acceso a los recursos. Lo que garantiza que las operaciones como los archivos sin conexin continen funcionando dentro del bosque. La migracin del historial de SID no presenta un riesgo de seguridad porque se ha establecido el filtrado de SID entre los bosques de origen y destino. Antes de migrar todas las cuentas de usuarios, asegrese de que ha creado cuentas de prueba que pueda usar para comprobar el xito de la migracin para dicho lote. Complete los siguientes pasos para migrar las cuentas de usuario al dominio de destino: 1. Migre las cuentas de servicio administradas. Las cuentas de servicio administradas deben migrarse antes de los equipos. 2. Migrar todos los usuarios. Use la opcin Revisar la pertenencia a grupos de los usuarios para que la Herramienta de migracin para Active Directory (ADMT) identifique los grupos globales en el dominio de destino al que pertenecan los usuarios del dominio de origen y agregue el usuario al grupo global apropiado en el domino de destino. Para esta 140
migracin de usuario inicial, deje la cuenta de usuario habilitada en el dominio de origen y deshabilitada en el dominio de destino. 3. Convierta la seguridad en modo Agregar para los archivos, recursos compartidos, impresoras, grupos locales y grupos locales de dominios. 4. Convierta los perfiles locales de usuario para un lote de usuarios 5. Migre las estaciones de trabajo en lotes que correspondan a los lotes de cuentas de usuario. 6. Antes de migrar el lote de cuentas de usuarios, compruebe que la migracin de la estacin de trabajo y el perfil local se ha realizado correctamente para todos los usuarios del lote. No migre ninguna cuenta de usuario cuya migracin de estacin de trabajo o perfil haya dado error, porque provocar que los usuarios sobrescriban sus perfiles existentes cuando inicien sesin en el dominio de destino. 7. Vuelva a migrar las cuentas de usuario en lotes pequeos con las cuentas en el dominio de origen definidas con un perodo de caducidad de siete das con las cuentas de destino habilitadas, la migracin de contrasea seleccionada y con todos los atributos seleccionados para la migracin. 8. Despus de cada lote, vuelva a migrar todos los grupos para actualizar cualquier cambio de pertenencia a grupos. 9. Una vez migrados todos los usuarios, ejecute una migracin final de grupo global para actualizar cualquier cambio de pertenencia a grupos. 10. Convierta la seguridad en modo Quitar para los archivos, recursos compartidos, impresoras, grupos locales y grupos locales de dominios. 11. Notifique a los usuarios del lote para que inicien sesin en el nuevo dominio. Hasta que migre todos los usuarios y cuentas de grupos, contine administrando la pertenencia a grupos globales en el dominio de origen. La siguiente ilustracin muestra los pasos que implica la migracin de cuentas que no usa el historial de SID para el acceso a los recursos.
141

Una cuenta de servicio administrada es un objeto de cuenta de dominio que est disponible en el esquema de Active Directory Windows Server 2008 R2. Una cuenta de servicio administrada puede instalarse en equipos que ejecutan Windows 7 o Windows Server 2008 R2. Las cuentas de servicio administradas slo se pueden migrar con ADMT v3.2. El proceso para identificar y migrar cuentas de servicio administradas mediante ADMT v3.2 consta de dos pasos: 1. Utilice el Asistente para migracin de cuentas de servicio administradas o la herramienta de lnea de comandos admt managedserviceaccount para migrar objetos de cuenta de servicio administrada al dominio de destino como se explica en este tema. 2. Utilice el Asistente para migracin de equipos o la herramienta de lnea de comandos admt computer para migrar los equipos que hospedan las cuentas de servicio administradas. Para obtener ms informacin acerca de la migracin de los equipos como parte de una migracin entre bosques, consulte Repeticin de la migracin de las cuentas de usuario y migracin de las estaciones de trabajo en lotes. Para obtener ms informacin acerca de la migracin de los equipos como parte de una migracin dentro del mismo bosque, consulte Migracin de estaciones de trabajo y servidores miembro. 142
Las cuentas de servicio administradas que se migraron en el paso anterior y que estaban instaladas originalmente en los equipos migrados se identifican durante la migracin del equipo. Cuando la migracin del equipo haya finalizado, las cuentas de servicio administradas vuelven a instalarse en el equipo en el dominio de destino (a menos que solicite ignorarlas). Si ha ejecutado la conversin de seguridad en los servidores miembro que tienen recursos que conceden permisos a las cuentas de servicio administradas, las cuentas tienen los mismos permisos para el acceso a los recursos en el dominio de destino que los que tenan en el dominio de origen. Importante Si migra cuentas de servicio administradas entre dominios dentro del mismo bosque, ejecute la conversin de seguridad en los servidores miembro del dominio de origen que tengan recursos que concedan permisos a las cuentas de servicio administradas. La conversin de seguridad no suele ser necesaria durante una migracin interna del bosque porque se ha movido un SID con una cuenta. No obstante, las cuentas de servicio administradas que se migran entre dominios en el mismo bosque se copian. Se crea una nueva cuenta en el dominio de destino y las propiedades de la cuenta (excepto SID) se copian desde el dominio de origen. Por tanto, ser necesario ejecutar la conversin de seguridad. Si los recursos del dominio de origen que conceden permisos a las cuentas de servicio administradas se hospedan en el mismo equipo que la cuenta de servicio administrada, debera seleccionar la conversin de seguridad en los recursos adecuados (Archivos y carpetas, Grupos locales y as sucesivamente) en la pgina Convertir objetos del Asistente para la migracin de equipos. Si los recursos estn en otros equipos que no se estn migrando, tendr que ejecutar el Asistente para conversin de seguridad en esos equipos y, en la pgina Opciones de conversin de seguridad, seleccione Objetos previamente migrados o proporcione expresamente las cuentas de servicio administradas en un archivo de asignacin de SID. Para obtener ms informacin acerca de la conversin de seguridad, consulte Conversin de seguridad en los servidores miembro. Migracin de cuentas de servicio administradas con el complemento ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En el complemento ADMT, haga clic en Accin y, a continuacin, en Asistente para migracin de cuentas de servicio administradas. 3. Complete el Asistente para migracin de cuentas de servicio administradas con la informacin que se proporciona en la tabla siguiente.
143
Pgina del asistente
Accin
Seleccin de dominio
144
Pgina del asistente
Accin
145
Pgina del asistente
Accin
147
Valores
/IF:No
Intraforest=No
/FGM:Yes
/MSS:Yes
MigrateSIDs=Yes
Migracin de todas las cuentas de usuario

Comience el proceso de migracin de cuentas de usuario migrando todos los usuarios. A continuacin, puede convertir la seguridad en todos los archivos, impresoras, carpetas compartidas, grupos locales y grupos locales de dominio. De esta forma se garantiza que los usuarios continan con el acceso adecuado a los recursos despus de la migracin. Nota Las cuentas integradas (como Administradores, Usuarios o Usuarios avanzados) no pueden ser objetos de migracin de la Herramienta de migracin para Active Directory (ADMT). Ya que los identificadores de seguridad (SID) de la cuenta integrada son idnticos en todos los dominios, la migracin de estas cuentas a un dominio de destino provocar la duplicacin de los SID en un dominio nico. Cada SID de un dominio debe ser exclusivo. Las cuentas conocidas (como Admins. del dominio y Usuarios del dominio) tampoco pueden ser objetos de migracin de ADMT. El proceso de migracin de cuentas de usuarios de ADMT incluye los siguientes pasos: 1. ADMT lee los atributos de los objetos de usuario de origen. 2. ADMT crea un nuevo objeto de usuario en el dominio de destino y un nuevo SID principal para la nueva cuenta de usuario. 3. ADMT agrega el SID original de la cuenta de usuario al atributo del historial de SID de la nueva cuenta de usuario. 4. ADMT migra la contrasea de la cuenta de usuario. 5. Si ADMT identifica los grupos globales del dominio de destino al que pertenecan los usuarios migrados del dominio de destino, la herramienta agrega los usuarios a los grupos globales apropiados del dominio de destino. Durante la migracin, los eventos de auditora inician sesin en los dominios de destino y de origen. Puede migrar las cuentas de usuario mediante el complemento de ADMT, la opcin de lnea de comandos de ADMT o una secuencia de comandos. Si va a migrar cuentas de usuario que tienen habilitada la seguridad del mecanismo de autenticacin, use un archivo de inclusin. En el archivo de inclusin, especifique los nombres principales de usuario (UPN) originales del dominio de origen como UPN de destino para poder mantener en funcionamiento la seguridad del mecanismo de autenticacin. Para obtener ms informacin acerca del uso de un archivo de inclusin, consulte Uso de un archivo de inclusin. Migracin de cuentas de usuario mediante el complemento de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. Utilice el Asistente para migracin de cuentas de usuario realizando los pasos de la tabla siguiente.
149
Pgina del asistente
Accin
Seleccin de dominio
Seleccin de usuario
Haga clic en Seleccionar usuarios desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de usuario, haga clic en Agregar para seleccionar los usuarios del dominio de origen que desea migrar al lote actual, haga clic en Aceptar y, a continuacin, en Siguiente. O bien En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT.
Asegrese de que ADMT muestra la unidad organizativa de destino correcta. Si no es correcta, escriba la unidad organizativa correcta o haga clic en Examinar. En el cuadro de dilogo Buscar un contenedor, busque el dominio de destino y la unidad organizativa y, a continuacin, haga clic en Aceptar.
150
Pgina del asistente
Accin
Haga clic en No actualizar contraseas de usuarios existentes. Haga clic en Generar contraseas complejas.
En Estado de la cuenta de destino:, haga clic en Deshabilitar cuentas de destino. En Opciones para deshabilitar la cuenta de origen:, haga clic en Das hasta que caduquen las cuentas de origen: y, a continuacin, escriba el nmero de das que desee conservar la cuenta de origen. Se utiliza comnmente un valor de 7. Active la casilla de verificacin Migrar SID de usuario para el dominio de destino.
Cuenta de usuario
Escriba el nombre de usuario, la contrasea y el dominio de una cuenta de usuario que tenga credenciales administrativas en el dominio de origen. Active la casilla de verificacin Convertir perfiles mviles. Active la casilla de verificacin Actualizar derechos de usuario. Desactive la casilla de verificacin Migrar grupos de usuario asociados. Seleccione Revisar la pertenencia a grupos de los usuarios.
Opciones de usuario
151
Pgina del asistente
Accin
Active la casilla de verificacin No migrar el objeto de origen si se detecta un conflicto en el dominio de destino. Asegrese de que las casillas de verificacin Antes de combinar, quitar los derechos de usuario de las cuentas de destino existentes y Mover objetos combinados a la Unidad organizativa de destino especificada no estn activadas.
3. Cuando el asistente termine, haga clic en Ver registro y revise si hay errores en el registro de migracin. 4. Abra Usuarios y equipos de Active Directory y compruebe que las cuentas de usuarios existen en la unidad organizativa apropiada del dominio de destino. Migracin de cuentas de usuario mediante la opcin de lnea de comandos de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el comando ADMT apropiados y, a continuacin, presione ENTRAR:
User
con los parmetros
ADMT USER /N "<nombre_usuario1>" "<nombre_usuario2>" /UUR:YES
/TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /MSS:YES /TRP:YES
Como alternativa, puede incluir parmetros en un archivo de opcin que se especifica en la lnea de comandos, de la manera siguiente:
152
Parmetros


<Dominio de origen> Ubicacin de la <Unidad organizativ a de origen> <Dominio de destino> Ubicacin de la <Unidad organizativ a de destino> Migrar SID Gestin de conflictos Convertir perfil mvil Actualizar derechos de usuario Opciones de contrasea
"
o"
"
/MSS:YES
MigrateSIDs=YES ConflictOptions=IGNORE
/CO:IGNORE /TRP:YES
/UUR:YES
/PO:COMPLEX
3. Revise si hay errores en los resultados que se muestran en la pantalla. 4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa de destino. Compruebe que los usuarios existen en la unidad organizativa de destino. Migracin de cuentas de usuario mediante una secuencia de comandos Prepare una secuencia de comandos que incorpore los comandos de ADMT y las opciones para la migracin de usuarios utilizando la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo 153
con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.

<Job id=" MigratingAllUserAccountsBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
objMigration.SourceDomain = "dominio de origen" objMigration.SourceOu = "contenedor de origen" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "contenedor de destino" objMigration.PasswordOption = admtComplexPassword objMigration.ConflictOptions = admtIgnoreConflicting
objUserMigration.MigrateSIDs = True objUserMigration.TranslateRoamingProfile = True objUserMigration.UpdateUserRights = True
154
objUserMigration.FixGroupMembership = True objUserMigration.MigrateServiceAccounts = False
Conversin de seguridad en modo Agregar

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Convierta la seguridad en servidores para agregar los identificadores de seguridad (SID) de las cuentas de usuario y grupo en el dominio de destino a las listas de control de acceso (ACL) de los recursos. Una vez migrados al dominio de destino, los objetos contienen las entradas de ACL de ambos dominios, el de origen y el de destino. Utilice el Asistente para la conversin de seguridad de la Herramienta de migracin para Active Directory (ADMT) para agregar los SID del dominio de destino de los objetos migrados. Ejecute el Asistente para la conversin de seguridad en todos los archivos, recursos compartidos, impresoras, grupos locales, al menos, un controlador de dominio (para convertir la seguridad en los grupos locales compartidos). Puede convertir la seguridad en el modo Agregar en objetos mediante el complemento de ADMT, la opcin de lnea de comandos de ADMT o una secuencia de comandos. Conversin de seguridad en el modo Agregar en objetos mediante el complemento de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. Utilice el Asistente para la conversin de seguridad siguiendo los pasos de la tabla siguiente.
155
Pgina del asistente
Accin
Seleccin de equipo
Haga clic en Seleccionar equipos desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de equipo, haga clic en Agregar para seleccionar los equipos para los que desea convertir la seguridad, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Convertir objetos
Desactive la casilla de verificacin Perfiles de usuarios. Active el resto de casillas de verificacin.
Opciones de conversin de seguridad Dilogo de agente de ADMT
Haga clic en Agregar. Seleccione Ejecutar comprobacin previa y operacin de agente y, a continuacin, haga clic en Inicio. 156
3. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez finalizado el asistente, haga clic en Ver registro de migracin para ver la lista de equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\Agents. Conversin de seguridad en el modo Agregar en objetos mediante la opcin de lnea de comandos de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el comando ADMT Security con los parmetros apropiados y, a continuacin, presione ENTRAR.
ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:" <dominio_origen>" /TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /TOT:Add
<Dominio de origen> <Dominio de destino> Opciones de conversin de seguridad
/TOT:Add
TranslateOption=ADD
3. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez finalizado el asistente, haga clic en Ver registro de migracin para ver la lista de equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\Agents. 157
Conversin de seguridad en modo Agregar en objetos mediante una secuencia de comandos Prepare una secuencia de comandos que incorpore los comandos de ADMT y las opciones para convertir seguridad en modo Agregar en objetos utilizando la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" TranslatingSecurityInAddModeOnObjectsBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
objSecurityTranslation.TranslationOption = admtTranslateAdd
158
objSecurityTranslation.TranslateFilesAndFolders = True objSecurityTranslation.TranslateLocalGroups = True objSecurityTranslation.TranslatePrinters = True objSecurityTranslation.TranslateRegistry = True objSecurityTranslation.TranslateShares = True objSecurityTranslation.TranslateUserProfiles = False objSecurityTranslation.TranslateUserRights = True
Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 La repeticin de la migracin de las cuentas de usuario y las estaciones de trabajo en lotes le ayuda a realizar un registro del proceso de migracin. Para cada lote de usuarios, primero convierta los perfiles de usuarios locales y, a continuacin, migre las estaciones de trabajo. Compruebe que la migracin de la estacin de trabajo y el perfil se ha realizado correctamente y, a continuacin, migre las cuentas de usuario. Repita la migracin de los grupos globales despus de cada lote. Para obtener ms informacin, consulte Repeticin de la migracin de todos los grupos globales despus de migrar todos los lotes, ms adelante en esta gua.
159
Conversin de perfiles de usuarios locales

La Herramienta de migracin Active Directory (ADMT) convierte los perfiles para los objetos de migracin de equipo admitidos. Si desea obtener una lista de los sistemas operativos compatibles para objetos de migracin del equipo en las diferentes versiones de ADMT, consulte Herramienta de migracin Active Directory: versiones y entornos admitidos. Los perfiles locales se convierten en modo Reemplazar porque si realiza la conversin del perfil en modo Agregar, es posible que la instalacin del software mediante la implementacin del software de la directiva de grupo no funcione. Es posible que cualquier aplicacin incluida con Windows Installer versin 2.0 (utilizada en las estaciones de trabajo con Windows 2000 Server Service Pack 3 (SP3) o Service Pack 4 (SP4) y Windows XP Service Pack 1 (SP1) o Service Pack 2 (SP2), y en muchos paquetes de software comunes) no funcione despus de la conversin del perfil. Cuando el Asistente para conversin de seguridad de ADMT convierta perfiles locales en modo Reemplazar, volver al modo Agregar si se bloquea un perfil. Puede resultar en una conversin de perfil correcta. No obstante, es posible que las instalaciones de aplicacin no funcionen despus de convertir el perfil. Antes de iniciar la conversin de perfiles de usuarios locales, deje tiempo suficiente para que las estaciones de trabajo se reinicien despus de moverlas al dominio de destino. Tenga en cuenta el factor de retraso de tiempo de ADMT (cinco minutos de forma predeterminada) ms el tiempo necesario para un ciclo de reinicio de su estacin de trabajo. Nota La noche anterior a la notificacin a los usuarios para que inicien sesin con sus nuevas cuentas en el dominio de destino, convierta los perfiles de usuarios locales. La conversin de los perfiles la noche antes garantiza que el nuevo perfil de usuario refleje la configuracin de usuario ms actual. Puede convertir los perfiles de usuarios locales mediante el complemento de ADMT, la opcin de lnea de comandos de ADMT o una secuencia de comandos. Conversin de perfiles de usuarios locales mediante el complemento de ADMT 1. Para cada estacin de trabajo del dominio de origen que migre, agregue la cuenta de migracin de recursos de ADMT al grupo de administradores locales. 2. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 3. Utilice el Asistente para la conversin de seguridad siguiendo los pasos de la tabla siguiente.
160
Pgina del asistente
Accin
Seleccin de equipo
Haga clic en Seleccionar equipos desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de equipo, haga clic en Agregar para seleccionar los equipos del dominio de origen para los que desea convertir la seguridad, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Convertir objetos Opciones de conversin de seguridad Dilogo de agente de ADMT
Haga clic en Perfiles de usuario. Haga clic en Reemplazar. Seleccione Ejecutar comprobacin previa y operacin de agente y, a continuacin, haga clic en Inicio.
161
4. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez finalizado el asistente, haga clic en Ver registro de migracin para ver la lista de equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\Agents. Conversin de perfiles de usuarios locales mediante la opcin de lnea de comandos de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el comando ADMT apropiados y, a continuacin, presione ENTRAR:
Security
con los parmetros
ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:" <dominio_origen>" /TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /TOT:Replace /TUP:YES
<Dominio de origen> <Dominio de destino> Opciones de conversin de seguridad Modificar la seguridad de perfil de usuario local
/TOT:REPLACE
/TUP:YES
3. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez finalizado el asistente, haga clic en Ver registro de migracin para ver la lista de equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se 162
informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\Agents. Conversin de perfiles de usuarios locales mediante una secuencia de comandos Prepare una secuencia de comandos que incorpore los comandos de ADMT y las opciones para convertir perfiles de usuarios locales utilizando la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" TranslatingLocalProfilesBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
163
Migracin de estaciones de trabajo en lotes

Tras la migracin de un lote de perfiles de usuarios locales, migre el lote correspondiente de las estaciones de trabajo de usuario. Cuando migre una estacin de trabajo entre dominios, la base de datos del Administrador de cuentas de seguridad (SAM) se migra junto con el equipo. Las cuentas ubicadas en la base de datos local de SAM (como grupos locales) que se utilizan para habilitar el acceso a los recursos se mueven siempre con el equipo. Por consiguiente, no se tienen que migrar. Si una estacin de trabajo tiene cuentas de servicio administradas instaladas y esas cuentas se han migrado previamente, ADMT proporciona una opcin que permite reinstalar en el equipo migrado la cuenta de servicio administrada migrada y actualizar el Administrador de control de servicios. Para que ADMT pueda realizar esta operacin, la cuenta que realiza la migracin del equipo debe tener permisos para modificar el descriptor de seguridad de la cuenta de servicio administrada migrada. Nota Para reiniciar las estaciones de trabajo de forma inmediata tras agregarlas al dominio de destino o tan pronto como sea posible, utilice un valor bajo para el parmetro RestartDelay de ADMT. Los recursos que no se han reiniciado despus de la migracin se encuentran en un estado indeterminado. Puede migrar estaciones de trabajo mediante el complemento de ADMT, la opcin de lnea de comandos de ADMT o una secuencia de comandos.
164
Migracin de estaciones de trabajo mediante el complemento de ADMT 1. En el equipo del dominio de destino en el que instala ADMT, inicie sesin utilizando la cuenta de migracin de recursos de ADMT. 2. Utilice el Asistente para migracin de equipos siguiendo los pasos de la tabla siguiente.
165
Pgina del asistente
Accin
Seleccin de dominio
Seleccin de equipo
166
Pgina del asistente
Accin
Convertir objetos
Opciones de conversin de seguridad Opciones de equipo
Haga clic en Agregar. En la casilla Minutos que habrn de transcurrir para que se reinicien los equipos tras la finalizacin del asistente, acepte el valor predeterminado de 5 minutos o escriba un valor distinto. Para excluir determinadas propiedades de objeto de la migracin, active la casilla de verificacin Excluir propiedades de objeto especficas de la migracin, seleccione las propiedades de objeto que desee excluir y muvalas a la casilla Propiedades excluidas y, a continuacin, haga clic en Siguiente. Haga clic en No migrar el objeto de origen si se detecta un conflicto en el dominio de destino. Seleccione Ejecutar comprobacin previa y operacin de agente y, a continuacin, haga clic en Inicio.
3. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez finalizado el asistente, haga clic en Ver registro de migracin para ver la lista de equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\Agents. 4. Abra Usuarios y equipos de Active Directory y compruebe que las estaciones de 167
trabajo existen en la unidad organizativa apropiada del dominio de destino. Migracin de estaciones de trabajo mediante la opcin de lnea de comandos de ADMT 1. En el equipo del dominio de destino en el que se instala ADMT, inicie sesin utilizando la cuenta de migracin de recursos de ADMT. 2. En la lnea de comandos, escriba el comando ADMT apropiados y, a continuacin, presione ENTRAR:
Computer
con los parmetros
La siguiente tabla enumera los parmetros comunes que se utilizan para la migracin de estaciones de trabajo, junto con el parmetro de lnea de comandos y los equivalentes de archivo de opciones.
168
Parmetros
<Dominio de origen> Ubicacin de la <Unidad organizativa de origen> <Dominio de destino> Actualizar todas las cuentas de servicio administradas Actualizar cuentas de servicio administradas especficas Nota El parme tro /M tiene prefere ncia sobre el parme tro /UALL MSA. Ubicacin de la <Unidad organizativa de destino> Retraso de reinicio (minutos) Opcin de conversin de seguridad
SD:"dominio_origen"
rigen"
gen"
/UALLMSA: YES
/M:
nombre 1 nombre 2
UPDATEMSANAME=
nombre 1
nombre 2
estino"
stino"
/RDL:5
RestartDelay=5
/TOT:ADD
169
Parmetros
Convertir derechos de usuario Convertir grupos locales
/TUR:YES
/TLG:YES
3. Revise si hay errores en los resultados que se muestran en la pantalla. El registro de migracin muestra los equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\Agents. 4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa de destino. Compruebe que las estaciones de trabajo existen en la unidad organizativa de destino. Migracin de estaciones de trabajo mediante una secuencia de comandos Prepare una secuencia de comandos que incorpore los comandos de ADMT y las opciones para la migracin de estaciones de trabajo utilizando la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id="MigratingWorkstationsBwtweenForest" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
170
Set objComputerMigration = Nothing Set objMigration = Nothing </Script>
171
Repeticin de la migracin de las cuentas de usuarios en lotes

Despus de haber comprobado el xito de la migracin de los perfiles de usuarios locales y las estaciones de trabajo de usuario para el lote de usuarios, migre las cuentas de usuario para ese lote. Puede migrar las cuentas de usuario en lotes mediante el complemento de ADMT, la opcin de lnea de comandos de ADMT o una secuencia de comandos. Si va a migrar cuentas de usuario que tienen habilitada la seguridad del mecanismo de autenticacin, use un archivo de inclusin. En el archivo de inclusin, especifique los nombres principales de usuario (UPN) originales del dominio de origen como UPN de destino para poder mantener en funcionamiento la seguridad del mecanismo de autenticacin. Para obtener ms informacin acerca del uso de un archivo de inclusin, consulte Uso de un archivo de inclusin. Repeticin de la migracin del lote actual de cuentas de usuario mediante el complemento de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. Utilice el Asistente para migracin de cuentas de usuario siguiendo los pasos de la tabla siguiente.
172
Pgina del asistente
Accin
Seleccin de dominio
Seleccin de usuario
Pgina del asistente
Accin
Haga clic en Migrar contraseas. En Controlador de dominio origen de migracin de contrasea:, escriba el nombre del servidor de exportacin de contraseas o acepte el valor predeterminado.
En Estado de la cuenta de destino:, haga clic en Habilitar cuentas de destino. En Opciones para deshabilitar la cuenta de origen:, haga clic en Das hasta que caduquen las cuentas de origen: y, a continuacin, escriba el nmero de das que desee conservar la cuenta de origen. Se utiliza comnmente un valor de 7. Active la casilla de verificacin Migrar SID de usuario para el dominio de destino.
Cuenta de usuario
Escriba el nombre de usuario, la contrasea y el dominio de una cuenta de usuario que tenga credenciales administrativas. Active la casilla de verificacin Convertir perfiles mviles. Active la casilla de verificacin Actualizar derechos de usuario. Active la casilla de verificacin Migrar grupos de usuario asociados. Active la casilla de verificacin Revisar la pertenencia a grupos de los usuarios.
Opciones de usuario
174
Pgina del asistente
Accin
Haga clic en Migrar y combinar objetos en conflicto. Desactive la casilla de verificacin Antes de combinar, quitar los derechos de usuario de las cuentas de destino existentes. Desactive la casilla de verificacin Mover objetos combinados a la Unidad organizativa de destino especificada.
3. Cuando el asistente termine, haga clic en Ver registro y revise si hay errores en el registro de migracin. 4. Abra Usuarios y equipos de Active Directory y compruebe que las cuentas de usuarios existen en la unidad organizativa apropiada del dominio de destino. Repeticin de la migracin del lote actual de usuarios mediante la opcin de lnea de comandos de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el comando ADMT apropiados y, a continuacin, presione ENTRAR:
User
con los parmetros
ADMT USER /N "<nombre_usuario1>" "<nombre_usuario2>" /UUR:YES
/TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /MSS:YES /TRP:YES
175
Parmetros


<Dominio de origen> Ubicacin de la <Unidad organizativ a de origen> <Dominio de destino> Ubicacin de la <Unidad organizativ a de destino> Migrar SID Gestin de conflictos Convertir perfil mvil Actualizar derechos de usuario Opciones de contrasea Caducidad de origen
"
o"
"
/MSS:YES /CO:REPLACE
MigrateSIDs=YES ConflictOptions=REPLACE
/TRP:YES
/UUR:YES
/PO:COPY /PS:<nombre
de
PasswordOption=COPY PasswordServer=:<nombre
servidor PES>
de servidor
PES>
/SEP:30 SourceExpiration=30
3. Revise si hay errores en los resultados que se muestran en la pantalla. 4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa de destino. Compruebe que los usuarios existen en la unidad organizativa de destino.
176
177
178
179
Repeticin de la migracin del lote actual de cuentas de usuario mediante una secuencia de comandos Prepare una secuencia de comandos que incorpore los comandos de ADMT y las opciones para la migracin de usuarios utilizando la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id="MigratingUserAccountsInBatchesBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
objMigration.SourceDomain = "dominio de origen" objMigration.SourceOu = "contenedor de origen" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "contenedor de destino" objMigration.PasswordOption = admtCopyPassword objMigration.PasswordServer = "nombre de servidor de exportacin de contrasea" objMigration.ConflictOptions = admtReplaceConflicting ' 'Especificar opciones especficas de migracin del usuario.
180
' objUserMigration.SourceExpiration = 7 objUserMigration.MigrateSIDs = True objUserMigration.TranslateRoamingProfile = True objUserMigration.UpdateUserRights = False objUserMigration.FixGroupMembership = True objUserMigration.MigrateServiceAccounts = False
Repeticin de la migracin de todos los grupos globales despus de la migracin de cuenta de usuario
Una migracin de cuentas de usuarios de gran tamao puede tener lugar durante un amplio perodo de tiempo. Por este motivo, es posible que tenga que repetir la migracin de los grupos globales desde el dominio de origen al de destino despus de migrar cada lote de usuarios. El objetivo es reflejar los cambios realizados en la pertenencia a un grupo del dominio de origen despus de la migracin inicial de grupos globales. Para obtener ms informacin y procedimientos para la repeticin de la migracin de los grupos globales, consulte Repeticin de la migracin de todos los grupos globales despus de migrar todos los lotes, ms adelante en esta gua.
181
Repeticin de la migracin de todos los grupos globales despus de migrar todos los lotes
Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Despus de que se hayan migrado todos los lotes, realice una nueva migracin de grupos globales final para garantizar que cualquier cambio de ltima hora que se efecte en la pertenencia a un grupo global en el dominio de origen se refleja en el dominio de destino. Puede volver a migrar grupos globales mediante el complemento de la Herramienta de migracin para Active Directory (ADMT), la opcin de lnea de comandos de ADMT o una secuencia de comandos. Nueva migracin de grupos globales mediante el complemento de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. Utilice el Asistente para migracin de cuentas de grupo realizando los pasos de la tabla siguientes:
182
Pgina del asistente
Accin
Seleccin de dominio
Seleccin de grupo
Haga clic en Seleccionar grupos desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de grupo, haga clic en Agregar para seleccionar los grupos del dominio de origen que desea migrar, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Escriba el nombre de la unidad organizativa o haga clic en Examinar. En el cuadro de dilogo Buscar un contenedor, busque el contenedor en el dominio de destino al que desee mover los grupos globales y, a continuacin, haga clic en Aceptar.
183
Pgina del asistente
Accin
Opciones de grupo
Active la casilla de verificacin Actualizar derechos de usuario. Asegrese de que la casilla de verificacin Copiar miembros de grupo no est activada. Asegrese de que la casilla de verificacin Actualizar objetos previamente migrados no est activada. Active la casilla de verificacin Revisar la pertenencia al grupo. Active la casilla de verificacin Migrar SID de grupo al dominio de destino.
Cuenta de usuario
Escriba el nombre de usuario, la contrasea y el dominio de una cuenta que tenga derechos administrativos en el dominio de origen. Desactive la casilla de verificacin Excluir propiedades de objeto especficas de la migracin. Active la casilla de verificacin Migrar y combinar objetos en conflicto (el resto de opciones estn desactivadas).
3. Cuando haya finalizado la ejecucin del asistente, haga clic en Ver registro y revise si hay errores en el registro de migracin. 4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa de destino. Compruebe que los grupos globales existen en la unidad organizativa del dominio de destino. Nueva migracin de grupos globales mediante la opcin de lnea de comandos de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el comando ADMT apropiados y, a continuacin, presione ENTRAR:
Group
con los parmetros
ADMT GROUP /N "<nombre_grupo1>" "<nombre_grupo2>" /SD:" <dominio_origen>" /TD:" <dominio de destino>" /TO:" <unidad organizativa de destino>" /MSS:YES /CO:REPLACE
Como alternativa, puede incluir parmetros en un archivo de opcin que se especifica en 184
la lnea de comandos, de la manera siguiente:


"
o"
"
/MSS:YES
MigrateSIDs=YES
/CO:REPLACE
ConflictOptions=REPLACE
3. Revise si hay errores en los resultados que se muestran en la pantalla. 4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa de destino. Compruebe que los grupos globales existen en la unidad organizativa del dominio de destino. Nueva migracin de grupos universales mediante una secuencia de comandos Prepare una secuencia de comandos que incorpore las opciones y comandos de ADMT para migrar grupos globales utilizando la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs. 185
<Job id=" RemigratingGlobalGroupsBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
objMigration.SourceDomain = "dominio de origen" objMigration.SourceOu = "contenedor de origen" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "contenedor de destino" objMigration.ConflictOptions = admtReplaceConflicting
186
Conversin de seguridad en modo Quitar

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Convierta la seguridad en los objetos para quitar los identificadores de seguridad (SID) de las cuentas del dominio de origen de las listas de control de acceso (ACL) de los objetos migrados. Esto se realiza slo despus de que se hayan deshabilitado todas las cuentas de origen. Ejecute el Asistente para conversin de seguridad en todos los archivos, carpetas compartidas y grupos locales y al menos un controlador de dominio (para convertir la seguridad en los grupos locales compartidos). Cuando convierte la seguridad en modo Quitar, los SID del dominio de origen para el usuario ya no estn presentes o disponibles si la cuenta del usuario de destino se ha migrado correctamente y los SID se han agregado all. Este proceso habilita la limpieza administrativa y asegura que los usuarios utilizan su "nueva" cuenta de dominio de destino y dejan de usar la "antigua" cuenta de dominio de origen. Puede convertir la seguridad en modo Quitar en objetos mediante el complemento de la Herramienta de migracin para Active Directory (ADMT), la opcin de lnea de comandos de ADMT o una secuencia de comandos. Conversin de seguridad en modo Quitar en objetos mediante el complemento de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. Utilice el Asistente para la conversin de seguridad siguiendo los pasos de la tabla siguiente.
187
Pgina del asistente
Accin
Seleccin de equipo
Convertir objetos
Desactive la casilla de verificacin Perfiles de usuario. Active el resto de casillas de verificacin.
Pgina del asistente
Accin
Opciones de conversin de seguridad
Haga clic en Quitar.
188
Conversin de seguridad en modo Quitar en objetos mediante la opcin de lnea de comandos de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el comando ADMT Security con los parmetros apropiados y, a continuacin, presione ENTRAR:
ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:" <dominio_origen>" /TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /TOT:Remove
Como alternativa, puede incluir parmetros en un archivo de opciones que se especifica en la lnea de comandos, de la manera siguiente:
/TOT:Remove
TranslateOption=REMOVE
3. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez finalizado el Asistente, haga clic en Ver registro de migracin para ver la lista de equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\Agents. Para convertir la seguridad en modo Quitar en objetos mediante una secuencia de comandos Prepare una secuencia de comandos que incorpore los comandos y opciones de ADMT para convertir la seguridad en modo Quitar en objetos mediante la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo 189
AdmtConstants.vbs.
<Job id=" TranslatingSecurityInRemoveModeOnObjectsBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
objSecurityTranslation.TranslationOption = admtTranslateRemove objSecurityTranslation.TranslateFilesAndFolders = True objSecurityTranslation.TranslateLocalGroups = True objSecurityTranslation.TranslatePrinters = True objSecurityTranslation.TranslateRegistry = True objSecurityTranslation.TranslateShares = True
190
objSecurityTranslation.TranslateUserProfiles = False objSecurityTranslation.TranslateUserRights = True
Migracin de recursos
Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 El proceso de la migracin de recursos entre los dominios de Active Directory en distintos bosques implica la finalizacin de la migracin de lo siguiente: Cuentas de estaciones de trabajo y servidores miembro Grupos locales del dominio y compartidos Controladores de dominio
Una vez migrados correctamente todos los objetos de recursos al dominio de destino, puede dar de baja el dominio de origen. En la ilustracin siguiente se muestra el proceso para la migracin de objetos de recursos entre los dominios de Active Directory en distintos bosques.
191
Migracin de estaciones de trabajo y servidores miembro

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Migre las estaciones de trabajo restantes que no ha migrado durante el proceso de migracin de cuentas, junto con los servidores miembro, en pequeos lotes de hasta 100 equipos. La migracin de cuentas de estaciones de trabajo y de servidores miembro es un proceso sencillo. Las estaciones de trabajo y los servidores miembro tienen su propia base de datos de cuentas del Administrador de cuentas de seguridad (SAM). Cuando migre una estacin de trabajo entre dominios, la base de datos de SAM se migra junto con el equipo. Las cuentas de la base de datos local de SAM (como grupos locales) que se utilizan para habilitar el acceso a los recursos se mueven siempre con el equipo. Por consiguiente, no se tienen que migrar. Si una estacin de trabajo tiene cuentas de servicio administradas instaladas y esas cuentas se han migrado previamente, la Herramienta de migracin Active Directory (ADMT) proporciona una opcin que permite reinstalar la cuenta de servicio administrada migrada en el equipo migrado y actualizar el Administrador de control de servicios. Para que ADMT pueda realizar esta operacin, la cuenta que realiza la migracin del equipo debe tener permisos para modificar el descriptor de seguridad de la cuenta de servicio administrada migrada.
192
Como la migracin requiere el reinicio de las estaciones de trabajo y de los servidores miembro, es importante programar la migracin cuando el servidor no est realizando solicitudes. Nota Reinicie las estaciones de trabajo inmediatamente despus de unirlas al dominio de destino, seleccionando un nmero bajo (como 1) para el parmetro RestartDelay. Los recursos que no se han reiniciado despus de la migracin se encuentran en un estado indeterminado. Puede migrar estaciones de trabajo y servidores miembro mediante el complemento de la Herramienta de migracin para Active Directory (ADMT), la opcin de lnea de comandos de ADMT o secuencia de comandos. Migracin de estaciones de trabajo y servidores miembro mediante el complemento de ADMT 1. En el equipo del dominio de destino en el que instala ADMT, inicie sesin utilizando la cuenta de migracin de recursos de ADMT. 2. Utilice el Asistente para migracin de cuentas de equipo siguiendo los pasos de la tabla siguiente.
193
Pgina del asistente
Accin
Seleccin de dominio
Seleccin de equipo
Informacin sobre la cuenta de servicio administrada (aparece si el equipo cuenta con alguna cuenta de servicio administrada instalada)
194
Pgina del asistente
Accin
Active la casilla de verificacin Grupos locales. Active la casilla de verificacin Derechos de usuario.
Convertir objetos Opciones de equipo
Haga clic en Agregar. En Minutos que habrn de transcurrir para que se reinicien los equipos tras la finalizacin del asistente, acepte el valor predeterminado de 5 minutos o escriba un valor distinto. Para excluir determinadas propiedades de objetos de la migracin, active la casilla de verificacin Excluir propiedades de objeto especficas de la migracin, seleccione las propiedades de objeto que desee excluir y muvalas a Propiedades excluidas y, a continuacin, haga clic en Siguiente. Haga clic en No migrar el objeto de origen si se detecta un conflicto en el dominio de destino. Seleccione Ejecutar comprobacin previa y operacin de agente y, a continuacin, haga clic en Inicio.
3. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez finalizado el Asistente, haga clic en Ver registro de migracin para ver la lista de equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\Agents. 4. Abra Usuarios y equipos de Active Directory y compruebe que las estaciones de 195
trabajo existen en la unidad organizativa apropiada del dominio de destino. Migracin de estaciones de trabajo y servidores miembro mediante la opcin de lnea de comandos de ADMT 1. En el equipo del dominio de destino en el que se instala ADMT, inicie sesin utilizando la cuenta de migracin de recursos de ADMT. 2. En la lnea de comandos, escriba el comando ADMT apropiados y, a continuacin, presione ENTRAR:
Computer
con los parmetros
Como alternativa, puede incluir parmetros en un archivo de opciones que se especifica en la lnea de comandos, de la manera siguiente:
La siguiente tabla enumera los parmetros comunes que se utilizan para migrar estaciones de trabajo, junto con el parmetro de lnea de comandos y los equivalentes del archivo de opciones.
196
Parmetros
<Dominio de origen> Ubicacin de la <Unidad organizativa de origen> <Dominio de destino> Actualizar cuentas de servicio administradas Actualizar cuentas de servicio administradas especficas Nota El parme tro /M tiene prefere ncia sobre el parme tro /UALL MSA.
SD:"dominio_origen"
rigen"
gen"
/UALLMSA: YES
/M
nombre 1 nombre 2
UPDATEMSANAME=
nombre 1
nombre 2
Ubicacin de la <Unidad organizativa de destino> Retraso de reinicio (minutos)
estino"
stino"
/RDL:5
RestartDelay=5
197
Parmetros
Opcin de conversin de seguridad Convertir derechos de usuario Convertir grupos locales
/TOT:ADD
/TUR:YES
/TLG:YES
3. Revise si hay errores en los resultados que se muestran en la pantalla. El registro de migracin muestra los equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\Agents. 4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa de destino. Compruebe que las estaciones de trabajo existen en la unidad organizativa de destino. Migracin de estaciones de trabajo y servidores miembro mediante una secuencia de comandos Prepare una secuencia de comandos que incorpore las opciones y comandos de ADMT para migrar estaciones de trabajo y servidores miembro utilizando la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id="MigratingWorkstationsMemberServersBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
198
Set objComputerMigration = Nothing Set objMigration = Nothing </Script>
199
</Job>
Migrar grupos locales compartidos y de dominios

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Los grupos locales compartidos son grupos locales de los dominios de Windows NT 4.0 y Active Directory que se pueden utilizar en las listas de control de acceso (ACL) de los controladores de dominio. Cuando un dominio se configura para funcionar en modo nativo de Windows 2000 o a nivel funcional del dominio de Windows Server 2003, los grupos locales compartidos se cambian automticamente a grupos locales de dominios. Estos grupos se pueden utilizar en las listas ACL de servidores miembro y estaciones de trabajo. Si los grupos locales de dominios o grupos locales compartidos se utilizan en las listas ACL de controladores de dominio o servidores miembro, tiene que migrarlos al dominio de destino antes de migrar el servidor. No es necesario cambiar las listas ACL como parte del proceso de migracin. Las listas ACL continan haciendo referencia a los grupos locales de dominios o grupos locales compartidos del dominio de origen. Puesto que los grupos locales de dominios o grupos locales compartidos se pueden migrar al dominio de destino mientras se utiliza el historial de identificadores de seguridad (SID), los usuarios conservan acceso a los recursos. ADMT conserva la pertenencia del grupo local durante la migracin. Puede migrar grupos locales compartidos o de dominios mediante el complemento de la Herramienta de migracin para Active Directory (ADMT) o una secuencia de comandos. Migracin de grupos locales compartidos y de dominios mediante el complemento de ADMT 1. En el equipo del dominio de destino en el que instala ADMT, inicie sesin utilizando la cuenta de migracin de recursos de ADMT. 2. Utilice el Asistente para migracin de cuentas de grupo realizando los pasos de la tabla siguiente.
200
Pgina del asistente
Accin
Seleccin de dominio
Seleccin de grupo
201
Pgina del asistente
Accin
Opciones de grupo
Active la casilla de verificacin Migrar SID de grupo al dominio de destino. Asegrese de que no estn seleccionadas todas las opciones.
Cuenta de usuario
Escriba el nombre de usuario, la contrasea y el dominio de una cuenta que tenga derechos administrativos en el dominio de origen. Desactive la casilla de verificacin Excluir propiedades de objeto especficas de la migracin. Active la casilla de verificacin Migrar y combinar objetos en conflicto. (Todas las opciones estn desactivadas).
3. Cuando el asistente finalice su ejecucin, haga clic en Ver registro. Revise si hay errores en el registro de migracin. 4. Abra Usuarios y equipos de Active Directory, busque la unidad organizativa de destino y, a continuacin, compruebe que los grupos locales compartidos existen en la unidad organizativa del dominio de destino. Migracin de grupos locales compartidos y de dominios mediante una secuencia de comandos Prepare una secuencia de comandos que incorpore los comandos de ADMT y las opciones para la migracin de grupos locales compartidos y de dominios utilizando la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" MigratingDomainAndSharedLocalGroupsBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
'
202
'Crear instancia de objetos de migracin de ADMT. '
objMigration.SourceDomain = "dominio de origen" objMigration.SourceOu = "contenedor de origen" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "contenedor de destino"
objGroupMigration.Migrate admtData, _ Array("nombre de grupo local1" ,"nombre de grupo local2" )
203
Migracin de controladores de dominio

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 En Active Directory o en los Servicios de dominio de Active Directory (AD DS), puede migrar controladores de dominio entre dominios. Para ello, debe realizar las siguientes acciones: Quitar Active Directory o AD DS del controlador de dominio. Migrar el controlador de dominio como servidor miembro al dominio de destino. Reinstalar Active Directory o AD DS.
Si el servidor ejecuta Windows 2000 Server, no podr instalar Active Directory o AD DS en el dominio de destino si ste ya est en el nivel funcional de Windows Server 2003. En este caso, debe actualizar el servidor a Windows Server 2003 antes de instalar Active Directory o AD DS. Los mismos pasos que se requieren para migrar un RODC son necesarios para migrar un controlador de dominio de escritura.
Finalizacin de la migracin
Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Despus de migrar todas las cuentas y recursos del dominio de origen al de destino, realice las siguientes tareas para completar el proceso de reestructuracin: Transfiera la administracin de cuentas de usuario y cuentas de grupo del dominio de origen al de destino. Asegrese de que, al menos, dos controladores de dominio siguen funcionando en el dominio de origen hasta que el proceso de migracin de recursos haya terminado. Haga una copia de seguridad de los dos controladores de dominio en el dominio de origen. Una vez complete estos pasos, puede convertir la seguridad en los servidores miembros del dominio de destino y dar de baja el dominio de origen. La siguiente ilustracin muestra el proceso para completar la migracin de dominios de Active Directory entre bosques.
204
Conversin de seguridad en los servidores miembro

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Convierta la seguridad de los servidores de miembro para limpiar las listas de control de acceso (ACL) de los recursos. Tras la migracin de los objetos al dominio de destino, los recursos contienen entradas de listas ACL de los objetos del dominio de origen. Si usa el historial de identificadores de seguridad (SID) para proporcionar acceso a los recursos durante la migracin, los SID del dominio de origen permanecen en las listas ACL de manera que los usuarios pueden tener acceso a los recursos durante el proceso de migracin. Despus de finalizar la migracin, los SID del dominio de origen ya no son necesarios. Use el Asistente para conversin de seguridad de la Herramienta de migracin para Active Directory (ADMT) para reemplazar los SID del dominio de origen por los SID del dominio de destino. No tiene que realizar este procedimiento si no utiliza el historial de SID para el acceso a los recursos, puesto que ya debera haber ejecutado la conversin de seguridad en modo Quitar despus de la migracin de usuarios. Puede convertir la seguridad de los servidores miembro mediante el complemento de ADMT, la opcin de lnea de comandos de ADMT o una secuencia de comandos.
205
Conversin de seguridad en los servidores miembro mediante el complemento de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. Utilice el Asistente para la conversin de seguridad siguiendo los pasos de la tabla siguiente.
206
Pgina del asistente
Accin
Seleccin de equipo
Convertir objetos
Desactive la casilla de verificacin Perfiles de usuarios. Seleccione todas las dems opciones.
Haga clic en Reemplazar.
207
208
Conversin de seguridad en los servidores miembro mediante la opcin de lnea de comandos de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el comando ADMT apropiados y, a continuacin, presione ENTRAR:
Security
con los parmetros
ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:" <dominio_origen>" /TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /TOT:Replace
/TOT:Replace
3. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez finalizado el asistente, haga clic en Ver registro de migracin para ver la lista de equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\Agents. Conversin de seguridad en servidores miembro mediante una secuencia de comandos Prepare una secuencia de comandos que incorpore los comandos de ADMT y las opciones para convertir la seguridad en los servidores miembro mediante la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs. 209
<Job id=" TranslatingSecurityOnMemberServersBetweenForests" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
objSecurityTranslation.TranslationOption = admtTranslateReplace objSecurityTranslation.TranslateFilesAndFolders = True objSecurityTranslation.TranslateLocalGroups = True objSecurityTranslation.TranslatePrinters = True objSecurityTranslation.TranslateRegistry = True objSecurityTranslation.TranslateShares = True objSecurityTranslation.TranslateUserProfiles = False
210
objSecurityTranslation.TranslateUserRights = True
Cmo dar de baja el dominio de origen

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Despus de completar la migracin de las cuentas y recursos en el dominio de origen, d de baja el dominio de origen. Asegrese de que conserva una copia de seguridad del estado de todo el sistema de un controlador de dominio para que pueda volver a conectar el dominio en cualquier momento. Para dar de baja el dominio de origen 1. Quite todas las relaciones de confianza entre el dominio de origen y el dominio de destino. 2. Vuelva a adaptar cualquier controlador de dominio restante en el dominio de origen que no haya migrado al dominio de destino. 3. Deshabilite todas las cuentas que haya creado durante el proceso de migracin, incluyendo aquellas cuentas a las que ha asignado permisos administrativos. Nota Cuando d de baja el dominio de origen, los grupos locales compartidos y los grupos locales que no ha convertido usando el Asistente para conversin de seguridad mostrarn los miembros de grupo como "cuenta desconocida". Esto es debido a que los nombres de los miembros del dominio de origen no se resuelven. Sin embargo esta pertenencia al grupo todava existe y esto no afecta a los usuarios. No elimine las entradas de la "cuenta desconocida" porque esto 211
deshabilita el acceso que se facilita por el historial de identificadores de seguridad (SID). Ejecute al Asistente para la conversin de seguridad para quitar estas entradas.
Reestructuracin de dominios de Active Directory dentro de un mismo bosque

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 La reduccin del nmero de dominios de Active Directory en su bosque reduce o simplifica a su vez lo siguiente: Requisitos administrativos de la organizacin Trfico de replicacin Administracin de grupos y usuarios Implementacin de la directiva de grupo
Si los usuarios se cambian con frecuencia a ubicaciones que forman parte de diferentes dominios, tambin puede migrar objetos entre dominios con regularidad. El proceso de reestructuracin de dominios de Active Directory dentro de un bosque es diferente del proceso de reestructuracin de los dominios de Active Directory entre bosques. Este proceso requiere un atento planeamiento y realizacin de pruebas.
Lista de comprobacin: Realizacin de una migracin dentro del mismo bosque

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 La reduccin del nmero de dominios de Active Directory en el bosque simplifica las tareas siguientes o reduce el tiempo necesario para completarlas: Administracin de requisitos administrativos de la organizacin Control del trfico de replicacin Administracin de usuarios y grupos Implementacin de la directiva de grupo
Si cambia con frecuencia la asignacin de usuarios a diferentes dominios, tambin puede migrar objetos entre dominios con regularidad. La reestructuracin de los dominios de Active Directory dentro de un bosque es diferente a la migracin entre bosques y requiere un atento planeamiento y realizacin de pruebas.
212
Tarea
Referencia
Revise las instrucciones de instalacin de la Herramienta de migracin Active Directory (ADMT). Para migrar equipos que ejecuten Windows Server 2008, Windows Server 2003, Windows Vista (sin Service Pack 1(SP1)), Windows XP y Microsoft Windows 2000 (utilizando ADMT 3.1) a un dominio de destino con controladores de dominio que ejecuten Windows Server 2008 R2 o Windows Server 2008, debe configurar primero la siguiente clave del Registro en los controladores de dominio de destino: Nota No es necesario configurar esta clave para migrar los equipos que ejecuten Windows Vista SP1, Windows 7 o Windows Server 2008 R2. Ruta de Registro: HKLM\System\CurrentControlSet\Services\Netlogon \Parameters Valor del Registro: AllowNT4Crypto Tipo: REG_DWORD Datos: 1 Nota Esta configuracin de registro corresponde a la configuracin Permitir algoritmos de cifrado con Windows NT 4.0 en la directiva de grupo. Para cualquier tarea de migracin que use la implementacin de agente y el Firewall de Windows, habilite la excepcin Compartir impresoras y archivos. Esto puede incluir la migracin en las siguientes situaciones: Migracin de equipos de estacin de trabajo y servidores miembro que se ejecutan en Windows Server 2008 R2, Windows Server 2008, Windows 7 o Windows Vista Migracin de configuracin de seguridad o conversin de seguridad Preprese para la reestructuracin de los dominios de
Instalacin de ADMT en el dominio de destino Para obtener ms informacin acerca de cmo realizar cambios mediante la directiva de grupo, consulte "Problemas conocidos de instalacin y eliminacin de AD DS" (http://go.microsoft.com/fwlink/? LinkId=119321).
Para obtener ms informacin, consulte "Habilitar o deshabilitar la regla de excepcin de uso compartido de archivos e impresoras" (http://go.microsoft.com/fwlink/? LinkID=119315).
Instalacin de ADMT en el dominio de 213
Tarea
Referencia
Active Directory dentro de un bosque. Esta tarea contiene las siguientes subtareas: Evale la nueva estructura de dominios de Active Directory. Asigne las funciones y ubicaciones de objetos de dominio. Planee la migracin de grupos y texto. Cree un plan de reversin y un plan de comunicacin de usuarios. Cree grupos de cuentas de migracin. Instale ADMT. Planee la transicin de cuentas de servicios.
destino Preparacin para la reestructuracin de dominios de Active Directory dentro de un bosque
Migre grupos globales y universales mediante el Asistente para migracin de cuentas de grupo o con la herramienta de lnea de comandos admt group. Migre cuentas de servicios mediante el Asistente para migracin de cuenta de servicios o las herramientas de lnea de comandos de ADMT como, por ejemplo, admt service para identificar cuentas de servicio en el dominio de origen y admt user para migrar las cuentas de servicio especificadas. Migre cuentas de servicio administradas mediante el Asistente para migracin de cuentas de servicio administradas o con la herramienta de lnea de comandos admt managedserviceaccount. Migre cuentas de usuario mediante el Asistente para migracin de cuentas de usuario o con la herramienta de lnea de comandos admt user. Convierta los perfiles locales de usuario mediante el Asistente para conversin de seguridad o bien con la herramienta de lnea de comandos admt security. Migre los equipos de estacin de trabajo y servidores miembro mediante el Asistente para migracin de equipos o bien con la herramienta de lnea de comandos admt computer. Migre los grupos locales de dominios usando el Asistente para migracin de cuentas de grupo o la
Migracin de grupos
Migrar cuentas de sercivios
Migrar cuentas de usuario
Conversin de perfiles de usuarios locales Migracin de estaciones de trabajo y servidores miembro
Migrar grupos locales de dominios
214
Tarea
Referencia
herramienta de lnea de comandos admt group. Complete las tareas posteriores a la migracin. Esta tarea contiene las siguientes subtareas: Examine los registros de migracin en busca de errores. Compruebe los tipos de grupo. Convierta la seguridad de los servidores miembro. Retire los dominios de origen. Examen de los registros de migracin en busca de errores Comprobar tipos de grupos Conversin de seguridad en los servidores miembro Baja del dominio de origen
Introduccin a la reestructuracin de dominios de Active Directory dentro de un bosque mediante

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 El diseo de Active Directory ms eficaz incluye el menor nmero posible de dominios. Al minimizar el nmero de dominios en su bosque, puede reducir los costos administrativos y aumentar la eficacia de su organizacin. Es posible que tenga que reestructurar los dominios de su bosque si, por ejemplo, su organizacin cierra una ubicacin de oficina regional y el dominio regional de dicha ubicacin ya no se necesita. Para simplificar su estructura lgica de Active Directory, en los siguientes casos, tambin podr reestructurar dominios en su bosque: Si ha actualizado su infraestructura de red. Si ha aumentado el ancho de banda de red y la capacidad de replicacin.
El proceso de reestructuracin de los dominios de Active Directory en un bosque es similar al proceso de migracin de cuentas entre dominios. Cuando migra cuentas y recursos entre dominios, migra objetos del dominio de origen al de destino sin dar de baja el dominio de origen. Al reestructurar dominios de Active Directory, elimina el dominio de origen del bosque despus de completar la migracin de todos los objetos de dominio. Antes de comenzar el proceso de reestructuracin de los dominios de Active Directory de un bosque, asegrese de que los dominios de origen y de destino operen en el nivel funcional mnimo de dominio que es necesario para la versin de ADMT que vaya a utilizar. Si utiliza ADMT v3.1, el nivel funcional mnimo de dominio es Windows 2000 nativo. Si utiliza ADMT v3.2, el nivel funcional mnimo de dominio es Windows Server 2003.
215
Una vez completado el proceso de reestructuracin de los dominios de Active Directory en un bosque, puede dar de baja el dominio de origen para ayudar a reducir la sobrecarga y simplificar la administracin del nivel funcional del dominio en su organizacin.
Reestructuracin de dominios de Active Directory dentro de un bosque mediante ADMT v3.1

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Para mantener el acceso de los usuarios a los recursos durante el proceso de reestructuracin de dominios, debe realizar los pasos de la migracin en un orden especfico. La siguiente ilustracin muestra el proceso de reestructuracin de dominios de Active Directory en un bosque.
Informacin general para la reestructuracin de dominios de Active Directory dentro de un bosque

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 La reestructuracin de los dominios de Active Directory dentro de un bosque implica la migracin de cuentas y recursos desde dominios de origen a dominios de destino. A diferencia del proceso de reestructuracin de dominios de Active Directory entre bosques, cuando se reestructuran dominios en un bosque, los objetos migrados ya no existen en el dominio de origen. Nota 216
crea una nueva cuenta de equipo en el dominio de destino y la cuenta del equipo de origen permanece habilitada en el dominio de origen tras la migracin. Adems, la migracin de cuentas de usuario, recursos y grupos requiere una consideracin especial cuando reestructura los dominios de Active Directory dentro de un bosque debido a las reglas de contencin que se aplican a los grupos de Active Directory. Por estos motivos, el desafo cuando se reestructuran dominios de Active Directory en un bosque es asegurar que los usuarios tienen un acceso continuo a los recursos durante el proceso de migracin.
Conjuntos cerrados y conjuntos abiertos

Al reestructurar los dominios de Active Directory en un bosque, debe tener presente dos tipos de conjuntos cerrados: Usuarios y grupos Recursos y grupos locales
Usuarios y grupos
El primer tipo de conjunto cerrado incluye lo siguiente: Cuentas de usuario Todos los grupos globales a los que pertenecen los usuarios Todos los dems miembros de los grupos globales
Los grupos globales estn limitados a los miembros del dominio donde existen los grupos globales. Por tanto, si migra una cuenta de usuario a un nuevo dominio pero no migra los grupos globales a los que pertenece el usuario, ste dejar de ser un miembro vlido de dichos grupos globales y no podr tener acceso a los recursos que estn basados en la pertenencia a esos grupos globales. Por consiguiente, cuando est desplazando cuentas entre dominios en un bosque, es necesario desplazar los conjuntos cerrados para que los usuarios conserven el acceso a esos recursos. Aunque las cuentas incorporadas (como administradores, usuarios y usuarios avanzados) y las cuentas conocidas (como administradores de dominio y usuarios de dominio) no pueden ser objetos de migracin de la Herramienta de migracin para Active Directory (ADMT), la migracin de esos grupos en conjuntos cerrados no es un problema comn. Su utilizacin en listas de control de acceso (ACL) o la pertenencia a grupos locales de dominio no es una forma eficaz de asignar permisos de recursos. Cuando se migran usuarios, ADMT convierte al usuario en miembro del grupo de usuarios de dominio del dominio de destino. Sin embargo, no mantiene los permisos de otros grupos incorporados (como operadores de servidor y operadores de copias de seguridad) o de grupos conocidos (como administradores de dominio). Si tiene grupos incorporados o conocidos a los que asignar permisos de recursos, debe reasignar esos permisos a un nuevo grupo local de dominio antes de comenzar la migracin. La reasignacin de permisos incluye la realizacin de los pasos siguientes: 1. Cree un nuevo grupo local de dominio en el dominio de origen. 217
2. Cree un nuevo grupo local en el dominio de origen que contenga usuarios que necesiten tener acceso al recurso. 3. Agregue el nuevo grupo global al grupo local de dominio. 4. Ejecute la conversin de seguridad con el archivo de asignacin del identificador de seguridad (SID) que asigna el grupo conocido al nuevo grupo local de dominio (creado en el primer paso) en todos los recursos que asignan permisos usando grupos conocidos. Para obtener informacin sobre cmo realizar una conversin de seguridad usando un archivo de asignacin SID, consulte Conversin de seguridad mediante un archivo de asignacin SID, ms adelante en esta gua. En los pequeos entornos de dominio que tienen pocos grupos locales, es posible que pueda identificar los conjuntos cerrados de usuarios y grupos. Si puede identificar los conjuntos cerrados, en este caso puede migrar usuarios y grupos al mismo tiempo. En un entorno de dominio ms grande, un usuario puede pertenecer a varios grupos globales. Por tanto, es difcil identificar y migrar slo conjuntos cerrados de usuarios y grupos. Por este motivo, es mejor migrar los grupos antes de migrar cuentas de usuario. Por ejemplo, el Usuario 1 pertenece a los grupos globales Global A y Global B y es miembro del Dominio 1. Si un administrador desplaza el Usuario 1 y Global A al Dominio 2 del mismo bosque, estas cuentas dejarn de existir en el Dominio 1. Slo existirn en el Dominio 2 del mismo bosque. El grupo Global B contina en el Dominio 1. Esto crea un conjunto abierto, o un conjunto que incluye usuarios y grupos de ms de un dominio. Como los grupos globales slo pueden contener miembros del dominio en donde existe el grupo global, la pertenencia del Usuario 1 a Global B ya no es vlida, y el Usuario 1 ya no tendr acceso a los recursos basados en la pertenencia a Global B. Por tanto, es mejor migrar ambos grupos globales antes de migrar el Usuario 1. Si est migrando un conjunto abierto de objetos en un entorno en el que el nivel funcional tanto del dominio de origen como de destino est en modo nativo de Windows 2000 y superior, ADMT transforma el grupo global en un grupo universal para que pueda contener usuarios de otros dominios y conserven la pertenencia al grupo. Cuando el conjunto se convierte en un conjunto cerrado, ADMT vuelve a cambiar el grupo a un grupo global. La ventaja de este proceso es que ADMT se asegura que se resuelven todos los problemas con los conjuntos cerrados. Sin embargo, la replicacin del catlogo global aumenta aunque los grupos son grupos universales porque la pertenencia se copia en el catlogo global. Nota Si el nivel funcional del dominio de origen es Windows 2000 mixto, ADMT no puede transformar el grupo global en un grupo universal porque los grupos universales no existen en ese nivel funcional. Sin embargo, aunque el dominio de destino est en modo nativo, los usuarios de los dominios de modo mixto no podran obtener los SID de los grupos universales en sus tokens de acceso, si los grupos proceden de fuera del dominio. Por tanto, ADMT crea una copia del grupo global en el dominio de destino y agrega todos los usuarios migrados a la copia de dicho grupo. Este grupo tiene un nuevo SID y ningn historial de SID. Este mtodo no conserva el acceso a los recursos a no ser que se ejecute el Asistente para conversin de seguridad de ADMT en modo Agregar 218
para actualizar los permisos, lo que retrasa y complica el proceso de migracin. Por este motivo, no recomendamos reestructurar dominios que estn funcionando en el nivel funcional de Windows 2000 mixto o en el nivel funcional de dominio provisional de Windows Server 2003.
Recursos y grupos locales

El segundo tipo de conjunto cerrado son los recursos y grupos locales. En la mayora de los casos, los recursos tienen permisos asignados a grupos locales del equipo o a grupos locales de dominio. Como los grupos locales del equipo se migran cuando migra el equipo, estos grupos son un conjunto cerrado natural. Sin embargo, los grupos locales de dominio se pueden usar en varios equipos para asignar permisos. En este caso, o bien puede migrar todos los equipos que usan el grupo local de dominio al mismo tiempo que el grupo local de dominio migra al dominio de destino, o bien puede cambiar manualmente el grupo local de dominio a un grupo universal y luego migrar el grupo universal. El cambio del grupo local de dominio a un grupo universal es un proceso manual porque ADMT no realiza de forma automtica esta tarea. Aunque este cambio puede aumentar el tamao del catlogo global, en un perodo limitado de tiempo, es una forma eficaz de migrar recursos y grupos locales de dominio como un conjunto cerrado.
Historial de SID
El historial de SID le ayuda a mantener el acceso del usuario a los recursos durante el proceso de reestructuracin de dominios de Active Directory. Cuando migra un objeto a otro dominio, al objeto se le asigna un nuevo SID. Como asigna permisos a objetos basados en SID, cuando el SID cambia, el usuario pierde el acceso a ese recurso hasta que se puedan reasignar los permisos. Cuando usa ADMT para migrar objetos entre dominios del mismo bosque, el historial de SID se conserva automticamente. De esta forma, el SID del dominio de origen permanece como un atributo del objeto despus de que ste migre al dominio de destino. Por ejemplo, una organizacin que est reestructurando sus dominios de Active Directory desplaza los grupos universales y globales de un dominio de origen a un dominio de destino antes de mover las cuentas de usuario. Como es una migracin dentro de un bosque y el nivel funcional del dominio de origen es Windows 2000 nativo, estos grupos dejan de existir en el dominio de origen y slo existen en el dominio de destino. Como se migra el historial de SID de usuarios y grupos, los usuarios siguen teniendo acceso a los recursos del dominio de origen basndose en su pertenencia a un grupo que existe en el dominio de destino.
Asignacin de acceso de recursos a grupos

La forma ms eficaz de asignar permisos a recursos es realizar las acciones siguientes: 1. Asignar usuarios a grupos globales 2. Colocar grupos globales dentro de grupos locales de dominio 3. Asignar permisos a los grupos locales de dominio 219
La asignacin de permisos a recursos simplifica as el proceso de migracin.
Preparacin para la reestructuracin de dominios de Active Directory dentro de un bosque

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 La cuidadosa preparacin antes de reestructurar los dominios de Active Directory puede reducir el efecto que tiene en los usuarios la migracin de objetos de los dominios de origen a los de destino. En la ilustracin siguiente se muestran los pasos implicados en la preparacin de la reestructuracin de dominios de Active Directory dentro de un bosque.
220
Evaluacin de la nueva estructura de bosque de Active Directory

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Evale la estructura de dominio de su bosque de Active Directory existente y, a continuacin, identifique los dominios que desea reestructurar consolidndolos con otros dominios. Tambin deber: Identificar los dominios de origen desde los que migra objetos. Identificar y evaluar la estructura de unidad organizativa (OU) del dominio de destino en el que ubicar esos objetos.
Identificar los dominios de origen

Los dominios de origen son aqullos desde los que desea migrar objetos y que planea dar de baja. Cuando reestructura los dominios de Active Directory, lo mejor es migrar el menor nmero posible de objetos. Cuando selecciona dominios de origen, identifique los dominios que tienen menos objetos que migrar.
Identifique y evale la estructura de unidades organizativas del dominio de destino

Identifique las unidades organizativas del dominio de origen que necesite en el dominio de destino y, a continuacin, determine si tiene que crear nuevas unidades organizativas en el dominio de destino. Si est utilizando la Herramienta de migracin para Active Directory (ADMT) en modo lnea de comandos o secuencia de comandos, puede migrar la estructura de unidades organizativas cuando migre usuarios, grupos o equipos. Las unidades organizativas siempre se copian entre los dominios y no se eliminan en el dominio de origen. Para migrar correctamente una unidad organizativa, debe especificar una unidad organizativa de origen y otra de destino en ADMT y la unidad organizativa de destino debe existir. Todos los objetos en la unidad organizativa de origen y todas las unidades organizativas subordinadas se migran a la unidad organizativa de destino. La unidad organizativa de origen especificada en s misma no se migra. Para obtener ms informacin acerca de cmo crear una estructura de unidad organizativa, consulte "Designing Organizational Units for Delegation of Administration" (Diseo de unidades organizativas para la delegacin de la administracin) (http://go.microsoft.com/fwlink/? LinkID=76628).
221
Asignacin de las funciones y ubicaciones de objetos de dominio

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Cree una tabla de asignacin de objetos que enumere las funciones y ubicaciones de todos los objetos que est migrando. Cree una tabla para objetos de cuenta, como usuarios, grupos y cuentas de servicios, as como una tabla para los objetos de recursos, como estaciones de trabajo, perfiles y controladores de dominio. En sus tablas, enumere las ubicaciones de origen y de destino para todos los objetos que se van a migrar. Antes de crear su tabla de asignacin de objetos de cuentas, determine si las estructuras de unidades organizativas (OU) del dominio para los dominios de origen y destino son las mismas. Si no son las mismas, debe identificar las unidades organizativas de origen y destino en sus tablas de asignacin de objetos. Para obtener una hoja de clculo para ayudarle a crear una tabla de asignacin de objetos de cuenta, consulte "User and Group Object Assignment Table" (Tabla de asignacin de objetos de grupo y usuario) (DSSREER_1.doc) en la descarga Job_Aids_Designing_and_Deploying_Directory_and_Security_Services de Job Aids for Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/?LinkId=14384). La siguiente ilustracin muestra un ejemplo de una tabla de asignacin de objetos para usuarios y grupos.
222
Para crear una tabla de asignacin de objetos de recursos, identifique las unidades organizativas de origen y destino para cada objeto y observe la ubicacin fsica y la funcin en el dominio de destino. Para obtener una hoja de clculo para ayudarle a crear una tabla de asignacin de objetos de recursos, consulte "Resource Object Assignment Table" (Tabla de asignacin de objetos de recursos) (DSSREER_2.doc) en la descarga Job_Aids_Designing_and_Deploying_Directory_and_Security_Services de Job Aids for Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/?LinkId=14384). La siguiente ilustracin muestra un ejemplo de una tabla de asignacin de objetos de recursos.
223
Plan para la migracin de grupos

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 A no ser que pueda identificar conjuntos cerrados al reestructurar dominios de Active Directory dentro de un bosque, debera migrar grupos y usuarios por separado. De esta forma se asegura de que los usuarios continan teniendo acceso a los recursos requeridos. En la tabla siguiente se enumera cada tipo de grupo y dnde se ubica fsicamente.
Tipo de grupo Ubicacin
Grupo global Grupo universal Grupo local de dominio Grupo local del equipo
Active Directory Active Directory Active Directory Base de datos del equipo local
224
Cada tipo de grupo se migra de forma diferente en funcin de la ubicacin fsica del grupo y de sus reglas para la pertenencia al grupo. Puede migrar los grupos universales y los grupos globales usando la Herramienta de migracin para Active Directory (ADMT). Puede transformarlos en grupos universales durante la duracin de la migracin, si no est migrando conjuntos cerrados. Puede actualizar la pertenencia a grupos locales del equipo usando el Asistente para la conversin de seguridad. Cada tipo de grupo tiene reglas diferentes para la pertenencia y cada tipo de grupo sirve para un propsito diferente. Esto afecta al orden de migracin de los grupos de los dominios de origen a los de destino. En la tabla siguiente se resumen los grupos y sus reglas de pertenencia.
Tipo de grupo Reglas y pertenencia
Grupos universales
Los grupos universales pueden contener miembros de cualquier dominio del bosque y pueden replicar la pertenencia a grupos del catlogo global. Por tanto, puede usarlos para grupos administrativos. Al reestructurar los dominios, migre primero los grupos universales. Los grupos globales slo pueden incluir miembros del dominio al que pertenecen. ADMT cambia automticamente el grupo global en el dominio de origen a un grupo universal cuando se ha migrado al dominio de destino, si el nivel funcional de ambos dominios est en modo nativo de Windows 2000 o superior. ADMT vuelve a cambiar automticamente los grupos universales en grupos globales despus de que todos los miembros del grupo hayan migrado al dominio de destino. Los grupos locales de dominio pueden contener usuarios de cualquier dominio. Se utilizan para asignar permisos a recursos. Al reestructurar los dominios, debe migrar los grupos locales de dominio cuando migra los recursos a los que proporcionan acceso, o debe cambiar el tipo de grupo a grupo universal. Esto minimiza la interrupcin del acceso del usuario a los recursos. ADMT no convierte automticamente los grupos locales de dominio en grupos universales, como lo hace para los grupos globales.
Grupos globales
Grupos locales de dominio
225
Plan para migraciones de prueba

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 La Herramienta de migracin Active Directory (ADTM) no incluye una opcin de migracin de prueba. Desarrolle un plan de prueba para ayudarle a la comprobacin sistemtica de cada objeto despus de migrarlo al nuevo entorno y a la identificacin y correccin de cualquier problema que pueda surgir. La comprobacin de que la migracin se ha realizado correctamente le ayuda a asegurar que los usuarios que se migran del dominio de origen al de destino puedan iniciar sesin, tener acceso a los recursos en base a la pertenencia a un grupo y tener acceso a los recursos en base a sus credenciales de usuario. La comprobacin tambin le ayuda a asegurar que los usuarios puedan obtener acceso a los recursos que migre. Una vez completada la comprobacin, puede seguir con la migracin de pequeos grupos piloto y, a continuacin, ir aumentando gradualmente el tamao de cada lote de objetos de migracin en su entorno de produccin. Utilice el siguiente proceso para comprobar la migracin de su objeto de cuenta y objetos de recursos: 1. Cree un usuario de prueba en el dominio de origen. Incluya este usuario de prueba en sus migraciones. 2. Agregue dicho usuario a los grupos globales apropiados para habilitar el acceso a los recursos. 3. Inicie sesin en el dominio de origen como el usuario de prueba y compruebe que puede obtener acceso a los recursos correspondientes. 4. Tras migrar la cuenta de usuario, convierta el perfil de usuario y migre la estacin de trabajo del usuario, inicie sesin en el dominio de destino como el usuario de prueba y compruebe que el usuario conserva todos los accesos y funciones necesarios. Por ejemplo, podr comprobar que: El usuario puede iniciar sesin correctamente. El usuario tiene acceso a todos los recursos apropiados, como usos compartidos de impresiones y archivos; acceso a los servicios como mensajera, as como acceso a las aplicaciones de lnea de negocio (LOB). Es especialmente importante comprobar el acceso a las aplicaciones desarrolladas internamente que tienen acceso a los servidores de bases de datos. El perfil de usuario se ha convertido correctamente y el usuario conserva su configuracin de escritorio, apariencia de escritorio, accesos directos y acceso a la carpeta Mis documentos. Asimismo, compruebe que las aplicaciones aparecen y se inician desde el men Inicio. No puede migrar cada propiedad de usuario al migrar cuentas de usuario. Para obtener ms informacin sobre las propiedades de usuario que no se pueden migrar, consulte Migrar cuentas de usuario, ms adelante en esta gua. Una vez migrados los recursos, inicie sesin como el usuario de prueba en el dominio de destino y compruebe que puede obtener acceso a los recursos correspondientes. 226
Si cualquier paso del proceso de prueba da error, identifique el origen del problema y determine si puede corregir el problema antes de que se deba tener acceso al objeto en el dominio de destino. Si no puede corregir el problema antes de obtener acceso al objeto necesario, revierta la configuracin original para asegurar el acceso al objeto de recurso o usuario. Para obtener ms informacin sobre la creacin de un plan de reversin, consulte Creacin de un plan de reversin, ms adelante en esta gua. Como parte de su plan de prueba, cree una matriz de prueba de migracin. Complete una matriz de prueba para cada paso que complete en el proceso de migracin. Por ejemplo, si migra 10 lotes de usuarios, complete 10 veces la matriz de prueba, una para cada lote que migre. Si migra 10 servidores miembro, complete la matriz de prueba para cada uno de los 10 servidores. Para obtener una hoja de clculo para ayudarle a crear una matriz de prueba, consulte Migration Test Matrix (DSSREER_3.doc) en la descarga Job_Aids_Designing_and_Deploying_Directory_and_Security_Services de Job Aids for Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/?LinkId=14384). La siguiente ilustracin muestra un ejemplo de una matriz de prueba de migracin completada.
227
Crear un plan de reversin

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Una vez comenzado el proceso de migracin, no se pueden revertir los cambios que haya realizado en los dominios de Active Directory en el bosque. Como las cuentas se mueven y no se copian de un dominio a otro cuando se reestructuran los dominios, los cambios no son reversibles. Si sus planes cambian despus de comenzar el proceso de migracin, la nica forma de devolver las cuentas a su dominio de origen es volver a migrarlas. Cree un plan de 228
reversin en caso de que tenga que volver a migrar las cuentas despus de haber comenzado a reestructurar los dominios. Para crear un plan de reversin, seleccione el mtodo que utilizar para volver a migrar las cuentas. Nota Para garantizar una correcta reversin de una migracin en el mismo bosque, no intente eliminar los objetos en el dominio de destino y restaurarlos en el dominio de origen. No podr recuperar los objetos en el dominio de origen porque se eliminan automticamente por el proxy de movimiento entre dominios si se intenta restaurar. Puede usar la Herramienta de migracin para Active Directory (ADMT) para volver a migrar las cuentas desde el dominio de destino de nuevo al dominio de origen. En este caso, el dominio de destino original se convierte en el nuevo dominio de origen y el dominio de origen original se convierte en el nuevo dominio de destino. Siga los mismos pasos de los asistentes que ha utilizado anteriormente para migrar las cuentas. Si repite la migracin de las cuentas, los objetos que ha migrado en el dominio de destino y luego ha vuelto a migrar dominio de origen tendrn nuevos identificadores de seguridad (SID). Sin embargo, tendrn el SID original en el atributo de historial de SID. Por tanto, no sern idnticas a las cuentas antes de la migracin, sino que tendrn la misma funcionalidad. Si desea revertir una migracin de cuentas de servicios, debe enumerar de nuevo los servicios y, a continuacin, volver a migrar las cuentas de servicio al revertir los dominios de destino y de origen. Si utiliza secuencias de comandos para realizar la migracin original, la utilizacin de secuencias de comandos para volver a migrar las cuentas es el mtodo ms rpido para revertir los cambios. Simplemente revierta los objetos usados en los dominios de origen y destino en la secuencia de comandos para volver a migrar los objetos. Despus de crear su plan de reversin, asegrese de probarlo para identificar y corregir cualquier problema antes de comenzar a reestructurar sus dominios de Active Directory.
Crear un plan de comunicacin con los usuarios finales

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Desarrolle un plan para informar a todos los usuarios afectados sobre la prxima migracin de cuentas, para asegurarse de que saben cules son sus responsabilidades, el impacto de la migracin y con quin tienen que ponerse en contacto para obtener ayuda y soporte tcnico. Antes de comenzar el proceso de migracin de usuarios, enve un aviso a todos los usuarios programados para la migracin. Dado que normalmente migra usuarios en lotes de aproximadamente 100 usuarios de una vez, tambin es til enviar un aviso final a los usuarios de cada lote dos o tres das antes de la programacin de su lote. Si su organizacin dispone de una
229
intranet, publique la programacin de la migracin de cuentas y la informacin contenida en el correo de usuario en una pgina web fcilmente accesible. Incluya la siguiente informacin en su comunicacin al usuario final.
Informacin general
Avise a los usuarios de que sus cuentas de usuario estn programadas para la migracin a un nuevo dominio. Remita a los usuarios a una pgina web o recurso interno donde puedan encontrar informacin adicional y ver una programacin de migracin. Informe a los usuarios del nuevo nombre de dominio. Asegrese de informarles de que sus contraseas de cuentas no cambiarn. Informe a los usuarios de que la cuenta de dominio original se deshabilitar inmediatamente despus de la migracin y la cuenta deshabilitada se eliminar transcurrido un perodo de tiempo especfico. Esto no es necesario si inician la sesin con nombres principales de usuario (UPN).
Impacto
Asegrese de que los usuarios comprenden que cuando sus cuentas se migran, es posible que no puedan tener acceso a algunos recursos, como sitios web, carpetas compartidas o recursos que los usuarios de su grupo o divisin no utilizan de forma habitual. Proporcione informacin a los usuarios sobre con quin tienen que ponerse en contacto para obtener asistencia para tener acceso a los recursos necesarios.
Estado de inicio de sesin durante la migracin

Asegrese de que los usuarios comprenden que, durante el proceso de migracin, no podrn iniciar sesin en el dominio ni acceder al correo electrnico ni a otros recursos. Asegrese de especificar el perodo de tiempo durante el que no podrn iniciar sesin.
Pasos de migracin previa

Alerte a los usuarios de cualquier paso que necesiten completar antes de que comience el proceso de migracin. Por ejemplo, deben descifrar los archivos cifrados por medio del Sistema de cifrado de archivos (EFS). Si se produce un error al descifrar archivos cifrados, se perder el acceso a los archivos cifrados despus de la migracin. Los usuarios tambin deben asegurarse de que sus equipos estn conectados a la red cuando la migracin de su cuenta est programada.
Cambios esperados
Describa otros cambios que los usuarios puedan experimentar despus de la migracin, como cambios en el uso de tarjetas inteligentes, correo electrnico seguro o mensajera instantnea, si procede. 230
Programacin e informacin de soporte tcnico

Proporcione informacin sobre dnde se pueden dirigir los usuarios para obtener ms informacin, por ejemplo, pueden visitar un sitio web interno donde publique informacin sobre la migracin. Adems, proporcione informacin sobre con quin debe ponerse en contacto el usuario si la fecha programada para la migracin presenta un conflicto para un usuario.
Creacin de grupos de cuentas de migracin

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Para migrar cuentas y recursos dentro de un bosque, puede crear un grupo de migracin de cuentas y un grupo de migracin de recursos con las credenciales apropiadas. Debe agregar las cuentas que vayan a realizar las migraciones de la Herramienta de migracin para Active Directory a los grupos de migracin de cuentas y de migracin de recursos, segn corresponda. Dado que ADMT requiere slo un conjunto limitado de permisos, la creacin de grupos de migracin separados hace posible simplificar la administracin mediante la creacin de grupos, la asignacin de los permisos adecuados y la posterior adicin de los administradores necesarios para dichos grupos. Si las tareas de migracin de su organizacin se distribuyen a ms de un grupo administrativo, cree grupos de migracin independientes para cada grupo administrativo que realice la migracin. Asigne los permisos necesarios para modificar objetos, como usuarios, grupos globales y perfiles locales, conforme a la siguiente tabla. El usuario que ejecuta ADMT debe ser administrador de un equipo en el que est instalada ADMT. En el dominio de destino, utilice un grupo con control delegado de la unidad organizativa del equipo y la unidad organizativa del usuario. Es posible que desee utilizar un grupo independiente para la migracin de estaciones de trabajo si este proceso de migracin se delega a los administradores de la misma ubicacin que las estaciones de trabajo. Use la informacin de la siguiente tabla para determinar las credenciales necesarias para su migracin.
Objeto de migracin Credenciales necesarias en el dominio de origen Credenciales necesarias en el dominio de destino
Usuario/cuenta de servicio de administrada/grupo Nota Las cuentas de servicio administradas no conservan el historial del identificador de seguridad (SID) en una migracin interna del
Administrador local, administrador de dominio y permiso delegado Leer toda la informacin del usuario para la unidad organizativa de origen
Permiso delegado para Crear, eliminar y administrar cuentas de usuario, Crear, eliminar y administrar grupos y Modificar la pertenencia de un grupo para la unidad organizativa de usuario o la unidad organizativa de grupo y administrador local del equipo en el que est 231
Objeto de migracin
Credenciales necesarias en el dominio de origen
Credenciales necesarias en el dominio de destino
bosque. Equipo Administrador de dominio o derechos delegados para eliminar los objetos de la unidad organizativa de origen y miembro del grupo Administradores de cada equipo
instalada ADMT Permiso delegado en la unidad organizativa de equipo y administrador local en el equipo en el que est instalada ADMT Nota Si el equipo tiene una cuenta de servicio administrada instalada, utilice una cuenta que tenga permiso para actualizar el descriptor de seguridad de la cuenta de servicio administrada en el dominio de destino. Permiso delegado para Crear, eliminar y administrar cuentas de usuario para la unidad organizativa del equipo y administrador local del equipo en el que est instalada ADMT Nota Es posible que tenga que seguir otros pasos adicionales de preparacin si migra perfiles mviles de equipos que ejecutan Windows Vista o Windows 7. Para obtener ms informacin, consulte Preparacin para la migracin de perfiles mviles con equipos que ejecutan Windows Vista y Windows 7.
Perfil
Administrador local o administrador de dominio; para perfiles mviles, Administrador del equipo que aloja la carpeta compartida del perfil mvil
232
ADMT tambin incluye funciones de administracin de base de datos que puede utilizar para asignar un subconjunto de permisos a los usuarios que realicen tareas de migracin especficas. Las funciones de administracin de base de datos y las tareas de migracin que pueden realizar se enumeran en la siguiente tabla.
Funcin Tarea de migracin
Migradores de cuentas Migradores de recursos
Tareas de migraciones de cuentas, como migracin de usuarios y grupos Tareas de migracin de recursos, como migraciones de equipos y conversin de seguridad; los migradores de cuentas tambin desempean la funcin de migradores de recursos. Consultas en la base de datos; los migradores de cuentas y los migradores de recursos tambin desempean la funcin de lectores de datos
Lectores de datos
Los usuarios que tienen la funcin de administrador del sistema de SQL Server asumen todas las funciones de administracin de base de datos de ADMT. Tienen permisos para: Mostrar funciones de base de datos y usuarios que asumen dichas funciones. Agregar grupos o usuarios a funciones. Quitar grupos o usuarios de funciones.
De manera predeterminada, se asigna la funcin de administrador del sistema al grupo local Administradores. Este grupo puede realizar todas las funciones de la base de datos de ADMT.
Instalacin de ADMT en el dominio de destino

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Siga una de las siguientes instrucciones para instalar la Herramienta de migracin Active Directory (ADMT), segn la versin que vaya a instalar. La versin 3.1 de ADMT ofrece una opcin para instalar una instancia de base de datos de Microsoft SQL Server Express preconfigurada. La versin 3.2 de ADMT necesita una instancia de base de datos de SQL Server para instalarse previamente. El resto de instrucciones para separar, reconfigurar y eliminar un archivo de base de datos se aplican a cualquier versin de ADTM. Instalacin de ADMT v3.1 Instalacin de ADMT v3.2
233
Separar un archivo de base de datos existente de una versin anterior de ADMT y de SQL Server Reconfigurar la instalacin de la base de datos con Admtdb.exe Reutilizar una base de datos de ADMT existente desde una instalacin anterior

En esta seccin se tratan los siguientes problemas de instalacin de ADMT v3.1. Requisitos previos para la instalacin de ADMT v3.1 Instalacin de ADMT v3.1 usando el almacn de la base de datos predeterminado

Cuando instala la Herramienta de migracin para Active Directory 3.1 (ADMT v3.1), tambin instala SQL Server 2005 Express Edition de forma predeterminada para usarlo como almacn de datos. Como opcin, puede configurar ADMT v3.1 para usar una base de datos SQL Server 2000 con Service Pack 4 (SP4) Standard o Enterprise Edition o una instalacin SQL Server 2005 Standard o Enterprise Edition anteriormente creada. Antes de instalar ADMT v3.1, complete los siguientes requisitos previos: Instale Windows Server 2008. Quite todas las versiones anteriores de ADMT mediante Agregar o quitar programas del Panel de control. Si intenta instalar ADMT v3.1 en un servidor con una versin anterior de ADMT, recibir un mensaje de error y la instalacin se detendr. Si es necesario, puede importar la base de datos de la versin anterior de ADMT (como ADMT v2.0 o ADMT v3.0) en ADMT v3.1 durante la instalacin. Si no piensa usar la instalacin de la base de datos local predeterminada, asegrese de que est configurada otra instalacin de la base de datos SQL Server 2000 o SQL Server 2005 con una instancia de ADMT. Para obtener ms informacin sobre cmo crear una instancia de ADMT en una base de datos de SQL Server, consulte Instalacin de ADMT usando una base de datos de SQL Server preconfigurada.
Instalacin de ADMT v3.1 usando el almacn de la base de datos predeterminado

Para instalar ADMT, puede usar el almacn de la base de datos predeterminado basado en SQL Server 2005 Express Edition o una base de datos SQL preconfigurada. El mtodo de instalacin ms comn y recomendado es usar el almacn de la base de datos predeterminado, configurado automticamente por el Asistente para la instalacin de Herramienta de migracin para Active Directory. Para instalar ADMT usando el almacn de la base de datos predeterminado Segn su entorno, descargue ADMT v3.1 (http://go.microsoft.com/fwlink/? 234
LinkId=121732) o ADMT v3.2 (http://go.microsoft.com/fwlink/?LinkId=186197). Para obtener ms informacin acerca de qu versin de ADMT se debe utilizar, consulte Herramienta de migracin Active Directory: versiones y entornos admitidos. En la ubicacin de descarga, haga doble clic en admtsetup.exe para abrir el asistente de instalacin.
235
Pgina del asistente
Accin
sta es la instalacin de la Herramienta de migracin Active Directory Configuracin de componentes
Haga clic en Siguiente.
La instancia de la base de datos de ADMT (MS_ADMT) se crea en el equipo local. Aunque SQL Server 2005 Express Edition se instala localmente de manera predeterminada lo use o no ADMT, ADMT deshabilita SQL Server 2005 Express Edition si especifica otra instancia de la base de datos en la siguiente pgina del Asistente.
Seleccin de base de datos
Especifique la instancia de la base de datos a la que desea conectarse. La seleccin recomendada es Usar Microsoft SQL Server Express Edition, que configura ADMT v3.1 para usar la instancia de la base de datos instalada localmente. Si est usando varias consolas de ADMT v3.1 y tiene un servidor de base de datos dedicado donde desea centralizar su base de datos de ADMT, seleccione la opcin Utilizar Microsoft SQL Server existente. Especifique el servidor al que se va a conectar mediante el formato Servidor\instancia. Debera configurar la instancia de la base de datos de SQL Server antes de seleccionar esta opcin. Aunque la instalacin de ADMT v3.1 contine a pesar de no poder ponerse en contacto con la base de datos, no podr usar ADMT para migrar cuentas o recursos hasta que se cree la instancia de la base de datos y est disponible.
236
Pgina del asistente
Accin
Aunque no puede actualizar una instalacin de ADMT v3.0 a ADMT v3.1, puede importar los datos a una base de datos de ADMT v3.1 desde una base de datos de ADMT v3.0. Si no desea importar datos desde una base de datos de ADMT v3.0, seleccione No, no importar los datos desde una base de datos existente (predeterminado). Si desea importar los datos de ADMT v3.0 a la nueva base de datos de ADMT v3.1, seleccione S, importar datos desde una base de datos ADMT v3. Si ha elegido importar datos, especifique la ruta de acceso al archivo de la base de datos de ADMT v3.0.
Aunque no puede actualizar una instalacin de ADMT v2.0 a ADMT v3.1, puede importar los datos a una base de datos de ADMT v3.1 desde una base de datos de ADMT v2.0. Si no desea importar datos desde una base de datos de ADMT v2.0, seleccione No, no importar los datos desde una base de datos de ADMT v2. Si desea importar los datos de ADMT v2.0 a la nueva base de datos de ADMT v3.1, seleccione S, importar datos desde una base de datos ADMT v2. Si ha elegido importar datos, especifique la ruta de acceso al archivo de la base de datos de ADMT v2.0. La base de datos de ADMT v2.0 tiene el nombre de archivo protar.mdb y debera estar ubicada en el directorio anteriormente usado para su instalacin de ADMT v2.0.
237
Pgina del asistente
Accin
Resumen
En esta pgina se resumen las opciones que ha seleccionado. Haga clic en Finalizar para completar la instalacin de ADMT v3.1.

ADMT v3.2 requiere una instancia de SQL Server preconfigurada para su almacn de datos subyacente. Debe utilizar SQL Server Express. Al utilizar una de las siguientes versiones de SQL Server Express, la instalacin de ADMT impone los siguientes requisitos de Service Pack: SQL Server 2005 Express se debe instalar con Service Pack 3 (SP3) o posterior. SQL Server 2008 Express se debe instalar con Service Pack 1 (SP1) o posterior. Nota Si utiliza SQL Server Express, la consola de ADMT se debe instalar y ejecutar localmente en el servidor que aloja la instancia de base de datos de SQL Server Express. Como opcin, puede utilizar versiones completas de SQL Server 2005 o SQL Server 2008. En este caso, puede instalar y ejecutar la consola de ADMT en un equipo remoto y puede ejecutar varias consolas de ADMT en diferentes equipos remotos. Si utiliza una versin completa de SQL Server, la instalacin de ADMT no impondr ningn requisito de Service Pack. El resto de la seccin abarca los siguientes problemas de instalacin: Requisitos previos para la instalacin de ADMT v3.2 Instalar ADMT v3.2

Antes de instalar ADMT v3.2, complete las siguientes tareas de requisitos previos: En el Panel de control, seleccione Agregar o quitar programas para quitar todas las versiones de ADMT anteriores a ADMT v3.2. Aunque ADMT v3.2 no admite actualizaciones de una versin anterior de ADMT, puede reutilizar una base de datos existente de una instalacin de ADMT anterior, a menos que sea una base de datos de ADMT v2 o ADMT v1. Para obtener ms informacin, consulte Reutilizar una base de datos de ADMT existente desde una instalacin anterior. Instale o actualice un equipo de servidor (preferiblemente un servidor miembro) en el entorno de dominio de origen o de destino, si fuera necesario, para que se ejecute Windows Server 2008 R2. Aunque puede utilizar ADMT v3.2 para migrar cuentas y recursos desde entornos de Active Directory que tienen el nivel funcional del dominio de Windows Server 2003 o 238
posterior, puede instalar ADMT v3.2 slo en un servidor que est ejecutando Windows Server 2008 R2. Adems de ejecutar Windows Server 2008 R2, no debe instalarse el equipo de servidor utilizado para instalar ADMT v3.2 con la opcin de instalacin de Server Core ni debe estar ejecutndose como un controlador de dominio de slo lectura (RODC). Configure una instalacin de base de datos de SQL Server con una instancia de ADMT. Puede descargar e instalar SQL Server Express localmente o crear una instancia de base de datos para ADMT desde una base de datos existente de SQL Server. Para obtener ms informacin acerca de cmo instalar SQL Server Express, consulte Instalar ADMT v3.2 . Para obtener ms informacin sobre cmo crear una instancia de ADMT en una base de datos existente de SQL Server, consulte Instalar ADMT reconfigurando la instalacin de la base de datos con Admtdb.exe.
Instalar ADMT v3.2

Descargue SQL Server 2005 Express (http://go.microsoft.com/fwlink/?LinkId=181159), o cree una nueva instancia de base de datos en una instalacin existente de SQL Server para utilizar con ADMT v3.2. Durante el proceso de instalacin de SQL Server, seleccioneModo de autenticacin de Windows. Despus de instalar SQL Server, complete el siguiente procedimiento para instalar ADMT v3.2. Para llevar a cabo este procedimiento, se requiere como mnimo pertenecer a Administradores o a un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en Grupos predeterminados locales y de dominio (http://go.microsoft.com/fwlink/?LinkId=83477). Para instalar ADMT v3.2 1. En el paquete de descarga de ADMT, haga doble clic en admtsetup32.exe. 2. En la pgina de bienvenida, asegrese de que las recomendaciones se han cumplido y, a continuacin, haga clic en Siguiente. 3. En la pgina del Contrato de licencia, haga clic en Acepto y, a continuacin, en Siguiente. 4. En la pgina Seleccin de base de datos, escriba servidor\instancia. El requisito de escribir el nombre del servidor se aplica tambin a la instancia de la base de datos local. Puede escribir un punto (.) para indicar el servidor local. De forma predeterminada, la instancia de SQL Server Express se denomina SQLEXPRESS. Por ejemplo, para utilizar una instancia de SQL Server Express predeterminada en el servidor local, escriba .\SQLEXPRESS. 5. Si elige instalar SQL Express y el archivo ADMT.mdf de la base de datos no se encuentra en la ubicacin de datos predeterminada %windir%\ADMT\Data, aparecer la pgina Importacin de base de datos. De lo contrario, la configuracin de ADMT se asocia automticamente a ese archivo de base de datos y aparece la pgina Resumen. En la pgina de Importacin de base de datos, si no necesita realizar una importacin 239
de datos, haga clic en No, no importar los datos desde una base de datos existente (Predeterminado). Si necesita importar datos de una instalacin anterior de ADMT, haga clic en S, importar datos de una base de datos existente de ADMT v3.0 o ADMT v3.1 y, a continuacin, para desplazarse a la ubicacin del archivo de base de datos existente haga clic en Examinar. Antes de importar los datos desde una base de datos existente, debe separar el archivo de base de datos del SQL Server utilizando los comandos de SQL Server. Para obtener ms informacin, consulte Separar un archivo de base de datos existente de una versin anterior de ADMT y de SQL Server. Cuando haya terminado, haga clic en Siguiente. 6. En la pgina Resumen, revise los resultados de la instalacin y, a continuacin, haga clic en Finalizar.
Separar un archivo de base de datos existente de una versin anterior de ADMT y de SQL Server
Si utiliza SQL Server Express, la base de datos se separa automticamente al quitar ADMT. La base de datos de SQL Server Express separada puede reutilizarse para una instalacin de ADMT posterior. En ese caso, ADMT se conecta automticamente con la base de datos existente que especifique durante la instalacin. Puede separar el archivo de base de datos de ADMT desde una instancia completa de SQL Server si tiene otra aplicacin que quiera conectar a la misma base de datos. Por ejemplo, si tiene previsto moverlo desde una instalacin completa de SQL Server a SQL Server Express, o si tiene un archivo de base de datos de ADMT de una instalacin previa que ha conectado a las herramientas de administracin de SQL Server, tendr que separarlo de esa base de datos para que ADMT pueda utilizarlo. Para separar una base de datos, puede completar el procedimiento almacenado de SQL:
sp_detach_db [ @dbname = ] 'dbname'
Para obtener ms informacin acerca de la llamada al procedimiento almacenado, consulte la documentacin de SQL Server. Para obtener ms informacin acerca de cmo usar SQL Server Management Studio para separar la base de datos, consulte Cmo: Separar una base de datos (SQL Server Management Studio (http://go.microsoft.com/fwlink/?LinkId=183994).
Reconfigurar la instalacin de la base de datos con Admtdb.exe

Si durante la instalacin tiene problemas con la configuracin de la base de datos, o si especific SQL Server Express durante la instalacin de ADMT v3.2 pero desea cambiar a SQL Server (o viceversa) despus del proceso de instalacin, puede utilizar Admtdb.exe. La sintaxis de lnea de comandos para Admtdb.exe se encuentra en la tabla siguiente.
240
Puede ejecutar Admtdb.exe desde el smbolo del sistema con privilegios elevados en cualquier servidor que se pueda dirigir al equipo de servidor que ejecute SQL Server para crear una instancia de ADMT en dicho equipo de servidor.
Sintaxis Descripcin
admtdb create /{s|server}: "Servidor\instancia"
Instala una nueva base de datos de ADMT o prepara una base de datos vaca. El parmetro /server especifica el nombre del servidor SQL Server y la instancia a la que se va a conectar para crear la base de datos. Es un parmetro obligatorio.
admtdb upgrade /s|server: Server\Instance
Actualiza a una versin anterior de una base de datos de ADMT v3.0 o ADMT v3.1. El parmetro /server, que es obligatorio, especifica el nombre del servidor SQL Server y la instancia a la que se va a conectar para actualizar la base de datos de ADMT v3.0 o ADMT v3.1. Nota Antes de actualizar la base de datos de ADMT, abra la consola de ADMT para comprobar que es compatible con la base de datos.
admtdb attach [/{a|attach}: "ruta de acceso a la base de datos v3x"
Conecta una base de datos existente de ADMT a la instancia de SQL Server Express 2005 o SQL Server Express 2008 local. El parmetro /attach, que es obligatorio, especifica la ruta al archivo de base de datos Admt.mdf separado.
Para ver la Ayuda de todas las opciones de la lnea de comandos de Admtdb.exe, en el smbolo del sistema, escriba admtdb /? . Si ha empezado la migracin mediante una base de datos local de SQL Server Express y luego ha configurado la instancia remota de una base de datos de SQL Server, y necesita volver a utilizar una base de datos local de SQL Server Express, complete el siguiente procedimiento. En este caso, el archivo de base de datos de ADMT ya est conectado a la instancia de SQL Express. Por lo tanto, no es necesario que se vuelva a conectar. Si ha empezado la migracin mediante SQL Server y desea cambiar a SQL Server Express, consulte Reutilizar una base de datos de ADMT existente desde una instalacin anterior. 241
Para llevar a cabo este procedimiento, se requiere como mnimo pertenecer a Administradores o a un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en Grupos predeterminados locales y de dominio (http://go.microsoft.com/fwlink/?LinkId=83477). Para reutilizar la base de datos local despus de configurar una instancia remota de una base de datos de SQL Server 1. En el equipo local, haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Servicios. 2. En el panel de Detalles, asegrese de que el servicio que aloja la instancia de SQL Server Express se est ejecutando y que el Tipo de inicio se haya establecido en Automtico. Si va a utilizar ADMT v3.1 y tena instalado ADMT con SQL Server Express, el nombre del servicio es MSSQL$MS_ADMT. Si el servicio no se inicia o si no est configurado para iniciarse automticamente en el inicio del sistema, haga clic en Iniciado, haga clic con el botn secundario en el nombre del servicio y, a continuacin, haga clic en Propiedades. 3. En la ficha General, de la lista Tipo de inicio, haga clic en Automtico. 4. En Estado del servicio, haga clic en Inicio y, a continuacin, haga clic en Aceptar. 5. Cierre Servicios. 6. En el smbolo del sistema, escriba los siguientes comandos: Nota El comando admtdb attach es necesario slo si anteriormente ha ejecutado comandos SQL para que separen la instancia local de SQL Server Express.
admtdb attach /{s | Server}:Instancia de SQL Server Express local admt config setdatabase /s:Servidor\Instancia.
Ahora puede utilizar la base de datos local.
Si desea utilizar una base de datos existente (separada) de una instalacin de ADMT v3.0, ADMT v3.1 o ADMT v3.2 anterior con la instancia de SQL Server local, puede completar el siguiente procedimiento. Nota Para llevar a cabo este procedimiento, se requiere como mnimo pertenecer a Administradores o a un grupo equivalente. Revise los detalles sobre cmo usar las cuentas apropiadas y pertenencia a grupos en Grupos de dominio y locales predeterminados (http://go.microsoft.com/fwlink/?LinkId=83477). 242
Para utilizar una base de datos de ADMT existente (separada) con la instancia de SQL Server local 1. En el equipo local, haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Servicios. 2. En el panel de detalles, asegrese de que el servicio que aloja la instancia de SQL Server Express se est ejecutando y que el Tipo de inicio se haya establecido en Automtico. Si va a utilizar ADMT v3.1 y tena instalado ADMT con SQL Server Express, el nombre del servicio es MSSQL$MS_ADMT. Si el servicio no se inicia o si no est configurado para iniciarse automticamente en el inicio del sistema, haga clic en Iniciado, haga clic con el botn secundario en el nombre del servicio y, a continuacin, haga clic en Propiedades. 3. En la ficha General, de la lista Tipo de inicio, haga clic en Automtico. 4. En Estado del servicio, haga clic en Inicio y, a continuacin, haga clic en Aceptar. 5. Cierre Servicios. 6. En el smbolo del sistema, escriba los siguientes comandos:
admtdb attach /{s | Server}:Instancia de SQL Server Express local /{a | Attach}:Ruta de acceso al archivo de base de datos de ADMT v3.x que desea asociar" admt config setdatabase /s: servidor\instancia
Ahora puede utilizar la base de datos de ADMT existente con la instancia de SQL Server local. No es necesario volver a ejecutar el asistente de instalacin de ADMT. La instalacin de ADMT se puede ejecutar una sola vez. Puede realizar cualquier cambio posterior en la configuracin de la base de datos mediante los comandos admtdb.exe y admt config setdatabase.
Plan para transiciones de cuentas de servicios

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 La mayora de los servicios se ejecutan dentro del contexto de la cuenta del sistema local. Por consiguiente, no necesitan mantenimiento alguno cuando se migran a un dominio diferente. No obstante, algunos servicios se ejecutan dentro del contexto de una cuenta de usuario en lugar de la cuenta del sistema local. La transicin de cuentas de servicios hace referencia al proceso de identificacin, migracin y actualizacin de servicios que se ejecutan en el contexto de las cuentas de usuario. Este proceso consta de tres pasos. En primer lugar, el administrador inicia la Herramienta de migracin para Active Directory (ADMT) desde el controlador de dominio de destino de 243
Active Directory y ejecuta el Asistente para migracin de cuentas de servicios. En segundo lugar, el Asistente para migracin de cuentas de servicios enva un agente al equipo especificado e identifica (pero no migra) todos los servicios del equipo que se ejecutan en el contexto de una cuenta de usuario. En tercer lugar, que puede producirse posteriormente en el proceso de migracin, las cuentas se migran cuando otras cuentas de usuario se migran con el Asistente para migracin de cuentas de usuario. El Asistente para migracin de cuentas de servicios comprueba cada servicio de un equipo para identificar los servicios que se ejecutan en el contexto de una cuenta de usuario. Puede producirse una carencia de seguridad durante la migracin de cuentas de servicio si alguien distinto del administrador de servicio entra en una cuenta con permisos administrativos en el dominio de origen, pero utiliza una contrasea no vlida en el equipo para iniciar el servicio. El servicio no se iniciar antes de la migracin de la cuenta, dado que la contrasea no es correcta, pero funcionar despus de la migracin, porque ADMT restablece la contrasea de la cuenta de servicio y configura todos los servicios que utilizan dicha cuenta de servicio con la nueva contrasea. Para eliminar este posible problema de seguridad, es importante incluir en el Asistente para migracin de cuentas de servicios slo los servidores cuya administracin depende de administradores de confianza. No utilice el Asistente para migracin de cuentas de servicios para detectar las cuentas de servicio en equipos que los administradores de confianza no administran, como las estaciones de trabajo. Si no identifica ni realiza una transicin de un equipo de confianza que, por consiguiente, no actualiza su cuenta de servicio, tendr que definir de forma manual la nueva contrasea que crea ADMT. Para ello, obtenga la contrasea del archivo Password.txt y, a continuacin, introduzca de forma manual la informacin de la contrasea y la cuenta para el servicio del equipo al que no se le ha realizado la transicin. Cuando las cuentas que el Asistente para migracin de cuentas de servicios identifica en la base de datos de ADMT como en ejecucin en el contexto de una cuenta de usuario se migran al dominio de destino, ADMT otorga a cada cuenta el derecho de iniciar sesin como servicio. Ejecucin del Asistente para migracin de cuentas de servicio 1. En ADMT, inicie el Asistente para migracin de cuentas de servicios. 2. Utilice el asistente siguiendo los pasos de la tabla siguiente.
244
Pgina del asistente
Accin
Seleccin de dominio
En la opcin Origen de la lista desplegable Dominio, escriba o seleccione el nombre de DNS (Sistema de nombres de dominio) o NetBIOS del dominio de origen. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio. Al realizar una migracin dentro del mismo bosque, el controlador de dominio que realiza el papel de servidor principal de operaciones de identificador relativo (RID) se utiliza siempre como el controlador de dominio de origen, independientemente de su seleccin. En la opcin Destino de la lista desplegable Dominio, escriba o seleccione el nombre de DNS o NetBIOS del dominio de destino. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio y, a continuacin, haga clic en Siguiente.
Actualizar informacin Opcin de seleccin de equipos
Haga clic en S, actualizar la informacin. Haga clic en Seleccionar equipos desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de cuentas de servicio, haga clic en Agregar para seleccionar las cuentas del dominio de origen que desea migrar, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
245
Pgina del asistente
Accin
Dilogo de agente
En Acciones de agente seleccione Ejecutar comprobacin previa y operacin de agente y, a continuacin, haga clic en Inicio. Aparecer un mensaje en Resumen de agente cuando se completen las operaciones de agente. Una vez finalizadas las operaciones de agente, haga clic en Cerrar. Seleccione cualquier cuenta de usuario que no tenga que estar marcada como cuenta de servicio en la base de datos de ADMT y, a continuacin, haga clic en Omitir/Incluir para marcar las cuentas como Omitir.
El asistente se conecta a los equipos seleccionados y, a continuacin, enva un agente para comprobar cada servicio en los equipos remotos. La pgina Informacin de cuentas de servicios muestra los servicios que se ejecutan en el contexto de una cuenta de usuario y el nombre de dicha cuenta de usuario. ADMT indica en su base de datos que estas cuentas de usuario se tienen que migrar como cuentas de servicio. Si no desea migrar una cuenta de usuario como cuenta de servicio, seleccione la cuenta y, a continuacin, haga clic en Omitir/Incluir para cambiar el estado de Incluir a Omitir. 3. Utiliza Actualizar SCM para actualizar el Administrador de control de servicios con la nueva informacin. A menos que se produzca un error de acceso a un equipo para actualizar el servicio, el botn Actualizar SCM no est disponible. Si tiene problemas al actualizar una cuenta de servicio una vez identificada y migrada la cuenta, asegrese de que el equipo al que intenta tener acceso est disponible y, a continuacin, reinicie el Asistente para migracin de cuentas de servicios. En el asistente, haga clic en Actualizar SCM para intentar actualizar el servicio. Si ya ha ejecutado el Asistente para migracin de cuentas de servicios anteriormente y el botn Actualizar SCM no est disponible, examine los archivos de registro de ADMT para determinar la causa del problema. Una vez corregido el problema y cuando el agente se pueda conectar correctamente, el botn Actualizar SCM estar disponible. Identificacin de cuentas de servicio mediante la opcin de lnea de comandos de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el siguiente comando y, a continuacin, presione ENTRAR:
ADMT SERVICE /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:"<dominio_origen>" /TD:"
246
<dominio_destino>"
Donde <nombre_equipo1> y <nombre_equipo2> son los nombres de equipos del dominio de origen que ejecutan cuentas de servicio. Como alternativa, puede incluir parmetros en un archivo de opcin que se especifique en la lnea de comandos como se muestra a continuacin:
ADMT SERVICE /N "<nombre_equipo1>" "<nombre_equipo2>" /O:" <archivo_opcin>.txt"
La siguiente tabla enumera los parmetros comunes que se utilizan para la identificacin de cuentas de servicio, junto con el parmetro de lnea de comandos y los equivalentes de archivo de opciones.
3. Revise si hay errores en los resultados que se muestran en la pantalla. Identificacin de cuentas de servicio mediante una secuencia de comandos Cree una secuencia de comandos que incorpore los comandos de ADMT y las opciones para la identificacin de cuentas de servicio utilizando la siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id="IdentifyingServiceAccounts" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
Dim objMigration Dim objServiceAccountEnumeration
Set objMigration = CreateObject("ADMT.Migration" )
247
Set objServiceAccountEnumeration = _ objMigration.CreateServiceAccountEnumeration
objMigration.SourceDomain = "dominio de origen"
' 'Enumerar cuentas de servicio en equipos especificados. '
objServiceAccountEnumeration.Enumerate admtData, _ Array("nombre de equipo1" ,"nombre de equipo2" )
Set objServiceAccountEnumeration = Nothing Set objMigration = Nothing </Script> </Job>
Ejemplo: Preparacin para la reestructuracin de dominios de Active Directory

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Contoso Corporation ha actualizado el hardware para aumentar su ancho de banda de la red y la cantidad de trfico de replicacin que puede admitir. Como resultado, la compaa est consolidando su dominio frica en su dominio EMEA. El dominio frica es el dominio de origen y el dominio EMEA es el dominio de destino para la migracin. La organizacin tiene que migrar un total de 1.800 usuarios del dominio frica al dominio EMEA. Adems de las cuentas de usuario, la organizacin tambin debe migrar los recursos, como estaciones de trabajo, servidores y grupos.
248
Como Contoso Corporation es una gran organizacin con varios grupos globales, los grupos cerrados son difciles de identificar. Por tanto, la compaa decide migrar los grupos globales como grupos universales. La compaa puede hacerlo porque la infraestructura de la corporacin puede manejar la replicacin aumentada de los grupos universales, y porque tanto los dominios de frica como los de EMEA estn funcionando a nivel funcional de Windows 2000 nativo. La compaa ha creado estructuras idnticas de la unidad organizativa idntica (OU) en los dominios frica y EMEA. Por tanto, no tienen que crear una nueva estructura de la unidad organizativa ni migrar las unidades organizativas. Contoso Corporation ha creado una lista de equipos que ejecutan cuentas de servicios, por lo que puede usar el Asistente para la migracin de cuentas de servicios para identificar los servicios que se ejecutan en el contexto de las cuentas de usuario. La compaa est ms preocupada por un conjunto de cuentas que tienen acceso a una base de datos de SQL Server. El acceso a esta base de datos es una parte importante de su negocio. La compaa ha decidido usar la Herramienta de migracin para Active Directory (ADMT) como su herramienta de migracin y para usar los asistentes. La compaa instala ADMT y crea dos grupos de migracin de cuentas que se utilizarn para el proceso de migracin. La compaa asigna permisos de alto nivel al primer grupo y despus agrega los miembros del equipo de implementacin apropiados a dicho grupo. El equipo de implementacin centralizado usar esta cuenta para migrar usuarios. La compaa asigna los permisos de la estacin de trabajo y recursos locales al segundo grupo. El equipo de implementacin usar el segundo grupo para migrar recursos en las ubicaciones remotas.
Migracin de objetos de dominio entre dominios de Active Directory

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 La reestructuracin de dominios de Active Directory en un bosque implica la migracin de objetos de dominio en un orden especfico para garantizar que los usuarios mantienen el acceso a los recursos. La siguiente ilustracin muestra el proceso de migracin de objetos de dominio entre dominios de Active Directory.
249
Migracin de grupos
Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Para proteger su sistema frente al problema de los conjuntos abiertos cuando reestructura los dominios de Active Directory en un bosque, migre los grupos antes de migrar las cuentas de usuario que pertenezcan a esos grupos. Si migra grupos de forma simultnea a la migracin de usuarios, es posible que no pueda migrar los grupos anidados, lo que crea un conjunto abierto. Adems, siga las estas indicaciones para la migracin de grupos: Migre primero los grupos universales y despus los grupos globales. Migre los grupos locales del dominio cuando migre los recursos (controladores de dominio y servidores miembros) en los que se usan para asignar permisos. Puede elegir migrar los grupos locales del equipo cuando migre el equipo ms adelante en el proceso de reestructuracin.
250
Migrar grupos universales

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Migre grupos universales, sin migrar los usuarios que sean miembros de estos grupos a la misma vez, desde el dominio de origen al dominio de destino. La migracin de grupos universales sin usuarios ayuda a proteger del problema de conjuntos abiertos. El historial de identificadores de seguridad (SID) permite a los miembros del grupo seguir teniendo acceso a los recursos en base a una pertenencia a grupos universales. Cuando migra grupos universales al dominio de destino, cesan de existir en el dominio de origen. Nota Si migra un nmero pequeo de grupos universales, puede migrar grupos universales al mismo tiempo que migra grupos globales. Puede migrar grupos universales mediante el complemento de la Herramienta de migracin para Active Directory (ADMT), la opcin de lnea de comandos de ADMT o secuencia de comandos. Migracin de grupos universales mediante el complemento de ADMT En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. Utilice el Asistente para migracin de cuentas de grupo realizando los pasos de la tabla siguiente.
251
Pgina del asistente
Accin
Seleccin de dominio
En la opcin Origen de la lista desplegable Dominio, escriba o seleccione el nombre de DNS (Sistema de nombres de dominio) o NetBIOS del dominio de origen. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio. Al realizar una migracin dentro del mismo bosque, el controlador de dominio que realiza el papel de servidor principal de operaciones de identificador relativo (RID) (tambin conocidas como operaciones de servidor principal nico flexible o FSMO) se utiliza siempre como el controlador de dominio de origen, independientemente de su seleccin. En la opcin Destino de la lista desplegable Dominio, escriba o seleccione el nombre de DNS o NetBIOS del dominio de destino. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio y, a continuacin, haga clic en Siguiente.
Opcin de seleccin de grupo
252
Pgina del asistente
Accin
Escriba el nombre de la unidad organizativa o haga clic en Examinar. En el cuadro de dilogo Buscar un contenedor, busque el contenedor del dominio de destino al que desea mover los grupos universales y, a continuacin, haga clic en Aceptar.
Opciones de grupo
Se activan las casillas de verificacin Migrar los identificadores de seguridad (SID) de grupos hacia el dominio de destino y Corregir pertenencia a grupo, y aparecen atenuadas. Asegrese de que no se seleccionan otras opciones.
Seleccione No migrar el objeto de origen si se detecta un conflicto en el dominio de destino.
Migracin de grupos universales mediante la opcin de lnea de comandos de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. Nota Cuando inicie una migracin de grupos con la migracin del SIDHistory desde la lnea de comandos, el comando se debe ejecutar en un controlador de dominio del dominio de destino. 2. En la lnea de comandos, escriba el comando ADMT adecuados y, a continuacin, presione ENTRAR:
GROUP
con los parmetros
ADMT GROUP /N "<nombre_grupo1>" "<nombre_grupo2>" /IF:YES /SD:" <dominio_origen>" /TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>"
La siguiente tabla muestra los parmetros necesarios para migrar grupos universales, los parmetros de lnea de comandos y los equivalentes del archivo de opciones. Para obtener una lista completa de todos los parmetros disponibles, consulte la Ayuda de ADMT v3.1.
253
Parmetros

/IF:YES

IntraForest=YES
Dentro de un mismo bosque <Dominio de destino> Ubicacin de la <Unidad organizativ a de destino> Gestin de conflictos
o"
"
/CO:IGNORE
3. Revise si hay errores en los resultados que se muestran en la pantalla. 4. Abra Usuarios y equipos de Active Directory y, a continuacin, localice la unidad organizativa del dominio de destino. Compruebe que los grupos universales existen en la unidad organizativa del dominio de destino. Migracin de grupos universales usando una secuencia de comandos Utilice la siguiente muestra para preparar una secuencia de comandos que incorpore los comandos de ADMT y las opciones para migrar grupos dentro de un bosque. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs. Nota Cuando inicie una migracin de grupos con la migracin sIDHistory desde una secuencia de comandos, ste debe ejecutarse en comandos en un controlador de dominio del dominio de destino.
<Job id="MigratingGroupsWithinForest" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
254
objMigration.IntraForest = True objMigration.SourceDomain = "dominio de origen" objMigration.SourceOu = "source container" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "contenedor de destino"
Migrar grupos globales

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Migre grupos globales, sin miembros, desde el dominio de origen al dominio de destino para protegerse del problema de los conjuntos abiertos. (Para obtener ms informacin sobre los 255
conjuntos abiertos, consulte Informacin general para la reestructuracin de dominios de Active Directory dentro de un bosque, anteriormente en esta gua). Cuando los grupos globales hayan migrado al dominio de destino, dejan de existir en el dominio de origen si ste tiene un nivel funcional de modo nativo Windows 2000 o superior. Como los grupos globales slo contienen miembros de su propio dominio, no puede migrarlos de un dominio a otro. La Herramienta de migracin para Active Directory (ADMT) cambia los grupos globales a grupos universales cuando se migran. El grupo universal del dominio de destino conserva el historial de identificadores de seguridad (SID) del grupo global en el dominio de origen, que permite a los usuarios continuar teniendo acceso a los recursos del dominio de origen despus de migrar los grupos globales. ADMT vuelve a cambiar los grupos universales a grupos locales despus de migrar todos los miembros del grupo global desde el dominio de origen al dominio de destino. No tiene que incluir grupos globales integrados y bien conocidos en su migracin porque estos grupos ya existen en el dominio de destino. Si selecciona un grupo integrado o un grupo global bien conocido para la migracin, ADMT no lo migra. En cambio, ADMT lo anota en el registro y contina la migracin de otros grupos globales. El procedimiento para usar el Asistente para migracin de cuentas de grupo para migrar grupos globales es el mismo que el utilizado para migrar grupos universales. Para obtener ms informacin sobre el procedimiento para migrar grupos globales y grupos universales, consulte Migrar grupos universales, anteriormente en esta gua. Despus de completar el proceso de migracin de grupos globales, utilice Usuarios y equipos de Active Directory para comprobar que los grupos globales han migrado correctamente. Compruebe que los grupos globales ya no existen en el dominio de origen y que los grupos aparecen en el dominio de destino en la unidad organizativa (OU) especificada durante el proceso de migracin. Los grupos globales se enumeran como grupos universales en el dominio de destino si todava tienen miembros en el dominio de origen. Para ver una lista de miembros del grupo universal, haga clic con el botn secundario en el grupo, haga clic en Propiedades y, a continuacin, haga clic en la ficha Miembros. Se muestran los miembros originales del grupo global. Sin embargo, observe que las cuentas de usuario todava no se han migrado. Si est migrando las cuentas de usuario durante la migracin dentro del mismo bosque, pero no est migrando los grupos globales del dominio de origen de los que son miembros las cuentas de usuario, ADMT actualiza de cualquier forma los grupos globales en el dominio de origen. ADMT quita las cuentas de usuario migradas de la pertenencia del grupo global en el dominio de origen porque el grupo global slo puede incluir miembros del dominio de origen. Como resultado de ello, es posible que los usuarios no continen teniendo acceso a los recursos del dominio de origen despus de la migracin porque ya no hay miembros de esos grupos. Puede migrar grupos globales usando el complemento de ADMT, la opcin de lnea de comandos ADMT o script. Para migrar grupos globales usando el complemento de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 256
2. Utilice el Asistente para migracin de cuentas de grupo realizando los pasos de la tabla siguiente.
257
Pgina del asistente
Accin
Seleccin de dominio
En la opcin Origen de la lista desplegable Dominio, escriba o seleccione el nombre de DNS (Sistema de nombres de dominio) o NetBIOS del dominio de origen. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio. Al realizar una migracin dentro de un mismo bosque, el controlador de dominio que almacena la funcin del maestro de operaciones (tambin denominada operaciones FSMO (Flexible Single Master Operations)) de ID relativo (RID) siempre se usa como el controlador de dominio de origen, sin importar cul sea la seleccin. En la opcin Destino de la lista desplegable Dominio, escriba o seleccione el nombre de DNS o NetBIOS del dominio de destino. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio y, a continuacin, haga clic en Siguiente.
Seleccin de grupo
258
Pgina del asistente
Accin
Opciones de grupo
Seleccione No migrar el objeto de origen si se detecta un conflicto en el dominio de destino.
3. Despus de ejecutar el Asistente, haga clic en Ver registro y revise el registro de migracin para buscar si hay algn error. 4. Abra Usuarios y equipos de Active Directory y, a continuacin, localice la unidad organizativa del dominio de destino. Compruebe que los grupos globales existen en la unidad organizativa del dominio de destino. Para migrar grupos globales usando la opcin de lnea de comandos de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. Nota Cuando inicie una migracin de grupos con la migracin sIDHistory desde la lnea de comandos, debe ejecutar el comando en un controlador del dominio en el dominio de destino. 2. En la lnea de comandos, escriba el comando ADMT adecuados y, a continuacin, presione ENTRAR:
GROUP
con los parmetros
ADMT GROUP /N "<nombre_grupo1>" "<nombre_grupo2>" /IF:YES /SD:" <dominio_origen>" /TD:" <dominio de destino>" /TO:" <unidad organizativa de destino>"
Como alternativa, puede incluir parmetros en un archivo de opciones que se especifica en la lnea de comandos, de la manera siguiente: 259
En la tabla siguiente se muestran los parmetros necesarios para migrar grupos globales, los parmetros de lnea de comandos y los equivalentes del archivo de opciones.
/IF:YES

IntraForest=YES
o"
"
/CO:IGNORE
3. Revise los resultados que se muestran en la pantalla en busca de errores. 4. Abra Usuarios y equipos de Active Directory y, a continuacin, localice la unidad organizativa del dominio de destino. Compruebe que los grupos globales existen en la unidad organizativa del dominio de destino. Para migrar grupos globales usando un script 1. Utilice un script que incorpora comandos y opciones de ADMT para migrar grupos universales. Para obtener ms informacin sobre la migracin de grupos universales, consulte Migrar grupos universales, anteriormente en esta gua. Nota Cuando inicie una migracin de grupos con la migracin sIDHistory desde un script, ste debe ejecutarse en un controlador de dominio del dominio de destino. 2. Despus de haber completado la migracin del grupo global usando un script, vea el registro de migracin. El archivo migration.log se almacena en la carpeta donde ha instalado ADMT, por lo general, Windows\ADMT\Logs.
260
Nota Como los grupos universales se replican en el catlogo global, la conversin de los grupos globales en grupos universales puede afectar al trfico de replicacin. Cuando el bosque est funcionando en el nivel de Windows Server 2003 o Windows Server 2008, este impacto se reduce porque slo se replican los cambios en la pertenencia al grupo universal. Sin embargo, si el bosque no est funcionando en el nivel de Windows Server 2003 o Windows Server 2008, toda la pertenencia al grupo se replica cada vez que cambia la pertenencia a grupos universal.
Migrar cuentas de sercivios

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Migre las cuentas de servicio que ha identificado anteriormente en el proceso de reestructuracin dentro del mismo bosque mediante el Asistente para migracin de cuentas de servicios. Este asistente marca las cuentas como cuentas de servicio en la base de datos de la Herramienta de migracin para Active Directory (ADMT). Para obtener ms informacin sobre el uso de ADMT para identificar cuentas de servicio que se ejecutan en el contexto de una cuenta de usuario, consulte Plan para transiciones de cuentas de servicios, expuesto anteriormente en esta gua. Puede migrar las cuentas de servicio mediante el complemento de ADMT, la opcin de lnea de comandos de ADMT o secuencia de comandos. Migracin de cuentas de servicio mediante el complemento de ADMT En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. Utilice el Asistente para migracin de cuentas de usuario realizando los pasos de la tabla siguiente.
261
Pgina del asistente
Accin
Seleccin de dominio
Seleccin de usuario
Haga clic en Seleccionar usuarios desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de usuario, haga clic en Agregar para seleccionar las cuentas del dominio de origen que desea migrar, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
262
Pgina del asistente
Accin
Escriba el nombre de la unidad organizativa o haga clic en Examinar. En el cuadro de dilogo Buscar un contenedor, busque el contenedor del dominio de destino al que desea mover las cuentas y, a continuacin, haga clic en Aceptar.
Opciones de usuario
Active la casilla de verificacin Actualizar derechos de usuario. Asegrese de que no ha seleccionado otra configuracin, incluida la opcin Migrar grupos de usuario asociados. Aparecer un cuadro de advertencia para informarle de que si los grupos globales a los que pertenecen las cuentas de usuario no se migran tambin, los usuarios perdern el acceso a los recursos. Seleccione Aceptar para continuar con la migracin.
Seleccione No migrar el objeto de origen si se detecta un conflicto en el dominio de destino. Haga clic en Migrar todas las cuentas de servicio y actualizar SCM de los elementos marcados para incluir. El asistente le muestra una lista de las cuentas de servicio que est migrando (si migra cuentas que no son cuentas de servicio, se migrarn pero no se mostrar en la lista). De forma predeterminada, las cuentas se marcan como Incluir. Para cambiar el estado de la cuenta, seleccinela y haga clic en Omitir/Incluir. Haga clic en Siguiente para migrar las cuentas.
Un cuadro de dilogo Progreso de la migracin le mantiene informado del estado de la migracin. Durante este tiempo, ADMT mueve las cuentas al dominio de destino, genera una nueva contrasea para las cuentas, asigna a las cuentas el derecho de iniciar sesin como un servicio y proporciona esta nueva informacin a los servicios que utilizan las cuentas. Cuando el estado se muestre como Completado en el cuadro de dilogo 263
Progreso de la migracin, puede continuar con el resto de la migracin dentro del mismo bosque. Antes de que se complete la migracin de las cuentas de servicio, es posible que los usuarios experimenten interrupciones al utilizar los servicios. Lo que se debe a que, hasta que el servicio se reinicie, se sigue utilizando la cuenta que se ha estado migrando. Para cualquier servicio que utilice continuamente credenciales, como los servicios de bsqueda, reinicie manualmente los servicios para garantizar resultados ptimos. Migracin de cuentas de servicio mediante la opcin de lnea de comandos de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el siguiente comando y, a continuacin, presione ENTRAR:
ADMT USER /N "<nombre_servidor1>" "<nombre_servidor2>" /IF:YES /SD:" <dominio_origen>" /TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /MSA:YES
Donde <Nombre_servidor1> y <Nombre_servidor2> son los nombres de servidores del dominio de origen que ejecutan cuentas de servicio. Como alternativa, puede incluir parmetros en un archivo de opciones que se especifica en la lnea de comandos, de la manera siguiente:
ADMT USER /N "<nombre_servidor1>" "<nombre_servidor2>" /O: "<archivo_opcin>.txt"
La tabla siguiente muestra los parmetros necesarios para migrar cuentas de servicio, la sintaxis de lnea de comandos y los equivalentes del archivo de opciones.
264
Parmetros

/IF:YES

IntraForest=YES
Dentro de un mismo bosque <Dominio de destino> Ubicacin de la <Unidad organizativ a de destino> Migrar cuentas de servicio Actualizar derechos de usuario Omitir cuentas en conflicto
o"
"
/MSA:YES
MigrateServiceAccounts=YES
/UUR:YES
/CO:IGNORE
(valor
predeterminado)
3. Revise si hay errores en los resultados que se muestran en la pantalla. 4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa del dominio de destino. Compruebe que las cuentas de servicio existen en la unidad organizativa del dominio de destino. Migracin de cuentas de servicio mediante una secuencia de comandos Utilice la siguiente lista para preparar una secuencia de comandos que incorpore los comandos de ADMT y las opciones para migrar cuentas de servicio. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" MigratingServiceAccountsWithinForest" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
265
objMigration.IntraForest = True objMigration.SourceDomain = "dominio de origen" objMigration.SourceOu = "contenedor de origen" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "contenedor de destino"
objUserMigration.UpdateUserRights = True objUserMigration.MigrateServiceAccounts = True
' 'Migrar cuentas de servicio especificadas. '
objUserMigration.Migrate admtData, _ Array("nombre de cuenta de servicio1", "nombre de cuenta de servicio2" )
266

Una cuenta de servicio administrada es un objeto de cuenta de dominio que est disponible en el esquema de Active Directory Windows Server 2008 R2. Una cuenta de servicio administrada puede instalarse en equipos que ejecutan Windows 7 o Windows Server 2008 R2. Las cuentas de servicio administradas slo se pueden migrar con ADMT v3.2. El proceso para identificar y migrar cuentas de servicio administradas mediante ADMT v3.2 consta de dos pasos: 1. Utilice el Asistente para migracin de cuentas de servicio administradas o la herramienta de lnea de comandos admt managedserviceaccount para migrar objetos de cuenta de servicio administrada al dominio de destino como se explica en este tema. 2. Utilice el Asistente para migracin de equipos o la herramienta de lnea de comandos admt computer para migrar los equipos que hospedan las cuentas de servicio administradas. Para obtener ms informacin acerca de la migracin de los equipos como parte de una migracin entre bosques, consulte Repeticin de la migracin de las cuentas de usuario y migracin de las estaciones de trabajo en lotes. Para obtener ms informacin acerca de la migracin de los equipos como parte de una migracin dentro del mismo bosque, consulte Migracin de estaciones de trabajo y servidores miembro. Las cuentas de servicio administradas que se migraron en el paso anterior y que estaban instaladas originalmente en los equipos migrados se identifican durante la migracin del equipo. Cuando la migracin del equipo haya finalizado, las cuentas de servicio administradas vuelven a instalarse en el equipo en el dominio de destino (a menos que solicite ignorarlas). Si ha ejecutado la conversin de seguridad en los servidores miembro que tienen recursos que conceden permisos a las cuentas de servicio administradas, las cuentas tienen los mismos permisos para el acceso a los recursos en el dominio de destino que los que tenan en el dominio de origen. Importante Si migra cuentas de servicio administradas entre dominios dentro del mismo bosque, ejecute la conversin de seguridad en los servidores miembro del dominio de origen que tengan recursos que concedan permisos a las cuentas de servicio administradas. La conversin de seguridad no suele ser necesaria durante una 267
migracin interna del bosque porque se ha movido un SID con una cuenta. No obstante, las cuentas de servicio administradas que se migran entre dominios en el mismo bosque se copian. Se crea una nueva cuenta en el dominio de destino y las propiedades de la cuenta (excepto SID) se copian desde el dominio de origen. Por tanto, ser necesario ejecutar la conversin de seguridad. Si los recursos del dominio de origen que conceden permisos a las cuentas de servicio administradas se hospedan en el mismo equipo que la cuenta de servicio administrada, debera seleccionar la conversin de seguridad en los recursos adecuados (Archivos y carpetas, Grupos locales y as sucesivamente) en la pgina Convertir objetos del Asistente para la migracin de equipos. Si los recursos estn en otros equipos que no se estn migrando, tendr que ejecutar el Asistente para conversin de seguridad en esos equipos y, en la pgina Opciones de conversin de seguridad, seleccione Objetos previamente migrados o proporcione expresamente las cuentas de servicio administradas en un archivo de asignacin de SID. Para obtener ms informacin acerca de la conversin de seguridad, consulte Conversin de seguridad en los servidores miembro. Migracin de cuentas de servicio administradas con el complemento ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En el complemento ADMT, haga clic en Accin y, a continuacin, en Asistente para migracin de cuentas de servicio administradas. 3. Complete el Asistente para migracin de cuentas de servicio administradas con la informacin que se proporciona en la tabla siguiente.
268
Pgina del asistente
Accin
Seleccin de dominio
269
Pgina del asistente
Accin
270
Pgina del asistente
Accin
272
Valores
/IF:No
Intraforest=No
/FGM:Yes
/MSS:Yes
MigrateSIDs=Yes
Migrar cuentas de usuario

Los dominios pueden incluir un amplio nmero de cuentas de usuario. Para conseguir que la migracin de cuentas de usuario sea gestionable, use una tcnica denominada transicin en fases, segn la cual se colocan las cuentas de usuarios en lotes ms pequeos y se migra cada uno de los lotes por separado. Puede agrupar los usuarios de la forma en que prefiera. No puede migrar cada propiedad de usuario al migrar cuentas de usuario. Por ejemplo, los datos protegidos con la API de proteccin de datos (DPAPI) no se migran. DPAPI ayuda a proteger los siguientes elementos: Los credenciales de pgina Web (por ejemplo, contraseas) Credenciales de recurso compartido de archivo
Las claves privadas asociadas con EFS, Extensiones seguras multipropsito al correo de Internet (S/MIME) y otros certificados Los datos de programa protegidos mediante la funcin CryptProtectData() Por este motivo, es importante para comprobar las migraciones de usuarios. Utilice su cuenta de migracin de prueba para identificar cualquier propiedad que no se haya migrado y actualice las configuraciones en el dominio de destino consecuentemente. Si usa objetos de directiva de grupo para gestionar la instalacin del software, recuerde que algunos archivos de Windows Installer requieren acceso al origen para determinadas operaciones, como la reparacin o la desinstalacin. El administrador debe reasignar los permisos al punto de distribucin del software para proporcionar acceso a cualquier cuenta. Para conservar el acceso a la distribucin de software, realice estas tareas: 1. Migre cuentas de usuario mediante la Herramienta de migracin para Active Directory (ADMT). 2. Ejecute el Asistente para conversin de seguridad en el punto de distribucin de software.
Migracin de unidades organizativas y subrboles de unidades organizativas

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Si desea copiar unidades organizativas y subrboles de unidades organizativas a su dominio de destino, puede utilizar las opciones de lnea de comandos o de secuencia de comandos y sustituir los parmetros adecuados. Debe especificar una unidad organizativa de origen y otra de destino, y la de destino debe existir. Todos los objetos en la unidad organizativa de origen y en todas las unidades organizativas subordinadas se migran a la unidad organizativa de destino, pero la unidad organizativa de origen especificada en s no se migra. Si usa la opcin de lnea de comandos para migrar las cuentas, grupos o equipos y tambin desea migrar unidades organizativas, modifique la lnea de comandos para utilizar la opcin /D. En lugar de usar la opcin /N (/IncludeName), debe emplear la opcin /D (/IncludeDomain) con RECURSE y MAINTAIN de la siguiente forma: 274
ADMT /D:RECURSE+MAINTAIN /O "<archivo_opcin.txt>"
Si migra cuentas, grupos o equipos mediante la opcin de secuencia de comandos y tambin desea migrar unidades organizativas, modifique la secuencia de comandos para usar la opcin admtDomain. En lugar de usar la opcin admtData o admtFile, debe usar la opcin admtDomain con admtRecurse y admtMaintainHierarchy, de la siguiente forma:
objUserMigration.Migrate admtDomain + admtRecurse + admtMaintainHierarchy
Migracin de cuentas
Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Puede migrar cada lote de cuentas de usuario mediante el complemento de la Herramienta de migracin para Active Directory (ADMT), la opcin de lnea de comandos de ADMT o una secuencia de comandos. Si va a migrar cuentas de usuario que tienen habilitada la seguridad del mecanismo de autenticacin, use un archivo de inclusin. En el archivo de inclusin, especifique el nombre principal de usuario (UPN) original del dominio de origen como UPN de destino para poder mantener en funcionamiento la seguridad del mecanismo de autenticacin. Para obtener ms informacin acerca del uso de un archivo de inclusin, consulte Uso de un archivo de inclusin. Migracin de cuentas de usuario mediante el complemento de ADMT En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. Utilice el Asistente para migracin de cuentas de usuario realizando los pasos de la tabla siguiente:
275
Pgina del asistente
Accin
Seleccin de dominio
Seleccin de usuario
Haga clic en Seleccionar usuarios desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de grupo, haga clic en Agregar para seleccionar los usuarios del dominio de origen que desea migrar al lote actual, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
276
Pgina del asistente
Accin
Asegrese de que ADMT muestra la unidad organizativa de destino correcta. Si no es correcta, escriba la unidad organizativa correcta o haga clic en Examinar. En el cuadro de dilogo Buscar un contenedor, busque el dominio de destino y la unidad organizativa y, a continuacin, haga clic en Aceptar.
Opciones de usuario
Active la casilla de verificacin Convertir perfiles mviles. Active la casilla de verificacin Actualizar derechos de usuario. Desactive la casilla de verificacin Migrar grupos de usuario asociados. Aparecer un cuadro de advertencia que indica que si los grupos globales a los que pertenecen las cuentas de usuario no se migran tambin, el usuario perder el acceso a los recursos. Haga clic en Aceptar para continuar con la migracin.
Haga clic en No migrar el objeto de origen si se detecta un conflicto en el dominio de destino.
Despus de hacer clic en Finalizar en el Asistente para migracin de cuentas de usuario, aparecer el cuadro de dilogo Progreso de la migracin. Una vez que el estado cambia a Completado, vea el registro de migracin para determinar si se han producido errores en el proceso de migracin. En el cuadro de dilogo Progreso de la migracin, haga clic en Cerrar. Las cuentas de usuario migradas pueden iniciar sesin slo en el dominio de destino y se indica que cambien la contrasea la primera vez que inician sesin en el dominio de destino. Migracin de cuentas de usuario mediante la opcin de lnea de comandos de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. Nota Cuando inicie una migracin de usuario con la migracin del historial de SID desde la lnea de comandos, debe ejecutar el comando en un controlador de 277
dominio del dominio de destino. 2. En una lnea de comandos, escriba el comando ADMT apropiados, por ejemplo:
User
con los parmetros
ADMT USER /N "<nombre_usuario1>" "<nombre_usuario2>" /IF:YES /SD:" <dominio_origen>" /TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /TRP:YES /UUR:YES
La tabla siguiente muestra los parmetros necesarios para la migracin de cuentas de usuario, los parmetros de lnea de comandos y los equivalentes del archivo de opciones.
278
Parmetros

/IF:YES

IntraForest=YES
Dentro de un mismo bosque <Dominio de origen> Ubicacin de la <Unidad organizativ a de origen> <Dominio de destino> Ubicacin de la <Unidad organizativ a de destino> Gestin de conflictos Convertir perfil mvil Actualizar derechos de usuario
"
o"
"
/CO:IGNORE /TRP:YES
/UUR:YES
3. Revise si hay errores en los resultados que se muestran en la pantalla. 4. Abra Usuarios y equipos de Active Directory y, a continuacin, localice la unidad organizativa del dominio de destino. Compruebe que los usuarios existen en la unidad organizativa del dominio de destino. Migracin de cuentas de usuario mediante una secuencia de comandos Nota Cuando inicie una migracin de usuario con la migracin del historial de SID 279
desde una secuencia de comandos, se debe ejecutar la secuencia de comandos en un controlador de dominio del dominio de destino. Utilice la siguiente muestra para preparar una secuencia de comandos que incorpore los comandos de ADMT y las opciones para migrar cuentas de usuario dentro de un bosque. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" MigratingUserAccountsWithinForest" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
objMigration.IntraForest = True objMigration.SourceDomain = "dominio de origen" objMigration.SourceOu = "contenedor de origen" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "contenedor de destino"
280
objUserMigration.TranslateRoamingProfile = True objUserMigration.UpdateUserRights = True objUserMigration.FixGroupMembership = True objUserMigration.MigrateServiceAccounts = False
Conversin de perfiles de usuarios locales

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Convierta los perfiles locales de usuario despus de migrar las cuentas de usuario. Para minimizar la interrupcin de los usuarios, convierta los perfiles de usuario locales inmediatamente despus de migrar un lote de usuarios. Si su dominio de origen incluye slo un nmero pequeo de clientes previos a Active Directory, mgrelos como grupo y, a continuacin, convierta sus perfiles de usuario antes de migrar el siguiente lote de usuarios. Normalmente, no se requiere ninguna accin para convertir un perfil local en clientes entre dominios del mismo bosque porque el GUID del usuario sigue siendo el mismo. El perfil local puede utilizar la asignacin SID a GUID que se conserva en el registro para reasignar el perfil del usuario y, a continuacin, reasociarlo con el nuevo identificador de seguridad (SID). Si migra la cuenta de usuario a un dominio dentro del bosque y la ruta de acceso al perfil local es diferente, se modifica el perfil de usuario y se crea una nueva carpeta de perfil en el servidor con las listas de control de acceso (ACL) correctas. El administrador se debe asegurar de que el usuario tenga acceso a la carpeta de perfiles. Puede convertir los perfiles de usuario locales mediante el complemento de la Herramienta de migracin para Active Directory (ADMT), la opcin de lnea de comandos de ADMT o una secuencia de comandos. 281
Precaucin Compruebe que la conversin de perfil de usuario se haya completado correctamente para cada usuario antes de permitir que ese usuario inicie sesin. Si se produce un error en la conversin de perfil de usuario, ese usuario no debe iniciar sesin en el dominio de destino. En ese caso, revierta la cuenta de usuario de forma manual deshabilitando la cuenta de usuario en el dominio de destino y permitiendo la cuenta de usuario en el dominio de origen. Conversin de perfiles de usuarios locales mediante el complemento de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En el complemento de la Herramienta de migracin para Active Directory (ADMT), haga clic en Accin y, a continuacin, haga clic en Asistente para conversin de seguridad. 3. Complete el Asistente para la conversin de seguridad con la informacin de la tabla siguiente.
282
Pgina del asistente
Accin
Haga clic en Objetos previamente migrados. En la opcin Origen de la lista desplegable Dominio, escriba o seleccione el nombre de DNS (Sistema de nombres de dominio) o NetBIOS del dominio de origen. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio. Al realizar una migracin dentro del mismo bosque, el controlador de dominio que realiza el papel de servidor principal de operaciones de identificador relativo (RID) (tambin conocidas como operaciones de servidor principal nico flexible o FSMO) se utiliza siempre como el controlador de dominio de origen, independientemente de su seleccin. En la opcin Destino de la lista desplegable Dominio, escriba o seleccione el nombre de DNS o NetBIOS del dominio de destino. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio y, a continuacin, haga clic en Siguiente.
283
Pgina del asistente
Accin
Seleccin de equipo
Haga clic en Seleccionar equipos desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de equipo, haga clic en Agregar para seleccionar los equipos del dominio de origen que contengan los perfiles de usuario que desea migrar, haga clic en Aceptar y, a continuacin, en Siguiente. O bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Convertir objetos Opciones de conversin de seguridad
Haga clic en Perfiles de usuario. Haga clic en Reemplazar.
Conversin de perfiles de usuarios locales mediante la opcin de lnea de comandos de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el comando ADMT apropiados y, a continuacin, presione ENTRAR.
/TD:" <dominio_destino>" /TOT:REPLACE /TUP:YES Security
con los parmetros
ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:" <dominio_origen>"
ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /O "archivo_opcin.txt "
La siguiente tabla muestra los parmetros necesarios para la conversin de perfiles de usuario locales, los parmetros de lnea de comandos y los equivalentes del archivo de opciones.
284
Parmetros
Dentro de un mismo bosque <Dominio de origen> <Dominio de destino> <Dominio de destino> Modificar la seguridad de perfil de usuario local
/IF:YES
IntraForest=YES
/TOT:REPLACE
/TUP:YES
3. Revise si hay errores en los resultados que se muestran en el registro de migracin. Conversin de perfiles de usuarios locales mediante una secuencia de comandos Utilice la siguiente muestra para preparar una secuencia de comandos que incorpore los comandos de ADMT y las opciones para convertir perfiles de usuario locales. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" TranslatingLocalProfilesWithinForest" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
Set objMigration = CreateObject("ADMT.Migration") Set objSecurityTranslation = objMigration.CreateSecurityTranslation
285
objMigration.IntraForest = True objMigration.SourceDomain = "dominio de origen" objMigration.TargetDomain = "dominio de destino"
Migracin de estaciones de trabajo y servidores miembro

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2
286
Migre estaciones de trabajo y servidores miembro del dominio de origen al dominio de destino. Cuando migra equipos, los cambios no tienen efecto hasta que se reinicie el equipo. Reinicie los equipos que est migrando con la mayor brevedad posible para completar el proceso de migracin. Nota Reinicie las estaciones de trabajo y los servidores miembro inmediatamente despus de agregarlos al dominio de destino seleccionando un nmero bajo para el parmetro RestartDelay. Los recursos que no se han reiniciado despus de la migracin se encuentran en un estado indeterminado. Los Firewall, como Firewall de Windows en Windows XP Service Pack 2 (SP 2), pueden impedir que se complete la migracin de la cuenta de equipo de la Herramienta de migracin para Active Directory (ADMT). Compruebe rigurosamente la migracin de su equipo en un entorno de laboratorio para descubrir cualquier problema potencial antes de realizar la migracin en el entorno de produccin. Para obtener ms informacin sobre la configuracin del Firewall de Windows, consulte Parece que algunos programas dejan de funcionar despus de instalar el Service Pack 2 de Windows XP (http://go.microsoft.com/fwlink/?LinkId=76705) e Introduccin al servicio y requisitos del puerto de red para el sistema Windows Server(http://go.microsoft.com/fwlink/?LinkId=58432). Las cuentas de equipo se tratan de forma diferente que las cuentas de grupo y usuario durante un proceso de migracin entre dominios en un bosque de Active Directory. Mientras que las cuentas de grupo y usuario del dominio de origen se eliminan durante una migracin interna del bosque, las cuentas de equipo se dejan habilitadas en el dominio de origen y se crea una nueva cuenta de equipo en el dominio de destino. Lo que hace posible revertir la migracin del equipo, en caso necesario. Tras completar la migracin y comprobar que el equipo funciona segn lo esperado, puede eliminar de forma segura la cuenta de equipo en el dominio de origen. Si una estacin de trabajo tiene cuentas de servicio administradas instaladas y esas cuentas se han migrado previamente, ADMT proporciona una opcin que permite reinstalar en el equipo migrado la cuenta de servicio administrada migrada y actualizar el Administrador de control de servicios. Para que ADMT pueda realizar esta operacin, la cuenta que realiza la migracin del equipo debe tener permisos para modificar el descriptor de seguridad de la cuenta de servicio administrada migrada. Puede migrar estaciones de trabajo y servidores miembro mediante el complemento de ADMT, la opcin de lnea de comandos de ADMT o una secuencia de comandos. Migracin de estaciones de trabajo y servidores miembro mediante el complemento de ADMT 1. En el equipo del dominio de destino donde se instala ADMT, inicie sesin utilizando una cuenta de usuario que sea miembro del grupo de migracin de recursos de ADMT. 2. Utilice el Asistente para migracin de cuentas de equipos siguiendo los pasos de la tabla siguiente. 287
288
Pgina del asistente
Accin
Seleccin de dominio
Seleccin de equipo
289
Pgina del asistente
Accin
Seleccione cualquier cuenta de servicio administrada que no se tenga que instalar en el equipo migrado en el dominio de destino y, a continuacin, haga clic en Omitir/Incluir para marcar las cuentas como Omitir. Haga clic en Examinar. En el cuadro de dilogo Buscar un contenedor, haga clic en la unidad organizativa del dominio de destino al que se migran los equipos y, a continuacin, haga clic en Aceptar.
Convertir objetos
Haga clic en Reemplazar. Al ejecutar una migracin dentro del mismo bosque, ADMT migra el historial de identificadores de seguridad (SID) y elimina el objeto de origen. Por lo tanto, al realizar una migracin en el mismo bosque, ADMT slo permite la conversin de seguridad en el modo Reemplazar.
Opciones de equipo
En la casilla Minutos que habrn de transcurrir para que se reinicien los equipos tras la finalizacin del asistente, acepte el valor predeterminado de 5 minutos o escriba un valor distinto. Para excluir determinadas propiedades de objeto de la migracin, active la casilla de verificacin Excluir propiedades de objeto especficas de la migracin, seleccione las propiedades de objeto que desee excluir y muvalas a Propiedades excluidas y, a continuacin, haga clic en Siguiente.
290
Pgina del asistente
Accin
Haga clic en No migrar el objeto de origen si se detecta un conflicto en el dominio de destino. Seleccione Ejecutar comprobacin previa y operacin de agente y, a continuacin, haga clic en Inicio.
3. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez finalizado el asistente, haga clic en Ver registro para ver la lista de equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\Agents. Migracin de estaciones de trabajo y servidores miembro mediante la opcin de lnea de comandos de ADMT 1. En el equipo del dominio de destino donde se instala ADMT, inicie sesin utilizando una cuenta de usuario que sea miembro del grupo de migracin de recursos de ADMT. 2. En la lnea de comandos, escriba el comando ADMT apropiados y, a continuacin, presione ENTRAR.
Computer
con los parmetros
ADMT COMPUTER /N "<nombre_equipo1>" "<nombre_equipo2>" /IF:YES /SD:"<dominio_origen>" /TD:"<dominio_destino>" /TO:"<unidad_organizativa_destino>" [/M: "nombre de cuenta de servicio administrada 1 nombre de cuenta de servicio administrada 2] [/UALLMSA:Yes] /RDL:1
La siguiente tabla enumera los parmetros necesarios para la migracin de estaciones de trabajo y servidores miembro, los parmetros de la lnea de comandos y los equivalentes de archivo de opciones.
291
Parmetros
Dentro de un mismo bosque <Dominio de origen> <Dominio de destino> Actualizar las cuentas de servicio administradas especificadas Nota El parme tro /M tiene prefere ncia sobre el parme tro /UALL MSA. Actualizar todas las cuentas de servicio administradas
/IF:YES
IntraForest=YES
/M:nombre
de cuenta de servicio administrada
UpdateMSAName=:nombre
de cuenta de servicio administrada
/UALLMSA: YES
292
Parmetros
Actualizar cuentas de servicio administradas especficas Nota El parme tro /M tiene prefere ncia sobre el parme tro /UALL MSA. Ubicacin de la <Unidad organizativa de destino> Retraso de reinicio (minutos) Gestin de conflictos Opciones de conversin de seguridad Convertir derechos de usuario Convertir grupos locales
/M
nombre 1 nombre 2
UPDATEMSANAME=
nombre 1
nombre 2
estino"
stino"
/RDL:5
RestartDelay=5
/CO:IGNORE /TOT:ADD
TranslationOption=YES
/TUR:YES
/TLG:YES
3. Revise si hay errores en los resultados que se muestran en la pantalla. El registro de migracin muestra los equipos, estado de conclusin y la ruta al archivo de registro para cada equipo. Si se informa de un error en un equipo, tendr que consultar el archivo de registro de dicho equipo para revisar cualquier problema con los grupos locales. El archivo de registro de cada equipo se denomina MigrationTaskID.log, y se almacena en 293
la carpeta Windows\ADMT\Logs\Agents. 4. Abra Usuarios y equipos de Active Directory y, a continuacin, localice la unidad organizativa del dominio de destino. Compruebe que las estaciones de trabajo y los servidores miembro existen en la unidad organizativa del dominio destino. Migracin de estaciones de trabajo y servidores miembro mediante una secuencia de comandos Utilice la siguiente lista para preparar una secuencia de comandos que incorpore los comandos de ADMT y las opciones para migrar estaciones de trabajo y servidores miembro dentro de un bosque. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" MigratingWorkstationsMemberServersWithinForest" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
objMigration.IntraForest = True objMigration.SourceDomain = "dominio de origen" objMigration.SourceOu = "Equipos" objMigration.TargetDomain = "dominio de destino" objMigration.TargetOu = "Equipos"
294
objComputerMigration.TranslationOption = admtTranslateAdd objComputerMigration.TranslateLocalGroups = True objComputerMigration.TranslateUserRights = True objComputerMigration.UpdateAllManagedServiceAccounts = True objComputerMigration.RestartDelay = 1
objComputerMigration.Migrate admtData, _ Array("nombre de equipo1" ,"nombre de equipo2")
Set objComputerMigration = Nothing Set objMigration = Nothing </Script> </Job>
Migrar grupos locales de dominios

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Migre los grupos locales de dominio que existen en el dominio de Active Directory. Puede migrar grupos locales de dominio mediante el complemento de la Herramienta de migracin para Active Directory (ADMT), la opcin de lnea de comandos ADMT o secuencia de comandos. Para migrar grupos locales de dominio usando el complemento de ADMT En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. Utilice el Asistente para migracin de cuentas de grupo siguiendo los pasos de la 295
tabla siguiente.
296
Pgina del asistente
Accin
Seleccin de dominio
En la opcin Origen de la lista desplegable Dominio, escriba o seleccione el nombre de DNS (Sistema de nombres de dominio) o NetBIOS del dominio de origen. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio. Al realizar dentro del mismo bosque, el controlador de dominio que realiza el papel de servidor principal de operaciones de identificador relativo (RID) (tambin conocidas como operaciones de servidor principal nico flexible o FSMO) se utiliza siempre como el controlador de dominio de origen, independientemente de su seleccin. En la opcin Destino de la lista desplegable Dominio, escriba o seleccione el nombre de DNS o NetBIOS del dominio de destino. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio y, a continuacin, haga clic en Siguiente.
Seleccin de grupo
297
Pgina del asistente
Accin
Escriba el nombre de la unidad organizativa o haga clic en Examinar. En Buscar un contenedor, busque la unidad organizativa en el dominio de destino a la que desea migrar los grupos locales de dominio y, a continuacin, haga clic en Aceptar.
Opciones de grupo
Conflictos de nombre
Haga clic en Omitir las cuentas en conflicto y no migrar.
Para migrar grupos locales de dominio usando la opcin de lnea de comandos de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el comando ADMT adecuados y, a continuacin, presione ENTRAR:
GROUP
con los parmetros
ADMT GROUP /N "<nombre_grupo1>" "<nombre_grupo2>" /IF:YES /SD:" <dominio_origen>" /TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>"
Como alternativa, puede incluir parmetros en un archivo de opciones que se especifique en la lnea de comandos, de la manera siguiente:
En la tabla siguiente se muestran los parmetros necesarios para migrar grupos locales de dominio, los parmetros de lnea de comandos y los equivalentes del archivo de opciones. Para obtener una lista completa de todos los parmetros disponibles, consulte la Ayuda de ADMT v3.1.
298
Parmetros

/IF:YES

IntraForest=YES
o"
"
/CO:IGNORE
3. Revise si hay errores en los resultados que se muestran en la pantalla. 4. Abra Usuarios y equipos de Active Directory y, a continuacin, localice la unidad organizativa del dominio de destino. Compruebe que los grupos locales de dominio existen en la unidad organizativa del dominio de destino. Migracin de grupos locales de dominio mediante una secuencia de comandos Utilice una secuencia de comandos que incorpora comandos y opciones de ADMT para migrar grupos locales de dominio. Puede usar la misma secuencia de comandos que ha usado para migrar grupos universales. Para obtener ms informacin sobre la migracin de grupos universales, consulte Migrar grupos universales, anteriormente en esta gua.
Ejemplo: Reestructuracin de dominios de Active Directory

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Contoso Corporation desea migrar los objetos del dominio frica al dominio EMEA. Para minimizar el impacto sobre los usuarios y reducir el tiempo en que el trfico de red resultara afectado, Contoso decidi realizar la migracin de objetos de dominio en el menor tiempo posible. Durante la migracin, todos los grupos globales que se migran se convierten en grupos universales hasta que cada usuario propietario del grupo se migre al dominio de destino. Como 299
el bosque incluye dominios que se ejecutan en el nivel funcional de Windows Server 2003, slo se replican los cambios graduales de pertenencia de los grupos universales en el catlogo global. Los administradores de Contoso crearon un exhaustivo laboratorio de pruebas para analizar el proceso de migracin antes de continuar. Probando los procedimientos determinaron que podran completar el proceso de migracin en dos semanas. Los grupos universales y globales se migraran el lunes y el martes de la primera semana. El mircoles se migraran las cuentas de servicio y se actualizaran los servicios. Jueves, viernes y sbado se reservaran para la migracin de cuentas de usuario. Los servidores se migraran el domingo de la primera semana. La segunda semana se dedicara a la migracin de servidores y estaciones de trabajo. Los grupos locales se migraran al final de la segunda semana.
Finalizacin de las tareas posteriores a la migracin

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Una vez completadas todas las tareas de migracin necesarias para reestructurar sus dominios de Active Directory en un bosque, debe verificar que la migracin se produjo segn lo planeado y completar algunas tareas posteriores a la migracin. La siguiente ilustracin muestra el proceso de realizacin de las tareas posteriores a la migracin.
300
Examen de los registros de migracin en busca de errores

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 La Herramienta de migracin para Active Directory (ADMT) conserva un registro detallado de cada accin que realiza cuando migra recursos entre dominios de Active Directory. Los errores que se producen durante el proceso de migracin se incluyen en el registro de migracin, aunque no produzcan un mensaje de advertencia en ADMT. La comprobacin del registro de migracin tras la migracin es una buena forma de comprobar que todas las tareas se han completado correctamente. Dado que es importante completar los pasos de la migracin en un orden especfico, es mejor comprobar el registro de migracin despus de cada paso, de manera que pueda descubrir cualquier error a tiempo para solucionarlo. Nota Los archivos de registro se crean en la carpeta Windows\ADMT\Logs del equipo donde est instalada ADMT.
Acceso a archivos de registro de ADMT

ADMT registra cada tarea de migracin y almacena los registros en la base de datos de ADMT. Los registros de las ltimas 20 tareas de migracin se almacenan en el equipo local. Puede ver la informacin del registro que se almacena en la base de datos de ADMT desde el complemento de ADMT, o puede usar el comando admt task para recuperar y almacenar dicha informacin en una ubicacin especfica. Cuando realiza migraciones entre distintos bosques, puede seleccionar si desea registrar los atributos de cada usuario, grupo y objeto de equipo migrado. Se denomina registro detallado y se realiza con el comando admt config logging. Para obtener ms informacin y ejemplos de comandos relacionados con el acceso a los archivos de registro de ADMT, busque "admt config logging" o "admt task" en la Ayuda de ADMT.
Comprobar tipos de grupos

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 La Herramienta de migracin para Active Directory (ADMT) cambia los grupos globales en grupos universales cuando los migra desde el dominio de origen al de destino. El cambio tiene lugar automticamente porque los grupos globales slo pueden contener miembros de su propio dominio. Por tanto, no pueden continuar siendo grupos globales cuando se migran a otro dominio hasta que migran los miembros del grupo. ADMT vuelve a cambiar los grupos universales a grupos globales cuando el ltimo miembro del grupo migra al dominio de destino. Como los
301
grupos universales replican su pertenencia en el catlogo global, es importante comprobar que los grupos universales se han vuelto a cambiar correctamente en grupos globales. Use el complemento Usuarios y equipos de Active Directory para comprobar que los grupos universales han migrado correctamente. Si ha cambiado manualmente los grupos locales de dominio en grupos universales, asegrese de que los vuelve a cambiar en grupos locales de dominio cuando todos los recursos hayan migrado.
Conversin de seguridad en los servidores miembro

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Convierta la seguridad en los servidores miembro para limpiar las listas de control de acceso (ACL) de los recursos. Tras la migracin de los objetos al dominio de destino, los recursos contienen entradas de listas ACL de los objetos del dominio de origen. Aunque el historial de identificadores de seguridad (SID) proporciona acceso a los recursos durante la migracin, las listas ACL se deben limpiar despus de la migracin para contener el nuevo SID principal de los grupos migrados. Use el Asistente para conversin de seguridad en ADMT para reemplazar los SID del dominio de origen con los SID del dominio de destino. Importante Si ha migrado cuentas de servicio administradas entre dominios dentro del mismo bosque, ejecute la conversin de seguridad en los servidores miembro del dominio de origen que tengan recursos con permisos de acceso a la cuentas de servicio administradas. Las cuentas de servicio administradas que se migran entre diferentes dominios en el mismo bosque se copian. Se crea una nueva cuenta en el dominio de destino y las propiedades de la cuenta (excepto SID) se copian desde el dominio de origen. Por tanto, ser necesario ejecutar la conversin de seguridad. Para obtener ms informacin, consulte Migracin de cuentas de servicio administradas. Conversin de seguridad en servidores miembro mediante el complemento de ADMT En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. Utilice el Asistente para la conversin de seguridad siguiendo los pasos de la tabla siguiente.
302
Pgina del asistente
Accin
Haga clic en Objetos previamente migrados. Si planea usar un archivo de asignacin de SID, haga clic en Otros objetos especificados en un archivo y, a continuacin, proporcione la ubicacin del archivo de asignacin de SID que ha creado.
Seleccin de dominio
En la opcin Origen de la lista desplegable Dominio, escriba o seleccione el nombre de DNS (Sistema de nombres de dominio) o NetBIOS del dominio de origen. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio. Al realizar dentro del mismo bosque, el controlador de dominio que realiza el papel de servidor principal de operaciones de identificador relativo (RID) (tambin conocidas como operaciones de servidor principal nico flexible o FSMO) se utiliza siempre como el controlador de dominio de origen, independientemente de su seleccin. En la opcin Destino de la lista desplegable Dominio, escriba o seleccione el nombre de DNS o NetBIOS del dominio de destino. En la lista desplegable Controlador de dominio, escriba o seleccione el nombre del controlador de dominio o seleccione Cualquier controlador de dominio y, a continuacin, haga clic en Siguiente.
303
Pgina del asistente
Accin
Seleccin de equipo
Haga clic en Seleccionar equipos desde dominio y, a continuacin, haga clic en Siguiente. En la pgina Seleccin de cuentas de servicio, haga clic en Agregar para seleccionar las cuentas del dominio de origen que desea migrar, haga clic en Aceptar y, a continuacin, en Siguiente. - o bien Haga clic en Leer objeto de un archivo de inclusin y, a continuacin, en Siguiente. Escriba la ubicacin del archivo de inclusin y haga clic en Siguiente.
Convertir objetos
Haga clic en Archivo y carpetas, Recursos compartidos, Impresoras, Derechos de usuario y Registro. Haga clic en Reemplazar.
Conversin de seguridad en los servidores miembro mediante la opcin de lnea de comandos de ADMT 1. En el equipo del dominio de destino en el que ADMT est instalado, inicie sesin con la cuenta de migracin de cuentas ADMT. 2. En la lnea de comandos, escriba el siguiente comando y, a continuacin, presione ENTRAR:
ADMT Security /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:" <dominio_origen>" /TD:" <dominio_destino>"
Donde <nombre_equipo1> y <nombre_equipo2> son los nombres de los equipos para los que desea convertir la seguridad. Como alternativa, puede incluir parmetros en un archivo de opciones que se especifica en la lnea de comandos, de la manera siguiente:
ADMT Security /N "<nombre_equipo1>" "<nombre_equipo2>" /O:" <archivo_opcin>.txt"
La siguiente tabla enumera los parmetros comunes que se utilizan para la conversin de seguridad en servidores miembro, junto con el parmetro de lnea de comandos y los equivalentes de archivo de opciones.
304
Parmetros
3. Revise si hay errores en los resultados que se muestran en la pantalla. Conversin de seguridad en servidores miembro mediante una secuencia de comandos Utilice la siguiente muestra para preparar una secuencia de comandos que incorpore los comandos de ADMT y las opciones para convertir la seguridad en servidores miembro. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la extensin .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" TranslatingSecurityOnMemberServersWithinForest" > <Script language="VBScript" <Script language="VBScript" > Option Explicit src="AdmtConstants.vbs" />
objMigration.IntraForest = True objMigration.SourceDomain = "dominio de origen" objMigration.TargetDomain = "dominio de destino"
305
objMigration.TargetOu = "Equipos"
objSecurityTranslation.TranslationOption = admtTranslateReplace objSecurityTranslation.TranslateFilesAndFolders = True objSecurityTranslation.TranslateLocalGroups = True objSecurityTranslation.TranslatePrinters = True objSecurityTranslation.TranslateRegistry = True objSecurityTranslation.TranslateShares = True objSecurityTranslation.TranslateUserProfiles = False objSecurityTranslation.TranslateUserRights = True
Conversin de seguridad mediante un archivo de asignacin SID

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Si tiene que convertir la seguridad de forma que los permisos que se conceden a la cuenta o grupo de origen se concedan ahora a la cuenta de destino, use un archivo de asignacin de 306
identificador de seguridad (SID) para asociar las dos cuentas. El archivo de asignacin de SID es un archivo con formato de valores separados por comas (CSV) que enumera pares de cuentas, bien en formato de nombre de cuenta de Windows NT (dominio\nombre) o en formato SID. La cuenta de la izquierda es la cuenta de origen y la de la derecha la cuenta de destino. La conversin de seguridad de la Herramienta de migracin para Active Directory (ADMT) convierte la seguridad de la cuenta de origen a la de destino. Puede hacer referencia al archivo de asignacin SID en el Asistente para conversin de seguridad o desde la lnea de comandos. La opcin es /SMF de forma que toda la lnea de comandos es similar a la siguiente:
ADMT SECURITY /N "<nombre_equipo>" /SMF:"<ruta_acceso_archivo_asignacin_sid>"
Baja del dominio de origen

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Una vez que haya migrado todos los objetos del dominio de origen al dominio de destino, incluidos todos los equipos y servidores miembro, slo los controladores de dominio permanecen en el dominio de origen. Para dar de baja el dominio de origen, ejecute el Asistente para la instalacin de Active Directory para quitar Active Directory o los Servicios de dominio de Active Directory (AD DS) de los controladores de dominio en el dominio de origen. Migre los controladores de dominio del dominio de origen al dominio de destino como servidores miembros. Si es necesario, segn la nueva funcin que se ha planificado para los servidores en el dominio de destino, utilice el Asistente para la instalacin de Active Directory para instalar Active Directory o AD DS en los servidores miembro para devolverlos al estado de controlador de dominio en el dominio de destino. Ejecute la conversin de seguridad en los controladores de dominio, si en el equipo residen recursos que se usarn como nuevo controlador de dominio.
Ejemplo: Finalizacin de las tareas posteriores a la migracin

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 El equipo postmigracin de Contoso Corporation inicia las tareas de postmigracin durante la primera semana de la migracin. Los miembros del equipo examinan el registro de migracin una vez se ha completado el primer grupo de migraciones el primer da. Analizan el registro de migraciones y definen la accin necesaria para migrar las cuentas en las que encuentren errores. De esta forma, el equipo de migracin puede continuar con la migracin sin interrupciones. Durante la segunda semana del proceso de migracin, el equipo de implementacin verifica que los grupos globales han vuelto del estado de grupo universal al de grupo global una vez se ha completado la migracin de usuarios. Una vez se han migrado los servidores miembro, el equipo de implementacin ejecuta el Asistente para conversin de seguridad para quitar los identificadores de seguridad (SID) del dominio de origen de las listas de control de acceso (ACL) 307
de los servidores miembro. Finalmente, los miembros del equipo de implementacin dan de baja el dominio frica al final de la segunda semana quitando Active Directory o AD DS de los controladores de dominio en el dominio frica. A continuacin, migran los controladores de dominio al dominio Europa, Oriente Medio y frica como servidores miembro.
Apndice: Procedimientos avanzados

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Los siguientes son procedimientos avanzados que puede utilizar para realizar varias tareas de utilidad cuando reestructura dominios mediante la Herramienta de migracin Active Directory versin (ADMT). Configurar un controlador de dominio preferido Cambiar los nombres de objetos durante la migracin Uso de un archivo de inclusin Uso de un archivo de opciones
Configurar un controlador de dominio preferido

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 La Herramienta de migracin para Active Directory (ADMT) permite seleccionar el controlador de dominio de origen y de destino que se va a usar en una herramienta en lugar de depender del ubicador del controlador de dominio para seleccionarlos. La pgina Seleccin de dominio, que contiene todos los asistentes de ADMT, incluye ahora una forma de seleccionar un controlador de dominio de origen y de destino explcito. Slo se puede seleccionar un controlador de dominio de escritura como controlador de dominio preferido. Como alternativa, puede seleccionar Cualquier controlador de dominio en la lista desplegable. Si especifica un controlador de dominio, se utilizar dicho controlador de dominio si est disponible. Si selecciona Cualquier controlador de dominio, ADMT busca un controlador de dominio preferido. Si no se ha configurado ninguno, ADMT usa el ubicador del controlador de dominio para ubicar un controlador de dominio en el dominio especificado. Tambin puede especificar un controlador de dominio preferido mediante la opcin de lnea de comandos admt config. Debe configurar de manera independiente los controladores de dominio de origen y destino. Una vez configurado el controlador de dominio preferido, ADMT determina su validez y disponibilidad y, a continuacin, lo utiliza automticamente cada vez que se ejecuta ADMT. Nota Al realizar una migracin dentro de un mismo bosque, el controlador de dominio que 308
siempre se usa de forma predeterminada. Si selecciona un controlador de dominio distinto del servidor principal de RID como controlador de dominio preferido, ADMT anula su seleccin y siempre utiliza el servidor principal de RID. Para configurar un controlador de dominio preferido en el dominio de origen En un smbolo de sistema, escriba el siguiente comando y, a continuacin, presione ENTRAR:
admt config setdomaincontroller /Domain:<NombreDominio> /sdc:<ControladorDominioOrigen>
Valor
Descripcin
NombreDominio SourceDomainController
Especifica el nombre de un dominio de Active Directory. Especifica el nombre del equipo de un controlador de dominio del dominio de origen.
Para configurar un controlador de dominio preferido en el dominio de destino En un smbolo de sistema, escriba el siguiente comando y, a continuacin, presione ENTRAR:
admt config setdomaincontroller /Domain:<NombreDominio> /tdc:<ControladorDominioDestino>
Valor
Descripcin
NombreDominio TargetDomainController
Especifica el nombre de un dominio de Active Directory. Especifica el nombre del equipo de un controlador de dominio del dominio de destino.
Tambin puede borrar el controlador de dominio preferido que ha configurado en el dominio de origen o destino. Para borrar los controladores de dominio preferidos de un dominio especificado En un smbolo de sistema, escriba el siguiente comando y, a continuacin, presione ENTRAR:
admt config cleardomaincontrollers /Domain:<NombreDominio>
309
Valor
Descripcin
NombreDominio
Especifica el nombre de un dominio de Active Directory.
Tambin puede mostrar los controladores de dominio preferidos que ha configurado en el dominio de origen o destino. Para mostrar los controladores de dominio preferidos que ha configurado En un smbolo de sistema, escriba el siguiente comando y, a continuacin, presione ENTRAR:
admt config getdomaincontrollers
Cambiar los nombres de objetos durante la migracin

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 En la Herramienta de migracin Active Directory (ADMT), puede usar un archivo de inclusin para cambiar el nombre de los objetos del dominio de origen de manera que adquieran un nuevo nombre despus de migrarlos al dominio de destino. Para obtener ms informacin sobre cmo usar un archivo de inclusin durante una migracin, consulte Uso de un archivo de inclusin. Use el formato siguiente en un archivo de inclusin para cambiar el nombre del equipo, usuario u objetos de grupo durante la migracin. Cambio de nombre de objetos mediante un archivo de inclusin Use SourceName, TargetRDN, TargetSAM y TargetUPN como encabezados de columna en la parte superior del archivo de inclusin. SourceName es el nombre de la cuenta de origen y se debe mostrar como el encabezado de la primera columna. Nota Si el nombre principal de usuario (UPN) de destino de un usuario exige que especifique un nombre de dominio diferente del UPN del dominio de destino, use este formato para garantizar que el nombre de usuario se conserva y que ADMT no lo modifica durante la migracin. Debe especificar el nombre de cuenta como nombre de usuario, nombre distintivo relativo o nombre cannico. Si especifica el nombre de cuenta como un nombre distintivo relativo, tambin debe especificar la unidad organizativa de origen. Los encabezados de columna TargetRDN, TargetSAM y TargetUPN son opcionales 310
y puede incluirlos en cualquier orden. Nota El encabezado de columna TargetUPN slo es relevante durante las migraciones de cuentas de usuario porque las cuentas de grupos y equipos no tienen UPN. A continuacin se incluyen ejemplos de archivos de inclusin vlidos en los que se usa la opcin de cambio de nombre: SourceName,TargetSam abc,def Esta entrada de archivo de inclusin cambia el nombre de cuenta de TargetSam para el usuario "abc" a "def.". TargetRDN y TargetUPN, que no se han especificado en el archivo de inclusin, no cambian como resultado de la migracin. SourceName,TargetRDN,TargetUPN abc,CN=def,def@contoso.com Esta entrada de archivo de inclusin cambia TargetRDN para el usuario abc a CN=def y TargetUPN a def@contoso.com. TargetSAM para el usuario abc no cambia como resultado de la migracin. Importante Debe especificar CN= antes de usar un valor RND.
Uso de un archivo de inclusin

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Cuando migra un gran nmero de usuarios, grupos o equipos, es ms eficaz utilizar un archivo de inclusin. Un archivo de inclusin es un archivo de texto en el que se incluyen los objetos de usuario, grupo y equipo que desea migrar, con cada objeto en una lnea separada. Puede incluir usuarios, grupos y equipos juntos en un archivo o puede crear un archivo independiente para cada tipo de objeto. Una vez creado el archivo (o archivos) de inclusin, especifique el nombre del archivo durante la migracin. La Herramienta de migracin para Active Directory (ADMT) obtiene acceso al archivo para obtener la informacin apropiada.
Especificacin de un archivo de inclusin

Desde un asistente de ADMT Desde la lnea de comandos
311
Especificacin de un archivo de inclusin desde un asistente de ADMT En: La pgina Opcin de seleccin de equipos del Asistente para migracin de equipos La pgina Opcin de seleccin de usuarios del Asistente para migracin de cuentas de usuario La pgina Opcin de seleccin de grupos del Asistente para migracin de cuentas de grupo Haga clic en Leer objetos de un archivo de inclusin. Cuando se muestre un mensaje, especifique la ubicacin del archivo de inclusin. Especificacin de un archivo de inclusin desde la lnea de comandos En un smbolo de sistema, escriba el siguiente comando y, a continuacin, presione ENTRAR:
admt computer /sd:<DominioOrigen> /td:<DominioDestino> /F:<NombreArchivoInclusin>
Nota Para obtener la sintaxis de lnea de comandos apropiada para la migracin de usuarios y grupos, busque "admt user" y "admt group" en la Ayuda de ADMT versin 3.1 (v3.1). La siguiente informacin describe los campos de un archivo de inclusin y proporciona ejemplos de cada campo: Campo SourceName El campo SourceName especifica el nombre del objeto de origen. Puede especificar un nombre de cuenta o un nombre distintivo relativo. Si slo especifica nombres de origen, es opcional definir un encabezado en la primera lnea del archivo. Los siguientes ejemplos incluyen una lnea de encabezado que indica el campo SourceName y un nombre de objeto de origen que se especifica en varios formatos. La segunda lnea especifica un nombre de cuenta. La tercera lnea especifica un nombre de cuenta en formato de nombre de cuenta de Windows NT 4.0. La cuarta lnea especifica un nombre distintivo relativo. SourceName name domain\name CN=name Campo TargetName Puede utilizar el campo TargetName para especificar un nombre base que se utilice para generar un nombre distintivo relativo de destino, un nombre de cuenta del Administrador de cuentas de seguridad (SAM) y un nombre principal de usuario de destino (UPN). El campo TargetName no se puede combinar con otros campos de nombre de destino que se describirn a continuacin. 312
Nota El UPN de destino se genera slo para los objetos de usuario y slo se genera un prefijo de UPN. Se anexa un sufijo de UPN mediante un algoritmo que depende de si se define un sufijo de UPN para la unidad organizativa de destino o para el bosque de destino. Si el objeto es un equipo, el nombre de cuenta del SAM de destino incluye un sufijo "$". Dada la entrada del siguiente ejemplo, el nombre distintivo relativo de destino, el nombre de cuenta del SAM de destino y el UPN de destino generado son "CN=newname", "newname" y "newname" respectivamente. SourceName,TargetName oldname, newname Campos TargetRDN, TargetSAM y TargetUPN Puede utilizar los campos TargetRDN, TargetSAM y TargetUPN para especificar nombres de destino diferentes para cada uno. Puede especificar una combinacin de estos campos en cualquier orden. TargetRDN especifica el nombre distintivo relativo de destino del objeto. TargetSAM especifica el nombre de cuenta del SAM de destino del objeto. Tenga en cuenta que en los equipos el nombre debe incluir un sufijo "$" para que sea un nombre de cuenta de SAM vlido para un equipo. TargetUPN especifica el nombre principal de usuario (UPN) de destino del objeto. Puede especificar slo el prefijo de UPN o un nombre completo de UPN (prefix@suffix). Si el nombre que especifica contiene caracteres " "o ",", debe incluir el nombre entre comillas dobles ("). Adems, un carcter "," debe estar precedido de un carcter de espacio "\", de lo contrario se producir un error en la operacin y ADMT registrar un error de sintaxis no vlido en el archivo de registro. SourceName,TargetRDN oldname, CN=newname SourceName,TargetRDN,TargetSAM oldname, "CN=New RDN", newsamname SourceName,TargetRDN,TargetSAM,TargetUPN oldname, "CN=last, first", newsamname, newupnname SourceName,TargetSAM,TargetUPN,TargetRDN Nota Utilice este formato cuando cambie el nombre de objetos de usuario, por ejemplo, para llevar a cabo la especificacin de un dominio de destino de un dominio diferente para el UPN de destino. Para obtener ms informacin, consulte Cambiar los nombres de objetos durante la migracin. oldname, newsamname, newupnname@targetdomain.com, "CN=New Name"
313
Nota Tambin puede cambiar el nombre de objetos durante la migracin mediante un archivo de inclusin. Para obtener ms informacin sobre cmo utilizar un archivo de inclusin, consulte Cambiar los nombres de objetos durante la migracin.
Uso de un archivo de opciones

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Puede usar archivos de opciones para especificar uno o ms parmetros para las tareas de migracin. Un archivo de opciones elimina la necesidad de proporcionar parmetros cada vez que ejecuta una tarea desde la lnea de comandos. Dispone de dos opciones para crear un archivo de opciones. Puede: Crear un nico archivo de opciones que contenga sectores para cada tipo de tarea de migracin. Crear archivos de opciones independientes con configuraciones exclusivas para cada tipo de tarea de migracin. La seccin de migracin del archivo de opcin especifica los parmetros que se aplican a todas las tareas. Las siguientes secciones especifican los parmetros concretos de cada tarea. Use el siguiente archivo de opciones como referencia para personalizar el archivo de opciones de su migracin. [Migracin] IntraForest=No SourceDomain=nombreDeDominioDeOrigen SourceOu=SourceOuPath TargetDomain=nombreDeDominioDeDestino TargetOu=TargetOuPath PasswordOption=Complex PasswordServer="" PasswordFile="" ConflictOptions=Ignore UserPropertiesToExclude="" InetOrgPersonPropertiesToExclude="" GroupPropertiesToExclude="" ComputerPropertiesToExclude="" [Usuario] DisableOption=EnableTarget SourceExpiration=None 314
MigrateSIDs=Yes TranslateRoamingProfile=No UpdateUserRights=No MigrateGroups=No UpdatePreviouslyMigratedObjects=No FixGroupMembership=Yes MigrateServiceAccounts=No UpdateGroupRights=No [Grupo] MigrateSIDs=Yes UpdatePreviouslyMigratedObjects=No FixGroupMembership=Yes UpdateGroupRights=No MigrateMembers=No DisableOption=EnableTarget SourceExpiration=None TranslateRoamingProfile=No MigrateServiceAccounts=No [Seguridad] TranslationOption=Add TranslateFilesAndFolders=No TranslateLocalGroups=No TranslatePrinters=No TranslateRegistry=No TranslateShares=No TranslateUserProfiles=No TranslateUserRights=No SidMappingFile=SidMappingFile Se pueden incluir comentarios para las opciones agregando un punto y coma al comienzo de la lnea. Nota Cuando no se especifica un parmetro, se usa el parmetro predeterminado.
315
Solucin de problemas de ADMT

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Para solucionar cualquier problema durante el proceso de migracin, siga estas recomendaciones: Solucin de problemas de instalacin de ADMT Solucin de problemas relativos a la migracin de usuarios Solucin de problemas relativos a la migracin de grupos Solucin de problemas relativos a la migracin de cuentas de servicios Solucin de problemas relativos a la migracin de cuentas de servicios administradas Solucin de problemas relativos a la migracin de equipos Solucin de problemas relativos a la migracin de contraseas Solucin de problemas relativos a la conversin de seguridad Solucin de problemas relativos a la migracin dentro de un mismo bosque Solucin de problemas relativos a los archivos de registro de ADMT Solucin de problemas relativos a la lnea de comandos de ADMT Solucin de problemas relativos a las operaciones de agentes
Solucin de problemas de instalacin de ADMT

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 En este tema se describen problemas conocidos relacionados con la instalacin de la Herramienta de migracin Active Directory. Error en el inicio de ADMT despus de que la instalacin se realice correctamente y cuando la versin de la base de datos es 0.0 Cuando la instalacin de ADMT puede ubicar la instancia de la base de datos de SQL Server Express Edition pero no puede crear la base de datos de ADMT como consecuencia de un acceso denegado o por cualquier otro motivo, la instalacin de ADMT puede realizarse correctamente pero la pgina Finalizar indica Versin de base de datos: 0.0. La versin de base de datos puede obtenerse tambin desde el archivo de registro en %windir %\ADMT\Logs\admtsetup.log. En este caso, se encontrar con el siguiente error cuando intente iniciar ADMT: No se pueden comprobar las acciones errneas...Error de inicio de sesin del usuario. El usuario no est asociado a una conexin de SQL Server de confianza. Para solucionar este error: 1. Desinstale ADMT. 316
2. Compruebe que el usuario ha escrito el acceso en la instancia especificada y puede crear la base de datos. El grupo de cuentas de servicio de SQL Server Express Edition que se crea durante la instalacin de SQL Server cuenta con permisos de acceso a la carpeta de base de datos de ADMT. Es necesario agregar al usuario que instala ADMT al grupo de cuentas de servicio. No obstante, si la cuenta que se utiliza para instalar ADMT es la misma que se utiliz para instalar SQL Server Express Edition, la cuenta se agrega a este grupo como parte de la instalacin de SQL Server. En SQL Server 2005 Express Edition, el grupo de cuentas de servicio es SQLServer2005MSSQLUser$nombre del equipo$nombre de instancia. En SQL Server 2008 Express Edition, el grupo de cuentas de servicio es SQLServerMSSQLUser$nombre del equipo$nombre de instancia. 3. Reinstale ADMT. Nota Si observa este comportamiento con la versin completa de SQL Server, compruebe que la cuenta que instala ADMT tiene permisos para crear y conectarse a la base de datos en la instancia de SQL Server.
Solucin de problemas relativos a la migracin de usuarios

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 En este tema se describen problemas conocidos relativos a la migracin de usuarios con la Herramienta de migracin Active Directory. Los caracteres especiales se sustituyen cuando se migran los nombres de cuentas ADMT sustituye los siguientes caracteres por un signo de subrayado _ en el nombre de cuenta del Administrador de cuentas de seguridad (SAM) y en el nombre principal de usuario (UPN) de versiones anteriores a Windows 2000: "*+,/:;<=>?[\]| El punto . se sustituye por un signo de subrayado _ si es el ltimo carcter del nombre. La pertenencia a grupos de las cuentas de destino se actualiza despus de las posteriores migraciones de usuarios Al migrar un usuario que se ha migrado anteriormente, la opcin Migrar grupos de usuario asociados del Asistente para migracin de cuentas de usuarios actualiza la pertenencia a grupos de la cuenta migrada. Durante las posteriores migraciones de usuarios, cualquier grupo nuevo del que la cuenta de usuario de origen sea miembro se agrega a la pertenencia del grupo del usuario en la cuenta de destino.
317
Ejemplo: Roberto es un usuario del dominio HB-ACCT-WC. Es miembro del grupo HB-ACCT-WC \Writers y se migra junto con el grupo Writers al dominio de destino hay-buv.tld (nombre NetBIOS HAY-BUV). Tras la primera migracin, Roberto es miembro de HAY-BUV\Writers. Roberto tambin se agrega a los siguientes grupos en el dominio de origen despus de su primera migracin: 1. HB-ACCT-WC\Roberto se agrega al grupo HB-ACCT-WC\Editors 2. HAY-BUV\Roberto se agrega a HAY-BUV\TechEditors. Cuando se vuelva a migrar la cuenta HB-ACCT-WC\Roberto para revisar sus cuentas de grupo, HAY-BUV\Roberto ser miembro de HAY-BUV\Writers. Para restablecer la cuenta solamente con los grupos del usuario de origen, deber eliminar la cuenta de destino y despus repetir la migracin de la cuenta de origen. Tambin se pueden volver a migrar grupos con la opcin Quitar los miembros existentes. Los permisos de un usuario migrado desde un dominio de Active Directory se restablecen a sus valores predeterminados durante la migracin. Al migrar un usuario desde un dominio a otro de Active Directory, el Asistente para migracin de cuentas de usuario crea un nuevo descriptor de seguridad en objetos de usuario migrados con opciones de configuracin del dominio de destino. La ficha Seguridad slo es visible si selecciona Ver\Caractersticas avanzadas. Este comportamiento se produce de forma predeterminada porque el dominio de destino, y no el de origen, dicta la configuracin de seguridad de la cuenta de usuario migrada. Se muestra un mensaje de error incorrecto durante la correccin de un grupo de usuarios si se elimina una cuenta Despus de una migracin, si se elimina una cuenta de usuario del dominio de destino y se migra un grupo que contena la cuenta de usuario en el dominio de origen (como miembro de otro grupo) entre los mismos dominios, ADMT registra el siguiente mensaje de error incorrecto: No se puede agregar <cuenta> a <grupo>, porque <cuenta> no ha migrado al dominio de destino. Si recibe este mensaje de error, vuelva a migrar la cuenta de usuario al dominio de destino. Se ha ignorado la exclusin de la propiedad useraccountcontrol La propiedad de usuario userAccountControl siempre se copia cuando migra desde dominios Windows NT 4.0. Incluso si elige excluir esta propiedad en la pgina del asistente Exclusin de propiedad de objetos, se ignora la exclusin y se migra la propiedad. Sin embargo, cuando migra desde dominios Active Directory, la exclusin de esta propiedad se cumple y no se copia durante la migracin de usuario. No ha funcionado la opcin Quitar los derechos de usuario existentes. Causa: no se puede realizar esta operacin si la plantilla Directiva de grupo asociada a un usuario cuyos derechos de usuario se estn quitando contiene el nombre cualificado del usuario que no es del dominio (por ejemplo, si contiene Usuario1 en lugar de DominioA\Usuario1). Solucin: corrija la entrada del nombre de usuario en la plantilla Directiva de grupo. Cuando intenta migrar usuarios con el historial SID, recibe el siguiente error: 318
No se puede migrar usuarios. No se realiz la siguiente configuracin requerida para el historial SID. No se habilit la auditora en el dominio de destino. Error no especificado (0x80004005) Este error se puede deber a que algunas subcategoras de la directiva de auditora del servicio de directorio no estn habilitadas de forma predeterminada en Windows Server 2008 y Windows Server 2008 R2. Para migrar usuarios con su SID History deben estar habilitadas todas las subcategoras. Para obtener ms informacin acerca de cmo habilitarlas, consulte Configuracin de los dominios de origen y destino para la migracin del historial de SID.
Solucin de problemas relativos a la migracin de grupos

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 En este tema se describen problemas conocidos relativos a la migracin de grupo con la Herramienta de migracin Active Directory. El grupo local contiene tanto la cuenta de origen como la cuenta de destino cuando se migra dicha cuenta despus de migrar el grupo local Cuando migra un miembro de un grupo local migrado previamente, la cuenta de origen de ese miembro no se quita al agregar el miembro de destino. Si se migra el miembro antes de migrar el grupo local, slo se agrega el miembro de la cuenta de destino. Este comportamiento se produce de forma predeterminada y slo se aplica a migraciones de un bosque a otro. La lista de miembros de grupo no se actualiza en un grupo que incluye un grupo migrado de otro dominio Si migra un grupo, todo grupo de otro dominio que incluya el grupo original como miembro seguir haciendo referencia al grupo del dominio de origen. Cuando realiza una migracin dentro del mismo bosque, los miembros de grupo mantienen el acceso a los recursos porque el historial de identificadores de seguridad (SID) se migra automticamente. Cuando realiza una migracin dentro del mismo bosque, la pertenencia a un grupo debe corregirse a menos que se migre el historial de SID. Utilizar el Asistente para migracin de grupos para migrar usuarios que pertenecen a grupos anidados Si se selecciona Migrar grupos de usuarios asociados, el Asistente para migracin de cuentas de usuario migra solamente los grupos de los que es miembro directo el usuario. No migra los grupos de los que es miembro el usuario mediante el anidamiento de grupos. Cuando se migran grupos mediante el Asistente para migracin de cuentas de grupo, si se ha seleccionado Copiar miembros de grupo, el asistente migra recursivamente todos los usuarios y grupos que son miembros de ese grupo, incluidos los grupos que lo son mediante el anidamiento de grupos.
319
Si en el dominio de origen se ejecuta Windows 2000 o Windows Server 2003 con anidamiento de grupos, se recomienda migrar los objetos afectados mediante el Asistente para migracin de grupos, si desea conservar la pertenencia a grupos obtenida mediante dicho anidamiento.
Solucin de problemas relativos a la migracin de cuentas de servicios

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 En este tema se describen problemas conocidos relativos a la migracin de cuentas de servicio con la Herramienta de migracin Active Directory. Debe tener los derechos apropiados para actualizar una cuenta de servicios en un equipo remoto cuando migra una cuenta. La cuenta de usuario que ejecuta ADMT debe tener derechos de inicio de sesin local en cualquier equipo remoto al que la herramienta distribuya un agente. Esto tambin es aplicable a cualquier equipo remoto cuyo Administrador de control de servicios (SCM) se modifique mientras se migra una cuenta de servicios con el Asistente para migracin de cuentas de usuarios. Si la cuenta no tiene el derecho de cambiar el SCM, la cuenta de servicios seguir migrndose al dominio de destino, pero el servicio del equipo remoto no se actualizar para utilizar la cuenta del dominio de destino. Para actualizar el servicio en el equipo remoto, ejecute el Asistente para migracin de cuentas de servicios y seleccione la opcin No, usar la informacin recogida anteriormente en la pgina Actualizar informacin. Puesto que la falta de acceso del usuario no se indica siempre como un error en el Progreso de la migracin, se recomienda consultar el archivo de registro de la migracin para ver si hay errores tras la migracin de cuentas de servicios. Los servicios deben identificarse en todos los equipos antes de migrar cuentas de servicios Si se identifican servicios en servidores usando el Asistente para migracin de cuenta de servicios despus de que haya tenido lugar la migracin de usuario, la configuracin de estos servicios con la cuenta migrada y la contrasea dar lugar a error. Para configurar estos servicios, tiene que volver a ejecutar la migracin de usuarios. La migracin de cuentas de servicios en Windows Server 2008 y Windows Vista emplea ms tiempo del esperado Si est ejecutando una migracin de cuentas de servicios en un equipo que est ejecutando Windows Server 2008 o Windows Vista y est tardando mucho ms tiempo del esperado, puede aumentar el rendimiento habilitando una excepcin del Firewall de Windows para la Administracin remota de servicios en el equipo que se est usando. Para obtener ms informacin, consulte el procedimiento siguiente.
320
Para agregar una excepcin del Firewall de Windows para la Administracin remota de servicios 1. Abra el Panel de control (Vista clsica) y, a continuacin, abra el Firewall de Windows. 2. Haga clic en la ficha Excepciones. 3. Asegrese de que se ha seleccionado la casilla de verificacin Administracin remota de servicios. 4. Haga clic en Aceptar.
Solucin de problemas relativos a la migracin de cuentas de servicios administradas

En este tema se describen los problemas conocidos relativos a la migracin de cuentas de servicio administradas con la Herramienta de migracin Active Directory. Las cuentas de servicio administradas slo se pueden migrar con ADMT v3.2. Es posible que si el Asistente para migracin de equipos se bloquea, tenga que revocar los cambios en el descriptor de seguridad de una cuenta de servicio administrada. Si migra un equipo que tiene cuentas de servicio administradas instaladas y las ha migrado, ADMT instala dichas cuentas en el equipo despus de que ste se haya migrado al dominio de destino. Antes de que ADMT instale una cuenta de servicio administrada, cambia el descriptor de seguridad en la cuenta para que conceda permisos al equipo de destino para restablecer la contrasea y modificar el atributo userAccountControl. Cambiar el descriptor de seguridad es necesario para que se instalen las cuentas de servicio administradas. Seguridad Mientras el equipo tenga los permisos elevados, un servicio de red del equipo puede tener la posibilidad de deshabilitar una cuenta de servicio administrada. Por lo tanto, puede iniciar un ataque por denegacin de servicio en aquellos servicios que se estn ejecutando en el contexto de seguridad de la cuenta de servicio administrada. El atacante tambin puede utilizar los credenciales de la cuenta de servicio administrada para tener acceso a otro tipo de datos. Para mitigar el riesgo, ADMT registra como referencia los cambios hechos al descriptor de seguridad de las cuentas de servicio administradas. Si el Asistente para migracin de equipos se bloquea, compruebe el archivo de registro del equipo migrado. Para cada cuenta de servicio administrada, compruebe que se revoc el permiso. Si el permiso no se revoc, realice estos cambios manualmente en Active Directory Domain Services (AD DS) para impedir que los 321
equipos de destino reciban permisos elevados para restablecer contraseas y habilitar y deshabilitar las cuentas de servicio administradas. Los cambios realizados en los descriptores de seguridad se registran en el archivo de registro de la migracin del equipo denominado Migration<TaskID>.log. Este archivo se ubica en la carpeta %windir%\ADMT\Logs del equipo que ejecuta ADMT. Los mensajes de registro y las descripciones de los mismos se enumeran en la siguiente tabla.
Mensaje de registro El mensaje se registra cuando ...
El descriptor de seguridad para la cuenta de servicio administrada '%1' permite que el equipo '%2' restablezca su contrasea y modifique su atributo userAccountControl. El descriptor de seguridad se ha restaurado para la cuenta de servicio administrada '%1'. No se puede modificar el descriptor de seguridad para la cuenta de servicio administrada '%1', hr=%2!lx!. La siguiente instalacin de esta cuenta de servicio administrada en el equipo '%3' generar un error. No se restaura el descriptor de seguridad para la cuenta de servicio administrada '%1', hr=%2! lx!.
ADMT modifica con xito el descriptor de seguridad de una cuenta de servicio administrada. ADMT restaura con xito el descriptor de seguridad de una cuenta de servicio administrada. ADMT no modifica el descriptor de seguridad de una cuenta de servicio administrada.
ADMT no restaura el descriptor de seguridad de una cuenta de servicio administrada.
Complete el siguiente procedimiento para revocar manualmente los cambios realizados en el descriptor de seguridad. Para revocar los cambios realizados en el descriptor de seguridad de una cuenta migrada de servicios administrada 1. Abra Usuarios y equipos de Active Directory. Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y, a continuacin, haga doble clic en Usuarios y equipos de Active Directory. 2. Haga clic en Ver y, a continuacin, haga clic en Caractersticas avanzadas. 3. Desplcese al contenedor donde esta la cuenta de servicio administrada, haga clic con el botn secundario en la cuenta y, a continuacin, haga clic en Propiedades. De forma predeterminada, las cuentas de servicio administradas se crean en el contenedor Cuentas de servicio administradas 4. Haga clic en la ficha Seguridad y, a continuacin, en la entrada de control de acceso 322
al objeto de equipo. 5. Para Restablecer contrasea, desactive la casilla de verificacin Permitir. 6. Haga clic en Avanzadas. 7. Haga clic en la entrada de control de acceso al objeto de equipo, luego en Editar y, a continuacin, para Escribir userAccountCntrol desactive la casilla de verificacin Permitir. 8. Haga doble clic en Aceptar, luego en Aplicar y, a continuacin, de nuevo en Aceptar para cerrar el cuadro de dilogo Propiedades.
Solucin de problemas relativos a la migracin de equipos

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 En este tema se describen problemas conocidos relativos a la migracin de equipos con la Herramienta de migracin Active Directory (ADTM). La migracin de equipos dentro del mismo bosque no deshabilita la cuenta de equipo en el dominio de origen Despus de una migracin de equipos dentro del mismo bosque, no se deshabilita ni elimina la cuenta de equipo migrada en el dominio de origen. Este comportamiento se produce de forma predeterminada. Para deshabilitar o eliminar las cuentas de los equipos migrados en del dominio de origen, escriba una sencilla secuencia de comandos de Interfaces de servicio de Active Directory (ADSI). Aunque se produzca un error en la migracin, se crea una cuenta de equipo Si en la migracin de un equipo se produce un error debido a un error relacionado con el agente, la cuenta de equipo creada en el dominio de destino para el equipo que se pretenda migrar no se elimina. Nota Si selecciona Migrar y combinar objetos en conflicto en la pgina Gestin de conflictos del Asistente para migracin de cuentas de equipos, no tiene que eliminar la cuenta de equipo que se cre en el dominio de destino antes de volver a intentar migrar el equipo. Los equipos se migran antes que cualquier grupo en una migracin en el mismo bosque Cuando realiza una migracin en el mismo bosque, si tiene equipos que son miembros de grupos (distintos del grupo Equipos del dominio), debe migrar siempre esos equipos antes que los grupos a los que pertenecen. Esta condicin se aplica a las migraciones dentro de un mismo bosque y evita que los equipos pierdan su pertenencia al grupo. 323
Error ocasional del servicio del agente remoto de ADMT Si se produce un error al implementar el servicio del agente remoto de ADMT en un equipo remoto durante una migracin de equipos, conversin de seguridad, identificacin de cuentas de servicios o informe de referencia de cuentas, es posible que el agente no pueda detenerse o desinstalarse automticamente. Si esto se produce, recibir el mensaje Ya se est ejecutando una instancia del agente con cada implementacin posterior del agente hasta que se cierre el proceso de agente ADMT o se reinicie el equipo remoto. La migracin de equipos puede fallar si ya existe una cuenta de equipo con el mismo nombre NetBios en el dominio de destino Cuando migre un equipo entre dos dominios, la distribucin del agente puede fallar si ya existe una cuenta de equipo en el dominio de destino con el mismo nombre NetBIOS que el equipo que se est migrando desde el dominio de origen. ADMT no ha podido cambiar la afiliacin de dominio de un equipo concreto. Este error provoc la prdida de la afiliacin del equipo con todos los dominios. Causa: este error puede ser consecuencia de una configuracin incorrecta del entorno de migracin o del mal funcionamiento de los equipos, ya sean de origen o de destino. Solucin: agregue el equipo a un dominio y cree en l la cuenta de equipo siguiendo los pasos que se describen a continuacin: Para agregarse a un dominio, deber proporcionar credenciales de una cuenta que tenga permisos administrativos en el dominio al que desea agregar el equipo. Debe reiniciar el equipo para terminar de agregar el equipo al dominio. Para cambiar la pertenencia a un dominio de un equipo que est ejecutando Windows 2000 (para ADMT v3.1) o Windows Server 2003 1. Inicie la sesin en el equipo que usa una cuenta que tiene credenciales locales de administrador. 2. En el escritorio, haga clic con el botn secundario en Mi PC y, despus, haga clic en Propiedades. 3. En la ficha Nombre de equipo, haga clic en Cambiar. 4. En Cambios en el nombre de equipo, seleccione Dominio: y, a continuacin, escriba el nombre del dominio al que quiere agregar este equipo. Haga clic en Aceptar y, cuando se le pida que reinicie el equipo, haga clic de nuevo en Aceptar. Para cambiar la pertenencia al dominio de un equipo que ejecuta Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2 1. Inicie la sesin en el equipo que usa una cuenta que tiene credenciales locales de administrador. 2. Haga clic en Inicio, haga clic con el botn secundario en Equipo y, a continuacin, haga clic en Propiedades. 3. Haga clic en Cambiar configuracin. 324
4. En la ficha Nombre de equipo, haga clic en Cambiar. 5. En Cambios en el nombre de equipo, seleccione Dominio y, a continuacin, escriba el nombre del dominio al que desea agregar este equipo. Haga clic en Aceptar y, cuando se le pida que reinicie el equipo, haga clic de nuevo en Aceptar.
Solucin de problemas relativos a la migracin de contraseas

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 En este tema se describe un problema conocido relacionado con la migracin de contraseas con la Herramienta de migracin Active Directory. Las contraseas migradas podran no cumplir la directiva de contraseas del dominio de destino. La migracin de contraseas en ADMT omite las comprobaciones de la directiva de contraseas. Si se establece una directiva de contraseas, no se puede implementar hasta que la contrasea se cambie. Por este motivo, ADMT siempre requiere que los usuarios migrados cambien sus contraseas la prxima vez que inicien sesin. Despus de una migracin entre distintos bosques, los usuarios no pueden iniciar sesin en su nuevo dominio. Causa: al realizar una migracin entre distintos bosques, ADMT siempre establece la opcin El usuario debe cambiar la contrasea para los usuarios migrados. Si la cuenta de usuario tiene activada la opcin El usuario no puede cambiar la contrasea, la cuenta de destino no podr iniciar sesin hasta que se cambie una o ambas opciones. Solucin: cambie las opciones siguiendo uno de los siguientes procedimientos: Para habilitar la posibilidad de cambiar la contrasea de usuario 1. En Usuarios y equipos de Active Directory, en el men Ver, haga clic en Caractersticas avanzadas. 2. Haga clic con el botn del mouse (ratn) secundario en el usuario y, a continuacin, haga clic en Propiedades. 3. En la ficha Seguridad, conceda el permiso de Cambiar contrasea a Todos y al usuario. Para quitar el indicador El usuario debe cambiar la contrasea En Usuarios y equipos de Active Directory, haga clic con el botn secundario en el usuario y, a continuacin, haga clic en Restablecer contrasea.
325
Despus de una migracin dentro del mismo bosque, los usuarios no pueden iniciar sesin en su nuevo dominio. Causa: puede que las contraseas de cuentas de usuario que se utilizaban en el antiguo dominio infrinjan las restricciones de contrasea del nuevo dominio. En una migracin dentro del mismo bosque, las contraseas de cuentas de usuario del dominio de origen se migran al dominio de destino. Si las cuentas de usuario del dominio de origen tienen contraseas que infringen las restricciones de contrasea (como el nmero mnimo de caracteres, por ejemplo) del de destino, los usuarios migrados afectados no podrn iniciar sesin, a menos que la contrasea se haya configurado con un valor que se ajuste a las directivas de contrasea del dominio de destino. Si los usuarios intentan utilizar las contraseas incorrectas, sus nuevas cuentas de usuario se bloquearn. Si seleccion Deshabilitar cuentas de destino en el Asistente para migracin de cuentas de usuario, las nuevas cuentas de usuario se deshabilitarn. El resultado ser que los usuarios migrados quiz no puedan iniciar sesin hasta que sus cuentas se desbloqueen o se marquen como habilitadas. Solucin: restablezca las contraseas de cuentas de usuario en un valor que se ajuste a la directiva de contrasea del nuevo dominio y habilite las cuentas de usuario si anteriormente haban sido deshabilitadas como resultado de continuos errores de contrasea. A los usuarios migrados les aparece un error indicando que su nombre o contrasea de usuario es incorrecto. Causa: los usuarios migrados no pueden iniciar sesin debido a la directiva de contrasea, aunque parezca que las directivas de contrasea estn deshabilitadas. Durante una migracin, algunos administradores pueden decidir deshabilitar las directivas de contrasea en el dominio de destino. Si intentan llevar esto a cabo desactivando la directiva de caracteres mnimos de la contrasea sin establecer la directiva de contrasea en cero, es posible que, al haber an una directiva de contrasea activa, los usuarios no puedan iniciar sesin. Solucin: establezca la directiva de caracteres mnimos de la contrasea en cero. Una vez que la directiva de longitud est establecida en cero, podr desactivarse la directiva de longitud mnima de la contrasea.
Solucin de problemas relativos a la conversin de seguridad

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 En este tema se describen problemas conocidos relativos a la conversin de seguridad con la Herramienta de migracin Active Directory (ADTM). La conversin de seguridad no afecta al perfil de Outlook Cuando seleccione Perfiles de usuario en la pgina Convertir objetos del Asistente para la conversin de seguridad, la seguridad no se convierte en los perfiles de Microsoft Office Outlook. Para solucionar los perfiles de Outlook para las cuentas migradas, utilice el Asistente 326
para migracin de Exchange Server de Microsoft. El Asistente para migracin de Exchange Server se incluye e instala con Exchange Server a partir de Exchange Server 2003. La conversin de seguridad en las claves del registro nativas no est disponible cuando ejecuta versiones de 64 bits anteriores a Windows Vista Este es un problema conocido que se produce debido a inconsistencias en cmo el subsistema de Windows en Windows de 64 bits (WoW64) gestiona la redireccin del registro de forma distinta en Windows Vista y en versiones anteriores del sistema operativo Microsoft Windows. Este problema no afecta a la ejecucin de conversin de seguridad en ubicaciones de registros nativas para las versiones de 64 bits de Windows Server 2008 o Windows Vista. Despus de la migracin, las nuevas cuentas de usuario del dominio de destino no pueden obtener acceso a los recursos en los que tienen permisos las cuentas del dominio de origen. Causa: La configuracin necesaria para ejecutar ADMT no se ha establecido correctamente. La mayora de los problemas de migracin son ocasionados por un entorno de migracin mal configurado. Solucin: abra el archivo de registro de la migracin y busque la cuenta que migr con el historial de identificadores de seguridad (SID). Si se agreg el historial de SID a la cuenta, debera ver una entrada similar a la siguiente: 06.10.05 18:28:50-SID para nombreDeCuentaDeUsuario agregada al historial de SID de nombreDeCuentaDeUsuario Si aparece un mensaje de error, seguramente no habr configurado el entorno correctamente y deber consultar los temas de configuracin antes de volver a intentar la migracin. No funciona la migracin del historial de SID. Causa: para que se la migracin del historial de SID funcione, deben cumplirse una serie de condiciones. Solucin: Configure el entorno de migracin correctamente antes de ejecutar ADMT y revise los temas de configuracin antes de continuar con la migracin. Nota Al migrar un principal de seguridad anteriormente migrado a un nuevo dominio, los tres dominios deben tener establecidos los criterios para migrar el historial de SID. Por ejemplo, supongamos que tenemos estos tres dominios: DominioA, DominioB y DominioC. El Usuario1 del DominioA (DominioA\Usuario1) se migra al DominioB como DominioB\Usuario1 y se convierte el historial de SID. El DominioB\Usuario1 tiene ahora el SID principal para el DominioB\Usuario1 y el valor del historial de SID para el DominioA\Usuario1. Si un administrador quiere migrar el DominioB\Usuario1 al DominioC\Usuario1 y preservar todos los SID del DominioB\Usuario1, deber establecerse la configuracin apropiada para posibilitar la migracin del DominioA al DominioC y del DominioB al DominioC. Si se ha dado de baja el DominioA o si no se puede establecer la configuracin apropiada entre el DominioA y el DominioC, ADMT migrar el SID para el DominioB\Usuario1 al DominioC\Usuario1 y registra el hecho de que no pudo migrar el SID del DominioA\Usuario1. 327
Si no existe el DominioA, ADMT generar un mensaje de error en el registro, pero la migracin se habr realizado correctamente. Puede ignorar este mensaje de error. Despus de la migracin, las nuevas cuentas de usuario del dominio de destino no pueden obtener acceso a los recursos en los que tienen permisos las cuentas del dominio de origen. Causa: La configuracin necesaria para ejecutar ADMT no se ha establecido correctamente. La mayora de los problemas de migracin son ocasionados por un entorno de migracin mal configurado. Solucin: abra el archivo de registro de la migracin y busque la cuenta que migr con el historial de SID. Si se agreg el historial de SID a la cuenta, debera ver una entrada similar a la siguiente: 2005-10-06 18:28:50-SID para nombreDeCuentaDeUsuario agregada al historial de SID de nombreDeCuentaDeUsuario Si aparece un mensaje de error, seguramente no habr configurado el entorno correctamente y deber consultar los temas de configuracin antes de volver a intentar la migracin. Me aparece el siguiente error: "La Papelera de reciclaje de C:\ est daada o no es vlida. Desea vaciar la Papelera de reciclaje de esta unidad?" Causa: Este comportamiento se produce de forma predeterminada. Por razones de seguridad, cada usuario que inicia sesin en un equipo de Windows 2000 o Windows Server 2003 tiene una Papelera de reciclaje especfica propia. La lista de control de acceso (ACL) slo puede contener un SID por usuario por cada instancia de Papelera de reciclaje. Cuando se migra el perfil de un usuario mediante la opcin Agregar, el SID del usuario del dominio de origen se agrega al historial de SID de la Papelera de reciclaje. Lo que se consigue con esto es colocar dos SID por usuario en la lista ACL de la Papelera de reciclaje. Este problema no se produce si migra los perfiles mediante la opcin Reemplazar. Solucin: en el mensaje de error, haga clic en S y la Papelera de reciclaje se vaciar sin problemas. Si hace clic en No, el error seguir apareciendo hasta que la Papelera de reciclaje se vace. Los usuarios de dominios que no son de confianza no pueden tener acceso a los recursos compartidos del sistema de archivos distribuido (DFS) en dominios de Active Directory. Causa: Este comportamiento se produce de forma predeterminada. Solucin: si planea utilizar recursos compartidos de DFS en el dominio, migre los equipos que pertenecen a usuarios que antes tienen acceso a los recursos compartidos de DFS, o migre los equipos y los usuarios en la misma sesin de migracin.
Solucin de problemas relativos a la migracin dentro de un mismo bosque

En este tema se describen problemas conocidos relativos a la migracin entre bosques con la Herramienta de migracin Active Directory (ADTM). Los derechos de usuario y de grupo de todo el dominio no migran al dominio de destino Cuando activa Derechos de usuario en los Asistentes para migracin de cuentas de grupo y usuario, migra slo los derechos locales en el controlador de dominio de origen. Los derechos de todo el dominio no migran. Migracin de grupos globales y dominios de origen en modo mixto Cuando se migran grupos globales de un dominio de origen en modo mixto a un dominio de destino en modo nativo, y los grupos no estn vacos, ADMT crea copias de dichos grupos globales en el dominio de destino y no agrega el identificador de seguridad (SID) del grupo global del dominio de origen al atributo del historial de SID. Este comportamiento se produce de forma predeterminada. En esta situacin, ADMT no puede convertir el grupo global en un grupo universal porque los dominios en modo mixto no reconocen grupos universales y no pueden agregarlos al token de acceso del usuario. Por lo tanto, los usuarios perderan el acceso a los recursos. Importante Se recomienda migrar usuarios y grupos slo de un dominio en modo nativo a otro dominio tambin en modo nativo. Los grupos globales se copian sin el atributo del historial de SID en las migraciones dentro del mismo bosque si no se migran con miembros del grupo y el dominio de origen est en modo mixto. Al migrar un grupo global en un dominio de modo mixto para realizar una migracin dentro del mismo bosque mediante el Asistente para migracin de cuentas de grupo, si no est seleccionada la opcin Copiar miembros de grupo, ese grupo global no se migrar, sino que se copiar sin el historial de SID en lugar de moverse. Esto ocurre por las reglas de pertenencia a grupos globales. Si ADMT mueve el grupo global en lugar de copiarlo, los miembros del grupo sern "hurfanos" con respecto al grupo y perdern todo acceso a recursos concedido mediante la pertenencia al grupo porque los grupos globales no pueden contener miembros de otros dominios. Al migrarse posteriormente los miembros de ese grupo, la pertenencia al grupo se restaura. Sin embargo, como el historial de SID no se migra con el grupo, deber ejecutar el Asistente para conversin de seguridad para actualizar las listas de control de acceso (ACL), al igual que en una migracin entre distintos bosques sin historial de SID. Importante Se recomienda migrar usuarios y grupos slo de un dominio en modo nativo a otro dominio tambin en modo nativo. La tabla de objetos migrados no se sincroniza Si el administrador del dominio de destino elimina un grupo migrado tras la migracin, las entradas del grupo migrado no se quitan de la tabla de objetos migrados. Si se migra un grupo 329
desde el dominio de origen con el mismo nombre que el del grupo eliminado en el dominio de destino, puede producirse un error. Este error slo se produce si los usuarios se migran con el grupo. El mensaje de error es el siguiente:
ERR2:7422 Error al mover objeto <objeto_RDN>, hr=80070057 El parmetro no es correcto.
Solucin de problemas relativos a los archivos de registro de ADMT

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 En esta seccin se describe un problema conocido relativo a los archivos de registro de la Herramienta de migracin Active Directory (ADMT). No puedo encontrar los archivos de registro de ADMT. Solucin: todos los archivos de registro de ADMT se almacenan en la base de datos de ADMT. Sin embargo, los 20 ltimos registros de migracin tambin se almacenan en la carpeta Logs, dentro de la carpeta ADMT del equipo en el que est instalado ADMT. Puede tener acceso a todos los registros de ADMT en la base de datos mediante el comando admt task en una lnea de comandos. No puedo leer las entradas del registro de eventos para el agente ADMT. Causa: no est en un equipo que tenga instalado ADMT. Solucin: el agente puede escribir entradas de registro de eventos en el equipo en el que se ejecuta. Sin embargo, el software del agente se quita cuando la tarea del agente ha terminado. Puede ver las entradas del registro de eventos en el equipo al que se distribuy al agente ejecutando el Visor de sucesos desde el equipo en el que ADMT est instalado. Necesito ms informacin de los registros de ADMT. Causa: configuracin incorrecta del nivel de registro. De forma predeterminada, ADMT escribe la informacin de resumen en sus archivos de registro. Puede aumentar el nivel de detalle cambiando la entrada del registro que controla el nivel de registro. Solucin: En el equipo en el que ADMT est instalado, establezca en 7 el valor de la clave del registro HKEY_LOCAL_MACHINE\Software\Microsoft\ADMT\TranslationLogLevel. Puede utilizar el modo de registro detallado para el diagnstico y la solucin de problemas. El modo de registro detallado puede crear archivos de registro muy grandes, especialmente en los casos en los que el equipo de destino tiene muchos archivos u otros objetos cuyas listas de control de acceso (ACL) deban actualizarse. Dado que los registros del agente se escriben en la carpeta especificada por la variable de entorno %TEMP%, el volumen al que se dirige dicha variable de entorno debe contar con bastante espacio en disco. Cuando inicia sesin con el modo detallado, puede que tenga que cambiar el valor de la variable de entorno %TEMP% antes de distribuir a un agente. Los informes generados no aparecen en ADMT. 330
Causa: cuando ADMT genera informes, no actualiza automticamente la consola. Solucin: Para ver los informes, cierre y vuelva a abrir ADMT. Ejecucin de varias instancias de ADMT en varios idiomas Cuando ejecuta varias instancias de ADMT en las que distintas instancias utilizan diferentes idiomas, los archivos de registro se generan en el idioma en el que se ejecuta la instancia. Esto no afecta a la funcionalidad de ADMT en modo alguno. Sin embargo, recomendamos que utilice un lenguaje unificado cuando ejecute varias instancias de ADMT.
Solucin de problemas relativos a la lnea de comandos de ADMT

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Tenga en cuenta que la herramienta de lnea de comandos usa el componente de secuencias de comandos y, por lo tanto, las cuestiones relativas a las secuencias de comandos se aplican tambin a la herramienta de lnea de comandos. Los parmetros duplicados de la lnea de comandos prevalecen sobre cualquier aparicin anterior Si se especifica varias veces un parmetro de la lnea de comandos, el ltimo valor prevalece sobre el valor anterior. Este comportamiento se produce de forma predeterminada. La interfaz de lnea de comandos no muestra caracteres extendidos La interfaz de lnea de comandos de ADMT no convierte caracteres Unicode. Por lo tanto, los caracteres extendidos como la diresis no se muestran correctamente. La opcin de habilitar la cuenta de origen no est deshabilitada en las migraciones dentro de un mismo bosque Cuando realiza migraciones dentro de un mismo bosque, las cuentas se mueven de un dominio a otro en lugar de copiarse. La cuenta de origen se quita durante el proceso. No obstante, la opcin de habilitar una cuenta de origen se encuentra disponible por medio de la interfaz de lnea de comandos de ADMT. Cuando use esta opcin, recibir la siguiente advertencia:
WRN1: 7362: <nombre_de_objeto>: no se pudo habilitar la cuenta de origen. El parmetro es incorrecto.
Solucin de problemas relativos a las operaciones de agentes

Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Me aparece un mensaje de error segn el cual la Herramienta de migracin para Active Directory (ADMT) no pudo comprobar la auditora ni TcpipClientSupport en los dominios. 331
Causa: el agente se distribuye con unas credenciales que no son vlidas o no est configurado correctamente el entorno de migracin. Solucin: un agente se distribuye en un equipo remoto mediante las credenciales de la cuenta utilizada para ejecutar ADMT. Una vez instalado el agente en el equipo remoto, se ejecuta bajo la cuenta del sistema local. Las credenciales que se proporcionan al asistente antes de la distribucin del agente en el equipo remoto se utilizan para volver a escribir los resultados en un recurso compartido creado en el equipo en el que se ejecuta ADMT. El agente debe tener el derecho de iniciar sesin localmente en el equipo remoto y, si se utiliza para migrar equipos, debe tener derechos administrativos en el dominio de origen y ser un administrador local en todas las estaciones de trabajo. Para asegurarse de que tiene las credenciales correctas, cree confianzas de tal modo que el dominio de origen confe en el de destino y viceversa. Agregue el grupo Administradores de dominio del dominio de destino (destino\Administradores de dominio) al grupo Administradores incorporado del dominio de origen (origen\Administradores). Inicie sesin utilizando la cuenta destino\Administradores de dominio y proporcione un conjunto de credenciales para la cuenta origen\Administradores cuando se le solicite. Esto le conceder permisos administrativos tanto en el dominio de origen como en el de destino. Las operaciones de distribucin del agente fallan por errores de conflicto de credenciales. Causa: tiene una conexin activa, como una unidad asignada o una impresora, en un equipo en el que se est instalando un agente. La operacin de distribucin falla porque las credenciales de la instalacin del agente entran en conflicto con el actual conjunto de credenciales. Solucin: quite todas las conexiones activas que haya entre el equipo que ejecuta ADMT y el equipo en el que se est distribuyendo el agente. Cuando intento ver los resultados de una operacin de agente remoto, aparece el siguiente error: "No se puede abrir el archivo \\NombreDelEquipo\(%SystemRoot%) $\temp\dctlog.txt." Causa: el recurso compartido administrativo predeterminado para el volumen de sistema del equipo en el que se distribuy el agente no est habilitado. Al no estar habilitado el recurso compartido predeterminado, ADMT no puede leer el archivo de registro. Solucin: vuelva a habilitar el recurso compartido predeterminado del volumen de sistema. Al generar informes, aparece el error 3107 IDispatch. Causa: este error puede surgir cuando se cierra el Agente de supervisin antes de que todos los agentes hayan terminado de escribir de nuevo sus resultados en la base de datos de informe de ADMT. Solucin: para evitar este problema, espere a que todos los agentes terminen sus tareas antes de cerrar el Agente de supervisin. Necesito saber qu protocolos y puertos utiliza ADMT para establecer la comunicacin de la consola con los controladores de dominio y los agentes de ADMT que se ejecutan en las estaciones de trabajo.
332
Causa: cuando ejecuta ADMT en entornos con firewall, es posible que tenga que establecer excepciones de puertos de firewall para permitir el trfico relacionado con ADMT en su red. Solucin: la consola de ADMT utiliza el puerto de Protocolo ligero de acceso a directorios (LDAP) 389 para comunicarse con los controladores de dominio y Llamada a procedimiento remoto (RPC) para comunicarse con los agentes de ADMT. Para la comunicacin RPC, se puede utilizar cualquier puerto RPC disponible en el intervalo comprendido entre 1024 y 5000. Para obtener ms informacin, consulte el artculo 836429 de Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkId=122010). Por qu no se quitan los archivos que genera ADMT para la implementacin del agente despus de su uso? Los archivos generados en los equipos cliente donde se ejecut el servicio de agente de ADMT para la conversin de seguridad de grupos locales se colocan en %windir %\onepointdomainagent: Los archivos de esta ubicacin pueden conservarse despus de reiniciar debido a los siguientes motivos: Si el equipo an tiene instalada ADMT. Si tras quitar ADMT del equipo, no realiza una limpieza de registro para quitar cualquier entrada desde la ruta de acceso HKLM\Software\Microsoft\ADMT. Si reinicia el equipo sin esperar a que los procesos del agente de ADMT se cierren o completen. Para comprobar que los procesos de ADMT se han cerrado, puede usar el Administrador de tareas para comprobar que ADMTAgnt.exe y DctAgentServices.exe no se muestran en la ficha Procesos. Si se muestra alguno de estos procesos, utilice el Administrador de tareas para finalizarlos antes de reiniciar.
Recursos adicionales
Afecta a: Herramienta de migracin Active Directory 3.1 (ADMT 3.1) y ADMT 3.2 Estos recursos contienen ayudas para tareas, herramientas e informacin adicionales relacionadas con esta gua.
Informacin relacionada
Designing and Deploying Directory and Security Services (Diseo e implantacin de Directory y los servicios de seguridad) (http://go.microsoft.com/fwlink/?LinkId=76005)
Herramientas relacionadas
Artculo 295758 de Microsoft Knowledge Base (http://go.microsoft.com/fwlink/? LinkId=77553)
333
Ayudas para tareas relacionadas

La descarga Job_Aids_Designing_and_Deploying_Directory_and_Security_Services de Job Aids for Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/? LinkId=14384) Este paquete incluye hojas de clculos y secuencias de comandos de ejemplo que puede personalizar para su propia migracin.
334

ADMT Migración y Reestructuración de Dominios

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

ADMT Migración y Reestructuración de Dominios

Transféré par

Droits d'auteur :

Formats disponibles

Gua de ADMT: Migracin y reestructuracin de dominios de Active Directory

Gua de ADMT: Migracin y reestructuracin de dominios de Active Directory

Reestructuracin de dominios de Active Directory entre bosques

Reestructuracin de dominios de Active Directory dentro de un mismo bosque

Los objetos de grupo y de usuario se migran y ya no existen en la 11

Restructuracin entre distintos bosques

Restructuracin dentro del mismo bosque

para los usuarios.

Mantenimiento del historial de SID

El mantenimiento del historial de SID es opcional

Conservacin de contrasea Migracin de perfiles locales

Herramienta de migracin para Active Directory

;TargetDomain="nombre_dominio_destino" ;TargetOu="ruta_acceso_unidad_organizativa_destino" ;PasswordOption=Complex

;PasswordServer="" ;PasswordFile="" ;ConflictOptions=Ignore ;UserPropertiesToExclude="" ;InetOrgPersonPropertiesToExclude="" ;GroupPropertiesToExclude="" ;ComputerPropertiesToExclude=""

[Seguridad] ;TranslationOption=Add ;TranslateFilesAndFolders=No

;TranslateLocalGroups=No ;TranslatePrinters=No ;TranslateRegistry=No ;TranslateShares=No ;TranslateUserProfiles=No ;TranslateUserRights=No ;SidMappingFile="SidMappingFile.txt"

Uso de un archivo de inclusin

Campos TargetRDN, TargetSAM y TargetUPN

Cambio de nombre de objetos

Uso de un archivo de exclusin

Tambin puede excluir cuentas especficas con el parmetro /en:

Uso de secuencias de comandos

'---------------------------------------------------------------------------' Constantes de secuencia de comandos de ADMT '----------------------------------------------------------------------------

' Constantes de PasswordOption

Const admtComplexPassword Const admtCopyPassword

' Constantes de ConflictOptions

= &H0000 = &H0001 = &H0010 = &H0020 = &H0040

' Constantes de DisableOption

Const admtLeaveSource Const admtDisableSource

Const admtTargetSameAsSource = &H0000 Const admtDisableTarget Const admtEnableTarget = &H0010 = &H0020

' Constante de SourceExpiration

' Opcin de traduccin

Const admtTranslateReplace = 0 Const admtTranslateAdd Const admtTranslateRemove = 1 = 2

' Tipo de informe

Const admtReportMigratedComputers = 1 Const admtReportExpiredComputers = 2

Const admtReportAccountReferences = 3 Const admtReportNameConflicts = 4

' Constantes de opciones

Const admtMaintainHierarchy = &H0200

Herramienta de migracin Active Directory: versiones y entornos admitidos

Requisito Requisitos del dominio de s del dominio de origen destino

Objetos de migracin de equipo admitidos

ADMT v3.0 (http://go.microsoft.com/fw link/?LinkID=68791)

Window s Server 2003

ADMT v3.1 (http://go.microsoft.com/fw link/?LinkId=121732)

Window s Server 2 008

Requisito Requisitos del dominio de s del dominio de origen destino

Objetos de migracin de equipo admitidos

yWindows Server 2008.

Requisito Requisitos del dominio de s del dominio de origen destino

Objetos de migracin de equipo admitidos

Server 2008 y Windows Server 2008 R2.

Compatibilidad con caractersticas de Windows Server

Cuentas de servicio administradas

Seguridad del mecanismo de autenticacin

Efecto de uso de ADMT v3.2

Prcticas recomendadas para la migracin de Active Directory

Prcticas recomendadas para el uso de la Herramienta de migracin para Active Directory

Prcticas recomendadas para la realizacin de migraciones de cuentas de grupo y usuario

Prcticas recomendadas para realizar migraciones de equipos

Prcticas recomendadas para revertir una migracin

Reestructuracin de dominios de Active Directory entre distintos bosques

Lista de comprobacin: Realizacin de una migracin entre bosques

(http://go.microsoft.com/fwlink/? LinkID=119315) (en ingls).