Introduction

 
  Cet   article   décrit   les   étapes   à   effectuer   lors   d’une   migration   Interforêt   afin   de   réorganiser  
l’architecture   Active   directory   d’une   société   suite   à   un   changement   comme   une   fusion   avec   une  
autre  société.  

  Microsoft  met  à  disposition  différents  outils  afin  de  transférer  d’un  domaine  à  un  autre  des  
groupes,  des  utilisateurs,  des  comptes  d’ordinateurs  et  également  d’automatiser  le  changement  de  
domaine  des  postes  ou  encore  le  transfert  des  profils  itinérants  par  exemple.  

I. Présentation  
1. Migration  Interforêt  

  Une  migration  interforêt  consiste  à  relocaliser  les  objets  d’un  domaine  source  dans  une  forêt  
vers  un  domaine  cible  d’une  forêt  différente.    Cela  peut  intervenir  dans  plusieurs  cas  comme  par  
exemple:  

• Fusionner  deux  forêts  Active  Directory  de  deux  organisations  afin  de  consolider  les  deux  
infrastructures  informatiques.  

• Lors  d’un  changement  dans  une  société  (fusion,  acquisition,  etc..)  impliquant  alors  la  
combinaison  ou  la  division  des  ressources.  

2. L’outil  ADMT  

  L’outil  ADMT  est  un  composant  nécessaire  à  tout  processus  de  migration,  il  s’installe  sur  un  
contrôleur  de  domaine  du  domaine  cible.  Il  permet  de  migrer  les  objets  dans  les  forêts  Active  
Directory.  Il  inclut  des  assistants  qui  automatisent  les  tâches  de  migration  (migration  
d’utilisateurs,  de  groupes,  d’ordinateurs,...)  

http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=ae279d01-­‐7dca-­‐
413c-­‐a9d2-­‐b42dfb746059  

3. L’outil  PES  

  PES  est  le  service  «  serveur  d’exportation  de  mots  de  passes  »,  qui  permet  une  fois  installé  
sur  un  contrôleur  de  domaine  du  domaine  source  de  migrer  les  mots  de  passe  lorsqu’une  
migration  interforêt  est  effectuée.  

http://www.microsoft.com/downloads/details.aspx?familyid=F0D03C3C-­‐4757-­‐40FD-­‐8306-­‐
68079BA9C773&displaylang=fr  

 
 4. Relation  d’approbation  

  Les  relations  d’approbation  permettent  à  un  utilisateur  d’un  domaine  d’accéder  aux  
ressources  d’un  autre  domaine  et  à  un  administrateur  de  pouvoir  gérer  les  utilisateurs  de  l’autre  
domaine.  

  Pour  plus  de  détail  :  http://www.labo-­‐microsoft.com/articles/win/trust/0/  

II. L’existant  

1. Le  domaine  source  

-­‐ Nom  de  domaine  MSLAB.LAN  

-­‐ 2x  Windows  Server  2003  Enterprise  Service  Pack2  
-­‐ PDC  :  DC1-­‐MSLAB  (+DNS)  192.168.1.1    
-­‐ Serveur  Fichier  :  DATA    192.168.1.2  
-­‐ Un  poste  Client  Windows  XP:  CLIENT-­‐MSLAB  192.168.1.3  
-­‐ Un  poste  Client  Windows  7:  CLIENT2-­‐MSLAB  192.168.1.4  
-­‐ Le  domaine  est  composé  d’une  OU  Siège  contenant  deux  OU  Achat  et  Comptabilité  
 

 
-­‐ Achat  contient  3  utilisateurs  et  un  groupe  Achat  

 
 
-­‐ Comptabilité  contient  3  utilisateurs  et  un  groupe  comptabilité  

 
 -­‐ Une  GPO  désactivant  l’utilisation  du  Pare-­‐feu  de  connexion  internet  

 
 -­‐ Une  GPO  lié  à  l’OU  ACHAT  définis  un  Fond  d’écran  par  défaut  

-­‐ Une  GPO  lié  à  l’OU  Comptabilité  définis  un  Fond  d’écran  par  défaut  

 
-­‐ Les  Utilisateurs  jbourne  et  agripsou  possèdent  tous  les  deux  un  profil  itinérant  :  

-­‐ Lfishburn  :    

-­‐ Agripsou  

 
 2. Le  domaine  cible  

-­‐ Nom  de  domaine  LSTM.LAN  

-­‐ PDC  :DC1-­‐LSTM.LAN  sous  windows  server  2008  Service  Pack1  IP  :  192.168.1.11  

-­‐ Le  domaine  est  composé  d’une  OU  Siège  contenant  deux  OU  Achat  et  Comptabilité  

 
 III. Préparation  
Il  est  important  que  les  deux  domaines  puissent  communiquer  entre  eux  via  la  résolution  DNS.  
Pour  cela  nous  allons  créé  des  zones  secondaires  dans  les  domaines.  

1. Création  Zone  DNS  Secondaire  

  Sur  le  domaine  source  :  

  Cliquer  sur  démarrer    Outil  d’administrationDNS  

  Déployer    «  Zones  de  recherche  directes  »  puis  Faire  clic  droit  sur  mslab.lan  ensuite  
  propriétés    

 
   Aller  sur  l’onglet  transferts  de  zone,  Cocher  Autoriser  les  transferts  de  zone  puis  sélectionner  
  Uniquement  vers  les  servers  suivants  puis  saisir  l’IP  du  PDC  cible  et  ajouté  le.  Cliquer  sur  
  «  notifier  »  

  Cocher  «  Notifier  automatiquement  »,  saisir  et  ajouter  le  PDC  cible  

  Une  fois  les  changements  effectués  appliquer  les  modifications.  

 
   Sur  le  domaine  Cible  :  

  Cliquer  sur  démarrer    Outil  d’administrationDNS  

  Faire  clic  droit  sur  Zones  de  recherche  directes    Nouvelle  Zone  

  Faite  Suivant  

 
   Choisir  Zone  secondaire  

  Saisissez  le  nom  de  la  zone  du  domaine  source  

  Ajouté  l’adresse  IP  du  PDC  sources  

 
   Puis  faite  suivant  

  Puis  faites  suivant  afin  de  valider  la  création  de  la  nouvelle  ZONE  

 
 

 
   Faire  clic  droit  sur  la  zone  lstm.lan  puis  propriétés  

  Aller  sur  l’onglet  Transferts  de  zone  puis  cliquer  sur  modifier,  

 
   Saisir  l’adresse  IP  du  PDC  source  puis  OK,  

  Cliquer  sur  notifier  

 
   Puis  cochez  notifier  automatiquement  et  choisir  les  serveurs  suivants,  

  Saisir  l’adresse  IP  de  DC1-­‐MSLAB  puis  OK  

  Appliquer  les  modifications  effectuées  

 
   Sur  le  domaine  source  :  

  Dans  l’interface  de  management  des  ZONES  DNS,  faire  clic  droit  sur  Zones  de  recherche  
  directes  et  faire  nouvelle  zone,  

  Faire  suivant,  

 
   Choisir  Zone  secondaire  

  Saisir  le  nom  DNS  du  domaine  Cible  puis  suivant,  

  Saisir  l’adresse  IP  du  PDC  cible,  

 
   Faire  Terminer  

  Vérifier  la  validité  de  la  nouvelle  zone  LSTM.LAN  

 
 2. Création  Relation  d’approbation  Bidirectionnelle  entre  les  deux  domaines  

a. Vérification  des  niveaux  fonctionnels  

Cliquer  sur  Démarrer  Outil  d’administration  Domaines  et  approbations  Active  Directory  

  Faire  clic  droit  sur  le  domaine  et  augmenter  le  niveau  fonctionnel  du  domaine  :  

  Vérifié  que  le  domaine  et  bien  à  un  niveau  fonctionnel  2003  

 
   Vérifier  le  niveau  fonctionnel  de  la  forêt  soit  sous  2003  aussi  

  Clic  droit  sur  Domaines  et  approbations  Active  Directory    Augmenter  le  niveau  fonctionnel  
  de  la  forêt  

 
 b. Création  de  l’approbation  Bidirectionnelle  

  Faire  clic  droit  sur  mslab.lan  puis  propriétés  

  Cliquer  sur  l’onglet  Approbations  puis  sur  nouvelle  approbation  

 
   Faites  suivant,  

  Saisir  le  nom  DNS  du  domaine  cible,  

  Sélectionner  Approbation  externe,  

 
   Sélectionner  Bidirectionnel,  

  Choisir  «  Ce  domaine  et  le  domaine  spécifié  »,  

  Saisir  les  informations  le  compte  administrateur  du  domaine  LSTM.LAN,  

 
   Choisir  Authentification  pour  toutes  les  ressources  du  domaine  puis  suivant,  

  Choisir  «  Authentification  pour  toutes  les  ressources  du  domaine  »  puis  suivant,  

 
   Faites  suivant  afin  de  lancer  la  création  de  l’approbation,  

  L’approbation  a  été  correctement  créée,  

 
   Choisissez  «  oui,  confirmer  l’approbation  sortante  »,  

  Choisissez  «  oui,  confirmer  l’approbation  sortant  »,  

  Faites  Terminer  afin  de  clôturer  la  création  de  l’approbation,  

 
   Une  fenêtre  d’information  apparait  faite  OK,  

  L’approbation  est  créée.  

 
 3. Création  du  compte  de  migration  

a. Création  

  Dans  le  domaine  source  

Cliquer  sur  démarrer    Outil  d’administrationUtilisateurs  et  ordinateurs  Active  Directory  

  Faire  clic  droit  sur  l’OU  Users,  nouveau  puis  utilisateur  

   
   Saisir  comme  prénom  res_migrator  et  en  nom  d’ouverture  de  sesseion  aussi  

Définissez  le  mot  de  passe,  cochez  «  l’utilisateur  ne  peut  pas  changer  de  mot  de  passe  »  et    le  
mot  de  passe  n’expire  jamais  »  puis  faire  suivant  

  Cliquer  sur  Terminer  

 
 b. Configuration  des  droits  

  Ajouter  le  compte  dans  le  groupe  administrateur  du  domaines,  

  Clic  droit  sur  res_migrator  puis  ajouter  à  un  groupe  :  

  Taper  admin  et  vérifier  les  noms  

  Choisir  Admins  du  domaine,  

 
Dans  le  domaine  cible  

Cette  opération  est  à  répéter  sur  chaques  unités  d’organisation  qui  vont  recevoir  les  objets  
migrés.  

Cliquer  sur  démarrer    Outil  d’administrationUtilisateurs  et  ordinateurs  Active  Directory  

Faire  clic  droit  sur  l’OU  Achat  puis  délégation  de  contrôle  

 
 Faire  suivant,  

Cliquer  sur  ajouter,  

Cliquer  sur  Emplacement,  

 
 Sélectionner  le  domaine  source,  

Taper  «  res  »  puis  vérifier  le  nom,  

Faire  OK,  

Faire  suivant,  

 
Choisir  «  Créer  une  tache  personalisée  à  déléguer  »  puis  suivant,  

Choisir  «  De  ce  dossier  et  des  objets…  »  ,  puis  suivant,  

Sélectionner  «  contrôle  total  »,  puis  suivant,  

 
 Faire  terminer,  

4. Configuration  des  groupes  Admins  du  domaie  

Dans  le  domaine  source  :  

Ajouter  le  groupe  admins  du  domaine  LSTM  dans  le  groupe  
«  Builtin/Administrateur  »  du  domaine  MSLAB.  

Cliquer  sur  démarrer    Outil  d’administrationUtilisateurs  et  ordinateurs  Active  

Directory  

 
 Aller  dans  l’OU  BuiltIN  et  ouvrer  le  groupe  Administrateur,  

Aller  sur  l’onglet  MEMBRE  puis  faire  ajouter,  

Cliquer  sur  emplacement,  

 
 Choisir  lstm.lan  puis  OK,  

Rentrer  «  admins  du  domaine  »  puis  vérifier  les  noms,  

Faire  Appliquer,  

 
 Dans  le  domaine  cible  :  

Ajouter  le  groupe  admins  du  domaine  MSLAB.LAN  dans  le  groupe  
«  Builtin/Administrateur  »  du  domaine  LSTM.LAN.  

Cliquer  sur  démarrer    Outil  d’administrationUtilisateurs  et  ordinateurs  Active  

Directory  

Aller  dans  l’OU  BuiltIN  et  ouvrer  le  groupe  Administrateur,  

 
 Aller  sur  l’onglet  MEMBRE  puis  faire  ajouter,  

Cliquer  sur  emplacement,  

Choisir  mslab.lan  puis  OK,  

 
 Rentrer  «  admins  du  domaine  »  puis  vérifier  les  noms,  

Faire  Appliquer,  

 
 5. Activation  de  l’algorithme  de  chiffrement  compatible  Windows  NT  4.0  

Pour  migrer  des  ordinateurs  exécutant  Windows  2000,  Windows  XP  et  Windows  Server  2003  
vers  un  domaine  cible  avec  des  contrôleurs  de  domaine  exécutant  Windows  Server  2008,  il  faut  
activer  l’algorithmes  de  chiffrement  compatible  avec  Windows  NT  4.0.  

Dans  le  domaine  cible  :  

Faite  démarrer  Exécutergpmc.msc  

Déplier  l’OU  Domain  Controllers  puis  faire  clic  droit  sur  Defaut  domain  controllers  Policy  puis  
modifier  

 Aller  dans  Configuration  ordinateur  StratégiesModele  

d’aministrationSystèmeAccès  Réseau  

 
 Double  cliquer  sur    «  Autoriser  les  algorithmes  de  chiffrement  compatibles…  »,  choisir  activé.  

6. Installation  de  l’outil  ADMT  

a. Installation  

Sur  le  domaine  cible  lancer  l’exécutable  admtsetup31,  faire  suivant,  

 
 Accepter  le  contrat  de  licence,  

Choisir  de  participer  ou  non  au  programme  d’amélioration  du  produit,  

 
 Patienter  quelques  instant,  

Choisir  Utiliser  SQL  Server  2005  Express  Edition  local  

Choisir  ne  pas  importer  les  données  d’une  base  de  données  existant  

 
 Faire  terminer  

b. Création  de  la  clé  de  chiffrement  

Toujours  sur  le  controleur  de  domaine  cible  où  a  été  installé  ADMT  exécuter  la  
commande  

admt  key  /option:create  /sourcedomain:mslab.lan  /keyfile:c:\key  /keypassword:toto  

Récupéré  la  clé  à  l’aide  d’un  support  amovible  ou  à  l’aide  d’u  npartage  réseau  afin  de  
la  stocker.  Cette  clé  permet  d’installer  l’outil  PES  sur  le  controleur  de  domaine  
source.  

 
7. Installation  PES  

a. Installation  

Sur  le  Serveur  source  :  

Placer  la  clé  de  chiffrement  sur  le  serveur  et  exécuter  pwdmig.msi.  

Faire  suivant,  

Accepter  les  conditions  d’utilisations,  

Cliquier  sur  parcourir  ,  

 
 Choisir  la  clé  de  chiffrement  key.pes,  

Faire  suivant,  

Rentrer  le  mot  de  passe  définit  lors  de  la  création  de  la  clé,  

 
 Faire  suivant,  

 
 

Définir  le  compte  administrateur  du  domaine  cible,  

 
 

Faire  OK  

 
Faire  terminer,  

Faire  oui  et  redémarrer  le  serveur.  

b. Démarrer  le  service  

Laissé  Démarrer  le  service  d’exportation  de  mots  des  passes  seulement  durant  la  
procédure  de  migration,  veillié  à  le  désactiver  une  fois  la  migration  terminer.  

Après  que  le  serveur  aye  redémarré  :  

Faire  DémarrerExécuterservices.msc  

Sélectionner  «  Service  Serveur  d’exportation  de  mots  de  passe  »  

 
 Faire  clic  droit  «  Démarrer  »,  

Le  service  est  démarrer.  

8. Test  de  migration  de  compte  et  initialisation  d’ADMT  

Nous  allons  exécuter  ADMT  une  première  fois,  ce  qui  aura  pour  but  de  :  

• De  créér  un  groupe  local  (domaine_source$$$)  dans  le  domaine  source  qui  sert  à  auditter  les  
opérations  constituant  l’historique  SID.  

• L’activation  de  la  prise  en  charge  du  client  TCP/IP  sur  le  contrôleur  de  domaine  principal  du  
domaine  source,    ce  qui  définira  la  clé  registre  TcpipClientSupport  sur  1.      

    L'entrée  est  située  dans  la  sous-­‐clé  suivante  :    

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
• L’activation  des  stratégies  d’audit  dans  les  domaines  source  et  cible.  

 
a. Création  du  groupe  global  TEST  

Sur  le  contrôleur  de  domaine  source,  

Faire  DémarrerOutil  d’administrationUtilisateur  et  ordinateur  active  directory  

Clic  droit  sur  L’OU  User  nouveau    Groupe  

L’appeler  TEST,  choisir  l’étendue  du  groupe  Globale  et  de  type  Sécurité  puis  OK.  

 
b. test  de  migration  

Sur  le  controleur  de  domaine  source  :  

Faire  DémarrerOutil  d’administrationOutil  de  migration  Active  Directory  

Clic  droit  sur  outil  de  migration  Active  DirectoryAssistant  Migration  des  comptes  de  groupes  

 
 Faire  Suivant,  

Choisir  les  domaines  et  serveurs,  

Choisir  «  sélectionner  les  gropes  dans  le  domaine,  

 
 Faire  ajouter  afin  de  sélectionner  le  groupe,  

   

Rentrer  test  puis  OK,  

Faire  suivant,  

 
 Faire  parcourir  afin  de  choisir  l’OU  du  domaine  source  qui  recevra  le  groupe,  

Choisir  l’OU  USER,  

Faire  suivant,  

 
 Cochez  «  Corriger  l’appartenance  du  groupe  »  et  «  effectuer  la  migration  des  identificateurs  
SID..  »,  

Choisir  OUI,  

Choisir  Oui,    

Choisir  oui,  

 
 Saisir  les  information  du  compte  res_migrator,  

Faire  Suivant,  

Choisir  «  ne  pas  migrer  l’objet  source  …  »  

 
Faire  terminer,  

Suivre  la  progression  de  la  migration  puis  fermer  la  fenêtre  une  fois  terminer,  

La  migration  s’est  déroulée  avec  succès.  

 
Il  faut  désormais  vérifier  si  les  modifications  faîte  par  ADMT  ont  été  faite    

Sur  le  contrôleur  de  domaine  source  :  

-­‐ TCPIPCLIENTSUPPORT  

Démarrer  Exécuterregedit  

Ensuite  allé  dans  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa  

La  clé  TcpipClientSupport  n’est  pas  créée  nous  allons  donc  la  rajouté  manuellement  en  tant  que  
valeur  DWORD  et  la  mettre  à  1.  

Clic  droit  sur  LSA  NouveauValeur  Dword  

Saisir  TcpipClientSupport  

Mettre  la  Valeur  à  1  puis  OK,  

 
 -­‐ Groupe  MSLAB$$$  

Faire  DémarrerOutil  d’administrationUtilisateur  et  ordinateur  active  directory  

-­‐ Stratégie  d’audit  de  la  gestion  des  comptes    

Sur  le  contrôleur  de  domaine  source  :  

DémarrerExécutergpedit.msc  

 
Aller  dans  configuration  ordinateurParamètre  windowsParamètre  de  sécuritéStratégie  
d’audit  Auditer  la  gestion  des  comptes.  

La  valeur  a  été  modifiée,  

Sur  le  contrôleur  de  domaine  cible  :  

DémarrerExécutergpedit.msc  

La  valeur  a  été  modifiée,  

 
IV. Migration  des  ressources  

1. Migration  des  comptes  utilisateurs  et  groupes  avec  SID  

Sur  le  controleur  de  domaine  cible  exécuter  l’outil  ADMT  

Clic  droit  «  Outil  de  migration  Active  Directory  »  puis  Assistant  Migration  des  comptes  
d’utilisateurs  

 
 Faire  Suivant,  

Saisir  le  nom  des  domaines  correspondant  et  sélectionner  les  contrôleurs  de  domaine.  

 
 Choisir  «  Sélectionner  les  utilisateurs  dans  le  domaine  »  

Cliquer  sur  Ajouter,  

Saisir  le  nom  des  utilisateurs  Archibald,Balthazard  et  Crésus,  

 
 Faire  Suivant,  

Sélectionner  l’OU  cible  où  les  utilisateurs  seront  migré,  ICI  l’OU  Compta  est  choisie,  

Choisir  «  Migrer  les  Mots  de  passe  »  

 
 Sélectionner  «  Cible  Identique  à  la  source  »  

Saisir  les  informations  du  compte  res_migrator,  

 
 Cocher  :  

-­‐ Traduire  les  profils  itinérants  

-­‐ Mettre  à  jour  les  droites  des  utilisateurs  

-­‐ Effectuer  la  migration  des  groupes  d’utilisateurs  associés  (  ce  qui  aura  pour  effet  de  
migrer  le  compte  comptabilité  dont  ils  font  parti)  

-­‐ Corriger  les  apparternances  du  groupe  utilisateurs  

Ne  rien  cocher  puis  suivant,  

 
 Choisir  «  ne  pas  migrer  l’objet  source  si  un  conflit  est  détecté  dans  le  domaine  cible  »  

Faire  «  Terminer  »  

 
 Suivre  la  progession  de  la  migration,  une  fois  terminer  fermer  la  fenetre,  

Vérifier  que  les  comptes  utilisateurs  et  le  groupe  dont  il  appartenait  ont  été  migré.  

Effectuer  la  même  manipulation  pour  les  utilisateurs  du  domaine  source  de  l’OU  Achat  qui  seront  
alors  migré  vers  l’OU  Achat  du  domaine  cible.    

 
2. Migration  des  postes  clients  et  des  serveurs  membres  

a. Migration  

Il  faut  exécuter  l’outil  ADMT  avec  un  compte  utilisateur  qui  possède  des  droits  
administrateurs  sur  les  clients  afin  de  pouvoir  ces  derniers.  

Faire  Démarrer  ExécuterCMD  

Saisir  la  commande  dans  l’invite  de  commande  :    

runas  /noprofile  /user:mslab.lan\administrateur  cmd    

Saisir  le  mot  de  passe  du  compte  administrateur  du  domaine  mslab.lan  

Un  Invite  de  commande  s’ouvre  en  tant  qu’utilisateur  mslab.lan\administrateur  

 
 Saisir  C:\Windows\ADMT\migrator.msc  afin  de  lancer  l’outil  de  migration  ADMT  

Faire  clic  droit  sur  «  Outil  de  migration  Active  Directory  et  choisir  «  Assistant  Migration  des  
ordinateurs  »  

Faire  suivant  

 
 Saisir  les  domaines  et  serveurs  correspondant,  

Choisir  «  Sélectionner  les  ordinateurs  dans  le  domaine  »  

 
 Cliquer  sur  ajouter,  

Saisir  le  nom  des  ordinateurs  à  migrer,  

Faire  suivant,  

 
 Choisir  l’OU  qui  recevra  les  comptes  ordinateurs,  

Cochez  les  options  dont  vous  avez  besoin,  ici  :  

-­‐ Fichiers  et  dossiers  

-­‐ Groupes  locaux  

-­‐ Registre  

-­‐ Les  ressources  partagées  

-­‐ Profil  des  utilisateurs  

-­‐ Droits  des  utilisateurs  

 
 

 
 Choisir  Remplacer,  

Faire  OK,  

Définir  à  1  le  temps  en  minutes  pour  le  redémarrage  des  ordinateurs,  

 
 Faire  suivant,  

Sélectionner  «  Ne  pas  migrer  l’objet  source…  »  

 
 Cliquer  sur  Terminer,  

Surveiller  la  progression  de  la  migration,  

 
Une  fois  la  migration  finie  une  boite  de  dialogue  apparaît,  elle  permet  d’automatiser  le  
changement  de  domaine  des  ordinateurs.  

Cliquer  sur  Démarrer  afin  de  lancer  l’opération  

Le  processus  terminé,  il  est  possible  de  voir  si  des  erreurs  sont  apparu,  ici  le  client-­‐mslab  et  
client2-­‐mslab  se  son  terminer  avec  des  erreurs,  il  est  donc  nécessaire  de  vérifier  les  logs.    

Pour  cela  cliquer  sur  Afficher  le  journal  de  migration.  

 
b. Vérification  des  Logs  

Fichier  journal  de  migration,  on  constate  que  le  changement  a  bien  été  fait,  sauf  que  la  post-­‐
vérification  n’a  pas  pu  aboutir  pour  le  client-­‐mslab.lan.  Pour  voir  plus  en  détail  les  logs  selon  
les  comptes  ordinateurs  cliquer  sur  détail  agent  dans  la  fenêtre  précédente.  

-­‐ Serveur  DATA  

Cliquer  sur  Afficher  le  journal,  

 
 La  migration  s’est  correctement  dérouler  et  a  abouti,  

-­‐ Client-­‐MSLAB  

Cliquer  sur  Afficher  le  journal,  

 
 On  voit  dans  le  log  que  l’affiliation  du  domaine  a  été  modifier  en  lstm.lan,  la  migration  
s’est  correctement  dérouler  et  a  abouti,  

-­‐ Client2-­‐MSLAB  

Cliquer  sur  Afficher  le  journal,  

 
 La  migration  s’est  correctement  dérouler  et  a  abouti,  

3. Vérification  et  fonctionnement  de  la  migration  

On  constate  qu’au  niveau  de  l’active  directory  du  domaine  lstm.lan,  les  postes  clients  et  le  
serveur  DATA  ont  bien  migré.  

 
 Client-­‐mslab  

Ouvrir  la  session  de  l’utilisateur  lfishburn  sur  le  domaine  LSTM  

Définir  un  nouveau  mot  de  passe,  

 
 Dans  les  propriétés  système,  on  constate  bien  que  le  poste  a  intégré  le  domaine  lstm.lan,  

Le  client  récupère  bien  son  profil  initérant  car  le  fichier  nommé  perso  sur  le  bureau  est  
présent.  Le  fond  d’écran  est  toujours  présent  car  il  se  trouve  en  mémoire  sur  le  poste.  

 
Client2-­‐mslab  

Ouvrir  la  session  de  l’utilisateur  agripsou  

Définir  un  nouveau  mot  de  passe,  

 
L’utilisateur  a  bien  récupéré  son  profil  itinérant  car  le  fichier  PERSO  créé  précédement  est  
affiché,  

Le  poste  a  bien  intégré  le  domaine  lstm.lan  

DATA  

Se  connecter  avec  la  session  administrateur  du  domaine  lstm  sur  lstm,  

 
 Le  serveur  a  bien  intégé  le  domaine  lstm.lan,  

4. Exportation  des  GPO  du  domaine  source  

Pour  exporter  des  GPO  sous  windows  Server  2003,  nous  avons  besoin  de  l’outil  gpmc.msc  

-­‐ Une  GPO  désactivant  l’utilisation  du  Pare-­‐feu  de  connexion  internet  (Default  domain  policy)  

(Nous  ne  récupérerons  pas  la  GPO  lié  car  elle  nous  était  utile  que  pour  la  migration)  

-­‐ Une  GPO  lié  à  l’OU  Comptabilité  définis  un  Fond  d’écran  par  défaut  

-­‐ Une  GPO  lié  à  l’OU  Achat  définis  un  Fond  d’écran  par  défaut  

 
a. Installation  GPMC  

Exécuter  l’installeur  gmpc.msi  

Choisir  Accepter  puis  suivant,  

Patienter  durant  la  phase  d’installation,  

 
 Une  fois  l’installation  terminer  faire  terminer,  

b. Exportation  :  Utilisation  GPMC.MSC  

Sur  le  serveur  dc1.mslab.lan  

Faire  Démarrer    Exécutergpmc.msc  

Sur  la  GPO  lié  à  l’OU  Achat,  faire  clic  droit  «  sauvegarder  »  

 
Définir  le  nom  de  la  sauvegarde  et  la  destination,  

Patienter  durant  la  sauvegarde,  

 
 Une  fois  la  sauvegarde  terminer  faire  OK,  

Récupérer  la  sauvegarde  afin  de  pouvoir  l’importer  dans  le  domaine  lstm.lan  

c. Importation  des  GPO  

Sur  le  serveur  dc1.lstm.lan  

Faire  Démarrer    Exécutergpmc.msc  

 
 Faire  clic  droit  sur  «  Objets  de  stratégie  de  groupe  »  et  faire  nouveau  

Définir  le  nom  de  la  nouvelle  GPO  ,  

Sur  la  GPO  Wallpaper  Achat  créer  précédement,  faire  clic  droit  et  importer  des  paramètres,  

 
Faire  suivant,  

Faire  suivant,  

 
 Cliquer  sur  Parcourir  afin  de  choisir  l’emplacement  de  la  sauvegarde,  

Faire  suivant,  

 
 Choisir  la  sauvegarde  puis  suivant,  

Attendre  la  fin  de  l’analyse,  

 
 A  la  fin  de  l’assistant,  faire  terminer,  

A  la  fin  de  l’importation  faire  OK  

 
Vérifier  la  GPO  afin  de  voir  si  les  paramètres  ont  été  importé,  

Lier  la  GPO  sur  l’OU  Achat,  faire  clic  droit  puis  «  lier  un  objet  de  stratégie  de  groupe  
existant…  »,  

Choisir  la  GPO  Wallpaper  Achat,  

 
La  GPO  lié  fermer  la  console  gestion  de  stratégie  de  groupe,  

Faire  la  même  chose  pour  le  Gpo  gérant  le  fond  d’écran  Compta  

Une  fois  les  GPO  migrer,  exécuter  la  commande  gpupdate  /force  sur  les  postes  clients  et  
fermer  la  session  active  ou  redémarrer  sinon  les  changements  de  la  GPO  ne  sont  pas  pris  en  
compte.  

 
 d. Vérification  de  l’application  des  GPO  

CLIENT-­‐MSLAB  avec  la  session  lfishburn  

CLIENT-­‐LSTM  avec  la  session  agripsou  

 
5. Mise  hors  service  du  domaine  source  

a. Supression  des  Approbation  

Sur  dc1.mslab.lan  

Cliquer  sur  Démarrer  Outil  d’administration  Domaines  et  approbations  Active  Directory  

Faire  clic  droit  sur  mslab.lan  puis  propriétés  

 
Cliquer  sur  l’onglet  Approbations  puis  sur  nouvelle  approbation  et  Supprimer  toutes  les  
relations  d’approbation  entre  les  deux  domaines.  

Selectionner  «  Oui,  supprimer  l’approbation  du  domaine  local  et  de  l’autre  domaine  …  »  puis  
saisir  les  information  du  compte  administrateur.  

Confirmer  la  suppression  en  cliquant  sur  oui,  

Faire  de  même  pour  l’approbation  entrante.  

 b. Désactivation  des  comptes  de  migration  

Sur  dc1.mslab.lan  

Cliquer  sur  démarrer    Outil  d’administrationUtilisateurs  et  ordinateurs  Active  Directory  

Aller  dans  l’OU  User  et  faire  clic  droit  sur  res_migrator  puis  «  désactiver  le  compte  »  

 
 c. Arrêt  du  service  d’exportation  de  mot  de  passe  

Sur  controleur  de  domaine  du  domaine  source  

Faire  DémarrerExécuterservices.msc  

Faire  clic  droit  sur  «  Service  Serveur  d’exportation  de  mots  de  passes…  »  puis  faire  Arrêter  

  Le  service  est  arrêté.  

Conclusion  
  La   migration   interforet   n’est   pas   vraiment   une   «  migration  »   comme   on   pourrait   le  
comprendre   mais   plus   un   processus   de   copie   d’objet   d’un   domaine   source   vers   un   domaine   cible.   En  
cas   de   problème,   il   est   facile   de   revenir   en   arrière   étant   donné   que   toute   les   données   sources   se  
trouve  toujours  dans  le  domaine  source.  

  Cet   article   a   donc   pour   but   de   montrer   le   fonctionnement   d’une   migration   interforêt.   En  
entreprise   le   nombre   d’objets   sera   forcément   beaucoup   plus   élevés   et   la   mgiration   touchera   alors  
beaucoup  plus  d’utilisateurs.  Il  est  donc  nécessaire  de  préparer  une  bonne  planification  et  d’attribuer  
si   besoin   est,   une   phase   de   migration   à   plusieurs   techniciens   ou   administrateurs   afin   de   rendre   le  
processus  migration  optimale.