Ich würde vorhaben, eine der Active Directory-Gesamtstrukturen zu deaktivieren und zu verwüsten. Das Verwalten einer Multi-Domain, geschweige denn einer Multi-Gesamtstruktur, Active Directory ist nur ein Problem.
Wenn Sie nicht über eine große Anzahl von Benutzern / Computern oder komplexen Dateisystemberechtigungen in der Gesamtstruktur verfügen, die nicht verwendet werden, würde ich mich nicht einmal mit einem Tool wie dem Active Directory-Migrationstool beschäftigen.
Migrationstools sind in Ordnung, um schnell etwas zu erledigen. Wenn Sie jedoch die Zeit haben, eine Vertrauensbeziehung zwischen den Gesamtstrukturen einzurichten und absichtlich zu verschieben, können Sie allen Dateiberechtigungen, Anwendungen und anderen Diensten, die auf Active Directory basieren, eine echte Top-Funktion geben. Überprüfen und assimilieren Sie das erworbene Unternehmen auf kontrollierte und koordinierte Weise in Ihr Active Directory, anstatt viel Gepäck aus der AD zu holen, das sich in den kommenden Jahren als "Legacy" -Mühlstein um Ihren Hals herausstellen wird .
Ich würde eine Vertrauensbeziehung zwischen den Gesamtstrukturen einrichten, sodass sich Benutzer aus einer Domäne bei Computern in der anderen anmelden können. Dann wird die Domänenmitgliedschaft der Clientcomputer etwas irrelevant. Ich würde eine Reihe von Domänencontrollern für die Zieldomäne im Büro des erworbenen Unternehmens bereitstellen. Sie können diese sogar als VMs auf den vorhandenen Domänencontrollern bereitstellen, ungeachtet der Windows-Lizenzierung.
Ich würde herausfinden, wofür Gruppenrichtlinien in der nicht verwendeten Gesamtstruktur verwendet werden, und Sites und Organisationseinheiten in der Zielgesamtstruktur bereitstellen, um die Computer beim Verschieben unterzubringen. Sie werden wahrscheinlich feststellen, dass sie Gruppenrichtlinien für vieles nicht wirklich verwenden (was deprimierend scheint, dass dies 9 Jahre nach dem Erscheinen von Active Directory und Gruppenrichtlinien immer noch der Fall ist), aber denken Sie auf jeden Fall darüber nach.
Ich würde ein Startskript mit dem Tool "NETDOM" bereitstellen (siehe http://technet.microsoft.com/en-us/library/cc781853(WS.10).aspx ), um die Clientcomputer von der nicht verwendeten Gesamtstruktur zu trennen und sie mit der Zielgesamtstruktur zu verbinden. Benutzeranmeldungen funktionieren weiterhin wie immer für die Benutzer der nicht verwendeten Gesamtstruktur.
Ob die Benutzer und Gruppen aus der nicht verwendeten Gesamtstruktur migriert werden sollen oder nicht, hängt von der Anzahl der Benutzer und Gruppen und der Schwierigkeit ab, nur die Benutzer-, Gruppen- und Dateisystem-ACLs in der Zielgesamtstruktur neu zu erstellen.
Sie haben Exchange nicht erwähnt. Wenn Exchange im Spiel ist, müssen Sie sich um die gesamtstrukturübergreifende / organisationsübergreifende Postfachmigration sorgen. Ich werde keinen Kommentar zu diesem Problem abgeben, es sei denn, Sie aktualisieren und sagen, dass Sie Informationen dazu benötigen.
Sie haben zwei Möglichkeiten, dies zu tun: 1. Domänenvertrauen (einfach): Erstellt eine Verknüpfung zwischen Ihren beiden Domänen, sodass Sie Benutzern in der Domäne Zugriff auf freigegebene Ressourcen in Domäne B gewähren können und umgekehrt. Sie können auch eine Einweg-Vertrauensstellung erstellen, die nur in eine Richtung funktioniert. 2. Domänenmigration: Verschieben Sie alle Objekte (Benutzer, Computer usw.) von einer Domäne in die andere. ADMT (Active Directory-Migrationstool) ist die Toolbox, die Sie normalerweise hier verwenden. Wenn beide Domänen Exchange Server installiert haben, prüfen Sie auch eine Postfachmigration von einer Exchange-Organisation zur anderen (zwischen Exchange und Active Directory Forests besteht eine Eins-zu-Eins-Beziehung, sodass Sie den Austausch nicht einfach verschieben können zwischen AD-Wäldern).
Wie Sam betont, ist dies einer, in dem Sie noch mehr testen, testen und testen möchten! Die Migration selbst ist nicht so kompliziert, aber jeder Fehler könnte potenziell katastrophal sein.
quelle
Evan Anderson wird Ihnen die wirklich gute Antwort auf diese Frage geben, aber bis er auftaucht, kann ich Ihnen einige Dinge zur Recherche geben.
Grundsätzlich haben Sie einen Active Directory-Baum. Es ist deine Domain. Ihre neue Firma hat auch eine. Ihr "Baum" ist ihre Domäne. Was Sie tun möchten, ist, beide "Bäume" in den gleichen "Wald" zu legen. Ich bin nicht süß, das sind die eigentlichen Begriffe.
Ich weiß nur technisch genug, um zu wissen, dass ich die Antwort nicht kenne. Google liefert einige gut aussehende Ergebnisse , aber sprechen Sie auf jeden Fall mit jemandem, der es weiß, bevor Sie es tun. Gibt es jemanden in der anderen Firma mit mehr Windows-Erfahrung?
Außerdem würde ich empfehlen, ein AD-Buch für die von Ihnen verwendete Windows Server-Version zu erwerben. Sie sind aufschlussreich, und als Linux-Typ ist es manchmal etwas beunruhigend, ihre Denkweise zu sehen, aber es funktioniert normalerweise. Es ist einfach anders.
Viel Glück!
quelle
In der Regel verwenden Sie ADMT oder Quest, um alle relevanten Objekte (Benutzer, Gruppen, Computer, Server usw.) aus den Domänen eines Unternehmens in die Domäne des anderen zu migrieren.
Dies erfordert einige umfangreiche Planungen und Sie müssen die Server auf Anwendungsbasis betrachten. Einige Dinge sind ziemlich einfach zu verschieben, z. B. Datei- und Druckserver, während andere, z. B. SQL / SharePoint, viel mehr involviert sind.
ADMT und ähnliches können die Arbeit erledigen, alle Maschinen für Sie zu berühren und Prinzipien zu kopieren.
quelle
Halten Sie die Koexistenz so kurz wie möglich. Das Ausführen beider Domänen führt nur zu Problemen. Wenn ein AD eindeutig besser ist (wobei besser = besseres Verwaltungsmodell, bessere Überwachung usw.) als ein anderes (oder die DCs in einem AD das Ende der Lebensdauer haben), migrieren Sie Benutzer dorthin. Andernfalls richten Sie eine neue Domäne ein und migrieren Sie über einen vordefinierten Zeitraum zu dieser.
quelle