ADMT3.0实操：账户迁移与密码迁移步骤

"这篇文档详细介绍了如何使用ADMT（Active Directory Migration Tool）3.0版本进行AD账户迁移，包括迁移的全过程、迁移前期的准备、ADMT的安装以及启用密码迁移的关键步骤。" ADMT3.0是微软提供的一个工具，用于在不同的活动目录（Active Directory）林之间迁移用户、计算机和其他安全主体。这个工具对于组织在进行域升级、合并或者重组时非常有用。在进行ADMT3.0迁移时，主要涉及以下几个关键知识点： 1. **迁移流程**：整个迁移过程通常包括前期准备、安装ADMT、建立域信任、配置密码迁移等步骤。在这个过程中，需要确保目标域的功能级别至少为Windows 2000或Windows 2003，以支持迁移操作。 2. **建立域信任**：在源域（Sourcedomain）和目标域（Targetdomain）之间建立单向或双向的信任关系，这是迁移账户的基础，允许不同域间的账户访问资源。 3. **权限设置**：为了保证迁移过程的顺利进行，需要将目标域的DomainAdmins群组添加到源域的Administrators群组中，以获取必要的管理权限。 4. **安装ADMT**：ADMT3.0需要在目标域的DC（域控制器）上安装，并且需要一个数据库来存储迁移数据。默认情况下，它会安装Windows Management Service Desktop Engine (WMSDE)。 5. **启用密码迁移**：使用Password Export Server (PES) 服务可以迁移用户的密码。PES需要在源域的任一DC上安装，且必须有预先创建的加密密钥。这个密钥需要在目标域中创建，并通过U盘妥善保管。创建加密密钥的命令行工具是`admtkey`，并需要指定源域名、密钥文件路径和密码。 6. **配置PES服务**：PES服务可以在本地系统账户下运行，也可以使用目标域中经过验证的凭据运行。推荐使用后者以提高安全性。如果选择本地系统账户，确保Everyone和AnonymousLogon组有相应的访问权限。 7. **迁移过程中的注意事项**：在配置PES服务时，需要将加密密钥U盘插入源域控制器，并按照指示进行配置。迁移完成后，密码可能会被删除，因此要确保所有必要的步骤都已正确执行。 在实际操作中，除了遵循这些步骤外，还需要考虑迁移策略、用户数据同步、迁移后的权限调整等因素。ADMT3.0的使用需要谨慎，因为任何错误都可能导致用户访问问题或数据丢失。在进行大规模迁移前，最好先进行小规模的测试以验证过程的正确性。