admt migración y reestructuración de dominios

Guía de ADMT: Migración y reestructuración de dominios de Active Directory

Microsoft Corporation

Publicado: Junio de 2010

Autor: Justin Hall

Editores: Jim Becker, Margery Spears

ResumenEn esta guía se explica cómo usar la Herramienta de migración para Active Directory® Migration

Tool versión 3.1 (ADMT v3.1) o ADMT v3.2 para migrar usuarios, grupos, cuentas de servicio

administradas y equipos entre dominios de Active Directory en bosques diferentes (migración

entre bosques) o entre dominios de Active Directory en el mismo bosque (migración interna del

bosque). También se muestra cómo usar ADMT para realizar la conversión de seguridad entre

distintos bosques de Active Directory.

La información contenida en este documento, incluidas las direcciones URL y las referencias a

otros sitios Web de Internet, está sujeta a cambios sin previo aviso. A menos que se indique lo

contrario, los nombres de las compañías, organizaciones, productos, nombre de dominio,

direcciones de correo electrónico, logotipos, personas, lugares y acontecimientos aquí

mencionados son ficticios y no representan de ningún modo a ninguna compañía, organización,

producto, nombre de dominio, dirección de correo electrónico, logotipo, persona, lugar o

acontecimiento real. Es responsabilidad del usuario el cumplimiento de todas las leyes de

derechos de autor aplicables. Sin limitación en los derechos de autor, ninguna parte de este

documento puede reproducirse o transmitirse de ninguna forma, ni por ningún medio, ya sea

electrónico, mecánico, fotocopiado, grabado o cualquier otro, con ningún propósito, sin la previa

autorización por escrito de Microsoft Corporation.

Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y

otros derechos de propiedad intelectual sobre el contenido de este documento. El suministro de

este documento no le otorga ninguna licencia sobre estas patentes, marcas, derechos de autor u

otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato por escrito

de licencia de Microsoft.

© 2010 Microsoft Corporation. Reservados todos los derechos.

Active Directory, Microsoft, Windows y Windows Server son marcas registradas o marcas

comerciales de Microsoft Corporation en EE.UU. y/o en otros países.

Los nombres de compañías reales y productos que se mencionan aquí pueden ser marcas

registradas de sus respectivos propietarios.

Contenido

Guía de ADMT: Migración y reestructuración de dominios de Active Directory.............................10

Reestructuración de dominios de Active Directory entre bosques.............................................11

Reestructuración de dominios de Active Directory dentro de un mismo bosque.......................11

Términos y definiciones.............................................................................................................12

Herramienta de migración para Active Directory.......................................................................13

Uso de un archivo de inclusión..............................................................................................15

Campo SourceName..........................................................................................................16

Campo TargetName............................................................................................................16

Campos TargetRDN, TargetSAM y TargetUPN...................................................................17

Cambio de nombre de objetos............................................................................................17

Uso de un archivo de exclusión..........................................................................................18

Uso de secuencias de comandos..........................................................................................18

Herramienta de migración Active Directory: versiones y entornos admitidos................................20

Compatibilidad con características de Windows Server............................................................23

Prácticas recomendadas para la migración de Active Directory...................................................24

Prácticas recomendadas para el uso de la Herramienta de migración para Active Directory.......24

Prácticas recomendadas para la realización de migraciones de cuentas de grupo y usuario......25

Prácticas recomendadas para realizar migraciones de equipos...................................................27

Prácticas recomendadas para revertir una migración...................................................................27

Reestructuración de dominios de Active Directory entre distintos bosques..................................28

Lista de comprobación: Realización de una migración entre bosques.........................................29

Introducción a la reestructuración de dominios de Active Directory entre bosques......................32

Proceso para la reestructuración de Active Directory entre bosques............................................32

Información general básica para la reestructuración de dominios de Active Directory entre

bosques..................................................................................................................................... 33

Proceso de migración de cuenta...............................................................................................34

Proceso de migración de recursos............................................................................................35

Planeamiento para la reestructuración de dominios de Active Directory entre bosques...............35

Determinación del proceso de migración de cuentas...................................................................36

Uso del historial de SID para conservar el acceso a recursos......................................................38

Uso de filtrado de SID al migrar cuentas de usuarios...................................................................39

Asignación de las funciones y ubicaciones de objetos.................................................................40

Desarrollo de un plan de prueba para la migración......................................................................42

Creación de un plan de reversión.................................................................................................44

Administración de usuarios, grupos y perfiles de usuario.............................................................45

Administración de cuentas de usuario.......................................................................................46

Atributos que el sistema excluye siempre..............................................................................47

Lista de exclusión de atributos del sistema............................................................................47

Lista de exclusión de atributos...............................................................................................47

Administración de grupos globales............................................................................................47

Planeamiento para la migración de perfil de usuario.................................................................48

Preparación para la migración de perfiles móviles con equipos que ejecutan Windows Vista y

Windows 7.......................................................................................................................... 49

Creación de un plan de comunicación con los usuarios finales....................................................51

Información general................................................................................................................... 51

Impacto...................................................................................................................................... 52

Estado de inicio de sesión durante la migración.......................................................................52

Pasos de migración previa........................................................................................................52

Cambios esperados...................................................................................................................52

Programación e información de soporte técnico.......................................................................52

Preparación de los dominios de origen y destino.........................................................................52

Instalación de software de cifrado alto de 128 bits.......................................................................53

Establecimiento de confianzas necesarias para la migración.......................................................54

Establecimiento de cuentas de migración para la migración........................................................54

Configuración de los dominios de origen y destino para la migración del historial de SID...........59

Configuración de la estructura de unidades organizativas del dominio de destino para la

administración........................................................................................................................... 61

Instalación de ADMT en el dominio de destino.............................................................................61

Instalación de ADMT v3.1..........................................................................................................62

Requisitos previos para la instalación de ADMT v3.1............................................................62

Instalación de ADMT v3.1 usando el almacén de la base de datos predeterminado.............62

Instalación de ADMT v3.2..........................................................................................................65

Requisitos previos para la instalación de ADMT v3.2............................................................65

Instalar ADMT v3.2.................................................................................................................66

Separar un archivo de base de datos existente de una versión anterior de ADMT y de

SQL Server............................................................................................................................ 67

Reconfigurar la instalación de la base de datos con Admtdb.exe.............................................67

Reutilizar una base de datos de ADMT existente desde una instalación anterior.....................69

Habilitación de la migración de contraseñas.................................................................................70

Inicialización de ADMT ejecutando una migración de prueba.......................................................73

Identificación de cuentas de servicios para la migración..............................................................76

Identificación de las cuentas de servicio...................................................................................76

Migración de cuentas....................................................................................................................81

Transición de cuentas de servicio en su migración.......................................................................82

Migración de grupos globales.......................................................................................................88

Migración de cuentas mientras utiliza el historial de SID..............................................................93

Migración de cuentas de servicio administradas..........................................................................96

Migración de todas las cuentas de usuario.................................................................................101

Repetición de la migración de las cuentas de usuario y migración de las estaciones de trabajo en

lotes......................................................................................................................................... 108

Conversión de perfiles de usuario local...................................................................................108

Migración de estaciones de trabajo en lotes............................................................................113

Repetición de la migración de las cuentas de usuarios en lotes..............................................119

Repetición de la migración de todos los grupos globales después de la migración de cuenta de

usuario................................................................................................................................. 125

Repetición de la migración de todos los grupos globales después de migrar todos los lotes.....125

Migración de cuentas sin utilizar el historial de SID....................................................................130

Migración de cuentas de servicio administradas........................................................................132

Migración de todas las cuentas de usuario.................................................................................137

Conversión de seguridad en modo Agregar................................................................................143

Repetición de la migración de las cuentas de usuario y migración de las estaciones de trabajo en

lotes......................................................................................................................................... 148

Conversión de perfiles de usuarios locales.............................................................................148

Migración de estaciones de trabajo en lotes...........................................................................153

Repetición de la migración de las cuentas de usuarios en lotes.............................................159

Repetición de la migración de todos los grupos globales después de la migración de cuenta de

usuario................................................................................................................................. 164

Repetición de la migración de todos los grupos globales después de migrar todos los lotes.....165

Conversión de seguridad en modo Quitar..................................................................................169

Migración de recursos.................................................................................................................173

Migración de estaciones de trabajo y servidores miembro.........................................................174

Migrar grupos locales compartidos y de dominios......................................................................181

Migración de controladores de dominio......................................................................................184

Finalización de la migración........................................................................................................185

Conversión de seguridad en los servidores miembro.................................................................186

Cómo dar de baja el dominio de origen......................................................................................190

Reestructuración de dominios de Active Directory dentro de un mismo bosque........................190

Lista de comprobación: Realización de una migración dentro del mismo bosque......................191

Introducción a la reestructuración de dominios de Active Directory dentro de un bosque mediante

................................................................................................................................................ 194

Reestructuración de dominios de Active Directory dentro de un bosque mediante ADMT v3.1..194

Información general para la reestructuración de dominios de Active Directory dentro de un

bosque..................................................................................................................................... 195

Conjuntos cerrados y conjuntos abiertos.................................................................................195

Usuarios y grupos................................................................................................................196

Recursos y grupos locales...................................................................................................197

Historial de SID........................................................................................................................ 198

Asignación de acceso de recursos a grupos...........................................................................198

Preparación para la reestructuración de dominios de Active Directory dentro de un bosque.....198

Evaluación de la nueva estructura de bosque de Active Directory.............................................199

Identificar los dominios de origen............................................................................................200

Identifique y evalúe la estructura de unidades organizativas del dominio de destino..............200

Asignación de las funciones y ubicaciones de objetos de dominio.............................................200

Plan para la migración de grupos...............................................................................................202

Plan para migraciones de prueba...............................................................................................204

Crear un plan de reversión.........................................................................................................206

Crear un plan de comunicación con los usuarios finales............................................................207

Información general................................................................................................................. 208

Impacto.................................................................................................................................... 208

Estado de inicio de sesión durante la migración.....................................................................208

Pasos de migración previa......................................................................................................208

Cambios esperados.................................................................................................................208

Programación e información de soporte técnico.....................................................................209

Creación de grupos de cuentas de migración.............................................................................209

Instalación de ADMT en el dominio de destino...........................................................................211

Instalación de ADMT v3.1........................................................................................................212

Requisitos previos para la instalación de ADMT v3.1..........................................................212

Instalación de ADMT v3.1 usando el almacén de la base de datos predeterminado...........212

Instalación de ADMT v3.2........................................................................................................215

Requisitos previos para la instalación de ADMT v3.2..........................................................215

Instalar ADMT v3.2...............................................................................................................216


SQL Server.......................................................................................................................... 217

Reconfigurar la instalación de la base de datos con Admtdb.exe...........................................218

Reutilizar una base de datos de ADMT existente desde una instalación anterior...................220

Plan para transiciones de cuentas de servicios..........................................................................221

Ejemplo: Preparación para la reestructuración de dominios de Active Directory........................226

Migración de objetos de dominio entre dominios de Active Directory.........................................226

Migración de grupos................................................................................................................... 227

Migrar grupos universales...........................................................................................................228

Migrar grupos globales...............................................................................................................232

Migrar cuentas de sercivios........................................................................................................237

Migración de cuentas de servicio administradas........................................................................242

Migrar cuentas de usuario..........................................................................................................247

Migración de unidades organizativas y subárboles de unidades organizativas..........................248

Migración de cuentas..................................................................................................................248

Conversión de perfiles de usuarios locales.................................................................................254

Migración de estaciones de trabajo y servidores miembro.........................................................258

Migrar grupos locales de dominios.............................................................................................265

Ejemplo: Reestructuración de dominios de Active Directory.......................................................268

Finalización de las tareas posteriores a la migración.................................................................269

Examen de los registros de migración en busca de errores.......................................................270

Acceso a archivos de registro de ADMT..................................................................................270

Comprobar tipos de grupos........................................................................................................270

Conversión de seguridad en los servidores miembro.................................................................271

Conversión de seguridad mediante un archivo de asignación SID.............................................275

Baja del dominio de origen.........................................................................................................276

Ejemplo: Finalización de las tareas posteriores a la migración...................................................276

Apéndice: Procedimientos avanzados........................................................................................276

Configurar un controlador de dominio preferido..........................................................................277

Cambiar los nombres de objetos durante la migración...............................................................279

Uso de un archivo de inclusión...................................................................................................280

Especificación de un archivo de inclusión...............................................................................280

Uso de un archivo de opciones...................................................................................................283

Solución de problemas de ADMT...............................................................................................284

Solución de problemas de instalación de ADMT.........................................................................285

Solución de problemas relativos a la migración de usuarios......................................................286

Solución de problemas relativos a la migración de grupos.........................................................288

Solución de problemas relativos a la migración de cuentas de servicios....................................288

Solución de problemas relativos a la migración de cuentas de servicios administradas............290

Solución de problemas relativos a la migración de equipos.......................................................292

Solución de problemas relativos a la migración de contraseñas................................................293

Solución de problemas relativos a la conversión de seguridad..................................................295

Solución de problemas relativos a la migración dentro de un mismo bosque.............................297

Solución de problemas relativos a los archivos de registro de ADMT........................................298

Solución de problemas relativos a la línea de comandos de ADMT...........................................300

Solución de problemas relativos a las operaciones de agentes.................................................300

Recursos adicionales..................................................................................................................302

Información relacionada..........................................................................................................302

Herramientas relacionadas......................................................................................................302

Ayudas para tareas relacionadas............................................................................................302

Guía de ADMT: Migración y reestructuración de dominios de Active Directory

Afecta a: Herramienta de migración Active Directory 3.1 (ADMT 3.1) y ADMT 3.2

Si desea obtener una versión descargable de esta guía en formato .doc, consulte la Guía ADMT:

Migración y reestructuración de dominios de Active Directory (http://go.microsoft.com/fwlink/?

LinkId=191734) (en inglés).

Como parte de la implementación del servicio de directorio de Active Directory® o de Servicios

de dominio de Active Directory (AD DS), puede elegir reestructurar su entorno por los motivos

siguientes:

Para optimizar la disposición de los elementos dentro de la estructura lógica de Active

Directory

Para ayudar a finalizar una fusión, adquisición o desinversión empresarial

La reestructuración implica la migración de recursos entre los dominios de Active Directory bien

en el mismo bosque o en distintos bosques. Después de implementar Active Directory o AD DS,

podrá decidir si desea reducir aún más la complejidad de su entorno reestructurando dominios

entre bosques o reestructurando dominios dentro de un solo bosque.

Puede usar la Herramienta de migración Active Directory (ADMT) para realizar migraciones de

objetos y conversiones de seguridad, en caso necesario, con el fin de que los usuarios puedan

mantener el acceso a los recursos de red durante el proceso de migración. Para obtener más

información acerca de las diferentes versiones de ADMT que existen, de cuándo usar cada una y

de cómo obtenerlas, consulte Herramienta de migración Active Directory: versiones y entornos

admitidos.

En esta guía

Prácticas recomendadas para la migración de Active Directory

Reestructuración de dominios de Active Directory entre distintos bosques

Reestructuración de dominios de Active Directory dentro de un mismo bosque

Apéndice: Procedimientos avanzados

Solución de problemas de ADMT

Recursos adicionales

En las siguientes secciones se explican los principales escenarios de migración para el uso de

ADMT. Una vez que determine el escenario adecuado para su entorno, siga los pasos

correspondientes que se describen más adelante en esta guía.

10

http://go.microsoft.com/fwlink/?LinkId=191734


Reestructuración de dominios de Active Directory entre bosquesEs posible que desee realizar una reestructuración entre distintos bosques por cambios

empresariales, como fusiones, adquisiciones o desinversiones, en los que las organizaciones

deben combinar o dividir recursos. Como parte del proceso de reestructuración, cuando migra

objetos entre bosques, tanto los entornos de dominio de origen como el de destino existen

simultáneamente. Esto hace posible que, si fuera necesario, se pueda revertir al entorno de

origen durante la migración.

No se admite la división o clonación de bosques, por ejemplo, para acomodar la desinversión de

una organización. Para obtener más información, consulte Limitaciones de la reestructuración

(http://go.microsoft.com/fwlink/?LinkId=121736).

Si utiliza ADMT v3.1, todos los dominios de destino deben estar al menos en el nivel

funcional nativo de Microsoft Windows® 2000. Si utiliza ADMT v3.2, todos los dominios

de origen y destino deben estar al menos en el nivel funcional de Windows

Server® 2003.

Reestructuración de dominios de Active Directory dentro de un mismo bosqueCuando reestructura los dominios de un bosque, puede consolidar su estructura de dominio y

reducir la complejidad y sobrecarga administrativa. A diferencia del proceso de reestructuración

de dominios entre bosques, cuando se reestructuran dominios de un bosque, las cuentas

migradas ya no existen en el dominio de origen. Por tanto, la reversión de la migración sólo

puede tener lugar cuando se realiza de nuevo el proceso de migración en orden inverso desde el

dominio de destino anterior al dominio de origen anterior.

Si utiliza ADMT v3.1, todos los dominios de destino deben estar al menos en el nivel

funcional nativo de Windows 2000. Si utiliza ADMT v3.2, todos los dominios de origen y

destino deben estar al menos en el nivel funcional de Windows Server 2003.

En la tabla siguiente se muestran las diferencias entre una reestructuración de dominios entre

distintos bosques y una reestructuración de dominios dentro del mismo bosque.

Consideración de

migración

Restructuración entre distintos bosques Restructuración dentro

del mismo bosque

Preservación de

objetos

Los objetos se clonan más que migran. El

objeto original permanece en la ubicación de

origen para mantener el acceso a los recursos

para los usuarios.

Los objetos de grupo y

de usuario se migran y

ya no existen en la

ubicación de origen.

Los objetos de la

cuenta de servicio

administrada y del

Importante Importante

11


Consideración de

migración

Restructuración entre distintos bosques Restructuración dentro

del mismo bosque

equipo copiados y las

cuentas originales

permanecen

habilitadas en el

dominio de origen.

Mantenimiento del

historial de SID

El mantenimiento del historial de SID es

opcional

El historial de SID es

necesario para el

usuario, el grupo y las

cuentas de equipo,

pero no para las

cuentas de servicio

administradas.

Conservación de

contraseña

La conservación de contraseña es opcional. Las contraseñas

siempre se conservan.

Migración de perfiles

locales

Debe usar herramientas como ADMT para

migrar perfiles locales.

Los perfiles locales se

migran

automáticamente dado

que se preserva el

identificador único

global (GUID) del

usuario.

Conjuntos cerrados No tiene que migrar cuentas en conjuntos

cerrados. Para obtener más información,

consulte Información general para la

reestructuración de dominios de Active

Directory dentro de un bosque


Debe migrar las

cuentas en conjuntos

cerrados.

Términos y definicionesLos términos siguientes se aplican al proceso de reestructuración de dominios de Active

Directory.

Migración Proceso de mover o copiar un objeto de un dominio de origen a un dominio de

destino, a la vez que se mantienen o modifican las características del objeto para hacerlo

accesible en el nuevo dominio.

12




Reestructuración de dominios Proceso de migración que implica el cambio de la estructura

de dominios de un bosque. Una reestructuración de dominios puede implicar la consolidación o

adición de dominios, y puede producirse entre bosques o dentro de un bosque.

Objetos de migración Objetos del dominio que se mueven desde el dominio de origen al

dominio de destino durante el proceso de migración. Los objetos de migración pueden ser

cuentas de usuario, cuentas de servicio, grupos o equipos.

Dominio de origen El dominio desde el que se mueven los objetos durante una migración. Al

reestructurar dominios de Active Directory entre bosques, el dominio de origen es un dominio de

Active Directory en un bosque diferente del dominio de destino.

Dominio de destino El dominio al que se mueven los objetos durante una migración.

Cuentas integradas Grupos de seguridad predeterminados con conjuntos comunes de

derechos y permisos. Puede usar cuentas integradas para conceder permisos a cuentas o

grupos que designe como miembro de dichos grupos. Los SID de cuentas integradas son

idénticos en todos los dominios. Por lo tanto, las cuentas integradas no pueden ser objetos de

migración.

Herramienta de migración para Active DirectoryPuede usar ADMT para migrar objetos en los bosques de Active Directory. Esta herramienta

incluye asistentes que automatizan las tareas de migración, como la migración de usuarios,

grupos, cuentas de servicio, equipos y confianzas y la realización de conversión de seguridad.

Puede ejecutar tareas de ADMT usando la consola de ADMT, una línea de comandos o un script.

Cuando ejecuta ADMT en la línea de comandos, con frecuencia es más eficaz usar un archivo de

opciones para especificar las opciones de línea de comandos. Puede usar la referencia del

archivo de opciones de ADMT del ejemplo siguiente para ayudarle a crear archivos de opciones.

Se incluyen ejemplos de sintaxis de línea de comandos para cada tarea que debe realizar para

reestructurar los dominios dentro del bosque.

En la lista siguiente se muestran las opciones comunes que se aplican a varias tareas de

migración. Cada tipo de tarea de migración cuenta con una sección que muestra las opciones

específicas de dicha tarea. El nombre de la sección se corresponde con el nombre de la tarea

cuando ejecuta ADMT en la línea de comandos. Puede incluir comentarios de los elementos

agregando un punto y coma. En la lista siguiente, se incluyen comentarios de los valores

predeterminados.

[Migración]

;IntraForest=No

;SourceDomain="nombre_dominio_origen"

;SourceOu="ruta_acceso_unidad_organizativa_origen"

;TargetDomain="nombre_dominio_destino"

;TargetOu="ruta_acceso_unidad_organizativa_destino"

13

;PasswordOption=Complex

;PasswordServer=""

;PasswordFile=""

;ConflictOptions=Ignore

;UserPropertiesToExclude=""

;InetOrgPersonPropertiesToExclude=""

;GroupPropertiesToExclude=""

;ComputerPropertiesToExclude=""

[Usuario]

;DisableOption=EnableTarget

;SourceExpiration=None

;MigrateSIDs=Yes

;TranslateRoamingProfile=No

;UpdateUserRights=No

;MigrateGroups=No

;UpdatePreviouslyMigratedObjects=No

;FixGroupMembership=Yes

;MigrateServiceAccounts=No

;UpdateGroupRights=No

[Grupo]

;MigrateSIDs=Yes

;UpdatePreviouslyMigratedObjects=No

;FixGroupMembership=Yes

;UpdateGroupRights=No

;MigrateMembers=No

;DisableOption=EnableTarget

;SourceExpiration=None

;TranslateRoamingProfile=No

;MigrateServiceAccounts=No

[Seguridad]

;TranslationOption=Add

14

;TranslateFilesAndFolders=No

;TranslateLocalGroups=No

;TranslatePrinters=No

;TranslateRegistry=No

;TranslateShares=No

;TranslateUserProfiles=No

;TranslateUserRights=No

;SidMappingFile="SidMappingFile.txt"

Cuando ejecuta ADMT en la línea de comandos, no tiene que incluir una opción en el comando si

desea aceptar el valor predeterminado. Sin embargo, en esta guía, se incluyen como referencia

las tablas que muestran los posibles parámetros y valores. En las tablas se enumera el

equivalente en línea de comandos de cada opción que se muestra en el procedimiento

correspondiente de la consola de ADMT, incluyendo esas opciones para las que acepta el valor

predeterminado.

Puede copiar la referencia del archivo de opciones en el Bloc de notas y guardarla con una

extensión de nombre de archivo .txt.

Como ejemplo, para migrar un número pequeño de equipos, debería escribir el nombre de cada

equipo en la línea de comandos, usando la opción /N y, a continuación, enumerar otras opciones

de migración dentro de un archivo de opciones de la forma siguiente:

ADMT COMPUTER /N "<nombre_equipo1>" "<nombre_equipo2>" /O:"<archivo_opción>.txt"

Donde <nombre_equipo1> y <nombre_equipo2> son los nombres de equipos del dominio de

origen que va a migrar a este lote.

Uso de un archivo de inclusiónCuando migre un gran número de usuarios, grupos o equipos, es más eficaz el uso de un archivo

de inclusión. Un archivo de inclusión es un archivo de texto en el que se incluyen los objetos de

usuario, grupo y equipo que desea migrar, con cada objeto en una línea separada. Debe usar un

archivo de inclusión si desea cambiar el nombre de los objetos durante la migración.

Puede incluir usuarios, grupos y equipos juntos en un archivo o puede crear un archivo

independiente para cada tipo de objeto. A continuación, especifique el nombre del archivo de

inclusión con la opción /F, de la forma siguiente:

ADMT COMPUTER /F "<nombre_archivo_inclusión>" /IF:YES /SD:"<dominio_origen>”

/TD:"<dominio_destino>" /TO:"<unidad_organizativa_destino>"

Para especificar los nombres de los usuarios, grupos o equipos, use una de las siguientes

convenciones:

El nombre de cuenta del Administrador de cuentas de seguridad (SAM). Para especificar un

nombre de equipo en este formato, debe agregar un signo de dólar ($) al nombre del equipo.

Por ejemplo, para especificar un equipo con el nombre Workstation01, use Workstation01$.

15

El nombre distintivo relativo (también conocido como RDN), por ejemplo, cn= Workstation01.

Si especifica la cuenta como un nombre distintivo relativo, debe especificar la unidad

organizativa de origen.

El nombre canónico. Puede especificar el nombre canónico como nombre dominio

DNS/ruta_ou/nombre_objeto o ruta_ou/nombre_objeto, por ejemplo,

Asia.trccorp.treyresearch.net/Computers/Workstation01 o Computers/Workstation01.

En las secciones siguientes se describen los campos de un archivo de inclusión y se

proporcionan ejemplos de cada campo:

Campo SourceName

El campo SourceName especifica el nombre del objeto de origen. Puede especificar un nombre

de cuenta o un nombre distintitvo relativo. Si sólo especifica nombres de origen, es opcional

definir un encabezado en la primera línea del archivo.

En el ejemplo siguiente se muestra una línea de encabezado que especifica el campo

SourceName. En el ejemplo también se muestra un nombre de objeto de origen que se

especifica en varios formatos. La segunda línea especifica un nombre de cuenta. La tercera línea

especifica un nombre distintivo relativo.

SourceName

name

CN=name

Campo TargetName

Puede utilizar el campo TargetName para especificar un nombre base que se utilice para generar

un nombre distintivo relativo de destino, un nombre de cuenta del Administrador de cuentas de

seguridad (SAM) y un nombre principal de usuario de destino (UPN). El campo TargetName no

se puede combinar con otros campos de nombre de destino que se describen más adelante en

esta sección.

El UPN de destino se genera sólo para los objetos de usuario y sólo se genera un prefijo

de UPN. Se anexa un sufijo de UPN mediante un algoritmo que depende de si se define

un sufijo UPN para el OU de destino o para el bosque de destino. Si el objeto es un

equipo, el nombre de cuenta del SAM de destino incluye un sufijo "$".

En el ejemplo siguiente de entrada se genera un nombre distintivo relativo de destino, un nombre

de cuenta del SAM de destino y un UPN de destino como "CN=newname", "newname" y

"newname" respectivamente.

SourceName,TargetName

oldname, newname

Nota

16

Campos TargetRDN, TargetSAM y TargetUPN

Puede utilizar los campos TargetRDN, TargetSAM y TargetUPN para especificar los nombres de

destino diferentes para cada uno. Puede especificar una combinación de estos campos en

cualquier orden.

TargetRDN especifica el nombre distintivo relativo de destino del objeto.

TargetSAM especifica el nombre de cuenta del SAM de destino del objeto. En los equipos, el

nombre debe incluir un sufijo "$" para que sea un nombre de cuenta de SAM válido.

TargetUPN especifica el UPN de destino del objeto. Puede especificar sólo el prefijo de UPN o

un nombre completo de UPN (prefix@suffix). Si el nombre especificado contiene un espacio o

una coma, debe incluir el nombre entre comillas dobles (" ").

SourceName,TargetRDN

oldname, CN=newname

SourceName,TargetRDN,TargetSAM

oldname, "CN=New RDN", newsamname

SourceName,TargetRDN,TargetSAM,TargetUPN

oldname, "CN=last\, first", newsamname, newupnname

Una coma dentro del valor CN debe ir precedida de un carácter de escape ("\") o la

operación producirá un error y ADMT registrará un error de sintaxis no válida en el

archivo de registro.

SourceName,TargetSAM,TargetUPN,TargetRDN

oldname, newsamname, newupnname@targetdomain, "CN=New Name"

Cambio de nombre de objetos

Use el formato siguiente en un archivo de inclusión para cambiar el nombre del equipo, usuario u

objetos de grupo durante la migración:

Use SourceName, TargetRDN, TargetSAM y TargetUPN como encabezados de columna

en la parte superior del archivo de inclusión. SourceName es el nombre de cuenta de origen

y se debe mostrar como el encabezado de la primera columna. Los encabezados de

columna TargetRDN, TargetSAM y TargetUPN son opcionales y pueden incluirlos en

cualquier orden.

Debe especificar el nombre de cuenta como nombre de usuario, nombre distintivo relativo o

nombre canónico. Si especifica el nombre de cuenta como un nombre distintivo relativo,

también debe especificar la unidad organizativa (OU) de origen.

A continuación se incluyen ejemplos de archivos de inclusión válidos en los que se usa la opción

de cambio de nombre:

SourceName,TargetSAM

abc,def

Nota

17

Esta entrada del archivo de inclusión cambia el nombre de cuenta TargetSAM para el usuario

"abc" a "def". TargetRDN y TargetUPN, que no se han especificado en el archivo de inclusión,

no cambian como resultado de la migración.

SourceName,TargetRDN,TargetUPN

abc,CN=def,[email protected]

Esta entrada del archivo de inclusión cambia el TargetRDN para el usuario abc a CN=def y

TargetUPNo a [email protected]. TargetSAM para el usuario abc no cambia como resultado de

la migración.

Debe especificar CN= antes usando un valor RDN.

Uso de un archivo de exclusión

Puede excluir objetos de la migración utilizando un archivo de exclusión. Un archivo de exclusión

es un archivo de texto que enumera el atributo SAMAccountName de los objetos que desea

excluir. Por ejemplo, para excluir las siguientes cuentas de servicio administradas, cree un

archivo de texto:

MSA_USER5$

MSA_USER6$

A continuación, especifique el nombre del archivo de exclusión cuando ejecute el comando admt.

Por ejemplo:

admt managedserviceaccount /ef:”nombre de archivo de exclusión”

También puede excluir cuentas específicas con el parámetro /en:

admt managedserviceaccount /en:”cuenta de servicio administrada 1” “cuenta de servicio

administrada 2”

Uso de secuencias de comandosLas secuencias de comandos de muestra que se incluyen en esta guía se refieren a las

constantes simbólicas que se definen en el archivo denominado AdmtConstants.vbs. La lista que

sigue a continuación muestra el archivo de constantes ADMT de Microsoft Visual Basic®

Scripting Edition (VBScript). Las constantes también se incluyen en la carpeta de instalación de

ADMT, en el archivo TemplateScript.vbs del directorio %systemroot%\WINDOWS\ADMT.

Para usar las secuencias de comandos de muestra de esta guía, copie el archivo VBScript de

constantes de ADMT en el Bloc de notas y guárdelo como AdmtConstants.vbs. Asegúrese de

guardarlo en la misma carpeta en la que piensa guardar las secuencias de comandos de

muestra que se incluyen en esta guía.

Option Explicit

'----------------------------------------------------------------------------

Importante

18

' Constantes de secuencia de comandos de ADMT

'----------------------------------------------------------------------------

' Constantes de PasswordOption

Const admtComplexPassword = &H0001

Const admtCopyPassword = &H0002

' Observe que la siguiente constante no se puede especificar por sí sola.

' Se debe especificar junto con admtComplexPassword o admtCopyPassword.

Const admtDoNotUpdatePasswordsForExisting = &H0010

' Constantes de ConflictOptions

Const admtIgnoreConflicting = &H0000

Const admtMergeConflicting = &H0001

Const admtRemoveExistingUserRights = &H0010

Const admtRemoveExistingMembers = &H0020

Const admtMoveMergedAccounts = &H0040

' Constantes de DisableOption

Const admtLeaveSource = &H0000

Const admtDisableSource = &H0001

Const admtTargetSameAsSource = &H0000

Const admtDisableTarget = &H0010

Const admtEnableTarget = &H0020

' Constante de SourceExpiration

Const admtNoExpiration = -1

' Opción de traducción

19

Const admtTranslateReplace = 0

Const admtTranslateAdd = 1

Const admtTranslateRemove = 2

' Tipo de informe

Const admtReportMigratedAccounts = 0

Const admtReportMigratedComputers = 1

Const admtReportExpiredComputers = 2

Const admtReportAccountReferences = 3

Const admtReportNameConflicts = 4

' Constantes de opciones

Const admtNone = 0

Const admtData = 1

Const admtFile = 2

Const admtDomain = 3

Const admtRecurse = &H0100

Const admtFlattenHierarchy = &H0000

Const admtMaintainHierarchy = &H0200

Herramienta de migración Active Directory: versiones y entornos admitidos

En este tema se explican las diferentes versiones que están disponibles de la Herramienta de

migración Active Directory (ADMT). Se ofrecen vínculos para descargar cada versión y se

describen los requisitos para instalarlas, los entornos compatibles en los que se pueden utilizar y

el modo en que funcionan con determinadas características de Active Directory en Windows

Server.

20

Versión de ADMT Platafor

ma de

instalaci

ón

Requisito

s del

dominio

de origen

Requisitos del dominio de

destino

Objetos de

migración de

equipo

admitidos

ADMT v3.0

(http://go.microsoft.com/fw

link/?LinkID=68791)

Window

s Server

2003

Los

dominios

de

origen

pueden

contener

controlad

ores de

dominio

que

ejecuten

Windows

NT,

Windows

2000

Server o

Windows

Server

2003, no

requiere

n un

nivel

funcional

mínimo

de

dominio.

El nivel funcional mínimo del

dominio de destino es

Windows 2000 nativo.

Migra los

equipos que

ejecutan

Windows

2000 Profes

sional,

Windows XP

,

Windows NT

4,

Windows 20

00 Server y

Windows

Server

2003.

ADMT v3.1


link/?LinkId=121732)

Window

s

Server 2

008

Los

dominios

de

origen

pueden

contener

controlad

ores que

ejecuten

Windows

2000

Server,



Windows 2000 nativo.

Si el dominio de destino tiene

controladores de dominio que

ejecutan Windows

Server 2008 R2, utilice

ADMT v3.2.

Nota

Existen problemas

conocidos cuando se

Migra los

equipos que

ejecutan

Windows

2000 Profes

sional,

Windows XP

, Windows

Vista,

Windows 20

00 Server,

Windows

21


http://go.microsoft.com/fwlink/?LinkID=68791


ma de

instalaci

ón

Requisito

s del

dominio

de origen


destino

Objetos de

migración de

equipo

admitidos

Windows

Server

2003 o

Windows

Server 2

008.

Aunque

un

dominio

de

origen

no

requiere

un nivel

funcional

mínimo

de

dominio,

ADMT

v3.1 no

se puede

utilizar

para

migrar

objetos

de

dominios

de

Windows

NT 4.

utiliza ADMT v3.1 para

migrar objetos a un

dominio que tiene

controladores de

dominio de Windows

Server 2008 R2. Para

obtener más

información, consulte

el artículo 976659 de

Microsoft Knowledge

Base

(http://go.microsoft.com

/fwlink/?

LinkId=182290).

Server 2003

yWindows

Server 2008

.

ADMT v3.2


link/?LinkId=186197)

Window

s

Server 2

008 R2

El nivel

funcional

mínimo

del

dominio

de

origen es

Windows



Windows Server 2003 nativo.

Migra los

equipos que

ejecutan

Windows XP

,

Windows Vi

sta,

Windows 7,

22




ma de

instalaci

ón

Requisito

s del

dominio

de origen


destino

Objetos de

migración de

equipo

admitidos

Server

2003 nati

vo.

Windows

Server

2003,

Windows

Server 2008

y Windows

Server 2008

R2.

Compatibilidad con características de Windows Server

No se puede instalar ninguna versión de ADMT en un controlador de dominio de sólo lectura

(RODC) o en una instalación de Server Core. Un RODC no se puede utilizar como controlador

de dominio de origen o de destino para la migración.

Además, ADMT v3.2 proporciona la siguiente compatibilidad con las nuevas características de

Active Directory en Windows Server 2008 R2.

Característica Efecto de uso de ADMT v3.2

Cuentas de servicio administradas Se pueden migrar mediante el Asistente para

migración de cuentas de servicio administradas

o el comando admt managedserviceaccount.

Seguridad del mecanismo de autenticación Las cuentas de usuario que están habilitadas

para la seguridad del mecanismo de

autenticación, se deben migrar mediante un

archivo de inclusión

Importante

El Nombre principal del usuario (UPN)

cambia cuando se migra un usuario, lo

que impide que funcione la seguridad

del mecanismo de autenticación. Para

solucionar este problema, debe

23

Característica Efecto de uso de ADMT v3.2

mantener un registro de los UPN de las

cuentas de usuario que están

habilitadas para la seguridad del

mecanismo de autenticación y

migrarlas mediante un archivo de

inclusión. En un archivo de inclusión,

puede especificar los UPN de destino

de estos usuarios que se van a migrar.

De esta manera, puede reemplazar los

nombres UPN de ese dominio de

destino con los UPN originales del

dominio de origen. Para obtener más

información acerca del uso de un

archivo de inclusión, consulte Uso de

un archivo de inclusión.

Unión a un dominio sin conexión Sin efecto

Papelera de reciclaje de Active Directory Sin efecto

Windows PowerShell No se incorpora a ADMT v3.2

Prácticas recomendadas para la migración de Active Directory


Para garantizar que el proceso de migración sea todo lo perfecto posible, siga estas

recomendaciones de prácticas recomendadas:

Prácticas recomendadas para el uso de la Herramienta de migración para Active Directory

Prácticas recomendadas para la realización de migraciones de cuentas de grupo y usuario

Prácticas recomendadas para realizar migraciones de equipos

Prácticas recomendadas para revertir una migración

24

Prácticas recomendadas para el uso de la Herramienta de migración para Active Directory


Realice copias de seguridad regulares de los controladores de dominio tanto en el dominio

de origen como en el de destino en todo el recorrido de las migraciones. Si migra equipos

que contienen recursos compartidos de archivo para realizar la conversión de seguridad,

recomendamos que también realice copias de seguridad de dichos equipos durante las

migraciones.

Antes de comenzar una migración, realice una de prueba creando un usuario de prueba,

agregándolo a los grupos globales adecuados y, a continuación, verificando el acceso a los

recursos antes y después de la migración.

Pruebe sus casos prácticos de migración en un entorno de prueba antes de migrar objetos

en el entorno de producción.

Cuente con un plan de recuperación y asegúrese de que funcione durante la fase de prueba

de su migración.

Descifre los archivos cifrados por medio del Sistema de cifrado de archivos (EFS). Si no se

descifran los archivos cifrados, se perderá el acceso a los archivos cifrados después de la

migración. Asegúrese de comunicar a los usuarios finales que deben descifrar cualquier

archivo cifrado o perderán el acceso a esos archivos.

Asegúrese de que la hora del sistema está sincronizada en cada dominio del que se van a

migrar objetos. La autenticación Kerberos fallará si la hora no coincide.

Prácticas recomendadas para la realización de migraciones de cuentas de grupo y usuario



de origen como en el de destino en todo el recorrido de las migraciones. Si migra equipos

que contienen recursos compartidos de archivo para realizar la conversión de seguridad,

recomendamos que también realice copias de seguridad de dichos equipos durante las

migraciones.

Le recomendamos que migre usuarios en lotes. Un tamaño de lote de 100 usuarios permite

que el proceso de migración se pueda administrar.

25

Administre siempre los cambios de las cuentas de usuario y cuentas de grupo en el dominio

de origen durante el proceso de migración.

Use la opción Migrar y combinar objetos en conflicto en la página Gestión de conflictos

del Asistente para migración de cuentas de usuario y el Asistente para migración de cuentas

de grupo para repetir la migración de usuarios y grupos con la mayor frecuencia posible

durante la migración. La administración de cambios en el dominio de origen y el posterior uso

de la opción Migrar y combinar objetos en conflicto durante la migración le garantizan que

todos los cambios realizados en un objeto en el dominio de origen queden reflejados

después de su migración al dominio de destino.

Para conservar el acceso a los recursos, asegúrese de que la pertenencia al grupo cumple

las siguientes reglas:

Use grupos globales para los usuarios de grupos.

Use grupos locales para proteger recursos.

Coloque los grupos globales en grupos locales para otorgar a los miembros de los

grupos globales acceso a un recurso.

Cumpla las reglas de la siguiente tabla cuando convierta perfiles de usuario.

Tipo de perfil Reglas de conversión

Perfiles móviles Seleccione la opción Convertir perfiles

móviles en la página Opciones de usuario

del Asistente para migración de cuentas de

usuario. A continuación, convierta los perfiles

de usuario locales de un lote de usuarios

inmediatamente después de la migración de

dichos usuarios.

Perfiles locales Convierta los perfiles locales como un paso

independiente del proceso de migración de

cuentas de usuario. Seleccione la opción

Perfiles de usuario en la página Convertir

objetos del Asistente para conversión de

seguridad. Convierta los perfiles de usuario

locales de un lote de usuarios

inmediatamente después de la migración de

dichos usuarios.

Perfiles no administrados Los usuarios pierden sus perfiles existentes

cuando se migran sus cuentas de usuario.

Es importante comprobar que la conversión de perfil local se ha producido correctamente

antes de que los usuarios intenten iniciar sesión en el dominio de destino. Si los usuarios

inician sesión en el dominio de destino mediante sus nuevas cuentas de destino y sus

Importante

26

perfiles no se han convertido correctamente, dichos usuarios se deberán volver a migrar

del dominio de origen al de destino. Para obtener más información sobre los pasos que

debe seguir si se produce un error en la conversión de perfiles locales, consulte Solución

de problemas relativos a la conversión de seguridad.

Prácticas recomendadas para realizar migraciones de equipos



de origen como en el de destino en todo el recorrido de las migraciones. Si está migrando

equipos que contienen recursos compartidos de archivo para realizar la conversión de

seguridad, recomendamos que también realice una copia de seguridad de esos equipos

durante la migración.

Compruebe que las estaciones de trabajo y los servidores miembro han reiniciado

inmediatamente después de unirlos en el dominio de destino. La Herramienta de migración

para Active Directory (ADMT) automatiza el reinicio de las estaciones de trabajo y los

servidores miembro, pero utilice la opción Minutos que habrán de transcurrir para que se

reinicien los equipos tras la finalización del asistente en el Asistente para migración de

equipos para seleccionar la cantidad de tiempo que transcurre antes de que se reinicie el

equipo. Los equipos que no reinician después de la migración están en un estado

indeterminado.

Comunique a los usuarios finales que sus equipos deben conectarse a la red cuando su

equipo esté programado para la migración.

Prácticas recomendadas para revertir una migración


Revierta cuentas de grupo y usuario que se han migrado entre los bosques habilitando las

cuentas en el dominio de origen (si se deshabilita durante la migración), compruebe que las

cuentas tienen acceso a los recursos del dominio de origen y, a continuación, compruebe

que las secuencias de comandos y los perfiles de usuario funcionan según se configuraron

en el dominio de origen.

Revierta los recursos que se han migrado entre bosques cambiando la pertenencia a los

dominios de servidores y estaciones de trabajo y, a continuación, reinícielos. Inicie sesión en

los recursos del dominio de origen para garantizar que los recursos estén accesibles.

27

Revierta las cuentas y recursos que se han migrado dentro de un bosque volviendo a migrar

los objetos del dominio de destino al de origen. Las cuentas y los recursos que se han

migrado dentro de un bosque se mueven y no se copian. Por consiguiente, dejan de existir

en el dominio de origen.

Para garantizar una correcta reversión de una migración en el mismo bosque, no

intente eliminar los objetos en el dominio de destino y restaurarlos en el dominio de

origen. No podrá recuperar los objetos en el dominio de origen porque se eliminan

automáticamente por el proxy de movimiento entre dominios si se intenta restaurar.

Cuando realiza una migración en el mismo bosque con ADTM v3.1, si el nivel

funcional del dominio de origen es Windows 2000 mixto, no podrá volver a migrar los

objetos del dominio de destino al de origen para deshacer los cambios de la

migración. Una repetición de la migración requiere que el dominio de origen sea el

dominio de destino, y con ADMT v3.1 el nivel funcional del dominio de destino debe

ser al menos Windows 2000 nativo.

Reestructuración de dominios de Active Directory entre distintos bosques


La reestructuración de dominios de Active Directory entre bosques implica la reubicación de

objetos desde dominios de origen en un bosque a dominios de destino en otro bosque. Puede

que tenga que reestructurar los dominios de Active Directory entre bosques para:

Migrar un dominio piloto al entorno de producción.

Combinar usuarios y recursos con otra organización debido a una fusión corporativa y a la

necesidad de consolidar las dos infraestructuras de tecnología de la información (TI).

Reubicar usuarios y recursos de forma regular debido a una implantación en varios bosques

planificada.

Quitar objetos de su bosque debido a una desinversión a otra organización o para

combinarlos más adelante en un bosque nuevo o existente para esa organización.

En esta sección

Lista de comprobación: Realización de una migración entre bosques

Introducción a la reestructuración de dominios de Active Directory entre bosques

Limitaciones de la reestructuración

Planeamiento para la reestructuración de dominios de Active Directory entre bosques

Preparación de los dominios de origen y destino

Migración de cuentas

Migración de recursos

Finalización de la migración

Nota Nota

28

Lista de comprobación: Realización de una migración entre bosques


La migración de dominios de Active Directory entre bosques (migración entre distintos bosques)

implica la reubicación de objetos desde dominios de origen en un bosque a dominios de destino

en otro bosque. Es posible que tenga que reestructurar los dominios de Active Directory entre

bosques por los siguientes motivos:

Para migrar un dominio piloto al entorno de producción

Para combinar su bosque de Active Directory con el bosque de otra organización y

consolidar las dos infraestructuras de tecnología de la información (TI)

Tarea Referencia

Revise las instrucciones de preinstalación de la

Herramienta de migración Active Directory (ADMT).

Instalación de ADMT en el dominio de

destino

Para migrar equipos que ejecuten Windows

Server 2008, Windows Server 2003, Windows Vista (sin

Service Pack 1), Windows XP y Microsoft

Windows 2000 (utilizando ADMT 3.1) a un dominio de

destino con controladores de dominio que ejecuten

Windows Server 2008 R2 o Windows Server 2008,

debe configurar primero la siguiente clave del Registro

en los controladores de dominio de destino:

Nota

No es necesario configurar esta clave para

migrar los equipos que ejecuten Windows

Server 2008 R2, Windows 7 o

Windows Vista SP1.

Ruta de Registro: HKLM\System\CurrentControlSet\

Services\Netlogon\Parameters

Valor del Registro: AllowNT4Crypto

Tipo: REG_DWORD

Datos: 1

Nota

Esta configuración de registro corresponde a la

configuración Permitir algoritmos de cifrado

con Windows NT 4.0 en la directiva de grupo.

Para obtener más información acerca

de cómo realizar cambios mediante la

directiva de grupo, consulte Problemas

conocidos de instalación y eliminación

de AD DS

(http://go.microsoft.com/fwlink/?

LinkId=119321) (en inglés).

29




Tarea Referencia

Para cualquier tarea de migración que use la

implementación de agente y el Firewall de Windows,

habilite la excepción Compartir impresoras y archivos.

Esto puede incluir la migración en las siguientes

situaciones:

Migración de equipos de estación de trabajo y

servidores miembro que ejecuten Windows

Server 2008 R2, Windows Server 2008, Windows

Server 2003, Windows 7, Windows Vista o

Windows XP.

Migración de configuración de seguridad o

conversión de seguridad


de cómo realizar cambios en el

Firewall de Windows, consulte

Habilitar o deshabilitar la regla de

excepción de uso compartido de

archivos e impresoras


LinkID=119315) (en inglés).

Prepárese para la reestructuración de los dominios de

Active Directory dentro de un bosque. Esta tarea

contiene las siguientes subtareas:

Determine su proceso de migración de cuentas.

Asigne funciones y ubicaciones de objetos.

Desarrolle un plan de prueba para la migración.

Cree un plan de reversión.

Administre usuarios, grupos y perfiles de usuario.

Cree un plan de comunicación con los usuarios.


destino

Planeamiento para la reestructuración

de dominios de Active Directory entre

bosques

Prepare los dominios de origen y destino. Esta tarea


Instale software de cifrado de 128 bits.

Establezca las confianzas necesarias para la

migración.

Establezca cuentas de migración para la migración.

Configure los dominios de origen y destino para la

migración del historial de identificadores de

seguridad (SID).

Configure la estructura de la unidad organizativa

(OU) del dominio de destino.

Instale ADMT en el dominio de destino.

Especifique cuentas de servicio para la migración.


destino

Planeamiento para la reestructuración

de dominios de Active Directory entre

bosques

Especifique y realice la transición de las cuentas de

servicio usando el Asistente para migración de cuentas

de servicios o herramientas de línea de comandos de

Transición de cuentas de servicio en

su migración

30




Tarea Referencia

ADMT. Puede usar la herramienta de línea de

comandos admt service para especificar cuentas de

servicio en el dominio de origen. Puede usar la

herramienta de línea de comandos admt user para

realizar la transición de las cuentas de servicio que

especifique.

Migre los grupos globales usando el Asistente para

migración de cuentas de servicios o la herramienta de

línea de comandos admt group.

Migración de grupos globales

Migre las cuentas de servicio administradas, las

cuentas de usuario y las cuentas de estación de trabajo

con sus historiales de SID en lotes. Puede usar el

Asistente para migración de cuentas de grupo o la

herramienta de línea de comandos admt user para

migrar cuentas de usuario. Puede usar el Asistente para

migración de cuentas de servicio administradas o la

herramienta de línea de comandos admt

managedserviceaccount para migrar cuentas de

servicio administradas.

Migración de cuentas mientras utiliza

el historial de SID

Migración de cuentas de servicio

administradas

Migración de todas las cuentas de

usuario

Migre los recursos, como servidores miembro y grupos

locales de dominios. Puede usar el Asistente para

migración de cuentas de equipo o la herramienta de

línea de comandos admt computer para migrar

cuentas de equipo. Puede usar el Asistente para

migración de cuentas de grupo o la herramienta de

línea de comandos admt group para migrar grupos.

Repetición de la migración de las

cuentas de usuario y migración de las

estaciones de trabajo en lotes

Convierta la seguridad en servidores para agregar los

SID de las cuentas de usuario y grupo en el dominio de

destino a las listas de control de acceso (ACL) de los

recursos. Puede usar el Asistente para conversión de

seguridad o la herramienta de línea de comandos admt

security.

Conversión de seguridad en modo

Agregar

Repita una migración de cuentas de usuario, equipos

de estaciones de trabajo y servidores miembro, incluida

la conversión de perfiles de usuarios locales a objetos

de usuario y equipo que haya migrado previamente.

Repetición de la migración de las

cuentas de usuario y migración de las

estaciones de trabajo en lotes

Migre los grupos locales de dominios usando el


Migrar grupos locales compartidos y

de dominios

31

Tarea Referencia

herramienta de línea de comandos admt group.

Migre controladores de dominio. Migración de controladores de dominio

Complete las tareas posteriores a la migración. Esta

tarea contiene las siguientes subtareas:

Convierta la seguridad de los servidores miembro.

Retire los dominios de origen.

Conversión de seguridad en los

servidores miembro

Cómo dar de baja el dominio de origen

Introducción a la reestructuración de dominios de Active Directory entre bosques


Cuando reestructura dominios entre bosques, puede reducir el número de dominios en la

organización, lo que ayudará a reducir la complejidad administrativa y los costos de sobrecarga

asociados de su entorno de Active Directory. La reestructuración de los dominios supone copiar

las cuentas y los recursos de un dominio de origen a un dominio de destino en un bosque

diferente de Active Directory. Si utiliza la versión 3.1 de la Herramienta de migración

Active Directory (ADMT), el dominio de destino debe estar al menos en el nivel funcional nativo

de Windows 2000. Si utiliza la versión 3.2 de ADMT, los dominios de origen y de destino deben

estar al menos en el nivel funcional de Windows Server 2003.

Si su organización se ha fusionado recientemente con otra organización o infraestructura de

tecnología de la información (TI), puede reestructurar dominios o consolidar cuentas y recursos

entre dos infraestructuras.

En esta sección

Proceso para la reestructuración de Active Directory entre bosques

Información general básica para la reestructuración de dominios de Active Directory entre

bosques

Proceso para la reestructuración de Active Directory entre bosques


La reestructuración de los dominios de Active Directory entre bosques implica el planeamiento y

preparación de la reestructura del dominio en la organización. También conlleva la migración

satisfactoria de cuentas y recursos a un dominio de Active Directory en otro bosque. En la figura

32

siguiente se muestra el proceso de la reestructuración de dominios de Active Directory entre

bosques.

Información general básica para la reestructuración de dominios de Active Directory entre bosques


El proceso de migración entre bosques no se considera destructivo, ya que los objetos de

migración continúan existiendo en el dominio de origen hasta que el dominio de origen se dé de

baja. Dado que los entornos de dominio de origen y destino existen simultáneamente durante la

migración, tiene la opción de retroceder al entorno de origen si se produce un error en la

migración por cualquier motivo, por ejemplo, si un objeto particular no migra o el acceso no se

mantiene o conserva en el dominio de destino una vez realizada la migración. Puede utilizar la

Herramienta de migración para Active Directory (ADMT) para migrar cuentas y recursos entre

dominios al mismo tiempo que conserva los permisos de objeto y usuario. Durante el proceso de

reestructuración entre distintos bosques, los usuarios tienen acceso continuo a los recursos

necesarios. Además, puede mover usuarios, grupos y recursos de forma independiente unos de

otros.

En el resto de secciones de este tema se explica el proceso de migración de las cuentas y los

recursos.

33

Proceso de migración de cuentaLa reestructuración de cuentas entre los bosques de Active Directory implica la copia de

usuarios, grupos y perfiles locales desde el dominio de origen al dominio de destino, al mismo

tiempo que conserva los derechos de acceso y atributos de dichos objetos.

Cuando las cuentas de usuarios migran entre dominios de Active Directory de diferentes

bosques, la cuenta original permanece en el lugar del dominio de origen y se crea una nueva

cuenta en el dominio de destino. Dado que el identificador de seguridad (SID) de un principal de

seguridad (usuario o grupo) siempre contiene un identificador para el dominio en el que se sitúa

el principal de seguridad, se crea un nuevo SID para el usuario en el dominio de destino. Ya que

la ADMT puede migrar la SID del principal de seguridad inicial al principal de seguridad del

dominio de destino, no tiene que realizar tareas adicionales para garantizar el acceso a los

recursos, a menos que utilice el filtrado de la SID entre los bosques.

Si utiliza ADMT v3.1 y Microsoft Exchange Server versión 5.5, use el Asistente para migración de

Exchange Server de ADMT para convertir la seguridad de los buzones de correo de los usuarios

migrados. Si utiliza los servidores Exchange 2000, la ADMT no proporciona herramientas de

migración de buzones de correo. En este caso, piense en migrar primero los buzones de correo

utilizando la herramienta de migración de buzones de correo de Exchange 2000 y, a

continuación, migrar las cuentas de usuarios.

Si utiliza la directiva de grupo para administrar la redirección de la carpeta o la distribución de

software, asegúrese de que estas directivas continuarán aplicándose cuando migre cuentas de

usuarios a un nuevo bosque. Asimismo, si utiliza un objeto de directiva de grupo para conceder o

denegar acceso remoto al dominio de origen y no al dominio de destino, la ADMT no puede

determinar qué acceso remoto desea asignar al usuario.

Si utiliza directivas de grupo para administrar la redirección de carpetas, los archivos sin

conexión no funcionarán después de que la cuenta del usuario se migre a un nuevo bosque. Los

archivos sin conexión almacenan el SID del usuario como propietario; el SID cambia cuando la

cuenta de usuario se migra. Para restaurar la propiedad de los archivos sin conexión, utilice el

Asistente de conversión de seguridad de la ADMT para reemplazar los permisos de los archivos

y carpetas del equipo cliente que contiene la caché de los archivos sin conexión.

Para asegurarse de que los usuarios continúan teniendo acceso a los archivos sin conexión

después de haber migrado las cuentas de usuarios al dominio de destino, puede realizar las

siguientes acciones:

1. Convertir la seguridad de los equipos cliente para actualizar los archivos sin conexión.

2. Si el historial de SID de la cuenta de usuario no se ha migrado al dominio de destino,

convierta la seguridad del servidor que alberga carpetas redirigidas.

Si utiliza la redirección de carpetas, se dará una de las siguientes situaciones:

Si la ruta de redirección de carpetas es diferente en el nuevo entorno, los usuarios pueden

tener acceso a la carpeta si el historial de SID de la cuenta del usuario se migró al dominio

de destino. La extensión de redirección de carpetas copia los archivos de la ubicación

original del dominio de origen en la nueva ubicación del dominio de destino. El historial de

SID permite a la cuenta de usuario tener acceso a las carpetas de origen.

34

Si la ruta de redirección de carpetas es la misma en el nuevo entorno, los usuarios no

pueden tener acceso a la carpeta redireccionada dado que la redirección de carpetas

comprobará la propiedad de la carpeta redireccionada y se produce un error. A continuación,

debe convertir la seguridad en la carpeta redirigida en el servidor.

Si utiliza la directiva de grupo para administrar la instalación de software y el paquete de

Windows Installer requiere el acceso al origen inicial de las operaciones como reparar y quitar,

debe convertir la seguridad en el punto de distribución de software después de migrar usuarios

para garantizar que la instalación de software continúa funcionando correctamente en el dominio

de destino.

Proceso de migración de recursosLos dominios de Active Directory incluyen tres tipos de recursos:

Cuentas de estación de trabajo

Cuentas de servidor miembro

Recursos de los servidores miembro

La migración de las estaciones de trabajo y los servidores de miembros son un proceso sencillo.

Los grupos locales que crea para asignar permisos de usuarios se ubican en la base de datos

local del Administrador de cuentas de seguridad (SAM) y, a continuación, se mueven cuando

mueve el servidor. No tiene que volver a configurar las listas de control de acceso (ACL), de

manera que los usuarios pueden tener acceso a los recursos después de la migración.

Para migrar controladores de dominio entre dominios, elimine los Servicios de dominio de

Active Directory (AD DS) del controlador de dominio, mígrelo como un servidor miembro al

dominio de destino y, a continuación, vuelva a instalar AD DS.

Planeamiento para la reestructuración de dominios de Active Directory entre bosques


La finalización de las tareas de planeación necesarias antes de comenzar la migración garantiza

a los usuarios que pueden continuar conectándose a la red y tener acceso a los recursos durante

la migración. La planeación de la reestructuración de dominio implica lo siguiente:

Determinación del proceso de migración de cuentas

Asignación de funciones y ubicaciones de objetos

Desarrollo de un plan de prueba

Creación de un plan de reversión para su uso si la migración produce un error

Administración de usuarios, grupos y perfiles de usuario

Creación de un plan de comunicación con los usuarios finales

35

Para preparar el proceso de reestructuración, el equipo de implementación de Active Directory

debe obtener la información de diseño necesaria del equipo de diseño de Active Directory.

En la ilustración siguiente se muestran los pasos implicados en la planeación de la

reestructuración de dominios de Active Directory entre bosques.

Determinación del proceso de migración de cuentas


Con la Herramienta de migración para Active Directory (ADMT), puede utilizar el historial de

identificadores de seguridad (SID) para conservar los permisos de los recursos al migrar

cuentas. No obstante, si el filtrado de SID se habilita entre sus dominios de origen y de destino y

no confía en los administradores del dominio de origen, no puede deshabilitar el filtrado de SID.

Tampoco podrá utilizar el historial de SID para habilitar el acceso a los recursos en el dominio de

origen. En este caso, debe utilizar un proceso de migración diferente.

Puede seleccionar uno de los tres métodos siguientes para migrar las cuentas entre bosques

mientras conserva los derechos de usuario para tener acceso a los recursos en el dominio de

origen:

36

Migre las cuentas de usuario mientras utiliza el historial de SID para el acceso a los recursos.

Con este método, quita el filtrado de SID en las confianzas entre los dominios para permitir a

los usuarios tener acceso a los recursos del dominio de origen por medio de sus

credenciales del historial de SID.

Si ha establecido una confianza de bosque, quite el filtrado de SID en la confianza de

bosque. (También puede invalidar la confianza del bosque creando una confianza

externa de manera que el dominio que guarda los recursos confíe en el dominio de

destino y, a continuación, quitar el filtrado de SID de la confianza externa).

Si no ha establecido una confianza de bosque, establezca confianzas externas entre los

dominios de origen y de destino. A continuación, debe eliminar el filtrado por SID de las

confianzas externas si en el controlador de dominio que se utiliza para crear la confianza

se ejecuta Windows Server 2008 R2, Windows Server 2008 o Windows Server 2003. Si

va a utilizar ADMT v3.1, en el controlador de dominio que se use para crear la confianza

se puede estar ejecutando Windows 2000 Service Pack 4 (SP4) o posterior.

Para obtener más información sobre este proceso, consulte Migración de cuentas mientras

utiliza el historial de SID, más adelante en esta guía.

Migre todos los usuarios, grupos y recursos al dominio de destino en un paso. Para obtener

más información sobre este proceso, consulte Migración de cuentas mientras utiliza el

historial de SID, más adelante en esta guía.

Migre cuentas de usuario sin utilizar el historial de SID para obtener acceso a los recursos,

pero convierta la seguridad de todos los recursos antes del proceso de migración para

garantizar el acceso a los recursos. Para obtener más información sobre la migración de

cuentas sin utilizar el historial de SID, consulte Migración de cuentas sin utilizar el historial de

SID, más adelante en esta guía.

Para determinar qué proceso de migración de cuentas es mejor para su organización, primero

debe determinar si puede deshabilitar el filtrado de SID y migrar cuentas mientras utiliza el

historial de SID para tener acceso a los recursos. Puede realizarlo de forma segura si los

administradores del dominio de origen confían plenamente en los administradores del dominio de

destino. Es posible que deshabilite el filtrado de SID si se aplica una de las siguientes

condiciones:

Los administradores del dominio que confía son administradores del dominio de confianza.

Los administradores del dominio que confía confían en los administradores del dominio de

confianza y están seguros de que han asegurado el dominio correctamente.

Si deshabilita el filtrado de SID, quita el límite de seguridad entre los bosques, que de lo contrario

proporcionaría aislamiento de servicios y datos entre los bosques. Por ejemplo, un administrador

del dominio de destino que tenga derechos de administrador de servicios o un individuo que

tenga acceso físico a un controlador de dominio puede modificar el historial de SID de una

cuenta para incluir el SID de un administrador de dominio en el dominio de origen. Cuando la

cuenta de usuario para la que se ha modificado el historial de SID inicia sesión en el dominio de

destino, se presentan credenciales de administrador de dominio válidos para los recursos del

dominio de origen, a los que puede obtener acceso.

37

Por este motivo, si no confía en los administradores del dominio de destino o no cree que los

controladores de dominio del dominio de destino sean físicamente seguros, habilite el filtrado de

SID entre sus dominios de origen y de destino y migre cuentas de usuario sin utilizar el filtrado de

SID para tener acceso a los recursos.

La siguiente ilustración muestra el proceso de decisión implicado en la determinación del

proceso de migración adecuado para su organización.

Uso del historial de SID para conservar el acceso a recursos


La mejor forma de otorgar acceso a los recursos es usar los grupos globales para organizar

usuarios y los grupos locales de dominios para proteger recursos. Coloque los grupos globales

en un grupo local de dominio para otorgar a los miembros del grupo global acceso al recurso. Un

38

grupo global sólo puede contener miembros de su propio dominio. Cuando un usuario se migra

entre dominios, cualquier grupo global al que pertenezca el usuario también se debe migrar. Así

se garantiza que los usuarios puedan continuar teniendo acceso a los recursos protegidos por

las listas de control de acceso discrecional (DACL) en relación a los grupos globales. Tras la

migración de una cuenta y el mantenimiento del historial de identificadores de seguridad (SID) de

la cuenta del dominio de origen, cuando un usuario inicia sesión en el dominio de destino, tanto

el SID nuevo como el SID original del atributo del historial de SID se agregan al token de acceso

del usuario. Estos SID determinan la pertenencia del usuario al grupo local. Los SID de los

grupos a los que pertenece el usuario se agregan a continuación para el token de acceso, junto

con el historial de SID de dichos grupos.

Los recursos dentro de los dominios de origen y de destino resuelven sus listas de control de

acceso (ACL) a los SID y, a continuación, comprueban las coincidencias entre las listas ACL y el

token de acceso cuando otorga o deniega acceso. Si el SID o el historial de SID coincide, el

acceso al recurso se otorga o deniega, según el acceso especificado en la lista ACL. Si el

recurso está en el dominio de origen y no ha ejecutado una conversión de seguridad, utiliza el

historial de SID de la cuenta de usuario para otorgar acceso.

También puede conservar el SID original para los grupos globales y los grupos universales en el

historial de SID del grupo global o el grupo universal en el dominio de destino. Dado que la

pertenencia al grupo local se basa en los SID, cuando migra el SID al historial de SID del grupo

global o grupo universal del dominio de destino, la pertenencia al grupo local del grupo global o

grupo universal se conservan automáticamente.

El historial de SID se utiliza para las siguientes tareas:

Acceso al perfil de usuario móvil

Acceso de autoridad de certificación

Acceso de instalación de software

Acceso a recursos

Si no utiliza el historial de SID para el acceso a los recursos, tendrá que migrar el historial de SID

para facilitar el acceso a dichos elementos.

Uso de filtrado de SID al migrar cuentas de usuarios


En una confianza de dominio a dominio, el filtrado por identificadores de seguridad (SID) no

permite el uso de SID que no pertenezcan al dominio de confianza con el fin de permitir el

acceso a cualquier recurso del dominio que confía. En una confianza de bosque a bosque, el

filtrado por identificadores de seguridad (SID) no permite el uso de SID que provengan de

dominios que no pertenezcan al bosque de confianza con el fin de permitir el acceso a cualquier

dominio del bosque que confía.

39

Puede habilitar el SID de un usuario en un bosque diferente para tener acceso a un recurso

dentro de un bosque que tiene el filtrado de SID habilitado por la conversión de seguridad en el

recurso para incluir el SID del usuario en la lista de permisos.

El filtrado de SID se aplica de forma predeterminada cuando se establece una confianza de

bosque entre dos dominios raíz de bosque. Además, el filtrado por SID se habilita de forma

predeterminada cuando se establecen confianzas externas entre controladores de dominio que

ejecutan Windows 2000 Service Pack 4 (SP4) o posterior. De este modo, se evitan los posibles

ataques a la seguridad por parte de un administrador de un bosque diferente.

Puesto que el filtrado de SID no se aplica a la autenticación dentro de un dominio, también es

posible permitir el acceso a recursos mediante el historial de SID, si el recurso y la cuenta están

en el mismo dominio. Para permitir que los usuarios o grupos accedan a un recurso mediante el

historial de SID, el bosque en el que el recurso está ubicado debe confiar en el bosque en el se

encuentra la cuenta.

Para obtener más información acerca de los ataques basados en el historial de SID y el filtrado

de SID, consulte "Configuring SID Filtering Settings" (Configuración de los valores del filtrado de

SID) (http://go.microsoft.com/fwlink/?LinkId=73446).

Asignación de las funciones y ubicaciones de objetos


Cree una tabla de asignación de objetos que enumere las funciones y ubicaciones de todos los

objetos que está migrando. Cree una tabla para objetos de cuenta, como usuarios, grupos y

cuentas de servicios, así como una tabla para los objetos de recursos, como estaciones de

trabajo, perfiles y controladores de dominio. En sus tablas, enumere las ubicaciones de origen y

de destino para todos los objetos que se van a migrar.

Antes de crear su tabla de asignación de objetos de cuentas, determine si las estructuras de

unidades organizativas (OU) del dominio para los dominios de origen y destino son las mismas.

Si no son las mismas, debe identificar las unidades organizativas de origen y destino en sus

tablas de asignación de objetos.

Para obtener una hoja de cálculo para ayudarle a crear una tabla de asignación de objetos de

cuenta, consulte "User and Group Object Assignment Table" (Tabla de asignación de objetos de

grupo y usuario) (DSSREER_1.doc) en la descarga

Job_Aids_Designing_and_Deploying_Directory_and_Security_Services de Job Aids for

Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink?LinkId=14384).

La siguiente ilustración muestra un ejemplo de una tabla de asignación de objetos para usuarios

y grupos.

40

http://go.microsoft.com/fwlink?LinkId=14384


Para crear una tabla de asignación de objetos de recursos, identifique las unidades organizativas

de origen y destino para cada objeto y observe la ubicación física y la función en el dominio de

destino. Para obtener una hoja de cálculo para ayudarle a crear una tabla de asignación de

objetos de recursos, consulte "Resource Object Assignment Table" (Tabla de asignación de

objetos de recursos) (DSSREER_2.doc) en la descarga



La siguiente ilustración muestra un ejemplo de una tabla de asignación de objetos de recursos.

41


Desarrollo de un plan de prueba para la migración


La Herramienta de migración Active Directory no incluye una opción de migración de prueba. Sin

embargo, puede desarrollar un plan de prueba para probar sistemáticamente cada objeto

después de que haya migrado al nuevo entorno y para identificar y solucionar cualquier problema

que pueda ocurrir. La comprobación de que la migración se ha realizado correctamente le ayuda

a asegurar que los usuarios que se migran del dominio de origen al de destino puedan iniciar

sesión, tener acceso a los recursos en base a la pertenencia a un grupo y tener acceso a los

recursos en base a sus credenciales de usuario. La comprobación también le ayuda a asegurar

que los usuarios puedan obtener acceso a los recursos que migre.

Una vez completada la comprobación, puede seguir con la migración de pequeños grupos piloto

y, a continuación, ir aumentando gradualmente el tamaño de cada lote de objetos de migración

en su entorno de producción.

42

Utilice el siguiente proceso para comprobar la migración de su objeto de cuenta y objetos de

recursos:

1. Cree un usuario de prueba en el dominio de origen. Incluya este usuario de prueba en sus

migraciones.

2. Agregue dicho usuario a los grupos globales apropiados para habilitar el acceso a los

recursos.

3. Inicie sesión en el dominio de origen como usuario de prueba y compruebe que puede

obtener acceso a los recursos correspondientes.

4. Tras migrar la cuenta de usuario, convierta el perfil de usuario y migre la estación de trabajo

del usuario, inicie sesión en el dominio de destino como el usuario de prueba y compruebe

que el usuario conserva todos los accesos y funciones necesarios. Por ejemplo, podrá

comprobar que:

El usuario puede iniciar sesión correctamente.

El usuario tiene acceso a todos los recursos apropiados, como usos compartidos de

impresiones y archivos; acceso a los servicios como mensajería, así como acceso a las

aplicaciones de línea de negocio (LOB). Es especialmente importante comprobar el

acceso a aplicaciones desarrolladas internamente que tienen acceso a servidores de

bases de datos.

El perfil de usuario se ha convertido correctamente y el usuario conservar la

configuración de escritorio, apariencia de escritorio, accesos directos y acceso a la

carpeta Mis documentos. Asimismo, compruebe que las aplicaciones aparecen y se

inician desde el menú Inicio.

No puede migrar cada propiedad de usuario al migrar cuentas de usuario. Para obtener

más información sobre las propiedades de usuario que no se pueden migrar, consulte

Migrar cuentas de usuario, más adelante en esta guía.

Una vez migrados los recursos, inicie sesión como el usuario de prueba en el dominio de destino

y compruebe que puede obtener acceso a los recursos correspondientes.

Si cualquier paso del proceso de prueba da error, identifique el origen del problema y determine

si puede corregir el problema antes de que se deba tener acceso al objeto en el dominio de

destino. Si no puede corregir el problema antes de obtener acceso al objeto necesario, revierta a

la configuración original para asegurar el acceso al objeto de recurso o usuario. Para obtener

más información sobre la creación de un plan de reversión, consulte Creación de un plan de

reversión, más adelante en esta guía.

Como parte de su plan de prueba, cree una matriz de prueba de migración. Complete una matriz

de prueba para cada paso que complete en el proceso de migración. Por ejemplo, si migra 10

lotes de usuarios, complete 10 veces la matriz de prueba, una para cada lote que migre. Si migra

10 servidores miembro, complete la matriz de prueba para cada uno de los 10 servidores.

Para obtener una hoja de cálculo para ayudarle a crear una matriz de prueba, consulte Migration

Test Matrix (DSSREER_3.doc) en la descarga



43


La siguiente ilustración muestra un ejemplo de una matriz de prueba de migración completada.

Creación de un plan de reversión


Reduzca el riesgo de interrupción de usuarios finales en su organización estableciendo un plan

de reversión. En general, es posible aislar o resolver cualquier problema que se produzca

durante cada fase de migración. Sin embargo, es importante analizar los riesgos potenciales e

44

identificar los niveles de impacto de usuario y el tiempo de inactividad que puede llevar la

reversión de la migración. Es posible que tenga que revertir su migración si se presenta

cualquiera de las condiciones siguientes:

Los usuarios no pueden iniciar sesión en sus cuentas tras la migración.

Los usuarios no pueden tener acceso a los recursos tras la migración.

La migración de usuarios no está completa; por ejemplo, las contraseñas no se han migrado.

La migración de usuarios se ha realizado correctamente, pero se ha producido un error en la

migración de estaciones de trabajo de los usuarios o la conversión de los perfiles locales.

Si el impacto de usuario o el tiempo de inactividad alcanza un nivel que ha definido como

inaceptable en su organización, puede implementar su plan de reversión y continuar el

funcionamiento en un entorno de migración previa. Dado que el dominio de origen se conserva

intacto durante la reestructura, puede restaurar el entorno original completando unos pasos

clave.

Para revertir el entorno de migración previa después de la migración de objetos de cuenta:

1. Habilite las cuentas de usuario en el dominio de origen (si deshabilita las cuentas durante el

proceso de migración).

2. Notifique a los usuarios que cierren sesión en el dominio de destino.

3. Notifique a los usuarios que inicien sesión en el dominio de origen.

4. Compruebe que los usuarios pueden tener acceso a los recursos.

5. Compruebe que las secuencias de comandos de inicio de sesión y los perfiles de usuario

funcionan conforme a la configuración en el dominio de origen.

El proceso de reversión de objetos de recursos es similar al de los objetos de cuenta. Para

revertir el entorno de migración previa después de la migración de objetos de recurso:

1. Cambie la pertenencia a un dominio del servidor o la estación de trabajo al dominio de

origen.

2. Reinicie el servidor o la estación de trabajo.

3. Inicie sesión como usuario y compruebe que puede tener acceso al recurso.

Si tiene que modificar objetos, como servidores miembro o controladores de dominio,

para migrarlos al dominio de destino, realice una copia de seguridad de todos los

datos antes de aplicar modificaciones y realizar la migración.

Administración de usuarios, grupos y perfiles de usuario


Debe definir cómo se van a administrar los objetos que está migrando durante el proceso de

reestructuración entre distintos bosques. Al establecer procedimientos administrativos para los

objetos de migración, puede conservar los objetos tanto en el dominio de origen como en el

Nota

45

dominio de destino. En consecuencia, puede volver al entorno previo a la migración si el proceso

de reestructuración no es correcto.

Plan para la administración de los tipos siguientes de objetos de migración de cuentas:

Cuentas de usuario, incluyendo identificadores de seguridad (SID)

Pertenencia a grupos globales

Perfiles de usuario

Administración de cuentas de usuarioDurante el proceso de migración, las cuentas de usuario existen tanto en los dominios de origen

como de destino. Administre los cambios de las cuentas de usuario en el dominio en el que está

activo el objeto de usuario. Continúe administrando los cambios en las pertenencias al grupo en

el dominio de origen mientras la migración tiene lugar. Utilice la opción Migrar y combinar

objetos en conflicto en la Herramienta de migración para Active Directory (ADMT) para volver a

migrar las cuentas de usuario con la frecuencia que se necesite durante el proceso de migración.

Esto asegura que los cambios realizados en la cuenta del dominio de origen se propagan a la

cuenta del dominio de destino. Esta operación combina la cuenta existente con la nueva cuenta

para que la administración del objeto pueda continuar en el dominio de origen durante el proceso

de migración.

La opción Migrar y combinar objetos en conflicto aplica las pautas siguientes cuando se migra

una cuenta:

Si cambia un atributo en el dominio de destino y no se usa en el dominio de origen, no se

sobrescribe con el valor NULL desde el dominio de origen.

Si cambia un atributo en el dominio de destino y se usa en el dominio de origen, se

sobrescribe con el valor desde el dominio de origen.

Si el usuario tiene pertenencia a grupos, los miembros se fusionan desde la pertenencia de

origen y la pertenencia de destino.

Si éste no es el comportamiento deseado, puede configurar ADMT para que excluya la migración

de determinados atributos, de tal forma que se conserven los atributos del dominio de destino.

Por ejemplo, suponga que después de la migración de un usuario establece atributos en el

nuevo objeto de usuario en el dominio de destino, como un número de teléfono o número de

oficina. Tiene que volver a migrar al usuario usando la opción Migrar y combinar objetos en

conflicto en ADMT, y la nueva información se conserva en el dominio de destino. Si ha

cambiado la pertenencia al grupo para el usuario del dominio de origen, los cambios se propagan

al dominio de destino cuando ejecute la nueva migración.

Algunos atributos se excluyen de la migración. Estos atributos incluyen lo siguiente:

Atributos que el sistema excluye siempre

Atributos que están en la lista de exclusión de atributos del sistema

Atributos que están configurados para su exclusión por el administrador

46

Atributos que el sistema excluye siempreADMT siempre excluye de la migración algunos atributos y no se pueden configurar para su

migración. De este modo se protegen los atributos que pertenecen al sistema. Estos atributos

incluyen lo siguiente:

Identificador único global del objeto (GUID)

SID (aunque los SID se pueden agregar al SID History del objeto del dominio de destino).

LegacyExchangeDN

Lista de exclusión de atributos del sistemaLa primera vez que ejecuta una migración de usuarios ADMT, esta herramienta genera una lista

de exclusión de atributos del sistema, que almacena en su base de datos. La lista de exclusión

de atributos del sistema contiene de manera predeterminada dos atributos: mail y

proxyAddresses. ADMT también lee el esquema del dominio de destino y agrega a la lista los

atributos que no forman parte del esquema de base. Los atributos de esta lista se excluyen de

las migraciones aunque no estén especificados en la lista de exclusión de atributos. Un

administrador puede cambiar la lista de exclusión de atributos del sistema usando únicamente

una secuencia de comandos. De este modo se protegen los atributos que son importantes para

que funcionen las aplicaciones basadas en servidor, como Microsoft Exchange. Si el esquema de

dominio objetivo se amplía aún más después de que ADMT haya generado la lista, los

administradores deben agregar manualmente los nuevos atributos a la lista, a no ser que estén

seguros de que la copia de los valores de estos atributos del dominio de origen no interferirá con

las aplicaciones basadas en servidor.

Lista de exclusión de atributosLos administradores pueden definir una lista de atributos que se excluyen de cada migración.

Esto se denomina una lista de exclusión de atributos. De manera predeterminada, al usar la

consola de ADMT, la información de estado de los atributos que se configuran para su exclusión

se almacenan en la interfaz de usuario (IU) y se incluyen en la lista de exclusión en la siguiente

migración. Las secuencias de comandos y los atributos de la línea de comandos no conservan

información de estado. Por tanto, no se almacenan en la IU. Estos atributos deben agregarse a

la lista de exclusión de atributos para cada operación de migración, ya sea por medio del nombre

de atributo o por medio de un archivo de opciones.

Administración de grupos globalesContinúe administrando los grupos en el dominio de origen durante el proceso de migración.

Vuelva a migrar los grupos con tanta frecuencia como sea necesario usando la opción Migrar y

combinar objetos en conflicto en ADMT. Esto asegura que los cambios realizados en la

pertenencia al grupo del dominio de origen se propagan a los grupos del dominio de destino.

47

Planeamiento para la migración de perfil de usuarioLos perfiles de usuario almacenan los datos e información sobre la configuración del escritorio

del usuario. Los perfiles de usuario pueden ser móvil o local. El proceso de migración es

diferente para los perfiles locales o móviles.

La conversión del perfil es un tipo de conversión de seguridad, y los perfiles se convierten

durante el proceso de migración. Si realiza la conversión de seguridad en modo Agregar, los SID

en los dominios de origen y destino deben tener ambos acceso al perfil. Por tanto, si tiene que

revertir al entorno de origen, el SID del dominio de origen puede usar el perfil. Si realiza la

conversión de seguridad en el modo de reemplazar, debe volver a convertir el perfil usando un

archivo de asignación SID (deshaciendo la conversión de seguridad) para revertir al entorno de

origen.

Si tiene que revertir a la configuración original, notifique a los usuarios que los cambios

de perfil realizados en el dominio de destino no se reflejan en el dominio de origen.

Algunas organizaciones pueden optar por no migrar los perfiles de usuario. Otras organizaciones

podrían elegir reemplazar las estaciones de trabajo de los usuarios durante el proceso de

migración de cuentas de usuario, y utilizan una herramienta como la Herramienta de migración

de estado de usuario (USMT) para migrar los datos de usuario y la configuración a los nuevos

equipos de los usuarios. En la tabla siguiente se resumen los requisitos de migración para los

perfiles de usuario.

Tipo Descripción Requisitos de la migración

Perfiles móviles Los perfiles de usuario se

almacenan centralmente en

los servidores. Los perfiles

están disponibles para el

usuario, con independencia de

la estación de trabajo en uso.

Si está migrando perfiles

móviles que se utilizan en

Windows Vista o posterior,

prepárelos para la migración.

Para obtener más información,

consulte Preparación para la

migración de perfiles móviles

con equipos que ejecutan

Windows Vista y Windows 7.

Durante la migración de

cuentas de usuario, seleccione

Convertir perfiles móviles en

la página Opciones de

usuario en el Asistente para

migración de cuentas de

usuario. A continuación,

convierta los perfiles de usuario

locales para un lote de

Importante

48

Tipo Descripción Requisitos de la migración

usuarios inmediatamente

después de la migración de

dichos usuarios.

Perfiles locales Los perfiles de usuario se

almacenan de forma local en

la estación de trabajo. Cuando

el usuario inicia sesión en otra

estación de trabajo, se crea un

perfil de usuario local único.

Convierta los perfiles locales

como un paso independiente

del proceso de migración de

cuentas de usuario. Seleccione

la opción Perfiles de usuario

en la página Convertir objetos

del Asistente para conversión

de seguridad. Convierta los

perfiles de usuario locales de

un lote de usuarios

inmediatamente después de la

migración de dichos usuarios.

Perfiles no administrados Igual para los perfiles locales. Los usuarios pierden sus

perfiles existentes cuando se

migran sus cuentas de usuario.

Actualización de hardware La información de estado del

usuario se almacena

localmente en la estación de

trabajo.

Migre como un paso separado

desde la migración de cuentas

de usuario. Migre los perfiles al

nuevo equipo del usuario

mediante una herramienta

como USMT.

Preparación para la migración de perfiles móviles con equipos que ejecutan Windows Vista y Windows 7La ubicación de un perfil móvil se configura para una cuenta de usuario del dominio y se

especifica de la siguiente manera:

\\host.name.fqdn\ProfileShare\<nombredeperfil>

<nombredeperfil> suele remplazarse por el %nombredeusuario%. Por tanto, la ubicación real de

un perfil móvil para el usuario RoamUserX es:

\\host.name.fqdn\ProfileShare\RoamUserX

La carpeta del perfil móvil (en este ejemplo, RoamUserX) se crea en el momento de iniciar

sesión por primera vez como RoamUserX, y los datos reales del perfil se almacenan en esa

carpeta.

49

En Windows Vista se ha realizado un cambio en los perfiles que provocaban incompatibilidad

con versiones anteriores de Windows. Para diferenciar los nuevos perfiles, se ha añadido una

extensión .V2 a todos los perfiles móviles de los usuarios de equipos que ejecutan

Windows Vista y versiones posteriores.

La ubicación del perfil móvil del mismo usuario RoamUserX en un equipo que ejecute

Windows Vista o Windows 7 es:

\\host.name.fqdn\ProfileShare\RoamUserX.V2

Esta versión puede coexistir con un perfil móvil de una versión anterior de Windows.

Únicamente ADMT v3.2 distingue entre los dos nombres de carpeta de perfil diferentes. Las

versiones anteriores de ADMT sólo buscan la carpeta llamada <nombredeperfil> y no intentan

encontrar un perfil V2 en caso de que existiera. Por tanto, las versiones anteriores de ADMT no

migran los perfiles móviles de equipos que ejecuten Windows Vista y Windows 7.

Para migrar una carpeta de perfil móvil mediante ADMT v3.2, es necesario modificar la lista de

control de acceso predeterminada de la carpeta. De manera predeterminada, cuando un usuario

inicia sesión y se crean los contenidos y la carpeta del perfil móvil, las carpetas <nombredeperfil>

o <nombredeperfil>.V2 reciben las siguientes listas de control de acceso:

SYSTEM – Control total

nombre_de_usuario - Control total

Propietario = nombre_de_usuario

Por tanto, el propietario del perfil y el sistema local donde reside el uso compartido son los únicos

que tienen acceso a la carpeta <nombredeperfil> o <nombredeperfil>.V2. Cuando se asignen

estos permisos predeterminados a la carpeta, ADMT no podrá acceder a la carpeta para realizar

la conversión de seguridad.

Si desea configurar los permisos de carpeta para permitir que ADMT v3.2 migre el perfil móvil,

puede habilitar una configuración de directiva de grupo para el dominio. En Windows

Server 2008 R2, la configuración es:

Configuración del equipo\Directivas\Plantillas administrativas\Sistema\Perfiles de usuario\

Agregar el grupo de seguridad Administradores a los perfiles de usuario móviles

Si esta configuración se habilita y propaga antes del primer inicio de sesión del usuario (antes de

la creación del perfil móvil), el directorio de perfil móvil tendrá un permiso agregado que concede

Control total a los miembros del grupo Administradores del host compartido (host.name.fqdn en

este ejemplo).

Cuando se haya habilitado esta configuración, las migraciones pueden realizarse si el usuario

que ejecuta ADMT v3.2 se encuentra en el grupo Administradores de uso compartido.

El usuario que ejecuta ADMT necesita acceso de Control total a las carpetas de perfiles móviles.

Para conseguirlo, puede probar una de las siguientes opciones:

1.

2. Cree un script (utilizando, por ejemplo, Windows PowerShell) que realice lo siguiente:

a. Se ejecuta como SYSTEM en el equipo compartido (host.name.fqdn en el ejemplo)

50

b. Agrega el grupo de seguridad Administradores al conjunto de ACL de las carpetas de

perfil, propagándose a todas las subcarpetas y archivos

c. Agrega el grupo de seguridad Administradores con Control total al conjunto de ACL de

las carpetas de perfil y obtiene permisos heredados a todas las subcarpetas y archivos

3. Cree un script (utilizando, por ejemplo, Windows PowerShell) que realice lo siguiente:

a. Se ejecuta en el contexto de cada usuario móvil (por ejemplo, como una tarea de inicio

de sesión).

b. Agrega el grupo de seguridad Administradores con Control total al conjunto de ACL de

las carpetas de perfil y obtiene permisos heredados a todas las subcarpetas y archivos.

Creación de un plan de comunicación con los usuarios finales


Desarrolle un plan para informar a todos los usuarios afectados sobre la próxima migración de

cuentas, para asegurarse de que saben cuáles son sus responsabilidades, el impacto de la

migración y con quién tienen que ponerse en contacto para obtener ayuda y soporte técnico.

Antes de comenzar el proceso de migración de usuarios, envíe un aviso a todos los usuarios

programados para la migración. Dado que normalmente migra usuarios en lotes de

aproximadamente 100 usuarios de una vez, también es útil enviar un aviso final a los usuarios de

cada lote dos o tres días antes de la programación de su lote. Si su organización dispone de una

intranet, publique la programación de la migración de cuentas y la información contenida en el

correo de usuario en una página web fácilmente accesible.

Incluya la siguiente información en su comunicación al usuario final.

Información generalAvise a los usuarios de que sus cuentas de usuario están programadas para la migración a un

nuevo dominio. Remita a los usuarios a una página web o recurso interno donde puedan

encontrar información adicional y ver una programación de migración.

Informe a los usuarios del nuevo nombre de dominio. Asegúrese de informarles de que sus

contraseñas de cuentas no cambiarán. Informe a los usuarios de que la cuenta de dominio

original se deshabilitará inmediatamente después de la migración y la cuenta deshabilitada se

eliminará transcurrido un período de tiempo específico. No es necesario si los usuarios inician

sesión con nombres principales de usuario (UPN).

51

ImpactoAsegúrese de que los usuarios comprenden que cuando sus cuentas se migran, es posible que

no puedan tener acceso a algunos recursos, como sitios web, carpetas compartidas o recursos

que los usuarios de su grupo o división no utilizan de forma habitual.

Proporcione información a los usuarios sobre con quién tienen que ponerse en contacto para

obtener asistencia para tener acceso a los recursos necesarios.

Estado de inicio de sesión durante la migraciónAsegúrese de que los usuarios comprenden que durante el proceso de migración no podrán

iniciar sesión en el dominio o tener acceso al correo electrónico u otros recursos. Asegúrese de

que especifica el período de tiempo durante el que no podrán iniciar sesión.

Pasos de migración previaAvise a los usuarios de cualquier paso que deban completar antes de comenzar el proceso de

migración. Por ejemplo, deben descifrar los archivos cifrados por medio del Sistema de cifrado

de archivos (EFS). Si se produce un error al descifrar archivos cifrados, se perderá el acceso a

los archivos cifrados después de la migración.

Los usuarios también deben asegurarse de que sus equipos están conectados a la red cuando la

migración de su cuenta está programada.

Cambios esperadosDescriba otros cambios que los usuarios puedan experimentar después de la migración, como

cambios en el uso de tarjetas inteligentes, correo electrónico seguro o mensajería instantánea, si

procede.

Programación e información de soporte técnicoProporcione información sobre dónde se pueden dirigir los usuarios para obtener más

información. Por ejemplo, pueden visitar un sitio web interno donde publique información sobre la

migración. Asimismo, proporcione información sobre con quién debe ponerse en contacto si la

fecha programada para la migración presenta un conflicto para un usuario.

Preparación de los dominios de origen y destino


52

Antes de comenzar con la migración de las cuentas del dominio de origen al dominio de destino,

debe preparar los dominios de origen y de destino para la migración. La siguiente ilustración

muestra las tareas necesarias para preparar los dominios para el proceso de reestructuración de

dominios dentro de un mismo bosque.

Instalación de software de cifrado alto de 128 bits


El equipo en el que esté instalada la Herramienta de migración para Active Directory (ADMT)

necesita cifrado alto de 128 bits. Este cifrado es estándar en los equipos que ejecutan

Windows 2000 Server Service Pack 3 (SP3) o Service Pack 4 (SP4), Windows Server 2003,

Windows Server 2008 o Windows Server 2008 R2. Si planea instalar ADMT en un equipo que no

admite de forma predeterminada el cifrado de nivel superior de 128 bits, debe instalar el paquete

de cifrado de nivel superior de 128 bits.

53

Puede descargar el paquete de cifrado desde Windows 2000 High Encryption Pack (Paquete de

cifrado elevado de Windows 2000) (http://go.microsoft.com/fwlink/?LinkId=76037).

Establecimiento de confianzas necesarias para la migración


Antes de poder migrar cuentas y recursos desde un dominio de origen a un dominio de destino

en otro bosque de Active Directory, debe asegurarse de que existen las confianzas apropiadas

entre los bosques. Las relaciones de confianza entre los bosques que está reestructurando

permiten que la Herramienta de migración para Active Directory (ADMT) migre usuarios y

cuentas de servicio y convierta perfiles de usuarios locales de los dominios de origen a los

dominios de destino. Además, dependiendo de cómo estén configuradas las relaciones de

confianza, los usuarios del dominio de origen pueden tener acceso a recursos del dominio de

destino. Es más, los usuarios de los dominios de destino pueden tener acceso a los recursos del

dominio de origen que todavía no se han migrado.

Para migrar usuarios y grupos globales, debe establecer una confianza unidireccional entre el

dominio de origen y el dominio de destino, de forma que el dominio de origen confíe en el

dominio de destino.

Para migrar recursos o convertir perfiles locales, debe realizar uno de los siguientes

procedimientos:

Crear una confianza unidireccional entre el dominio de origen y el dominio de destino.

Crear una confianza bidireccional entre los dominios de origen y destino.

Para obtener más información acerca de la creación de confianzas, consulte Creating Domain

and Forest Trust (http://go.microsoft.com/fwlink/?LinkId=77381).

Establecimiento de cuentas de migración para la migración


Para migrar las cuentas y los recursos entre bosques, debe establecer cuentas de migración y

asignar los credenciales apropiados a dichas cuentas. La Herramienta de migración para

Active Directory (ADMT) utiliza las cuentas de migración para migrar objetos que identifique.

Dado que ADMT requiere sólo un conjunto limitado de credenciales, la creación de cuentas de

migración independientes le ayuda a simplificar la administración. Si las tareas de migración de

su organización se distribuyen a más de un grupo, es útil crear una cuenta de migración para

cada grupo implicado en la realización de la migración.

54



Para simplificar la administración, cree una cuenta única en el dominio de origen y una cuenta

única en el dominio de destino para todos los objetos, con las credenciales necesarias para

modificar los objetos, como usuarios, cuentas de servicio administradas, grupos globales y

perfiles locales que desea migrar a esa cuenta. Por ejemplo, una cuenta de migración que utiliza

para migrar cuentas de usuario junto con el historial de identificadores de seguridad (SID),

grupos globales junto con el historial de SID, equipos y perfiles de usuario tiene credenciales de

administrador local o administrador de dominio en el dominio de origen. La cuenta de migración

también ha delegado permiso en el usuario, cuenta de servicio administrada, grupo y las

unidades organizativas del equipo (OU) en el dominio de destino, con el derecho extendido para

migrar el SID History en la unidad organizativa de usuario. El usuario debe ser un administrador

local en el equipo del dominio de destino en el que esté instalada ADMT. Una cuenta de

migración que utilice para migrar estaciones de trabajo y controladores de dominio debe tener

credenciales de administrador local o administrador de dominio de origen en las estaciones de

trabajo, o la cuenta debe tener credenciales de administrador de dominio de origen en el

controlador de dominio o en ambos.

En el dominio de destino, es necesario utilizar una cuenta que tenga permisos delegados en la

unidad organizativa de equipo y la unidad organizativa de usuario. Es posible que desee utilizar

una cuenta independiente para la migración de estaciones de trabajo si este proceso de

migración se delega a los administradores de la misma ubicación que las estaciones de trabajo.

La siguiente tabla muestra los credenciales necesarios en los dominios de origen y de destino

para los objetos de migración diferentes.

Objeto de migración Credenciales necesarios en

dominio de origen

Credenciales necesarios en

dominio de destino

Usuario/cuenta de servicio

administrada/grupo sin SID

History

Permiso delegado para

Leer toda la información

del usuario en la unidad

organizativa de usuario o

unidad organizativa de

grupo y credencial de

administrador de dominio

Permiso delegado para Crear,

eliminar y administrar cuentas

de usuario, Crear, eliminar y

administrar grupos y Modificar

la pertenencia de un grupo

para la unidad organizativa de

usuario o la unidad organizativa

de grupo y administrador local

del equipo en el que está

instalada ADMT

Usuario/cuenta de servicio

administrada/grupo con SID

History

Permiso delegado para

Leer toda la información

del usuario en la unidad

organizativa de usuario o


grupo y credencial de


Permiso delegado en la unidad

organizativa de usuario o la

unidad organizativa de grupo,

permiso extendido para migrar

historial de SID y administrador

local en el equipo en el que esté

instalada ADMT.

55

Objeto de migración Credenciales necesarios en

dominio de origen

Credenciales necesarios en

dominio de destino

Equipo Administrador de dominio o

administrador en el dominio

de origen y en cada equipo


organizativa de equipo y

administrador local en el equipo

en el que está instalada ADMT

Nota

Si el equipo tiene una

cuenta de servicio

administrada instalada,

deberá proporcionar

credenciales que tengan

permiso para actualizar

el descriptor de

seguridad de la cuenta

de servicio administrada

en el dominio de destino.

Perfil Administrador local o



organizativa de usuario y


en el que está instalada ADMT.

Nota

Es posible que tenga que

seguir otros pasos

adicionales de

preparación si migra

perfiles móviles de

equipos que ejecutan

Windows Vista o

Windows 7. Para obtener

más información,

consulte Preparación

para la migración de

perfiles móviles con


Windows Vista y

Windows 7.

Los siguientes procedimientos proporcionan ejemplos para la creación de grupos o cuentas para

migrar cuentas y recursos. Los procedimientos varían en función de si existe una confianza

56

unidireccional o bidireccional. El procedimiento de creación de grupos de migración cuando

existe confianza unidireccional es más complejo que el procedimiento cuando existe confianza

bidireccional. Lo que se debe a que, con una confianza unidireccional, debe agregar el grupo de

migración al grupo local Administradores de las estaciones de trabajo.

El procedimiento de muestra para la creación de grupos de migración cuando existe una

confianza unidireccional implica la creación de grupos independientes para la migración de

cuentas y recursos. No obstante, puede combinar acct_migrators y res_migrators en un grupo, si

no tiene que separarlos para delegar diferentes conjuntos de permisos.

1. En el dominio de destino, cree un grupo global denominado acct_migrators.

2. En el dominio de destino, agregue el grupo acct_migrators al grupo Admins. del dominio

o delegue la administración de las unidades organizativas que son destino de la

migración de cuentas a este grupo.

3. Si migra el historial de SID y no coloca el grupo acct_migrators en el grupo Admins. del

dominio, conceda al grupo acct_migrators el permiso extendido Migrar historial SID en

el objeto de dominio de destino. Para ello, siga estos pasos:

a. Inicie Usuarios y equipos de Active Directory, haga clic con el botón secundario en el

objeto de dominio y, a continuación, haga clic en Propiedades.

b. Haga clic en la ficha Seguridad y en Agregar, a continuación, seleccione

acct_migrators.

Si la ficha Seguridad no aparece, en Usuarios y equipos de Active Directory, haga

clic en Ver y, a continuación, haga clic en Características avanzadas.

c. En Permissions for acct_migrators, haga clic en Permitir para el permiso Migrar

historial SID.

4. En el dominio de origen, agregue el grupo acct_migrators al grupo Builtin\

Administradores.

5. En cada equipo en el que desee convertir perfiles locales, agregue el grupo

acct_migrators al grupo local Administradores.

1. En el dominio de destino, cree un grupo global denominado res_migrators.

2. En el dominio de destino, agregue el grupo res_migrators al grupo Admins. del dominio o

delegue la administración de las unidades organizativas que son destino de la migración

de recursos a este grupo.

3. En el dominio de origen, agregue el grupo res_migrators al grupo Administradores.

4. En cada equipo que desee migrar o en el que desee realizar una conversión de

seguridad, agregue el grupo res_migrators al grupo local Administradores.

Creación de un grupo de migración de cuenta cuando existe una confianza unidireccional en la que el dominio de origen confía en el dominio de destino

Creación de un grupo de migración de recursos cuando existe una confianza unidireccional en la que el dominio de origen confía en el dominio de destino

Creación de una cuenta de migración de recursos cuando existe una confianza bidireccional entre los dominios de origen y de destino.

57

1. En el dominio de origen, cree una cuenta denominada res_migrator.

2. En el dominio de origen, agregue la cuenta res_migrator al grupo Admins. del dominio.

(El grupo Admins. del dominio es un miembro del grupo local Administradores en cada

equipo del dominio de forma predeterminada. Por consiguiente, no tiene que agregarlo al

grupo local Administradores en cada equipo).

3. En el dominio de destino, delegue los permisos en las unidades organizativas que sean

destino de la migración de recursos para la cuenta res_migrator.

ADMT también incluye funciones de administración de base de datos que puede utilizar para

asignar un subconjunto de permisos a los usuarios que realicen tareas de migración específicas.

Las funciones de administración de base de datos y las tareas de migración que pueden realizar

se enumeran en la siguiente tabla.

Función Tarea de migración

Migradores de cuentas Tareas de migraciones de cuentas, como

migración de usuarios y grupos.

Migradores de recursos Tareas de migración de recursos, como

migraciones de equipos y conversión de

seguridad. Los migradores de cuentas también

desempeñan la función de migradores de

recursos.

Lectores de datos Consultas en la base de datos. Los migradores

de cuentas y los migradores de recursos

también desempeñan la función de lectores de

datos.

Los usuarios que tienen la función de administrador del sistema de SQL Server asumen todas

las funciones de administración de base de datos de ADMT. Tienen los credenciales para realizar

lo siguiente:

Mostrar funciones de base de datos y usuarios que asumen dichas funciones

Agregar grupos o usuarios a funciones

Quitar grupos o usuarios de funciones

De manera predeterminada, se asigna la función de administrador del sistema al grupo local

Administradores y puede realizar todas las funciones de la base de datos de ADMT.

Configuración de los dominios de origen y destino para la migración del historial de SID


58

Puede configurar de forma manual los dominios de origen y de destino para migrar el historial de

identificadores de seguridad (SID) antes de comenzar una migración entre distintos bosques, o

bien puede dejar que la Herramienta de migración para Active Directory (ADMT) configure los

dominios automáticamente la primera vez que se ejecute.

Para configurar los dominios de origen y de destino de forma manual, complete los siguientes

procedimientos:

Cree un grupo local en el dominio de origen para admitir la auditoría.

Habilite la compatibilidad de cliente TCP/IP en el emulador del controlador principal de

dominio (PDC) del dominio de origen.

Si está migrando desde un dominio con controladores de dominio que ejecutan

Windows Server 2003 o posterior a otro dominio con controladores de dominio que

ejecutan Windows Server 2003 o posterior, la entrada del Registro

TcpipClientSupport no debe modificarse.

Habilite la auditoría de la administración de cuentas en los dominios de origen y de destino.

Para Windows Server 2008 R2 y Windows Server 2008, deberá habilitar también la auditoría

del acceso al servicio de directorio con el fin de migrar los usuarios con el SID History entre

los bosques.

En el dominio de origen, cree un grupo local denominado SourceDomain$$$, donde

SourceDomain es el nombre NetBIOS de su dominio de origen, por ejemplo, Boston$$$.

No agregue miembros a este grupo; de lo contrario, se producirá un error en la migración

del historial de SID.

1. En el controlador de dominio del dominio de origen que realiza el papel de servidor

principal de operaciones de emulador PDC (también conocidas como operaciones de

servidor principal único flexible o FSMO), haga clic en Inicio y, a continuación, en

Ejecutar.

2. En Abrir, escriba regedit y haga clic en Aceptar.

Precaución

La modificación incorrecta del Registro puede dañar gravemente el sistema.

Antes de realizar cambios en el Registro, debe hacer una copia de seguridad de

los datos valiosos que contenga el equipo. También puede utilizar la opción de

inicio Última configuración buena conocida si surgen problemas después de

realizar los cambios.

3. En el Editor del Registro, desplácese a la siguiente subclave del Registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

4. Modifique la entrada del registro TcpipClientSupport, del tipo de datos REG_DWORD,

estableciendo el valor a 1.

Nota Creación de un grupo local en el dominio de origen para admitir la auditoríaActivación de la compatibilidad de cliente TCP/IP en el emulador de PDC del dominio de

origen

59

5. Cierre el Editor del Registro y reinicie el equipo.

1. Inicie sesión como administrador en cualquier controlador de dominio del dominio de

destino.

2. Haga clic en Inicio, seleccione Todos los programas, Herramientas administrativas y,

a continuación, haga clic en Administración de directivas de grupo.

3. Desplácese al siguiente nodo:

Bosque | Dominios | Dominio | Controladores de dominio | Directiva predeterminada de

controladores de dominio

4. Haga clic con el botón secundario en Directiva predeterminada de controladores de

dominio y haga clic en Modificar.

5. En el Editor de administración de directivas de grupo, en el árbol de la consola,

desplácese el siguiente nodo:

Configuración del equipo | Directivas | Configuración de Windows | Configuración de

seguridad | Directivas locales | Directiva de auditoría

6. En el panel de detalles, haga clic con el botón secundario en Auditar la administración

de cuentas y, a continuación, haga clic en Propiedades.

7. Haga clic en Definir esta configuración de directiva y, a continuación, haga clic en

Correcto y Erróneo.

8. Haga clic en Aplicar y, a continuación, haga clic Aceptar.

9. En el panel de detalles, haga clic con el botón secundario en Auditar el acceso del

servicio de directorio y, a continuación, haga clic en Propiedades.

10. Haga clic en Definir esta configuración de directiva y, a continuación, haga clic en

Correcto.

11. Haga clic en Aplicar y, a continuación, haga clic Aceptar.

12. Si es necesario que los cambios se reflejen de forma inmediata en el controlador de

dominio, abra un símbolo del sistema con privilegios elevados y escriba gpupdate

/force.

13. Repita los pasos del 1 al 12 en el dominio de origen.

Configuración de la estructura de unidades organizativas del dominio de destino para la administración


Para habilitar la auditoría en los dominios de Windows Server 2008 R2 y Windows Server 2008

60

El equipo de diseño de Active Directory crea la estructura de unidades organizativas (OU) para el

dominio de destino. Este equipo también define los grupos que son responsables de la

administración de cada unidad organizativa y la pertenencia de cada grupo. Puede utilizar esa

información y el siguiente procedimiento para configurar el dominio de destino para la

administración.

1. Inicie sesión como administrador en cualquier controlador de dominio del dominio de

destino.

2. Inicie Usuarios y equipos de Active Directory y, a continuación, cree la estructura de

unidades organizativas que ha especificado su equipo de diseño.

3. Cree grupos administrativos y asigne usuarios a estos grupos.

4. Delegue la administración de la estructura de unidades organizativas a los grupos tal y

como lo haya definido el equipo de diseño.

Instalación de ADMT en el dominio de destino


Siga una de las siguientes instrucciones para instalar la Herramienta de migración

Active Directory (ADMT), según la versión que vaya a instalar. La versión 3.1 de ADMT ofrece

una opción para instalar una instancia de base de datos de Microsoft SQL Server® Express

preconfigurada. La versión 3.2 de ADMT necesita una instancia de base de datos de SQL Server

para instalarse previamente. El resto de instrucciones para separar, reconfigurar y eliminar un

archivo de base de datos se aplican a cualquier versión de ADTM.

Instalación de ADMT v3.1



SQL Server

Reconfigurar la instalación de la base de datos con Admtdb.exe

Reutilizar una base de datos de ADMT existente desde una instalación anterior

Instalación de ADMT v3.1En esta sección se tratan los siguientes problemas de instalación de ADMT v3.1.

Requisitos previos para la instalación de ADMT v3.1

Instalación de ADMT v3.1 usando el almacén de la base de datos predeterminado

Para configurar la estructura de unidades organizativas del dominio de destino para la administración

61

Requisitos previos para la instalación de ADMT v3.1Cuando instala la Herramienta de migración para Active Directory 3.1 (ADMT v3.1), también

instala SQL Server 2005 Express Edition de forma predeterminada para usarlo como almacén de

datos. Como opción, puede configurar ADMT v3.1 para usar una base de datos SQL Server 2000

con Service Pack 4 (SP4) Standard o Enterprise Edition o una instalación SQL Server 2005

Standard o Enterprise Edition anteriormente creada.

Antes de instalar ADMT v3.1, complete los siguientes requisitos previos:

Instale Windows Server 2008.

Quite todas las versiones anteriores de ADMT mediante Agregar o quitar programas del

Panel de control. Si intenta instalar ADMT v3.1 en un servidor con una versión anterior de

ADMT, recibirá un mensaje de error y la instalación se detendrá. Si es necesario, puede

importar la base de datos de la versión anterior de ADMT (como ADMT v2.0 o ADMT v3.0) en

ADMT v3.1 durante la instalación.

Si no piensa usar la instalación de la base de datos local predeterminada, asegúrese de que

está configurada otra instalación de la base de datos SQL Server 2000 o SQL Server 2005

con una instancia de ADMT. Para obtener más información sobre cómo crear una instancia

de ADMT en una base de datos de SQL Server, consulte Instalación de ADMT usando una

base de datos de SQL Server preconfigurada.

Instalación de ADMT v3.1 usando el almacén de la base de datos predeterminadoPara instalar ADMT, puede usar el almacén de la base de datos predeterminado basado en SQL

Server 2005 Express Edition o una base de datos SQL preconfigurada. El método de instalación

más común y recomendado es usar el almacén de la base de datos predeterminado, configurado

automáticamente por el Asistente para la instalación de Herramienta de migración para Active

Directory.

Según su entorno, descargue ADMT v3.1 (http://go.microsoft.com/fwlink/?

LinkId=121732) o ADMT v3.2 (http://go.microsoft.com/fwlink/?LinkId=186197). Para

obtener más información acerca de qué versión de ADMT se debe utilizar, consulte

Herramienta de migración Active Directory: versiones y entornos admitidos. En la

ubicación de descarga, haga doble clic en admtsetup.exe para abrir el asistente de

instalación.

Página del asistente Acción

Ésta es la instalación de la

Herramienta de migración Active

Directory

Haga clic en Siguiente.

Configuración de componentes La instancia de la base de datos de ADMT

Para instalar ADMT usando el almacén de la base de datos predeterminado

62




(MS_ADMT) se crea en el equipo local.

Aunque SQL Server 2005 Express Edition

se instala localmente de manera

predeterminada lo use o no ADMT, ADMT

deshabilita SQL Server 2005 Express

Edition si especifica otra instancia de la

base de datos en la siguiente página del

Asistente.

Selección de base de datos Especifique la instancia de la base de

datos a la que desea conectarse. La

selección recomendada es Usar

Microsoft SQL Server Express Edition,

que configura ADMT v3.1 para usar la

instancia de la base de datos instalada

localmente.

Si está usando varias consolas de

ADMT v3.1 y tiene un servidor de base de

datos dedicado donde desea centralizar

su base de datos de ADMT, seleccione la

opción Utilizar Microsoft SQL Server

existente. Especifique el servidor al que

se va a conectar mediante el formato

Servidor\instancia.

Debería configurar la instancia de la base

de datos de SQL Server antes de

seleccionar esta opción. Aunque la

instalación de ADMT v3.1 continúe a pesar

de no poder ponerse en contacto con la

base de datos, no podrá usar ADMT para

migrar cuentas o recursos hasta que se

cree la instancia de la base de datos y

esté disponible.

Importación de la base de datos de la

Herramienta de migración para Active

Directory v3

Aunque no puede actualizar una

instalación de ADMT v3.0 a ADMT v3.1,

puede importar los datos a una base de

datos de ADMT v3.1 desde una base de

datos de ADMT v3.0.

Si no desea importar datos desde una

base de datos de ADMT v3.0, seleccione

No, no importar los datos desde una

63


base de datos existente

(predeterminado).

Si desea importar los datos de ADMT v3.0

a la nueva base de datos de ADMT v3.1,

seleccione Sí, importar datos desde una

base de datos ADMT v3.

Si ha elegido importar datos, especifique

la ruta de acceso al archivo de la base de

datos de ADMT v3.0.



Directory v2





datos de ADMT v2.0.




base de datos de ADMT v2.







datos de ADMT v2.0.

La base de datos de ADMT v2.0 tiene el

nombre de archivo protar.mdb y debería

estar ubicada en el directorio

anteriormente usado para su instalación

de ADMT v2.0.

Resumen En esta página se resumen las opciones

que ha seleccionado. Haga clic en

Finalizar para completar la instalación de

ADMT v3.1.

64

Instalación de ADMT v3.2 ADMT v3.2 requiere una instancia de SQL Server preconfigurada para su almacén de datos

subyacente. Debe utilizar SQL Server Express. Al utilizar una de las siguientes versiones de

SQL Server Express, la instalación de ADMT impone los siguientes requisitos de Service Pack:

SQL Server 2005 Express se debe instalar con Service Pack 3 (SP3) o posterior.


Si utiliza SQL Server Express, la consola de ADMT se debe instalar y ejecutar

localmente en el servidor que aloja la instancia de base de datos de SQL Server

Express.

Como opción, puede utilizar versiones completas de SQL Server 2005 o SQL Server 2008. En

este caso, puede instalar y ejecutar la consola de ADMT en un equipo remoto y puede ejecutar

varias consolas de ADMT en diferentes equipos remotos. Si utiliza una versión completa de

SQL Server, la instalación de ADMT no impondrá ningún requisito de Service Pack.

El resto de la sección abarca los siguientes problemas de instalación:


Instalar ADMT v3.2

Requisitos previos para la instalación de ADMT v3.2Antes de instalar ADMT v3.2, complete las siguientes tareas de requisitos previos:

En el Panel de control, seleccione Agregar o quitar programas para quitar todas las

versiones de ADMT anteriores a ADMT v3.2.

Aunque ADMT v3.2 no admite actualizaciones de una versión anterior de ADMT, puede

reutilizar una base de datos existente de una instalación de ADMT anterior, a menos que sea

una base de datos de ADMT v2 o ADMT v1. Para obtener más información, consulte

Reutilizar una base de datos de ADMT existente desde una instalación anterior.

Instale o actualice un equipo de servidor (preferiblemente un servidor miembro) en el entorno

de dominio de origen o de destino, si fuera necesario, para que se ejecute Windows

Server 2008 R2.

Aunque puede utilizar ADMT v3.2 para migrar cuentas y recursos desde entornos de

Active Directory que tienen el nivel funcional del dominio de Windows Server 2003 o

posterior, puede instalar ADMT v3.2 sólo en un servidor que esté ejecutando Windows

Server 2008 R2.

Además de ejecutar Windows Server 2008 R2, no debe instalarse el equipo de servidor

utilizado para instalar ADMT v3.2 con la opción de instalación de Server Core ni debe estar

ejecutándose como un controlador de dominio de sólo lectura (RODC).

Configure una instalación de base de datos de SQL Server con una instancia de ADMT.

Puede descargar e instalar SQL Server Express localmente o crear una instancia de base de

datos para ADMT desde una base de datos existente de SQL Server.

Nota

65

Para obtener más información acerca de cómo instalar SQL Server Express, consulte

Instalar ADMT v3.2 . Para obtener más información sobre cómo crear una instancia de

ADMT en una base de datos existente de SQL Server, consulte Instalar ADMT

reconfigurando la instalación de la base de datos con Admtdb.exe.

Instalar ADMT v3.2Descargue SQL Server 2005 Express (http://go.microsoft.com/fwlink/?LinkId=181159), o cree una

nueva instancia de base de datos en una instalación existente de SQL Server para utilizar con

ADMT v3.2. Durante el proceso de instalación de SQL Server, seleccioneModo de

autenticación de Windows. Después de instalar SQL Server, complete el siguiente

procedimiento para instalar ADMT v3.2.

Para llevar a cabo este procedimiento, se requiere como mínimo pertenecer a Administradores

o a un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y

pertenencias a grupos en Grupos predeterminados locales y de dominio


1. En el paquete de descarga de ADMT, haga doble clic en admtsetup32.exe.

2. En la página de bienvenida, asegúrese de que las recomendaciones se han cumplido y,

a continuación, haga clic en Siguiente.

3. En la página del Contrato de licencia, haga clic en Acepto y, a continuación, en

Siguiente.

4. En la página Selección de base de datos, escriba servidor\instancia.

El requisito de escribir el nombre del servidor se aplica también a la instancia de la base

de datos local. Puede escribir un punto (“.”) para indicar el servidor local. De forma

predeterminada, la instancia de SQL Server Express se denomina SQLEXPRESS.

Por ejemplo, para utilizar una instancia de SQL Server Express predeterminada en el

servidor local, escriba .\SQLEXPRESS.

5. Si elige instalar SQL Express y el archivo ADMT.mdf de la base de datos no se

encuentra en la ubicación de datos predeterminada %windir%\ADMT\Data, aparecerá la

página Importación de base de datos. De lo contrario, la configuración de ADMT se

asocia automáticamente a ese archivo de base de datos y aparece la página Resumen.

En la página de Importación de base de datos, si no necesita realizar una importación

de datos, haga clic en No, no importar los datos desde una base de datos existente

(Predeterminado). Si necesita importar datos de una instalación anterior de ADMT, haga

clic en Sí, importar datos de una base de datos existente de ADMT v3.0 o

ADMT v3.1 y, a continuación, para desplazarse a la ubicación del archivo de base de

datos existente haga clic en Examinar.

Antes de importar los datos desde una base de datos existente, debe separar el archivo

de base de datos del SQL Server utilizando los comandos de SQL Server. Para obtener

más información, consulte Separar un archivo de base de datos existente de una

Para instalar ADMT v3.2

66



versión anterior de ADMT y de SQL Server.

Cuando haya terminado, haga clic en Siguiente.

6. En la página Resumen, revise los resultados de la instalación y, a continuación, haga

clic en Finalizar.

Separar un archivo de base de datos existente de una versión anterior de ADMT y de SQL ServerSi utiliza SQL Server Express, la base de datos se separa automáticamente al quitar ADMT. La

base de datos de SQL Server Express separada puede reutilizarse para una instalación de

ADMT posterior. En ese caso, ADMT se conecta automáticamente con la base de datos existente

que especifique durante la instalación.

Puede separar el archivo de base de datos de ADMT desde una instancia completa de

SQL Server si tiene otra aplicación que quiera conectar a la misma base de datos. Por ejemplo,

si tiene previsto moverlo desde una instalación completa de SQL Server a SQL Server Express,

o si tiene un archivo de base de datos de ADMT de una instalación previa que ha conectado a

las herramientas de administración de SQL Server, tendrá que separarlo de esa base de datos

para que ADMT pueda utilizarlo.

Para separar una base de datos, puede completar el procedimiento almacenado de SQL:

sp_detach_db [ @dbname = ] 'dbname'

Para obtener más información acerca de la llamada al procedimiento almacenado, consulte la

documentación de SQL Server. Para obtener más información acerca de cómo usar SQL Server

Management Studio para separar la base de datos, consulte Cómo: Separar una base de datos

(SQL Server Management Studio (http://go.microsoft.com/fwlink/?LinkId=183994).

Reconfigurar la instalación de la base de datos con Admtdb.exeSi durante la instalación tiene problemas con la configuración de la base de datos, o si especificó

SQL Server Express durante la instalación de ADMT v3.2 pero desea cambiar a SQL Server (o

viceversa) después del proceso de instalación, puede utilizar Admtdb.exe. La sintaxis de línea de

comandos para Admtdb.exe se encuentra en la tabla siguiente.

Puede ejecutar Admtdb.exe desde el símbolo del sistema con privilegios elevados en cualquier

servidor que se pueda dirigir al equipo de servidor que ejecute SQL Server para crear una

instancia de ADMT en dicho equipo de servidor.

Sintaxis Descripción

admtdb create /{s|server}: "Servidor\

instancia"

Instala una nueva base de datos de ADMT o

prepara una base de datos vacía.

67




El parámetro /server especifica el nombre del

servidor SQL Server y la instancia a la que se

va a conectar para crear la base de datos. Es

un parámetro obligatorio.

admtdb upgrade /s|server: Server\Instance Actualiza a una versión anterior de una base de

datos de ADMT v3.0 o ADMT v3.1.

El parámetro /server, que es obligatorio,

especifica el nombre del servidor SQL Server y

la instancia a la que se va a conectar para

actualizar la base de datos de ADMT v3.0 o

ADMT v3.1.

Nota

Antes de actualizar la base de datos de

ADMT, abra la consola de ADMT para

comprobar que es compatible con la

base de datos.

admtdb attach [/{a|attach}: "ruta de acceso a

la base de datos v3x"

Conecta una base de datos existente de ADMT

a la instancia de SQL Server Express 2005 o

SQL Server Express 2008 local.

El parámetro /attach, que es obligatorio,

especifica la ruta al archivo de base de datos

Admt.mdf separado.

Para ver la Ayuda de todas las opciones de la línea de comandos de Admtdb.exe, en el símbolo

del sistema, escriba admtdb /? .

Si ha empezado la migración mediante una base de datos local de SQL Server Express y luego

ha configurado la instancia remota de una base de datos de SQL Server, y necesita volver a

utilizar una base de datos local de SQL Server Express, complete el siguiente procedimiento. En

este caso, el archivo de base de datos de ADMT ya está conectado a la instancia de

SQL Express. Por lo tanto, no es necesario que se vuelva a conectar.

Si ha empezado la migración mediante SQL Server y desea cambiar a SQL Server Express,

consulte Reutilizar una base de datos de ADMT existente desde una instalación anterior.





Para reutilizar la base de datos local después de configurar una instancia remota de una base de datos de SQL Server

68


1. En el equipo local, haga clic en Inicio, seleccione Herramientas administrativas y, a

continuación, haga clic en Servicios.

2. En el panel de Detalles, asegúrese de que el servicio que aloja la instancia de

SQL Server Express se esté ejecutando y que el Tipo de inicio se haya establecido en

Automático. Si va a utilizar ADMT v3.1 y tenía instalado ADMT con SQL Server Express,

el nombre del servicio es MSSQL$MS_ADMT.

Si el servicio no se inicia o si no está configurado para iniciarse automáticamente en el

inicio del sistema, haga clic en Iniciado, haga clic con el botón secundario en el nombre

del servicio y, a continuación, haga clic en Propiedades.

3. En la ficha General, de la lista Tipo de inicio, haga clic en Automático.

4. En Estado del servicio, haga clic en Inicio y, a continuación, haga clic en Aceptar.

5. Cierre Servicios.

6. En el símbolo del sistema, escriba los siguientes comandos:

Nota

El comando admtdb attach es necesario sólo si anteriormente ha ejecutado

comandos SQL para que separen la instancia local de SQL Server Express.

admtdb attach /{s | Server}:”Instancia de SQL Server Express local”

admt config setdatabase /s:Servidor\Instancia.

Ahora puede utilizar la base de datos local.

Reutilizar una base de datos de ADMT existente desde una instalación anteriorSi desea utilizar una base de datos existente (separada) de una instalación de ADMT v3.0,

ADMT v3.1 o ADMT v3.2 anterior con la instancia de SQL Server local, puede completar el

siguiente procedimiento.

Para llevar a cabo este procedimiento, se requiere como mínimo pertenecer a

Administradores o a un grupo equivalente. Revise los detalles sobre cómo usar las

cuentas apropiadas y pertenencia a grupos en Grupos de dominio y locales

predeterminados (http://go.microsoft.com/fwlink/?LinkId=83477).



2. En el panel de detalles, asegúrese de que el servicio que aloja la instancia de






Nota Para utilizar una base de datos de ADMT existente (separada) con la instancia de

SQL Server local

69








admtdb attach /{s | Server}:”Instancia de SQL Server Express local” /{a |

Attach}:”Ruta de acceso al archivo de base de datos de ADMT v3.x que desea

asociar"

admt config setdatabase /s: servidor\instancia

Ahora puede utilizar la base de datos de ADMT existente con la instancia de SQL Server

local. No es necesario volver a ejecutar el asistente de instalación de ADMT. La

instalación de ADMT se puede ejecutar una sola vez. Puede realizar cualquier cambio

posterior en la configuración de la base de datos mediante los comandos admtdb.exe y

admt config setdatabase.

Habilitación de la migración de contraseñas


La Herramienta de migración Active Directory (ADMT) utiliza la versión 3.1 del servicio del

servidor de exportación de contraseñas (PES v3.1) para ayudar a migrar las contraseñas cuando

se realiza una migración entre bosques. Tanto ADMT v3.1 como ADMT v3.2 utilizan la

versión 3.1 del servidor de exportación de contraseñas (PES). Descargue PES v3.1 desde el

Centro de descarga de Microsoft. Para equipos basados en x86, consulte el servidor de

exportación de contraseñas versión 3.1 (x86) (http://go.microsoft.com/fwlink/?LinkId=147652).

Para equipos basados en 64 bits, consulte el servidor de exportación de contraseñas versión 3.1

(x64) (http://go.microsoft.com/fwlink/?LinkId=147653). El servicio PES se puede instalar en

cualquier controlador de dominio de escritura del dominio de origen que admita el cifrado de 128

bits.

El servicio PES no se puede instalar en controladores de dominio de sólo lectura

(RODC).

Como ADMT no comprueba todas las configuraciones de la directiva de contraseñas del dominio

de destino, los usuarios tienen que configurar expresamente su contraseña después de la

migración a menos que estén configurados los indicadores La contraseña nunca caduca o Se

requiere una tarjeta inteligente para el inicio de sesión interactivo.

La instalación del servicio PES en el dominio de origen requiere una clave de cifrado. Sin

embargo, debe crear la clave de cifrado en el equipo que ejecute ADMT en el dominio de

destino. Cuando cree la clave, guárdela en una carpeta compartida en su red o en un medio

extraíble para poder copiarla en la unidad local del controlador del dominio de origen donde está

Nota

70



instalado el servicio PES. Guárdela en una ubicación segura que pueda volver a formatear una

vez finalizada la migración.

El servicio PES se puede instalar después de ADMT. Los siguientes procedimientos explican

cómo instalar y utilizar el servicio PES en equipos que ejecutan Windows Server 2008 R2 o

Windows Server 2008.





En una línea de comandos, escriba el siguiente comando y, a continuación, presione

ENTRAR:

admt key /option:create /sourcedomain:<DominioOrigen>

/keyfile:<RutaAccesoArchivoClave> /keypassword:{<contraseña>|*}

Valor Descripción

<DominioOrigen> Especifica el nombre del dominio de

origen en el que se instala el servicio

PES. Se puede especificar como

Sistema de nombres de dominio (DNS)

o nombre NetBIOS.

<RutaAccesoArchivoClave> Especifica la ruta de acceso a la

ubicación en la que se almacena la

clave de cifrado.

{<contraseña>|*} Una contraseña, que proporcione cifrado

de claves, es opcional. Para proteger la

clave compartida, escriba la contraseña

o un asterisco (*) en la línea de

comandos. El asterisco hace que se le

solicite una contraseña que no aparece

en la pantalla.

Después de crear la clave de cifrado, configure el servicio PES en un controlador de dominio del

dominio de origen.

ADMT proporciona la opción para ejecutar el servicio PES en la cuenta del sistema local o

utilizando las credenciales de un usuario autenticado en el dominio de destino. Recomendamos

que ejecute el servicio PES como un usuario autenticado en el dominio de destino. De esta

forma, no tendrá que agregar el grupo Todos y el grupo Inicio de sesión anónimo al grupo Acceso

compatible con versiones anteriores de Windows 2000.

Creación de una clave de cifrado

71


Si ejecuta el servicio PES en la cuenta del sistema local, asegúrese de que el grupo

Acceso compatible con versiones anteriores de Windows 2000 del dominio de destino

contiene el grupo Todos y el grupo Inicio de sesión anónimo.

1. En el controlador de dominio que ejecuta el servicio PES en el dominio de origen, inserte

el disco de la clave de cifrado.

2. Ejecute Pwdmig.msi. Si define una contraseña durante el proceso de generación de

clave en el controlador de dominio del dominio de destino, proporcione la contraseña

facilitada cuado se creó la clave y, a continuación, haga clic en Siguiente.


Éste es el Asistente de instalación

de DLL de migración de contraseñas

de ADMT


Archivo de cifrado Para instalar la biblioteca de vínculos

dinámicos (DLL) de migración de

contraseñas de ADMT, debe especificar un

archivo que contenga una clave de cifrado

de contraseña válida para este dominio de

origen. El archivo de clave debe estar

ubicado en una unidad local.

Utiliza el comando admt key para generar

los archivos de clave. Para obtener más

información, consulte el procedimiento

anterior "Creación de una clave de cifrado".

Ejecutar el servicio como Especifique la cuenta que desea ejecutar en

el servicio PES. Puede especificar una de las

siguientes cuentas:

La cuenta del sistema local

Una cuenta de usuario especificada

Nota

Si prevé ejecutar el servicio PES

como una cuenta de usuario

autenticado, especifique la

cuenta en el formato domain\

nombre_usuario.

Resumen Haga clic en Finalizar para completar la

instalación del servicio PES.

Nota Configuración del servicio PES en el dominio de origen

72


Nota

Para utilizar la migración de

contraseñas de ADMT, debe

reiniciar el servidor donde ha

instalado el servicio PES.

3. Tras completar la instalación, reinicie el controlador de dominio.

4. Una vez reiniciado el controlador de dominio, para iniciar el servicio PES, elija Inicio,

Todos los programas, Herramientas administrativas y, a continuación, en Servicios.

5. En el panel de detalles, haga clic con el botón secundario en Servicio de servidor de

exportación de contraseñas y, a continuación, haga clic en Inicio.

Nota

Ejecute el servicio PES sólo cuando migre contraseñas. Detenga el servicio PES

después de completar la migración de contraseñas.

Inicialización de ADMT ejecutando una migración de prueba


Inicie la Herramienta de migración para Active Directory (ADMT) ejecutando una migración de

prueba de un grupo global y seleccione la opción denominada Migrar los identificadores de

seguridad (SID) de grupos hacia el dominio de destino. Para migrar el historial de

identificadores de seguridad (SID), debe completar las tareas de preparación que se describen

en Configuración de los dominios de origen y destino para la migración del historial de SID. Si

anteriormente no configuró los dominios de origen y de destino para migrar el SID History, ADMT

se los pide y proporciona una opción para que las siguientes tareas se completen

automáticamente.

Crea un grupo local, dominio_origen$$$, en el dominio de origen, que se utiliza para auditar

las operaciones del historial de SID. No agregue miembros a este grupo; de lo contrario, se

producirá un error en la migración del historial de SID.

Si el dominio de origen es Windows 2000 y está utilizando ADMT 3.1, la compatibilidad con

clientes TCP/IP en el controlador de dominio principal (PDC) del dominio de origen se

habilita configurando el valor de la entrada del Registro TcpipClientSupport en 1. Esta

entrada se encuentra en la siguiente subclave:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

73

El establecimiento de TcpipClientSupport en 1 habilita las llamadas a procedimiento remoto

(RPC) sobre el transporte TCP, mientras se conserva la seguridad del sistema.

Esto no es necesario en los dominios que tengan controladores de dominio que ejecuten

Windows Server 2003 o posterior.

Habilita las directivas de auditoria en los dominios de origen y de destino.

ADMT no habilita automáticamente la auditoría del acceso al servicio de directorio,

que es necesario para migrar el SID History a o desde un dominio que tiene

controladores de dominio que ejecutan Windows Server 2008 o Windows

Server 2008 R2.

Utilice el siguiente procedimiento para inicializar ADMT.

1. En la consola de ADMT, utilice el Asistente para migración de cuentas de grupo

completando los pasos de la tabla siguiente. Acepte la configuración predeterminada si

no se especifica información alguna.


Selección de dominio En la opción Origen de la lista

desplegable Dominio, escriba o

seleccione el nombre de DNS (Sistema de

nombres de dominio) o NetBIOS del

dominio de origen. En la lista desplegable

Controlador de dominio, escriba o

seleccione el nombre del controlador de

dominio o seleccione Cualquier

controlador de dominio.

En la opción Destino de la lista


seleccione el nombre de DNS o NetBIOS

del dominio de destino. En la lista

desplegable Controlador de dominio,

escriba o seleccione el nombre del

controlador de dominio o seleccione

Cualquier controlador de dominio y, a

continuación, haga clic en Siguiente.

Selección de grupo Haga clic en Seleccionar grupos desde

dominio y, a continuación, haga clic en

Siguiente. En la página Selección de

grupo, haga clic en Agregar para

seleccionar los grupos del dominio de

origen que desea migrar, haga clic en

Advertencia Para inicializar ADMT ejecutando una migración de prueba de un grupo global

74


Aceptar y, a continuación, haga clic en

Siguiente.

O bien

Haga clic en Leer objetos de un archivo

de inclusión y, a continuación, haga clic

en Siguiente. Especifique la ubicación del

archivo de inclusión y, a continuación,

haga clic en Siguiente.

Selección de Unidad organizativa Escriba el nombre de la unidad

organizativa o haga clic en Examinar.

En el cuadro de diálogo Buscar un

contenedor, busque el contenedor del

dominio de destino al que desea mover

los grupos globales y, a continuación,

haga clic en Aceptar.

Opciones de grupo Active la casilla de verificación Migrar SID

de grupo al dominio de destino.

Asegúrese de que no están seleccionadas

todas las opciones.

Cuenta de usuario Escriba el nombre de usuario, contraseña

y el dominio de una cuenta que tenga

derechos administrativos en el dominio de

origen.

Gestión de conflictos Haga clic en No migrar el objeto de

origen si se detecta un conflicto en el

dominio de destino.

2. Cuando el asistente haya terminado de ejecutarse, haga clic en Ver registro y, a

continuación, revise si hay errores en el registro de migración.

Identificación de cuentas de servicios para la migración


75

En este tema se explica como identificar las cuentas de servicio que se migrarán con la

Herramienta de migración Active Directory (ADMT) al dominio de destino. Una cuenta de servicio

es una cuenta de usuario que proporciona un contexto de seguridad para las aplicaciones y que

otorga permiso para iniciar sesión como un servicio.

ADMT no migra servicios que se ejecutan en el contexto de la cuenta del sistema local, porque

se migran con el equipo. No obstante, los servicios que se ejecutan en el contexto de una cuenta

de usuario se deben actualizar en el equipo después de haber completado el proceso de

migración de cuentas. ADMT tampoco migra las cuentas de servicio local o servicio de red

porque son cuentas conocidas que siempre existen en los dominios.

Identificación de las cuentas de servicioEl proceso de identificación, migración y actualización de servicios que se ejecutan en el

contexto de las cuentas de usuario implica tres pasos. En primer lugar, el administrador inicia

ADMT desde el dominio de destino de Active Directory y ejecuta el Asistente para migración de

cuentas de servicio. En segundo lugar, el Asistente para migración de cuentas de servicios envía

un agente al equipo especificado e identifica (pero no migra) todos los servicios del equipo que

se ejecutan en el contexto de una cuenta de usuario. En tercer lugar, que puede producirse

posteriormente en el proceso de migración, las cuentas se migran cuando otras cuentas de

usuario se migran con el Asistente para migración de cuentas de usuario.

El Asistente para migración de cuentas de servicios busca servicios configurados para utilizar

una cuenta de dominio para la autenticación en una lista de servidores definida por el

administrador. Las cuentas se marcan entonces como cuentas de servicios en la base de datos

de ADMT. La contraseña nunca se migra al mismo tiempo que la cuenta de servicios. En su

lugar, ADMT utiliza una representación de texto no cifrado de la contraseña para configurar los

servicios tras la migración de las cuentas de servicios. A continuación, se almacena una versión

cifrada de la contraseña en el archivo password.txt de la carpeta de instalación de ADMT.

Un administrador de una estación de trabajo o servidor puede instalar cualquier servicio y

configurar el servicio con cualquier cuenta de dominio. Si un usuario malintencionado que posee

privilegios de administrador configura un servicio para autenticarse con una contraseña que no

es correcta (por ejemplo, una que no cumple los requisitos de complejidad), el servicio no se

inicia. Una vez migrada la cuenta de servicio, ADMT configura el servicio en la estación de

trabajo o el servidor para utilizar la nueva contraseña y así el servicio se inicia con la cuenta de

usuario del dominio de destino.

Por lo tanto, sólo debe incluir en el Asistente para migración de cuentas de servicio los

servidores que administren los administradores de confianza. No utilice el asistente para detectar

las cuentas de servicio en equipos que los administradores de confianza no administran, como

las estaciones de trabajo.

Distribuya agentes en todos los servidores que administren los administradores de confianza en

el dominio para garantizar que no olvida ninguna cuenta de servicio. Si pierde una cuenta de

servicio que comparte una cuenta con un servicio que ya se ha migrado, ADMT no puede

sincronizar las cuentas de servicio. Debe cambiar manualmente la contraseña de la cuenta de

76

servicio y, a continuación, restablecer la contraseña de la cuenta de servicio en cada servidor

que ejecute ese servicio.

Cuando las cuentas que el Asistente para migración de cuentas de servicios identifica en la base

de datos de ADMT como en ejecución en el contexto de una cuenta de usuario se migran al

dominio de destino, ADMT otorga a cada cuenta el derecho de iniciar sesión como servicio. Si a

la cuenta de servicio se asignan derechos por medio de su pertenencia a un grupo, el Asistente

para conversión de seguridad actualiza la cuenta para asignar dichos derechos. Para obtener

más información sobre la ejecución del Asistente para conversión de seguridad, consulte

Transición de cuentas de servicio en su migración, más adelante en esta guía.

Puede identificar las cuentas de servicio mediante el complemento de ADMT, la opción de línea

de comandos de ADMT o una secuencia de comandos.

1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la

cuenta de migración de cuentas ADMT.

2. En el complemento de ADMT, haga clic en Acción y, a continuación, haga clic en

Asistente para migración de cuentas de servicios.

3. Complete el Asistente para migración de cuentas de servicios con la información que se

proporciona en la tabla siguiente.




















Actualizar información Haga clic en Sí, actualizar la

información.

Identificación de cuentas de servicio mediante el complemento de ADMT

77


Opción de selección de equipos Haga clic en Seleccionar equipos desde



cuentas de servicio, haga clic en

Agregar para seleccionar las cuentas del

dominio de origen que desea migrar, haga

clic en Aceptar y, a continuación, en

Siguiente.

O bien

Haga clic en Leer objeto de un archivo

de inclusión y, a continuación, en

Siguiente. Escriba la ubicación del

archivo de inclusión y haga clic en

Siguiente.

Diálogo de agente En Acciones de agente seleccione

Ejecutar comprobación previa y

operación de agente y, a continuación,

haga clic en Inicio. Aparecerá un mensaje

en Resumen de agente cuando se

completen las operaciones de agente.

Una vez finalizadas las operaciones de

agente, haga clic en Cerrar.

Información de cuentas de servicios Seleccione cualquier cuenta de usuario

que no tenga que estar marcada como

cuenta de servicio en la base de datos de

ADMT y, a continuación, haga clic en

Omitir/Incluir para marcar las cuentas

como Omitir.

Finalización del Asistente para

migración de cuentas de servicios

Revise sus selecciones y, a continuación,

haga clic en Finalizar.

El asistente se conecta a los equipos seleccionados y, a continuación, envía un agente para

comprobar cada servicio en los equipos remotos. La página Información de cuentas de servicios

muestra los servicios que se ejecutan en el contexto de una cuenta de usuario y el nombre de

dicha cuenta de usuario. ADMT indica en su base de datos que estas cuentas de usuario se

tienen que migrar como cuentas de servicio. Si no desea migrar una cuenta de usuario como

cuenta de servicio, seleccione la cuenta y, a continuación, haga clic en Omitir/Incluir para

cambiar el estado de Incluir a Omitir.

Utiliza Actualizar SCM para actualizar el Administrador de control de servicios con la nueva

información. A menos que se produzca un error de acceso a un equipo para actualizar el servicio,

78

el botón Actualizar SCM no está disponible. Si tiene problemas al actualizar una cuenta de

servicio una vez identificada y migrada la cuenta, asegúrese de que el equipo al que intenta

tener acceso está disponible y, a continuación, reinicie el Asistente para migración de cuentas de

servicios.

En el asistente, haga clic en Actualizar SCM para intentar actualizar el servicio. Si ya ha

ejecutado el Asistente para migración de cuentas de servicios anteriormente y el botón

Actualizar SCM no está disponible, examine los archivos de registro de ADMT para determinar

la causa del problema. Una vez corregido el problema y cuando el agente se pueda conectar

correctamente, el botón Actualizar SCM estará disponible.



2. En la línea de comandos, escriba el siguiente comando y, a continuación, presione

ENTRAR:

ADMT SERVICE /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:" <dominio_origen>"

/TD:" <dominio_destino>"

Donde <nombre_equipo1> y <nombre_equipo2> son nombres de equipos del dominio de

origen que ejecutan cuentas de servicio.

Como alternativa, puede incluir parámetros en un archivo de opción que se especifique

en la línea de comandos como se muestra a continuación:

ADMT SERVICE /N "<nombre_equipo1>" "<nombre_equipo2>" /O:" <archivo_opción>.txt"

La siguiente tabla enumera los parámetros comunes que se utilizan para la identificación

de cuentas de servicio, junto con el parámetro de línea de comandos y los equivalentes

de archivo de opciones.

Valores Sintaxis de línea de

comandos

Sintaxis del archivo de opciones

<Dominio de

origen>

/SD:"dominio_origen" SourceDomain="dominio_origen"

<Dominio de

destino>

/TD:"dominio_destino" TargetDomain="dominio_destino"

3. Revise si hay errores en los resultados que se muestran en la pantalla.

Cree una secuencia de comandos que incorpore los comandos de ADMT y las opciones

para la identificación de cuentas de servicio utilizando la siguiente secuencia de

comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el

archivo con la extensión .wsf en la misma carpeta que el archivo AdmtConstants.vbs.

Identificación de cuentas de servicio mediante la opción de línea de comandos de ADMT

Identificación de cuentas de servicio mediante una secuencia de comandos

79

<Job id="IdentifyingServiceAccounts" >

<Script language="VBScript" src="AdmtConstants.vbs" />

<Script language="VBScript" >

Option Explicit

Dim objMigration

Dim objServiceAccountEnumeration

'

'Crear instancia de objetos de migración de ADMT.

'

Set objMigration = CreateObject("ADMT.Migration" )

Set objServiceAccountEnumeration = _

objMigration.CreateServiceAccountEnumeration

'

'Especificar opciones de migración generales.

'

objMigration.SourceDomain = "dominio de origen"

'

'Enumerar cuentas de servicio en equipos especificados.

'

objServiceAccountEnumeration.Enumerate admtData, _

Array("nombre de equipo1" ,"nombre de equipo2" )

Set objServiceAccountEnumeration = Nothing

Set objMigration = Nothing

</Script>

</Job>

80



El proceso de migración de objetos de cuenta de un dominio de origen a uno de destino en otro

bosque de Active Directory implica en primer lugar la migración de cuentas de servicio y, a

continuación, la migración de los grupos globales. Una vez que los grupos estén en su lugar en

el dominio de destino, puede migrar usuarios según el proceso que haya seleccionado, ya sea

usando el historial de identificadores de seguridad (SID) para el acceso a los recursos o sin usar

el historial de SID para el acceso a los recursos. Cuando el proceso de migración de objetos de

cuenta haya terminado, puede instruir a los usuarios del dominio de origen que inicien sesión en

el dominio de destino. La siguiente ilustración muestra el proceso de migración de cuentas entre

dominios en diferentes bosques.

Transición de cuentas de servicio en su migración


Para comenzar el proceso de migración de objetos, migre las cuentas de servicio que se

ejecutan como controladores de dominio. Para obtener más información sobre la identificación

de cuentas de servicio para la migración, consulte Transición de cuentas de servicio en su

81

migración. Este tema no se aplica a las cuentas de servicio administradas. Las cuentas de

servicio administradas se pueden migrar con el Asistente para migración de cuentas de servicio

administradas y el Asistente para migración de equipos.

Para realizar la transición de cuentas de servicio, utilice la Herramienta de migración para

Active Directory (ADMT) para completar las tareas siguientes:

Migre las cuentas de servicio desde el dominio de origen al dominio de destino.

Modifique los servicios de cada servidor en el dominio de origen de manera que los servicios

utilicen la cuenta de servicio en el dominio de destino en lugar de en el dominio de origen.

Puede realizar la transición de cuentas de servicio mediante el complemento de ADMT, la opción

de línea de comandos de ADMT o una secuencia de comandos.



2. En el complemento de ADMT, haga clic en Acción y, a continuación, haga clic en

Asistente para migración de cuentas de usuario.

3. Complete el Asistente para migración de cuentas de usuarios con la información que se

proporciona en la tabla siguiente.


Selección de dominio En la opción Origen de la lista desplegable

Dominio, escriba o seleccione el nombre de

DNS (Sistema de nombres de dominio) o

NetBIOS del dominio de origen. En la lista




Cualquier controlador de dominio.

En la opción Destino de la lista desplegable

Dominio, escriba o seleccione el nombre de

DNS o NetBIOS del dominio de destino. En

la lista desplegable Controlador de

dominio, escriba o seleccione el nombre

del controlador de dominio o seleccione



Selección de usuario Haga clic en Seleccionar usuarios desde



usuario, haga clic en Agregar para

seleccionar las cuentas del dominio de

Transición de cuentas de servicio mediante el complemento de ADMT

82



Aceptar y, a continuación, en Siguiente.

O bien

Haga clic en Leer objeto de un archivo de

inclusión y, a continuación, en Siguiente.

Escriba la ubicación del archivo de inclusión

y haga clic en Siguiente.

Selección de Unidad organizativa Haga clic en Examinar.

En Buscar un contenedor, busque el

dominio de origen, seleccione el contenedor

para las cuentas de servicio y, a

continuación, haga clic en Aceptar.

Opciones de contraseña Haga clic en Generar contraseñas

complejas.

Nota

Si realiza una transición de

cuentas de servicio mediante el

Asistente para migración de

cuentas de usuario, se generará

automáticamente una

contraseña compleja,

independientemente de la

opción seleccionada en la

página de este asistente.

Incluso si se ha seleccionado

No actualizar contraseñas de

usuarios existentes, se

generará una contraseña

compleja.

Opciones de transición de cuenta Haga clic en Habilitar cuentas de destino.

Active la casilla de verificación Migrar SID

de usuario para el dominio de destino.

Cuenta de usuario Escriba el nombre de usuario, la contraseña

y el dominio de una cuenta de usuario que

tenga credenciales administrativas.

Opciones de usuario Active la casilla de verificación Actualizar

derechos de usuario.

83


Asegúrese de que no ha seleccionado otra

configuración, incluida Migrar grupos de

usuario asociados.

Gestión de conflictos Haga clic en No migrar el objeto de origen

si se detecta un conflicto en el dominio

de destino.

Información de cuentas de servicios Haga clic en Migrar todas las cuentas de

servicio y actualizar SCM de los

elementos marcados para incluir. Si

también migra otras cuentas de usuario que

no son cuentas de servicio, esta página del

asistente le indica que ha seleccionado

algunas cuentas marcadas como cuentas

de servicio en la base de datos de ADMT.

De forma predeterminada, las cuentas se

marcan como Incluir. Para cambiar el estado

de la cuenta, selecciónela y haga clic en

Omitir/Incluir.

Haga clic en Siguiente para migrar las

cuentas.

4. Cuando haya finalizado la ejecución del asistente, haga clic en Ver registro y revise si

hay errores en el registro de migración.

5. Inicie Usuarios y equipos de Active Directory, desplácese a la unidad organizativa que ha

creado para las cuentas de servicio y, a continuación, compruebe que las cuentas de

servicio existen en la unidad organizativa del dominio de destino.

6. Confirme que cada aplicación para la que la cuenta de servicio se reubicó continúa

funcionando correctamente.




ENTRAR:

ADMT USER /N "<nombre_servidor1>" "<nombre_servidor2>" /SD:" <dominio_origen>"

/TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /MSS:YES

Donde Nombre_servidor1 y Nombre_servidor2 son los nombres de servidores del

dominio de origen que ejecutan cuentas de servicio. Como alternativa, puede incluir

parámetros en un archivo de opción que se especifica en la línea de comandos, de la

Transición de cuentas de servicio mediante la opción de línea de comandos de ADMT

84

manera siguiente:

ADMT USER /N "<nombre_servidor1>" "<nombre_servidor2>" /O: "<archivo_opción>.txt"

La siguiente tabla enumera los parámetros comunes que se utilizan para la transición de

cuentas de servicios, junto con el parámetro de línea de comandos y los equivalentes de

archivo de opciones.

Parámetros Sintaxis de línea de comandos Sintaxis del archivo de opciones

<Dominio

de origen>


<Dominio

de destino>


Ubicación

de la

<Unidad

organizativa

de destino>

/

TO:"unidad_organizativa_destino

"

TargetOU="unidad_organizativa_desti

no"

Deshabilitar

cuentas

/DOT:ENABLETARGET (valor

predeterminado)

DisableOption=ENABLETARGET (valor

predeterminado)

Migrar

contraseña

/PO:COMPLEX (valor

predeterminado)

PasswordOption=COMPLEX

Migrar los

SID de

usuario =

YES

/MSS:YES MigrateSIDs=YES

Actualizar

derechos de

usuario=YE

S

/UUR:YES UpdateUserRights=YES

Gestión de

conflictos

/CO:IGNORE (valor

predeterminado)

ConflictOptions=IGNORE (valor

predeterminado)


4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa de la cuenta

de servicio de destino. Compruebe que las cuentas de servicio existen en la unidad

organizativa del dominio de destino.

Prepare una secuencia de comandos que incorpore los comandos de ADMT y las

opciones para la transición de cuentas de servicio utilizando la siguiente secuencia de

Transición de cuentas de servicio mediante una secuencia de comandos

85



<Job id=" TransitioningServiceAccountsBetweenForests" >

<Script language=" VBScript" src="AdmtConstants.vbs" />


Option Explicit

Dim objMigration

Dim objUserMigration

'


'


Set objUserMigration = objMigration.CreateUserMigration

'


'


objMigration.SourceOu = "contenedor de origen"

objMigration.TargetDomain = "dominio de destino"

objMigration.TargetOu = "contenedor de destino"

objMigration.ConflictOptions = admtIgnoreConflicting

'

'Especificar opciones específicas de migración del usuario.

'

objUserMigration.MigrateSIDs = True

objUserMigration.UpdateUserRights = True

objUserMigration.MigrateServiceAccounts = True

86

'

'Migrar cuentas de servicio especificadas.

'

objUserMigration.Migrate admtData, _

Array("nombre de cuenta de servicio1", "nombre de cuenta de servicio2")

Set objUserMigration = Nothing


</Script>

</Job>

Migración de grupos globales


Para conservar la pertenencia a los grupos globales, debe migrar los grupos globales antes de

migrar usuarios.

No migre grupos globales durante las horas punta de trabajo. El proceso de migración de

los grupos globales puede consumir una gran cantidad de recursos de red y de recursos

del controlador de dominio del dominio de destino.

La migración de los grupos globales implica la realización de los pasos siguientes:

1. El administrador selecciona los objetos de los grupos globales en el dominio de origen.

2. Se crea un nuevo objeto del grupo global en el dominio de destino y se crea un nuevo

identificador de seguridad (SID) principal para el objeto en el dominio de destino.

3. Para conservar el acceso a los recursos, la Herramienta de migración para Active Directory

(ADMT) agrega el SID al grupo global del dominio de origen al atributo del historial de SID

del nuevo grupo global del dominio de destino.

Después de la migración, los eventos se registran tanto en el dominio de origen como en el de

destino.

Si el proceso de migración de cuenta de usuario tiene lugar en un período de tiempo

prolongado, puede tener que repetir la migración de los grupos globales desde el

dominio de origen al de destino. El objetivo es propagar los cambios de la pertenencia

que se han realizado en el dominio de origen antes de que se complete el proceso de

migración. Para obtener más información sobre cómo repetir la migración de grupos

Nota Nota

87

globales, consulte Repetición de la migración de todos los grupos globales después de

migrar todos los lotes, más adelante en esta guía.

Puede migrar grupos globales usando el complemento de ADMT, la opción de línea de

comandos ADMT o secuencia de comandos.



2. Utilice el Asistente para migración de cuentas de grupo realizando los pasos de la tabla

siguiente.



























Siguiente.

O bien



Para migrar grupos globales usando el complemento de ADMT

88




Siguiente.








Opciones de grupo Haga clic en Migrar SID de grupo al

dominio de destino.


todas las opciones.




origen.



dominio de destino.



4. Abra el complemento Usuarios y equipos de Active Directory y, a continuación, localice la

unidad organizativa del dominio de destino. Compruebe que los grupos globales existen

en la unidad organizativa del dominio de destino.



2. En la línea de comandos, escriba el comando ADMT GROUP con los parámetros

apropiados y, a continuación, presione ENTRAR:

ADMT GROUP /N "<nombre_grupo1>" "<nombre_grupo2>" /SD:" <dominio_origen>" /TD:"

<dominio de destino>" /TO:" <unidad organizativa de destino>" /MSS:YES

Como alternativa, puede incluir parámetros en un archivo de opción que se especifica en

la línea de comandos como se muestra a continuación:

ADMT GROUP /N "<nombre_grupo1>" "<nombre_grupo2>" /O: "<archivo_opción>.txt"

Para migrar grupos globales usando la opción de línea de comandos de ADMT

89

En la tabla siguiente se muestran los parámetros comunes que se utilizan para migrar

grupos globales, junto con los parámetros de línea de comandos y los equivalentes del



<Dominio

de origen>


Ubicación

de la

<Unidad

organizativ

a de

origen>

/

SO:"unidad_organizativa_origen"

SourceOU="unidad_organizativa_origen

"

<Dominio

de

destino>


Ubicación

de la

<Unidad

organizativ

a de

destino>

/


"

TargetOU="unidad_organizativa_destin

o"

Migrar SID

de GG


Gestión de

conflictos

/CO:IGNORE (valor

predeterminado)

ConflictOptions=IGNORE


4. Abra el complemento Usuarios y equipos de Active Directory y, a continuación, localice la

unidad organizativa del dominio de destino. Compruebe que los grupos globales existen

en la unidad organizativa del dominio de destino.

Prepare una secuencia de comandos que incorpore las opciones y comandos de ADMT

para migrar grupos globales utilizando la siguiente secuencia de comandos de muestra.

Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la

extensión .wsf en la misma carpeta que el archivo AdmtConstants.vbs.

<Job id=" MigratingGlobalGroupsBetweenForests" >


Para migrar grupos globales usando un script

90


Option Explicit

Dim objMigration

Dim objGroupMigration

'


'


Set objGroupMigration = objMigration.CreateGroupMigration

'


'





'

'Especificar opciones específicas de migración de grupo.

'

objGroupMigration.MigrateSIDs = True

'

'Migrar objetos de grupo especificados.

'

objGroupMigration.Migrate admtData, Array("nombre de grupo1" ,"nombre de

grupo2" )

91

Set objGroupMigration = Nothing


</Script>

</Job>

Migración de cuentas mientras utiliza el historial de SID


Para migrar cuentas mientras utiliza el historial de identificadores de seguridad (SID), primero

migre todas las cuentas de usuario (pero no las active en el dominio de destino) para rellenar el

dominio de destino y permitir la migración de perfiles de usuario. Una vez se hayan migrado

todas las cuentas de usuario correctamente, inicie la migración de usuarios en lotes, empezando

por la migración del perfil de usuario, la estación de trabajo y, a continuación, la cuenta de

usuario. Antes de migrar todas las cuentas de usuarios, asegúrese de que ha creado cuentas de

prueba que pueda incluir en cada lote para comprobar el éxito de la migración para dicho lote.

No puede migrar cada propiedad de usuario al migrar cuentas de usuario. Por ejemplo, el

contenido de Almacenamiento protegido (Pstore) para las estaciones de trabajo de

Windows NT 4.0, incluidas las claves privadas de Sistema de cifrado de archivos (EFS), no se

migra con la Herramienta de migración para Active Directory (ADMT) al migrar cuentas de

usuarios. Para migrar el contenido de Pstore, debe exportar e importar claves durante el proceso

de migración.

Para clientes con Windows 2000 Server o posterior, los datos protegidos por la API de protección

de datos (DPAPI) tampoco se migran. DPAPI ayuda a proteger los siguientes elementos:

Los credenciales de página Web (por ejemplo, contraseñas)

Credenciales de recurso compartido de archivo

Las claves privadas asociadas con EFS, Extensiones seguras multipropósito al correo de

Internet (S/MIME) y otros certificados

Los datos de programa protegidos mediante la función CryptProtectData()

Por este motivo, es importante para comprobar las migraciones de usuarios. Utilice su cuenta de

migración de prueba para identificar cualquier propiedad que no se haya migrado y actualice las

configuraciones en el dominio de destino consecuentemente.

Complete los siguientes pasos para migrar las cuentas de usuario al dominio de destino:

1. Migre las cuentas de servicio administradas. Las cuentas de servicio administradas deben

migrarse antes de los equipos.

92

2. Migre todas las cuentas de usuario con la cuenta activada en el dominio de origen,

desactivada en el dominio de destino, con una contraseña compleja seleccionada y sin

atributos migrados.

3. Convierta los perfiles locales de usuario para un lote de usuarios

4. Migre las estaciones de trabajo en lotes que correspondan a los lotes de cuentas de usuario.

5. Antes de migrar el lote de cuentas de usuarios, compruebe que la migración de la estación

de trabajo y el perfil local se ha realizado correctamente para todos los usuarios del lote. No

migre cualquier cuenta de usuario cuya migración de estación de trabajo o perfil haya dado

error. Esto hará que los usuarios sobrescriban sus perfiles existentes cuando inicien sesión


6. Vuelva a migrar las cuentas de usuario de los lotes con la cuenta definida con un período de

caducidad de siete días en el dominio de origen, la cuenta de destino desactivada, con una

migración de contraseña seleccionada y con todos los atributos migrados.

7. Después de cada lote, vuelva a migrar todos los grupos para actualizar cualquier cambio de

pertenencia a grupos.

8. Notifique a los usuarios del lote para que inicien sesión en el nuevo dominio.

9. Una vez migrados todos los usuarios, ejecute una migración final de grupo global para

actualizar cualquier cambio de pertenencia a grupos.

La migración de cuentas de usuario en lotes le ayuda a realizar un seguimiento de las cuentas

que se hayan migrado y comprobar el éxito de cada paso de migración. Si la estructura de la

unidad organizativa para el dominio de destino es la misma que la estructura de unidad

organizativa para el dominio de origen, migre los grupos de usuarios basados en unidad

organizativa. Si las estructuras de unidad organizativa no son las mismas, seleccione una forma

alternativa para agrupar a los usuarios en base a la estructura de su organización. Por ejemplo,

puede migrar usuarios por unidades de negocio o por planta para permitirle consolidar los

recursos de servicio de asistencia.

Si planifica retener su estructura de unidad organizativa de dominio de origen, migre las

unidades organizativas junto con los usuarios que contenían. Por ejemplo, si su dominio de

origen es un entorno Active Directory de Windows Server 2003 que tiene una estructura de

unidad organizativa funcional y el dominio de destino no tiene una estructura de unidad

organizativa, migre las unidades organizativas del dominio de origen.

Si ha creado una nueva estructura de unidad organizativa en el dominio de destino, migre los

lotes de usuarios sin las unidades organizativas. Por ejemplo, si su entorno de origen era un

dominio de Windows NT 4.0 que actualizó a un dominio de Windows Server 2003, es posible que

el dominio de origen no tuviese una estructura de unidad organizativa existente; por

consiguiente, puede migrar los usuarios sin migrar las unidades organizativas.

Para obtener más información acerca de cómo crear una estructura de unidad organizativa,

consulte "Designing Organizational Units for Delegation of Administration"


Hasta que migre todos los usuarios y cuentas de grupos, continúe administrando la pertenencia

a grupos globales en el dominio de origen. Para admitir una estrategia de reversión, sincronice

93


de forma manual cualquier cambio que realice a los usuarios del dominio de destino con las

cuentas del usuario existente en el dominio de origen. Para obtener más información sobre la

administración de los usuarios y grupos durante el proceso de reestructuración entre distintos

bosques, consulte Administración de usuarios, grupos y perfiles de usuario, expuesto

anteriormente en esta guía.

Si migra unidades organizativas durante la migración de cuentas de usuario, se migran los

grupos que pertenecen a dichas unidades organizativas a la unidad organizativa del dominio de

destino durante el proceso de migración de cuentas de usuario. Cuando migre grupos globales

mediante el proceso de migración de grupos globales, estos se colocan en la unidad organizativa

de destino del dominio de destino. Si migra unidades organizativas desde el dominio de origen al

de destino, seleccione la opción para mover los grupos globales al dominio de destino al mismo

tiempo. De esta forma, los grupos se mueven de la unidad organizativa de destino en la que se

colocaron durante la migración inicial de grupos globales a la unidad organizativa a la que

pertenecen.

Al utilizar ADMT para migrar las cuentas de usuarios se conservan las pertenencias a los grupos.

Dado que los grupos globales pueden contener sólo miembros del dominio en el que se sitúe el

grupo, cuando los usuarios se migran a un nuevo dominio, las cuentas de usuario del dominio de

destino no pueden ser miembro de los grupos globales del dominio de origen. Como parte del

proceso de migración, ADMT identifica los grupos globales del dominio de origen al que

pertenecen las cuentas de usuario y, a continuación, determina si los grupos globales se han

migrado. Si ADMT identifica los grupos globales del dominio de destino al que pertenecían los

usuarios migrados del dominio de destino, la herramienta agrega los usuarios a los grupos

globales apropiados del dominio de destino.

Al utilizar ADMT para migrar las cuentas de usuarios también se conservan las contraseñas de

usuario. Una vez migradas las cuentas de usuario y activadas en el dominio de destino, los

usuarios pueden iniciar sesión en el dominio de destino utilizando las contraseñas originales.

Tras iniciar sesión, se pide a los usuarios que cambien la contraseña.

Si el proceso de migración de la cuenta de usuario se realiza correctamente, pero se produce un

error en el proceso de migración de la contraseña, ADMT crea una nueva contraseña compleja

para la cuenta de usuario en el dominio de destino. De forma predeterminada, ADMT almacena

las nuevas contraseñas complejas en el archivo C:\Archivos de programa\Herramienta de

migración para Active Directory\Registros\Password.txt.

Si tiene una configuración de directiva de grupo en el dominio de destino que no permite

contraseñas en blanco (la configuración Directiva predeterminada de dominio/Configuración

del equipo/Configuración de seguridad/Directivas de cuenta/Directiva de

contraseñas/Longitud mínima de contraseña se define como cualquier número distinto de

cero), la migración de contraseñas no se producirá para cualquier usuario que tenga una

contraseña en blanco. ADMT genera una contraseña compleja para ese usuario y escribe un

error en el registro de errores.

Establezca un método para notificar a los usuarios quién tiene contraseñas nuevas asignadas.

Por ejemplo, puede crear una secuencia de comandos para enviar un mensaje de correo

electrónico a los usuarios para notificarles las nuevas contraseñas.

94

La siguiente ilustración muestra los pasos que implica la migración de cuentas si utiliza el

historial de SID para el acceso a los recursos.

Migración de cuentas de servicio administradas

Una cuenta de servicio administrada es un objeto de cuenta de dominio que está disponible en el

esquema de Active Directory Windows Server 2008 R2. Una cuenta de servicio administrada

puede instalarse en equipos que ejecutan Windows 7 o Windows Server 2008 R2. Las cuentas

de servicio administradas sólo se pueden migrar con ADMT v3.2.

El proceso para identificar y migrar cuentas de servicio administradas mediante ADMT v3.2

consta de dos pasos:

1. Utilice el Asistente para migración de cuentas de servicio administradas o la herramienta de

línea de comandos admt managedserviceaccount para migrar objetos de cuenta de

servicio administrada al dominio de destino como se explica en este tema.

95

2. Utilice el Asistente para migración de equipos o la herramienta de línea de comandos admt

computer para migrar los equipos que hospedan las cuentas de servicio administradas.

Para obtener más información acerca de la migración de los equipos como parte de una

migración entre bosques, consulte Repetición de la migración de las cuentas de usuario y

migración de las estaciones de trabajo en lotes. Para obtener más información acerca de la

migración de los equipos como parte de una migración dentro del mismo bosque, consulte

Migración de estaciones de trabajo y servidores miembro.

Las cuentas de servicio administradas que se migraron en el paso anterior y que estaban

instaladas originalmente en los equipos migrados se identifican durante la migración del

equipo. Cuando la migración del equipo haya finalizado, las cuentas de servicio

administradas vuelven a instalarse en el equipo en el dominio de destino (a menos que

solicite ignorarlas). Si ha ejecutado la conversión de seguridad en los servidores miembro

que tienen recursos que conceden permisos a las cuentas de servicio administradas, las

cuentas tienen los mismos permisos para el acceso a los recursos en el dominio de destino

que los que tenían en el dominio de origen.

Si migra cuentas de servicio administradas entre dominios dentro del mismo bosque,

ejecute la conversión de seguridad en los servidores miembro del dominio de origen

que tengan recursos que concedan permisos a las cuentas de servicio

administradas. La conversión de seguridad no suele ser necesaria durante una

migración interna del bosque porque se ha movido un SID con una cuenta. No

obstante, las cuentas de servicio administradas que se migran entre dominios en el

mismo bosque se copian. Se crea una nueva cuenta en el dominio de destino y las

propiedades de la cuenta (excepto SID) se copian desde el dominio de origen. Por

tanto, será necesario ejecutar la conversión de seguridad.

Si los recursos del dominio de origen que conceden permisos a las cuentas de

servicio administradas se hospedan en el mismo equipo que la cuenta de servicio

administrada, debería seleccionar la conversión de seguridad en los recursos

adecuados (Archivos y carpetas, Grupos locales y así sucesivamente) en la página

Convertir objetos del Asistente para la migración de equipos. Si los recursos están

en otros equipos que no se están migrando, tendrá que ejecutar el Asistente para

conversión de seguridad en esos equipos y, en la página Opciones de conversión de

seguridad, seleccione Objetos previamente migrados o proporcione expresamente

las cuentas de servicio administradas en un archivo de asignación de SID. Para

obtener más información acerca de la conversión de seguridad, consulte Conversión

de seguridad en los servidores miembro.



2. En el complemento ADMT, haga clic en Acción y, a continuación, en Asistente para

migración de cuentas de servicio administradas.

3. Complete el Asistente para migración de cuentas de servicio administradas con la

Importante Migración de cuentas de servicio administradas con el complemento ADMT

96

información que se proporciona en la tabla siguiente.




















Opción de selección de cuenta de

servicio administrada

Haga clic en Seleccionar cuentas de

servicio administradas del dominio

para migrar las cuentas de servicio

administradas del dominio mediante el

cuadro de diálogo de selección de objetos

o un archivo de inclusión. Esta es la mejor

opción si se desea migrar todas las

cuentas de servicio administradas desde

el dominio de origen.

O bien

Haga clic en Proporcionar equipos para

consultar las cuentas de servicio

administradas instaladas y, a

continuación, haga clic en Siguiente. En

la página Selección de cuentas de

servicio administradas, haga clic en

Agregar para seleccionar las cuentas de

equipo del dominio de origen que desea

consultar para conocer las cuentas de


97



Se prefiere esta opción si se desea migrar

sólo cuentas de servicio administradas

que se han instalado en equipos

específicos. Cada equipo que proporciona

puede tener varias cuentas de servicio

administradas instaladas.

Puede elegir una combinación de estas

opciones yendo y viniendo en el asistente.

Por ejemplo, puede proporcionar los

equipos que se van a consultar y agregar

las cuentas de servicio administradas que

están instaladas en esos equipos a la lista

de cuentas que se van a migrar. A

continuación, puede hacer clic en Atrás

en el asistente para volver a esta página y

seleccionar cuentas de servicio

administradas adicionales del dominio o

de un archivo de inclusión.



Esta página sólo aparece si las cuentas

de servicio administradas las selecciona

del dominio.


servicio administradas del dominio y, a







Siguiente.

O bien





Siguiente.

Selección de Unidad organizativa Haga clic en Examinar para especificar

una ubicación para las cuentas migradas

y, a continuación, haga clic en Siguiente.

Opciones de cuenta de servicio

administrada

Active la casilla de verificación Actualizar

derechos de cuenta.

98


Active la casilla de verificación Revisar la

pertenencia a grupos de cuentas.

Si la cuenta se está migrando a un

bosque diferente, seleccione la casilla

Migrar SID de cuenta al domino de

destino. Esta opción no está disponible

para una migración interna del bosque.

Haga clic en Siguiente. Escriba el nombre

de usuario, la contraseña y el dominio de

una cuenta que tenga credenciales

administrativas en el dominio de origen, y


Finalización del Asistente de cuenta de






5. Inicie Usuarios y equipos de Active Directory y compruebe que las cuentas de servidor

administradas existen en la unidad organizativa apropiada del dominio de destino.




ENTRAR:

ADMT MANAGEDSERVICEACCOUNT /N "<nombre_cuenta de servicio administrada1>"

"<nombre_cuenta de servicio administrada2>" /IF:NO /SD:"<dominio_origen>"

/TD:"<dominio_destino>" /UUR:YES /FGM:YES /MSS:YES

Donde <nombre_cuenta de servicio administrada1> y <nombre_cuenta de servicio

administrada2> son los nombres de las cuentas de servicio administradas del dominio de

origen.




"<nombre_cuenta de servicio administrada2>" /O:"<archivo_opción>.txt"

En la siguiente tabla se enumeran los parámetros comunes que se utilizan para la

migración de cuentas de servicio administradas, junto con el parámetro de línea de

Migración de cuentas de servicio administradas mediante la opción de línea de comandos de ADMT

99

comandos y los equivalentes de archivo de opciones.


comandos


Migración entre distintos

bosques

/IF:No Intraforest=No

<Dominio de origen> /SD:"dominio_origen" SourceDomain="dominio_origen"

<Dominio de destino> /TD:"dominio_destino" TargetDomain="dominio_destino"

Actualizar derechos de

cuenta

/UUR:Yes UpdateUserRights=Yes

Actualizar la pertenencia a

grupos de cuentas

/FGM:Yes FixGroupMembership=Yes

Migrar SID de cuentas

Nota

Sólo puede

migrar SID de

cuentas de

servicio

administradas

entre

bosques. Si

utiliza este

parámetro

durante una

migración

dentro del

mismo

bosque,

aparece un

error.

/MSS:Yes MigrateSIDs=Yes


Si las cuentas de servicio administradas están hospedadas en equipos miembro del dominio de

origen, puede incluir el equipo miembro cuando realice la migración de los equipos y la cuenta de

servicio administrada se instalará en el equipo miembro del dominio de destino una vez migrado

el equipo.

100

Migración de todas las cuentas de usuario


Comience el proceso de migración de cuentas de usuario migrando todos los usuarios. Esto le

ayudará a convertir los perfiles locales y garantizar que los usuarios continuarán teniendo acceso

a los recursos apropiados después de la migración.

Las cuentas integradas (como Administradores, Usuarios o Usuarios avanzados) no

pueden ser objetos de migración de la Herramienta de migración para Active Directory

(ADMT). Ya que los identificadores de seguridad (SID) de la cuenta integrada son

idénticos en todos los dominios, la migración de estas cuentas a un dominio de destino

provocará la duplicación de los SID en un dominio único. Cada SID de un dominio debe

ser exclusivo. Las cuentas conocidas (como Admins. del dominio y Usuarios del dominio)

tampoco pueden ser objetos de migración de ADMT.

El proceso de migración de cuentas de usuarios de ADMT incluye los siguientes pasos:

1. ADMT lee los atributos de los objetos de usuario de origen.

2. ADMT crea un nuevo objeto de usuario en el dominio de destino y un nuevo SID principal

para la nueva cuenta de usuario.

3. ADMT agrega el SID original de la cuenta de usuario al atributo del historial de SID de la

nueva cuenta de usuario.

4. ADMT migra la contraseña de la cuenta de usuario.

5. Si ADMT identifica los grupos globales del dominio de destino al que pertenecían los



Durante la migración, los eventos de auditoría inician sesión en los dominios de destino y de

origen.

Puede migrar cuentas de usuario mediante el complemento de ADMT, la opción de línea de

comandos de ADMT o una secuencia de comandos. Si va a migrar cuentas de usuario que

tienen habilitada la seguridad del mecanismo de autenticación, use un archivo de inclusión. En el

archivo de inclusión, especifique los nombres principales de usuario (UPN) originales del dominio

de origen como UPN de destino para poder mantener en funcionamiento la seguridad del

mecanismo de autenticación. Para obtener más información acerca del uso de un archivo de

inclusión, consulte Uso de un archivo de inclusión.

Cuando inicie una migración de usuarios con el historial SID desde la línea de comandos

o desde una secuencia comandos, debe realizarla en un controlador de dominio del

dominio de destino.



2. Utilice el Asistente para migración de cuentas de usuario realizando los pasos de la tabla

Nota Importante Migración del lote actual de usuarios mediante el complemento de ADMT

101

siguiente.




















Selección de usuario Haga clic en Seleccionar usuarios

desde dominio y, a continuación, haga

clic en Siguiente. En la página Selección

de usuario, haga clic en Agregar para

seleccionar los usuarios del dominio de

origen que desea migrar al lote actual,

haga clic en Aceptar y, a continuación, en

Siguiente.

O bien





Siguiente.

Selección de Unidad organizativa Asegúrese de que ADMT muestra la

unidad organizativa de destino correcta. Si

no es correcta, escriba la unidad

organizativa correcta o haga clic en

Examinar.

102



contenedor, busque el dominio de

destino y la unidad organizativa y, a


Opciones de contraseña Haga clic en No actualizar contraseñas

de usuarios existentes.

Haga clic en Generar contraseñas

complejas.

Opciones de transición de cuenta En Estado de la cuenta de destino:,

haga clic en Deshabilitar cuentas de

destino.

En Opciones para deshabilitar la

cuenta de origen:, haga clic en Días

hasta que caduquen las cuentas de

origen: y, a continuación, escriba el

número de días que desee conservar la

cuenta de origen. Se utiliza comúnmente

un valor de siete.



Cuenta de usuario Escriba el nombre de usuario, la

contraseña y el dominio de una cuenta de

usuario que tenga credenciales

administrativas en el dominio de origen.

Opciones de usuario Active la casilla de verificación Convertir

perfiles móviles.

Desactive la casilla de verificación

Actualizar derechos de usuario.

Desactive la casilla de verificación Migrar

grupos de usuario asociados.


pertenencia a grupos de los usuarios.

Exclusión de propiedad de objetos Desactive la casilla de verificación Excluir

propiedades de objeto específicas de la

migración.



103


dominio de destino.

Asegúrese de que las casillas de

verificación Antes de combinar, quitar

los derechos de usuario de las cuentas

de destino existentes y Mover objetos

combinados a la Unidad organizativa

de destino especificada no están

activadas.



4. Inicie Usuarios y equipos de Active Directory y compruebe que las cuentas de usuarios

existen en la unidad organizativa apropiada del dominio de destino.

1. En un controlador de dominio del dominio de destino en el que está instalado ADMT,

inicie sesión con la cuenta de migración de cuentas de ADMT.

Importante

Cuando inicie una migración de usuarios con el historial SID desde la línea de

comandos, debe realizarla en un controlador de dominio del dominio de destino.

2. En la línea de comandos, escriba el comando ADMT User con los parámetros apropiados

y, a continuación, presione ENTRAR.

ADMT USER /N "<nombre_usuario1>" "<nombre_usuario2>" /SD:" <dominio_origen>"

/TD:" <dominio_destino>" /TO:"<unidad_organizativa_destino>" /MSS:YES /TRP:YES

/UUR:NO



ADMT USER /N "<nombre_usuario1>" "<nombre_usuario2>" /O "<archivo_opción>.txt"

La siguiente tabla enumera los parámetros comunes que se utilizan para migrar cuentas

de usuarios, junto con el parámetro de línea de comandos y los equivalentes de archivo

de opciones.


<Dominio

de origen>


<Dominio

de

destino>


Migración de cuentas de usuario mediante la opción de línea de comandos de ADMT

104


Ubicación

de la

<Unidad

organizativ

a de

destino>

/


"


o"

Migrar SID /MSS:YES MigrateSIDs=YES

Deshabilita

r opción

/DOT:DISABLETARGET DISABLEOPTION=DISABLETARGET

Caducidad

de origen

/SEP:7 SOURCEEXPIRATION=7

Gestión de

conflictos

/CO:IGNORE (valor

predeterminado)


Convertir

perfil móvil

/TRP:YES (valor predeterminado) TranslateRoamingProfile=YES

Actualizar

derechos

de usuario

/UUR:NO UpdateUserRights=NO

Opciones

de

contraseña

/PO:COMPLEX PasswordOption=COMPLEX


4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa de destino.

Compruebe que los usuarios existen en la unidad organizativa de destino.


opciones para la migración de usuarios utilizando la siguiente secuencia de comandos

de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo

con la extensión .wsf en la misma carpeta que el archivo AdmtConstants.vbs.

En su secuencia de comandos, especifique los nombres del contenedor de origen y de

destino en formato canónico relativo. Por ejemplo, si el contenedor es una unidad

organizativa secundaria denominada Ventas y su unidad organizativa principal se

denomina Oeste, especifique Oeste/Ventas como el nombre del contenedor. Para

obtener más información, consulte TemplateScripts.vbs en la carpeta de instalación de

ADMT.

Migración de cuentas de usuario mediante una secuencia de comandos

105

<Job id=" MigratingAllUserAccountsBetweenForests" >



Option Explicit

Dim objMigration


'


'



'


'





objMigration.PasswordOption = admtComplexPassword


'


'


objUserMigration.TranslateRoamingProfile = True

objUserMigration.UpdateUserRights = False

objUserMigration.FixGroupMembership = True

106

objUserMigration.MigrateServiceAccounts = False

'

'Migrar objetos de usuario especificados.

'

objUserMigration.Migrate admtData, Array("nombre de usuario1" , "nombre

de usuario2" )



</Script>

</Job>

Repetición de la migración de las cuentas de usuario y migración de las estaciones de trabajo en lotes


La repetición de la migración de las cuentas de usuario y las estaciones de trabajo en lotes le

ayuda a realizar un registro del proceso de migración. Para cada lote de usuarios, primero

convierta los perfiles de usuario local y, a continuación, migre las estaciones de trabajo.

Compruebe que la migración de la estación de trabajo y el perfil se ha realizado correctamente y,

a continuación, migre las cuentas de usuario. Repita la migración de los grupos globales

después de cada lote. Para obtener más información, consulte Repetición de la migración de

todos los grupos globales después de migrar todos los lotes, más adelante en esta guía.

Conversión de perfiles de usuario localLa Herramienta de migración Active Directory (ADMT) convierte los perfiles para los objetos de

migración de equipo admitidos. Si desea obtener una lista de los sistemas operativos admitidos

para objetos de migración del equipo en las diferentes versiones de ADMT, consulte Herramienta

de migración Active Directory: versiones y entornos admitidos.

Los perfiles de usuario se almacenan de forma local en la estación de trabajo. Cuando un

usuario inicia sesión en otra estación de trabajo, debe crear un nuevo perfil de usuario local

107

único. Convierta los perfiles de usuario local del primer lote de usuarios inmediatamente después

de la migración de todas las cuentas de usuario.

Los perfiles locales se convierten en modo Reemplazar porque si realiza la conversión del perfil

en modo Agregar, es posible que determinados aspectos de la instalación del software que

utilizan la implementación del software de la directiva de grupo no funcionen. Es posible que

cualquier aplicación incluida con Windows Installer versión 2.0 (incluida en las estaciones de

trabajo con Windows 2000 Server Service Pack 3 (SP3) o Service Pack 4 (SP4) y

Windows XP Service Pack 1 (SP1) o Service Pack 2 (SP2), así como en muchos paquetes de

software comunes) no funcione después de la conversión del perfil. Por ejemplo, puede que los

archivos ejecutables de la aplicación no se eliminen una vez que el último usuario quite la

aplicación. Cuando el Asistente para conversión de seguridad de ADMT convierta perfiles locales

en modo Reemplazar, volverá al modo Agregar si se bloquea un perfil. Puede resultar en una

conversión de perfil correcta. No obstante, es posible que las instalaciones de aplicación no

funcionen después de convertir el perfil.

La noche anterior a la notificación a los usuarios para que inicien sesión con sus nuevas

cuentas en el dominio de destino, convierta los perfiles de usuario local. La conversión

de los perfiles la noche antes garantiza que el nuevo perfil de usuario refleje la

configuración de usuario más actual.

Puede convertir los perfiles de usuario local mediante el complemento de ADMT, la opción de

línea de comandos de ADMT o una secuencia de comandos.

1. Para cada estación de trabajo del dominio de origen que migre, agregue la cuenta de

migración de recursos de ADMT al grupo de administradores locales.



3. Utilice el Asistente para la conversión de seguridad siguiendo los pasos de la tabla

siguiente.


Opciones de conversión de seguridad Haga clic en Objetos previamente

migrados.










Nota Conversión de perfiles de usuarios locales mediante el complemento de ADMT

108














equipo, haga clic en Agregar para

seleccionar los equipos del dominio de

origen para los que desea convertir la

seguridad, haga clic en Aceptar y, a

continuación, en Siguiente.

O bien





Siguiente.

Convertir objetos Haga clic en Perfiles de usuario.

Opciones de conversión de seguridad Haga clic en Reemplazar.

Diálogo de agente de ADMT Seleccione Ejecutar comprobación

previa y operación de agente y, a

continuación, haga clic en Inicio.

4. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez

finalizado el asistente, haga clic en Ver registro de migración para ver la lista de

equipos, estado de conclusión y la ruta al archivo de registro para cada equipo. Si se

informa de un error en un equipo, tendrá que consultar el archivo de registro de dicho

equipo para revisar cualquier problema con los grupos locales. El archivo de registro de

cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta Windows\

ADMT\Logs\Agents.

109



2. En la línea de comandos, escriba el comando ADMT Security con los parámetros

apropiados y, a continuación, presione ENTRAR.

ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:" <dominio_origen>"

/TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /TOT:Replace

/TUP:YES

Como alternativa, puede incluir parámetros en un archivo de opciones que se especifica


ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /O "<archivo_opción>.txt"


cuentas de usuario, junto con los parámetros de línea de comandos y los equivalentes

del archivo de opciones.

Parámetros Sintaxis de línea de

comandos


<Dominio de

origen>


<Dominio de

destino>


Opciones de

conversión de

seguridad

/TOT:REPLACE TranslateOption=REPLACE

Modificar la

seguridad de perfil

de usuario local

/TUP:YES TranslateUserProfiles=YES







ADMT\Logs\Agents.


opciones para convertir perfiles de usuarios locales utilizando la siguiente secuencia de


Conversión de perfiles de usuarios locales mediante la opción de línea de comandos de ADMT

Conversión de perfiles de usuarios locales mediante una secuencia de comandos

110


<Job id=" TranslatingLocalProfilesBetweenForests" >



Option Explicit

Dim objMigration

Dim objSecurityTranslation

'


'


Set objSecurityTranslation = objMigration.CreateSecurityTranslation

'


'



objMigration.TargetOu = "Equipos"

'

'Especificar opciones especificas de conversión de seguridad.

'

objSecurityTranslation.TranslationOption = admtTranslateReplace

objSecurityTranslation.TranslateUserProfiles = True

'

'Realizar conversión de seguridad en objetos de equipo especificados.

111

'

objSecurityTranslation.Translate admtData, _


Set objSecurityTranslation = Nothing


</Script>

</Job>

Migración de estaciones de trabajo en lotesTras la migración de un lote de perfiles de usuarios locales, migre el lote correspondiente de las

estaciones de trabajo de usuario. Cuando migre una estación de trabajo entre dominios, la base

de datos del Administrador de cuentas de seguridad (SAM) se migra junto con el equipo. Las

cuentas de la base de datos local de SAM (como grupos locales) que se utilizan para habilitar el

acceso a los recursos se mueven siempre con el equipo. Por consiguiente, estas cuentas no se

tienen que migrar.

Si una estación de trabajo tiene cuentas de servicio administradas instaladas y esas cuentas se

han migrado previamente, ADMT proporciona una opción que permite reinstalar en el equipo

migrado la cuenta de servicio administrada migrada y actualizar el Administrador de control de

servicios. Para que ADMT pueda realizar esta operación, la cuenta que realiza la migración del

equipo debe tener permisos para modificar el descriptor de seguridad de la cuenta de servicio

administrada migrada.

Utilice un valor bajo para el parámetro RestartDelay para reiniciar las estaciones de

trabajo de forma inmediata tras agregarlas al dominio de destino, o tan pronto como sea

posible. Los recursos que no se han reiniciado después de la migración se encuentran

en un estado indeterminado.

Puede migrar estaciones de trabajo y servidores miembro mediante el complemento de ADMT, la

opción de línea de comandos de ADMT o una secuencia de comandos.

1. En el equipo del dominio de destino en el que instala ADMT, inicie sesión utilizando la

cuenta de migración de recursos de ADMT.

2. Utilice el Asistente para migración de equipos siguiendo los pasos de la tabla siguiente.





Nota Migración de estaciones de trabajo mediante el complemento de ADMT

112

















Selección de equipo Haga clic en Seleccionar equipos desde







O bien





Siguiente.

Información sobre la cuenta de

servicio administrada (aparece si el

equipo tiene alguna cuenta de servicio

administrada instalada)

Seleccione cualquier cuenta de servicio

administrada que no se tenga que instalar

en el equipo migrado en el dominio de

destino y, a continuación, haga clic en


como Omitir.



contenedor, busque el contenedor

Equipos del dominio de destino o la

unidad organizativa apropiada y, a

113



Convertir objetos Active la casilla de verificación Grupos

locales.

Active la casilla de verificación Derechos

de usuarios.

Opciones de conversión de seguridad Haga clic en Agregar.

Opciones de equipo En la casilla Minutos que habrán de

transcurrir para que se reinicien los

equipos tras la finalización del

asistente, acepte el valor predeterminado

de 5 minutos o escriba un valor distinto.

Exclusión de propiedad de objetos Para excluir determinadas propiedades de

objeto de la migración, active la casilla de

verificación Excluir propiedades de

objeto específicas de la migración,

seleccione las propiedades de objeto que

desee excluir y muévalas a Propiedades

excluidas y, a continuación, haga clic en

Siguiente.



dominio de destino.










ADMT\Logs\Agents.

4. Abra Usuarios y equipos de Active Directory y compruebe que las estaciones de trabajo


1. En el equipo del dominio de destino en el que se instala ADMT, inicie sesión utilizando la

Migración de estaciones de trabajo mediante la opción de línea de comandos de ADMT

114


2. En la línea de comandos, escriba el comando ADMT Computer con los parámetros


ADMT COMPUTER /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:"<dominio_origen>"

/TD:"<dominio_destino>" /TO:"<unidad_organizativa_destino>" [/M: “<nombre de

cuenta de servicio administrada 1>” “<nombre de cuenta de servicio administrada

2>”] [/UALLMSA:Yes] /RDL:5


en la línea de comandos, de la manera siguiente:

ADMT COMPUTER /N "<nombre_equipo1>" "<nombre_equipo2>" /O:" <archivo_opción>.txt"

La siguiente tabla enumera los parámetros comunes que se utilizan para migrar

estaciones de trabajo, junto con el parámetro de línea de comandos y los equivalentes



comandos


<Dominio de

origen>


Ubicación de la

<Unidad

organizativa de

origen>

/

SO:"unidad_organizativa_ori

gen"

SourceOU="unidad_organizativa_o

rigen"

<Dominio de

destino>


Actualizar todas las

cuentas de servicio

administradas

/UALLMSA: YES UpdateAllManagedServiceAccounts

=Yes

Actualizar las

cuentas de servicio

administradas

especificadas

Nota

El

paráme

tro /M

tiene

prefere

ncia

sobre

/M “nombre 1” “nombre 2”… UPDATEMSANAME= “nombre 1”

“nombre 2”…

115


comandos


el

paráme

tro

/UALL

MSA.

Ubicación de la

<Unidad

organizativa de

destino>

/

TO:"unidad_organizativa_des

tino"

TargetOU="unidad_organizativa_d

estino"

Retraso de reinicio

(minutos)

/RDL:5 RestartDelay=5

Opción de

conversión de

seguridad

/TOT:ADD TranslationOption=ADD

Convertir derechos

de usuario

/TUR:YES TranslateUserRights=YES

Convertir grupos

locales

/TLG:YES TranslateLocalGroups=YES

3. Revise si hay errores en los resultados que se muestran en la pantalla. El registro de

migración muestra los equipos, estado de conclusión y la ruta al archivo de registro para

cada equipo. Si se informa de un error en un equipo, tendrá que consultar el archivo de

registro de dicho equipo para revisar cualquier problema con los grupos locales. El

archivo de registro de cada equipo se denomina MigrationTaskID.log, y se almacena en

la carpeta Windows\ADMT\Logs\Agents.


Compruebe que las estaciones de trabajo y los servidores miembro existen en la unidad

organizativa de destino.


opciones para la migración de estaciones de trabajo utilizando la siguiente secuencia de

comandos Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con

la extensión .wsf en la misma carpeta que el archivo AdmtConstants.vbs..

<Job id="MigratingWorkstationsBwtweenForest" >



Migración de estaciones de trabajo mediante una secuencia de comandos

116

Option Explicit

Dim objMigration

Dim objComputerMigration

'


'


Set objComputerMigration = objMigration.CreateComputerMigration

'


'


objMigration.SourceOu = "Equipos"



'

'Especificar opciones específicas de migración de equipo.

'

objComputerMigration.RestartDelay = 1

objComputerMigration.TranslationOption = admtTranslateAdd

objComputerMigration.TranslateLocalGroups = True

objComputerMigration.TranslateUserRights = True

objComputerMigration.UpdateAllManagedServiceAccounts = True

'

117

'Migrar objetos de equipo en objetos de equipo especificados.

'

objComputerMigration.Migrate admtData, _


Set objComputerMigration = Nothing


</Script>

</Job>

Repetición de la migración de las cuentas de usuarios en lotesDespués de haber comprobado el éxito de la migración de la estación de trabajo y el perfil de

usuario local para el lote de usuarios, migre las cuentas de usuario para ese lote. Puede migrar

las cuentas de usuario en lotes mediante el complemento de ADMT, la opción de línea de

comandos de ADMT o una secuencia de comandos.

Puede migrar cuentas de usuario mediante el complemento de ADMT, la opción de línea de







Cuando inicie una migración de usuarios con el historial del identificador de seguridad

(SID) desde la línea de comandos o desde un script, debe realizarla en un controlador de

dominio del dominio de destino.



2. Complete el Asistente para migración de cuentas de usuarios siguiendo los pasos de la

tabla siguiente.





Importante Migración del lote actual de cuentas de usuario mediante el complemento de ADMT

118
























Siguiente.

O bien





Siguiente.





Examinar.





Opciones de contraseña Haga clic en Migrar contraseñas.

119


En Controlador de dominio origen de

migración de contraseña:, escriba el

nombre del servidor de exportación de

contraseñas o acepte el valor

predeterminado.


haga clic en Habilitar cuentas de

destino.

En Opciones para deshabilitar la cuenta

de origen:, haga clic en Días hasta que

caduquen las cuentas de origen: y, a

continuación, escriba el número de días

que desee conservar la cuenta de origen.

Se utiliza comúnmente un valor de siete.






administrativas.


perfiles móviles.









migración.

Gestión de conflictos Active la casilla de verificación Migrar y

combinar objetos en conflicto.

Desactive la casilla de verificación Antes

de combinar, quitar los derechos de

usuario de las cuentas de destino

existentes.

120


Desactive la casilla de verificación Mover

objetos combinados a la Unidad

organizativa de destino especificada.

3. Cuando el asistente haya terminado, haga clic en Ver registro y revise si hay errores en

el registro de migración.

4. Abra Usuarios y equipos de Active Directory y compruebe que las cuentas de usuarios




2. En la línea de comandos, escriba el comando ADMT User con los parámetros



/TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /MSS:YES /TRP:YES

/UUR:YES








<Dominio

de origen>


Ubicación

de la

<Unidad

organizativ

a de

origen>

/



"

<Dominio

de

destino>


Migración del lote actual de usuarios mediante la opción de línea de comandos de ADMT

121


Ubicación

de la

<Unidad

organizativ

a de

destino>

/


"


o"


Gestión de

conflictos

/CO:REPLACE ConflictOptions=REPLACE

Convertir

perfil móvil


Actualizar

derechos

de usuario


Opciones

de

contraseña

/PO:COPY /PS:<nombre de

servidor PES>

PasswordOption=COPY

PasswordServer=:<nombre de servidor

PES>

Caducidad

de origen

/SEP:7 SourceExpiration=7








<Job id="MigratingUserAccountsInBatchesBetweenForests" >



Option Explicit

Dim objMigration


Migración del lote actual de cuentas de usuario mediante una secuencia de comandos

122

'


'



'


'





objMigration.PasswordOption = admtCopyPassword

objMigration.PasswordServer = "nombre de servidor de exportación de

contraseña"

objMigration.ConflictOptions = admtReplaceConflicting

'


'

objUserMigration.SourceExpiration = 7






'


'

123


de usuario2" )



</Script>

</Job>

Repetición de la migración de todos los grupos globales después de la migración de cuenta de usuarioUna migración de cuentas de usuarios de gran tamaño puede tener lugar durante un amplio

período de tiempo. Por este motivo, es posible que tenga que repetir la migración de grupos

globales desde el dominio de origen al de destino después de migrar cada lote de usuarios, para

reflejar los cambios realizados en la pertenencia de grupos del dominio de origen tras producirse

la migración inicial de grupo global. Para obtener más información y procedimientos para la

repetición de la migración de los grupos globales, consulte Repetición de la migración de todos

los grupos globales después de migrar todos los lotes, más adelante en esta guía.

Repetición de la migración de todos los grupos globales después de migrar todos los lotes


Después de que se hayan migrado todos los lotes, realice una nueva migración de grupos

globales final para garantizar que cualquier cambio de última hora que se efectúe en la

pertenencia a un grupo global en el dominio de origen se refleja en el dominio de destino. Puede

volver a migrar grupos globales mediante el complemento de la Herramienta de migración para

Active Directory (ADMT), la opción de línea de comandos de ADMT o una secuencia de

comandos.

Cuando inicie una migración del grupo global con SID History desde la línea de

comandos o desde una secuencia comandos, debe realizarla en un controlador de




Importante Nueva migración de grupos globales mediante el complemento de ADMT

124


siguientes:



























O bien





Siguiente.




contenedor, busque el contenedor en el

dominio de destino al que desee mover

125




Opciones de grupo Haga clic en Actualizar derechos de

usuario

Asegúrese de que Copiar miembros de

grupo no está seleccionada.

Asegúrese de que Actualizar objetos

previamente migrados no está

seleccionada.

Haga clic en Revisar la pertenencia al

grupo.

Haga clic en Migrar SID de grupo al

dominio de destino.




origen.



migración.


combinar objetos en conflicto (el resto

de opciones están desactivadas).




Compruebe que los grupos globales existen en la unidad organizativa del dominio de

destino.

1. En un controlador de dominio del dominio de destino en el que está instalado ADMT,

inicie sesión con la cuenta de migración de cuentas de ADMT.

Importante

Cuando inicie una migración del grupo global con SID History desde la línea de

comandos, debe realizarla en un controlador de dominio del dominio de destino.

Nueva migración de grupos globales mediante la opción de línea de comandos de ADMT

126

2. En la línea de comandos, escriba el comando ADMT Group con los parámetros apropiados

y, a continuación, presione ENTRAR.


<dominio de destino>" /TO:" <unidad organizativa de destino>" /MSS:YES /CO:REPLACE


la línea de comandos como se muestra a continuación:






<Dominio

de origen>


Ubicación

de la

<Unidad

organizativ

a de

origen>

/



"

<Dominio

de

destino>


Ubicación

de la

<Unidad

organizativ

a de

destino>

/


"


o"

Migrar SID

de GG


Gestión de

conflictos





destino.

127


para migrar de grupos globales utilizando la siguiente secuencia de comandos de

muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la


<Job id=" RemigratingGlobalGroupsBetweenForests" >



Option Explicit

Dim objMigration


'


'



'


'






'


'


Nueva migración de grupos universales mediante una secuencia de comandos

128

'


'


grupo2" )



</Script>

</Job>

Migración de cuentas sin utilizar el historial de SID


Si no utiliza el historial de identificadores de seguridad (SID) para el acceso a los recursos

porque se ha establecido el filtrado de SID entre bosques, su proceso de migración conlleva la

realización de los siguientes pasos. En primer lugar, migra todas las cuentas de usuario (pero no

las active en el dominio de destino) para rellenar el dominio de destino y permitir la migración de

perfiles de usuario. A continuación, ejecuta la conversión de seguridad en todos los recursos a

los que obtienen acceso los usuarios en todos los bosques. El siguiente paso es migrar usuarios

en lotes, empezando por la migración del perfil de usuario, luego la estación de trabajo y, a

continuación, la cuenta de usuario. Finalmente, debe repetir la migración de grupos globales

para aplicar los cambios que ha realizado en los grupos globales del dominio de origen y

convertir la seguridad en el modo Quitar.

Sigue siendo importante migrar el historial de SID aunque las cuentas de usuario no usen el

historial de SID para tener acceso a los recursos. Lo que garantiza que las operaciones como los

archivos sin conexión continúen funcionando dentro del bosque. La migración del historial de SID

no presenta un riesgo de seguridad porque se ha establecido el filtrado de SID entre los bosques

de origen y destino. Antes de migrar todas las cuentas de usuarios, asegúrese de que ha creado

cuentas de prueba que pueda usar para comprobar el éxito de la migración para dicho lote.

Complete los siguientes pasos para migrar las cuentas de usuario al dominio de destino:

1. Migre las cuentas de servicio administradas. Las cuentas de servicio administradas deben

migrarse antes de los equipos.

129

2. Migrar todos los usuarios. Use la opción Revisar la pertenencia a grupos de los usuarios

para que la Herramienta de migración para Active Directory (ADMT) identifique los grupos

globales en el dominio de destino al que pertenecían los usuarios del dominio de origen y

agregue el usuario al grupo global apropiado en el domino de destino. Para esta migración

de usuario inicial, deje la cuenta de usuario habilitada en el dominio de origen y deshabilitada


3. Convierta la seguridad en modo Agregar para los archivos, recursos compartidos,

impresoras, grupos locales y grupos locales de dominios.

4. Convierta los perfiles locales de usuario para un lote de usuarios

5. Migre las estaciones de trabajo en lotes que correspondan a los lotes de cuentas de usuario.

6. Antes de migrar el lote de cuentas de usuarios, compruebe que la migración de la estación

de trabajo y el perfil local se ha realizado correctamente para todos los usuarios del lote. No

migre ninguna cuenta de usuario cuya migración de estación de trabajo o perfil haya dado

error, porque provocará que los usuarios sobrescriban sus perfiles existentes cuando inicien

sesión en el dominio de destino.

7. Vuelva a migrar las cuentas de usuario en lotes pequeños con las cuentas en el dominio de

origen definidas con un período de caducidad de siete días con las cuentas de destino

habilitadas, la migración de contraseña seleccionada y con todos los atributos seleccionados

para la migración.

8. Después de cada lote, vuelva a migrar todos los grupos para actualizar cualquier cambio de

pertenencia a grupos.

9. Una vez migrados todos los usuarios, ejecute una migración final de grupo global para

actualizar cualquier cambio de pertenencia a grupos.

10. Convierta la seguridad en modo Quitar para los archivos, recursos compartidos, impresoras,

grupos locales y grupos locales de dominios.

11. Notifique a los usuarios del lote para que inicien sesión en el nuevo dominio.

Hasta que migre todos los usuarios y cuentas de grupos, continúe administrando la pertenencia

a grupos globales en el dominio de origen.

La siguiente ilustración muestra los pasos que implica la migración de cuentas que no usa el

historial de SID para el acceso a los recursos.

130
















131








































Importante Migración de cuentas de servicio administradas con el complemento ADMT

132





























O bien















133





















del dominio.









Siguiente.

O bien





Siguiente.





administrada


derechos de cuenta.





134





















ENTRAR:






origen.









135


comandos



bosques





cuenta



grupos de cuentas



Nota

Sólo puede

migrar SID de

cuentas de

servicio

administradas

entre

bosques. Si

utiliza este

parámetro

durante una

migración

dentro del

mismo

bosque,

aparece un

error.






el equipo.

136

Migración de todas las cuentas de usuario


Comience el proceso de migración de cuentas de usuario migrando todos los usuarios. A

continuación, puede convertir la seguridad en todos los archivos, impresoras, carpetas

compartidas, grupos locales y grupos locales de dominio. De esta forma se garantiza que los

usuarios continúan con el acceso adecuado a los recursos después de la migración.

Las cuentas integradas (como Administradores, Usuarios o Usuarios avanzados) no

pueden ser objetos de migración de la Herramienta de migración para Active Directory

(ADMT). Ya que los identificadores de seguridad (SID) de la cuenta integrada son

idénticos en todos los dominios, la migración de estas cuentas a un dominio de destino

provocará la duplicación de los SID en un dominio único. Cada SID de un dominio debe

ser exclusivo. Las cuentas conocidas (como Admins. del dominio y Usuarios del dominio)

tampoco pueden ser objetos de migración de ADMT.

El proceso de migración de cuentas de usuarios de ADMT incluye los siguientes pasos:

1. ADMT lee los atributos de los objetos de usuario de origen.

2. ADMT crea un nuevo objeto de usuario en el dominio de destino y un nuevo SID principal

para la nueva cuenta de usuario.

3. ADMT agrega el SID original de la cuenta de usuario al atributo del historial de SID de la

nueva cuenta de usuario.

4. ADMT migra la contraseña de la cuenta de usuario.

5. Si ADMT identifica los grupos globales del dominio de destino al que pertenecían los



Durante la migración, los eventos de auditoría inician sesión en los dominios de destino y de

origen.

Puede migrar las cuentas de usuario mediante el complemento de ADMT, la opción de línea de









2. Utilice el Asistente para migración de cuentas de usuario realizando los pasos de la tabla

siguiente.

Nota Migración de cuentas de usuario mediante el complemento de ADMT

137



























Siguiente.

O bien

En el equipo del dominio de destino en el

que ADMT está instalado, inicie sesión

con la cuenta de migración de cuentas

ADMT.





Examinar.




138



Opciones de contraseña Haga clic en No actualizar contraseñas

de usuarios existentes.

Haga clic en Generar contraseñas

complejas.


haga clic en Deshabilitar cuentas de

destino.

En Opciones para deshabilitar la

cuenta de origen:, haga clic en Días

hasta que caduquen las cuentas de

origen: y, a continuación, escriba el

número de días que desee conservar la

cuenta de origen. Se utiliza comúnmente

un valor de 7.






administrativas en el dominio de origen.


perfiles móviles.





Seleccione Revisar la pertenencia a

grupos de los usuarios.



migración.

Gestión de conflictos Active la casilla de verificación No migrar

el objeto de origen si se detecta un

conflicto en el dominio de destino.

Asegúrese de que las casillas de

verificación Antes de combinar, quitar

139


los derechos de usuario de las cuentas

de destino existentes y Mover objetos

combinados a la Unidad organizativa

de destino especificada no están

activadas.

3. Cuando el asistente termine, haga clic en Ver registro y revise si hay errores en el

registro de migración.






y, a continuación, presione ENTRAR:



/UUR:YES


la línea de comandos, de la manera siguiente:






<Dominio

de origen>


Ubicación

de la

<Unidad

organizativ

a de

origen>

/



"

<Dominio

de

destino>



140


Ubicación

de la

<Unidad

organizativ

a de

destino>

/


"


o"


Gestión de

conflictos

/CO:IGNORE (valor

predeterminado)


Convertir

perfil móvil


Actualizar

derechos

de usuario


Opciones

de

contraseña

/PO:COMPLEX (valor

predeterminado)

PasswordOption=COMPLEX








<Job id=" MigratingAllUserAccountsBetweenForests" >



Option Explicit

Dim objMigration


'


141


'



'


'





objMigration.PasswordOption = admtComplexPassword


'


'






'


'


de usuario2" )

142



</Script>

</Job>

Conversión de seguridad en modo Agregar


Convierta la seguridad en servidores para agregar los identificadores de seguridad (SID) de las

cuentas de usuario y grupo en el dominio de destino a las listas de control de acceso (ACL) de

los recursos. Una vez migrados al dominio de destino, los objetos contienen las entradas de ACL

de ambos dominios, el de origen y el de destino. Utilice el Asistente para la conversión de

seguridad de la Herramienta de migración para Active Directory (ADMT) para agregar los SID del

dominio de destino de los objetos migrados. Ejecute el Asistente para la conversión de seguridad

en todos los archivos, recursos compartidos, impresoras, grupos locales, al menos, un

controlador de dominio (para convertir la seguridad en los grupos locales compartidos).

Puede convertir la seguridad en el modo Agregar en objetos mediante el complemento de ADMT,

la opción de línea de comandos de ADMT o una secuencia de comandos.




siguiente.



migrados.











Conversión de seguridad en el modo Agregar en objetos mediante el complemento de ADMT

143














seleccionar los equipos para los que

desea convertir la seguridad, haga clic en


O bien





Siguiente.

Convertir objetos Desactive la casilla de verificación

Perfiles de usuarios.

Active el resto de casillas de verificación.











ADMT\Logs\Agents.

144






/TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /TOT:Add








comandos


<Dominio de

origen>


<Dominio de

destino>


Opciones de

conversión de

seguridad

/TOT:Add TranslateOption=ADD







ADMT\Logs\Agents.


opciones para convertir seguridad en modo Agregar en objetos utilizando la siguiente

secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de

notas y guarde el archivo con la extensión .wsf en la misma carpeta que el archivo

AdmtConstants.vbs.

<Job id=" TranslatingSecurityInAddModeOnObjectsBetweenForests" >

Conversión de seguridad en el modo Agregar en objetos mediante la opción de línea de comandos de ADMT

Conversión de seguridad en modo Agregar en objetos mediante una secuencia de comandos

145



Option Explicit

Dim objMigration


'


'



'


'




'


'

objSecurityTranslation.TranslationOption = admtTranslateAdd

objSecurityTranslation.TranslateFilesAndFolders = True

objSecurityTranslation.TranslateLocalGroups = True

objSecurityTranslation.TranslatePrinters = True

objSecurityTranslation.TranslateRegistry = True

objSecurityTranslation.TranslateShares = True

objSecurityTranslation.TranslateUserProfiles = False

objSecurityTranslation.TranslateUserRights = True

146

'


'





</Script>

</Job>

Repetición de la migración de las cuentas de usuario y migración de las estaciones de trabajo en lotes


La repetición de la migración de las cuentas de usuario y las estaciones de trabajo en lotes le

ayuda a realizar un registro del proceso de migración. Para cada lote de usuarios, primero

convierta los perfiles de usuarios locales y, a continuación, migre las estaciones de trabajo.

Compruebe que la migración de la estación de trabajo y el perfil se ha realizado correctamente y,

a continuación, migre las cuentas de usuario. Repita la migración de los grupos globales

después de cada lote. Para obtener más información, consulte Repetición de la migración de

todos los grupos globales después de migrar todos los lotes, más adelante en esta guía.

Conversión de perfiles de usuarios localesLa Herramienta de migración Active Directory (ADMT) convierte los perfiles para los objetos de

migración de equipo admitidos. Si desea obtener una lista de los sistemas operativos

compatibles para objetos de migración del equipo en las diferentes versiones de ADMT, consulte

Herramienta de migración Active Directory: versiones y entornos admitidos.

Los perfiles locales se convierten en modo Reemplazar porque si realiza la conversión del perfil

en modo Agregar, es posible que la instalación del software mediante la implementación del

software de la directiva de grupo no funcione. Es posible que cualquier aplicación incluida con

Windows Installer versión 2.0 (utilizada en las estaciones de trabajo con

147

Windows 2000 Server Service Pack 3 (SP3) o Service Pack 4 (SP4) y Windows XP Service

Pack 1 (SP1) o Service Pack 2 (SP2), y en muchos paquetes de software comunes) no funcione

después de la conversión del perfil. Cuando el Asistente para conversión de seguridad de ADMT

convierta perfiles locales en modo Reemplazar, volverá al modo Agregar si se bloquea un perfil.

Puede resultar en una conversión de perfil correcta. No obstante, es posible que las

instalaciones de aplicación no funcionen después de convertir el perfil.

Antes de iniciar la conversión de perfiles de usuarios locales, deje tiempo suficiente para que las

estaciones de trabajo se reinicien después de moverlas al dominio de destino. Tenga en cuenta

el factor de retraso de tiempo de ADMT (cinco minutos de forma predeterminada) más el tiempo

necesario para un ciclo de reinicio de su estación de trabajo.

La noche anterior a la notificación a los usuarios para que inicien sesión con sus nuevas

cuentas en el dominio de destino, convierta los perfiles de usuarios locales. La

conversión de los perfiles la noche antes garantiza que el nuevo perfil de usuario refleje

la configuración de usuario más actual.

Puede convertir los perfiles de usuarios locales mediante el complemento de ADMT, la opción de

línea de comandos de ADMT o una secuencia de comandos.

1. Para cada estación de trabajo del dominio de origen que migre, agregue la cuenta de

migración de recursos de ADMT al grupo de administradores locales.




siguiente.



migrados.














Nota Conversión de perfiles de usuarios locales mediante el complemento de ADMT

148












origen para los que desea convertir la

seguridad, haga clic en Aceptar y, a

continuación, en Siguiente.

O bien





Siguiente.












ADMT\Logs\Agents.





149




/TUP:YES






de opciones.


comandos


<Dominio de

origen>


<Dominio de

destino>


Opciones de

conversión de

seguridad


Modificar la

seguridad de perfil

de usuario local








ADMT\Logs\Agents.


opciones para convertir perfiles de usuarios locales utilizando la siguiente secuencia de



<Job id=" TranslatingLocalProfilesBetweenForests" >



150


Option Explicit

Dim objMigration


'


'



'


'




'


'



'


'



151



</Script>

</Job>

Migración de estaciones de trabajo en lotesTras la migración de un lote de perfiles de usuarios locales, migre el lote correspondiente de las

estaciones de trabajo de usuario. Cuando migre una estación de trabajo entre dominios, la base

de datos del Administrador de cuentas de seguridad (SAM) se migra junto con el equipo. Las

cuentas ubicadas en la base de datos local de SAM (como grupos locales) que se utilizan para

habilitar el acceso a los recursos se mueven siempre con el equipo. Por consiguiente, no se

tienen que migrar.







Para reiniciar las estaciones de trabajo de forma inmediata tras agregarlas al dominio de

destino o tan pronto como sea posible, utilice un valor bajo para el parámetro

RestartDelay de ADMT. Los recursos que no se han reiniciado después de la migración

se encuentran en un estado indeterminado.

Puede migrar estaciones de trabajo mediante el complemento de ADMT, la opción de línea de

comandos de ADMT o una secuencia de comandos.



2. Utilice el Asistente para migración de equipos siguiendo los pasos de la tabla siguiente.










Nota Migración de estaciones de trabajo mediante el complemento de ADMT

152



















O bien





Siguiente.










como Omitir.








locales.


153


de usuarios.












desee excluir y muévalas a la casilla

Propiedades excluidas y, a continuación,




dominio de destino.










ADMT\Logs\Agents.








Migración de estaciones de trabajo mediante la opción de línea de comandos de ADMT

154







La siguiente tabla enumera los parámetros comunes que se utilizan para la migración de




comandos


<Dominio de

origen>

SD:"dominio_origen" SourceDomain="dominio_origen"

Ubicación de la

<Unidad

organizativa de

origen>

/


gen"


rigen"

<Dominio de

destino>



cuentas de servicio

administradas


=Yes

Actualizar cuentas

de servicio

administradas

específicas

Nota

El

paráme

tro /M

tiene

prefere

ncia

sobre

el

paráme

tro

/UALL

/M: “nombre 1” “nombre 2”… UPDATEMSANAME= “nombre 1”

“nombre 2”…

155


comandos


MSA.

Ubicación de la

<Unidad

organizativa de

destino>

/


tino"


estino"

Retraso de reinicio

(minutos)


Opción de

conversión de

seguridad


Convertir derechos

de usuario


Convertir grupos

locales









Compruebe que las estaciones de trabajo existen en la unidad organizativa de destino.


opciones para la migración de estaciones de trabajo utilizando la siguiente secuencia de



<Job id="MigratingWorkstationsBwtweenForest" >



Option Explicit

Dim objMigration

Migración de estaciones de trabajo mediante una secuencia de comandos

156


'


'



'


'





'


'






'


'


157




</Script>

Repetición de la migración de las cuentas de usuarios en lotesDespués de haber comprobado el éxito de la migración de los perfiles de usuarios locales y las

estaciones de trabajo de usuario para el lote de usuarios, migre las cuentas de usuario para ese

lote.

Puede migrar las cuentas de usuario en lotes mediante el complemento de ADMT, la opción de

línea de comandos de ADMT o una secuencia de comandos. Si va a migrar cuentas de usuario

que tienen habilitada la seguridad del mecanismo de autenticación, use un archivo de inclusión.

En el archivo de inclusión, especifique los nombres principales de usuario (UPN) originales del

dominio de origen como UPN de destino para poder mantener en funcionamiento la seguridad

del mecanismo de autenticación. Para obtener más información acerca del uso de un archivo de




2. Utilice el Asistente para migración de cuentas de usuario siguiendo los pasos de la tabla

siguiente.
















Repetición de la migración del lote actual de cuentas de usuario mediante el complemento de ADMT

158













Siguiente.

O bien





Siguiente.





Examinar.





Opciones de contraseña Haga clic en Migrar contraseñas.

En Controlador de dominio origen de

migración de contraseña:, escriba el

nombre del servidor de exportación de

contraseñas o acepte el valor

predeterminado.


haga clic en Habilitar cuentas de

destino.

En Opciones para deshabilitar la cuenta

de origen:, haga clic en Días hasta que

159


caduquen las cuentas de origen: y, a

continuación, escriba el número de días

que desee conservar la cuenta de origen.

Se utiliza comúnmente un valor de 7.






administrativas.


perfiles móviles.



Active la casilla de verificación Migrar






migración.

Gestión de conflictos Haga clic en Migrar y combinar objetos

en conflicto.

Desactive la casilla de verificación Antes

de combinar, quitar los derechos de

usuario de las cuentas de destino

existentes.

Desactive la casilla de verificación Mover

objetos combinados a la Unidad

organizativa de destino especificada.

3. Cuando el asistente termine, haga clic en Ver registro y revise si hay errores en el

registro de migración.



160







/UUR:YES








<Dominio

de origen>


Ubicación

de la

<Unidad

organizativ

a de

origen>

/



"

<Dominio

de

destino>


Ubicación

de la

<Unidad

organizativ

a de

destino>

/


"


o"


Gestión de

conflictos


Convertir

perfil móvil


Repetición de la migración del lote actual de usuarios mediante la opción de línea de comandos de ADMT

161


Actualizar

derechos

de usuario


Opciones

de

contraseña

/PO:COPY /PS:<nombre de

servidor PES>

PasswordOption=COPY

PasswordServer=:<nombre de servidor

PES>

Caducidad

de origen

/SEP:30 SourceExpiration=30








<Job id="MigratingUserAccountsInBatchesBetweenForests" >



Option Explicit

Dim objMigration


'


'



Repetición de la migración del lote actual de cuentas de usuario mediante una secuencia de comandos

162

'


'





objMigration.PasswordOption = admtCopyPassword

objMigration.PasswordServer = "nombre de servidor de exportación de

contraseña"


'


'

objUserMigration.SourceExpiration = 7



objUserMigration.UpdateUserRights = False



'


'


de usuario2" )



</Script>

</Job>

163

Repetición de la migración de todos los grupos globales después de la migración de cuenta de usuarioUna migración de cuentas de usuarios de gran tamaño puede tener lugar durante un amplio

período de tiempo. Por este motivo, es posible que tenga que repetir la migración de los grupos

globales desde el dominio de origen al de destino después de migrar cada lote de usuarios. El

objetivo es reflejar los cambios realizados en la pertenencia a un grupo del dominio de origen

después de la migración inicial de grupos globales. Para obtener más información y

procedimientos para la repetición de la migración de los grupos globales, consulte Repetición de

la migración de todos los grupos globales después de migrar todos los lotes, más adelante en

esta guía.

Repetición de la migración de todos los grupos globales después de migrar todos los lotes


Después de que se hayan migrado todos los lotes, realice una nueva migración de grupos

globales final para garantizar que cualquier cambio de última hora que se efectúe en la

pertenencia a un grupo global en el dominio de origen se refleja en el dominio de destino.

Puede volver a migrar grupos globales mediante el complemento de la Herramienta de migración

para Active Directory (ADMT), la opción de línea de comandos de ADMT o una secuencia de

comandos.




siguientes:









Nueva migración de grupos globales mediante el complemento de ADMT

164




















O bien





Siguiente.




contenedor, busque el contenedor en el

dominio de destino al que desee mover



Opciones de grupo Active la casilla de verificación Actualizar


Asegúrese de que la casilla de verificación

Copiar miembros de grupo no está

activada.

Asegúrese de que la casilla de verificación

Actualizar objetos previamente

165


migrados no está activada.


pertenencia al grupo.




contraseña y el dominio de una cuenta

que tenga derechos administrativos en el

dominio de origen.



migración.


combinar objetos en conflicto (el resto

de opciones están desactivadas).





destino.



2. En la línea de comandos, escriba el comando ADMT Group con los parámetros apropiados



<dominio de destino>" /TO:" <unidad organizativa de destino>" /MSS:YES /CO:REPLACE







Nueva migración de grupos globales mediante la opción de línea de comandos de ADMT

166


<Dominio

de origen>


Ubicación

de la

<Unidad

organizativ

a de

origen>

/



"

<Dominio

de

destino>


Ubicación

de la

<Unidad

organizativ

a de

destino>

/


"


o"

Migrar SID

de GG


Gestión de

conflictos





destino.


para migrar grupos globales utilizando la siguiente secuencia de comandos de muestra.



<Job id=" RemigratingGlobalGroupsBetweenForests" >



Option Explicit

Nueva migración de grupos universales mediante una secuencia de comandos

167

Dim objMigration


'


'



'


'






'


'


'


'


grupo2" )


168


</Script>

</Job>

Conversión de seguridad en modo Quitar


Convierta la seguridad en los objetos para quitar los identificadores de seguridad (SID) de las

cuentas del dominio de origen de las listas de control de acceso (ACL) de los objetos migrados.

Esto se realiza sólo después de que se hayan deshabilitado todas las cuentas de origen. Ejecute

el Asistente para conversión de seguridad en todos los archivos, carpetas compartidas y grupos

locales y al menos un controlador de dominio (para convertir la seguridad en los grupos locales

compartidos).

Cuando convierte la seguridad en modo Quitar, los SID del dominio de origen para el usuario ya

no están presentes o disponibles si la cuenta del usuario de destino se ha migrado

correctamente y los SID se han agregado allí. Este proceso habilita la limpieza administrativa y

asegura que los usuarios utilizan su "nueva" cuenta de dominio de destino y dejan de usar la

"antigua" cuenta de dominio de origen.

Puede convertir la seguridad en modo Quitar en objetos mediante el complemento de la

Herramienta de migración para Active Directory (ADMT), la opción de línea de comandos de

ADMT o una secuencia de comandos.




siguiente.



migrados.








Conversión de seguridad en modo Quitar en objetos mediante el complemento de ADMT

169




















O bien





Siguiente.


Perfiles de usuario.

Active el resto de casillas de verificación.

Opciones de conversión de seguridad Haga clic en Quitar.






/TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /TOT:Remove


Conversión de seguridad en modo Quitar en objetos mediante la opción de línea de comandos de ADMT

170







comandos


<Dominio de

origen>


<Dominio de

destino>


Opciones de

conversión de

seguridad

/TOT:Remove TranslateOption=REMOVE


finalizado el Asistente, haga clic en Ver registro de migración para ver la lista de





ADMT\Logs\Agents.

Prepare una secuencia de comandos que incorpore los comandos y opciones de ADMT

para convertir la seguridad en modo Quitar en objetos mediante la siguiente secuencia

de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde

el archivo con la extensión .wsf en la misma carpeta que el archivo AdmtConstants.vbs.

<Job id=" TranslatingSecurityInRemoveModeOnObjectsBetweenForests" >



Option Explicit

Dim objMigration


'

Para convertir la seguridad en modo Quitar en objetos mediante una secuencia de comandos

171


'



'


'




'


'

objSecurityTranslation.TranslationOption = admtTranslateRemove








'


'



172



</Script>

</Job>

Migración de recursos


El proceso de la migración de recursos entre los dominios de Active Directory en distintos

bosques implica la finalización de la migración de lo siguiente:

Cuentas de estaciones de trabajo y servidores miembro

Grupos locales del dominio y compartidos

Controladores de dominio

Una vez migrados correctamente todos los objetos de recursos al dominio de destino, puede dar

de baja el dominio de origen.

En la ilustración siguiente se muestra el proceso para la migración de objetos de recursos entre

los dominios de Active Directory en distintos bosques.

173

Migración de estaciones de trabajo y servidores miembro


Migre las estaciones de trabajo restantes que no ha migrado durante el proceso de migración de

cuentas, junto con los servidores miembro, en pequeños lotes de hasta 100 equipos. La

migración de cuentas de estaciones de trabajo y de servidores miembro es un proceso sencillo.

Las estaciones de trabajo y los servidores miembro tienen su propia base de datos de cuentas

del Administrador de cuentas de seguridad (SAM). Cuando migre una estación de trabajo entre

dominios, la base de datos de SAM se migra junto con el equipo. Las cuentas de la base de

datos local de SAM (como grupos locales) que se utilizan para habilitar el acceso a los recursos

se mueven siempre con el equipo. Por consiguiente, no se tienen que migrar.


han migrado previamente, la Herramienta de migración Active Directory (ADMT) proporciona una

opción que permite reinstalar la cuenta de servicio administrada migrada en el equipo migrado y

actualizar el Administrador de control de servicios. Para que ADMT pueda realizar esta

operación, la cuenta que realiza la migración del equipo debe tener permisos para modificar el

descriptor de seguridad de la cuenta de servicio administrada migrada.

Como la migración requiere el reinicio de las estaciones de trabajo y de los servidores miembro,

es importante programar la migración cuando el servidor no esté realizando solicitudes.

Reinicie las estaciones de trabajo inmediatamente después de unirlas al dominio de

destino, seleccionando un número bajo (como 1) para el parámetro RestartDelay. Los

recursos que no se han reiniciado después de la migración se encuentran en un estado

indeterminado.

Puede migrar estaciones de trabajo y servidores miembro mediante el complemento de la

Herramienta de migración para Active Directory (ADMT), la opción de línea de comandos de

ADMT o secuencia de comandos.



2. Utilice el Asistente para migración de cuentas de equipo siguiendo los pasos de la tabla

siguiente.







Nota Migración de estaciones de trabajo y servidores miembro mediante el complemento de

ADMT

174






















O bien





Siguiente.



equipo cuenta con alguna cuenta de

servicio administrada instalada)






como Omitir.







Opciones de conversión de seguridad Active la casilla de verificación Grupos

175


locales.


de usuario.

Convertir objetos Haga clic en Agregar.

Opciones de equipo En Minutos que habrán de transcurrir

para que se reinicien los equipos tras

la finalización del asistente, acepte el

valor predeterminado de 5 minutos o

escriba un valor distinto.


objetos de la migración, active la casilla

de verificación Excluir propiedades de





Siguiente.



dominio de destino.





finalizado el Asistente, haga clic en Ver registro de migración para ver la lista de





ADMT\Logs\Agents.





Migración de estaciones de trabajo y servidores miembro mediante la opción de línea de comandos de ADMT

176










La siguiente tabla enumera los parámetros comunes que se utilizan para migrar




comandos


<Dominio de

origen>

SD:"dominio_origen" SourceDomain="dominio_origen"

Ubicación de la

<Unidad

organizativa de

origen>

/


gen"


rigen"

<Dominio de

destino>


Actualizar cuentas

de servicio

administradas


=Yes

Actualizar cuentas

de servicio

administradas

específicas

Nota

El

paráme

tro /M

tiene

prefere

ncia

sobre

el


“nombre 2”…

177


comandos


paráme

tro

/UALL

MSA.

Ubicación de la

<Unidad

organizativa de

destino>

/


tino"


estino"

Retraso de reinicio

(minutos)


Opción de

conversión de

seguridad


Convertir derechos

de usuario


Convertir grupos

locales









Compruebe que las estaciones de trabajo existen en la unidad organizativa de destino.


para migrar estaciones de trabajo y servidores miembro utilizando la siguiente secuencia

de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde

el archivo con la extensión .wsf en la misma carpeta que el archivo AdmtConstants.vbs.

<Job id="MigratingWorkstationsMemberServersBetweenForests" >


Migración de estaciones de trabajo y servidores miembro mediante una secuencia de comandos

178


Option Explicit

Dim objMigration


'


'



'


'





'


'






'

179


'





</Script>

</Job>

Migrar grupos locales compartidos y de dominios


Los grupos locales compartidos son grupos locales de los dominios de Windows NT 4.0 y

Active Directory que se pueden utilizar en las listas de control de acceso (ACL) de los

controladores de dominio. Cuando un dominio se configura para funcionar en modo nativo de

Windows 2000 o a nivel funcional del dominio de Windows Server 2003, los grupos locales

compartidos se cambian automáticamente a grupos locales de dominios. Estos grupos se

pueden utilizar en las listas ACL de servidores miembro y estaciones de trabajo. Si los grupos

locales de dominios o grupos locales compartidos se utilizan en las listas ACL de controladores

de dominio o servidores miembro, tiene que migrarlos al dominio de destino antes de migrar el

servidor.

No es necesario cambiar las listas ACL como parte del proceso de migración. Las listas ACL

continúan haciendo referencia a los grupos locales de dominios o grupos locales compartidos del

dominio de origen. Puesto que los grupos locales de dominios o grupos locales compartidos se

pueden migrar al dominio de destino mientras se utiliza el historial de identificadores de

seguridad (SID), los usuarios conservan acceso a los recursos. ADMT conserva la pertenencia

del grupo local durante la migración.

Puede migrar grupos locales compartidos o de dominios mediante el complemento de la

Herramienta de migración para Active Directory (ADMT) o una secuencia de comandos.




Migración de grupos locales compartidos y de dominios mediante el complemento de ADMT

180

siguiente.



























Siguiente.

O bien





Siguiente.






181




Opciones de grupo Active la casilla de verificación Migrar SID



todas las opciones.


contraseña y el dominio de una cuenta

que tenga derechos administrativos en el

dominio de origen.



migración.


combinar objetos en conflicto. (Todas

las opciones están desactivadas).

3. Cuando el asistente finalice su ejecución, haga clic en Ver registro. Revise si hay

errores en el registro de migración.

4. Abra Usuarios y equipos de Active Directory, busque la unidad organizativa de destino y,

a continuación, compruebe que los grupos locales compartidos existen en la unidad



opciones para la migración de grupos locales compartidos y de dominios utilizando la

siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el

Bloc de notas y guarde el archivo con la extensión .wsf en la misma carpeta que el

archivo AdmtConstants.vbs.

<Job id=" MigratingDomainAndSharedLocalGroupsBetweenForests" >



Option Explicit

Dim objMigration

Migración de grupos locales compartidos y de dominios mediante una secuencia de comandos

182


'


'



'


'





'


'


'


'

objGroupMigration.Migrate admtData, _

Array("nombre de grupo local1" ,"nombre de grupo local2" )



</Script>

183

</Job>

Migración de controladores de dominio


En Active Directory o en los Servicios de dominio de Active Directory (AD DS), puede migrar

controladores de dominio entre dominios. Para ello, debe realizar las siguientes acciones:

Quitar Active Directory o AD DS del controlador de dominio.

Migrar el controlador de dominio como servidor miembro al dominio de destino.

Reinstalar Active Directory o AD DS.

Si el servidor ejecuta Windows 2000 Server, no podrá instalar Active Directory o AD DS en el

dominio de destino si éste ya está en el nivel funcional de Windows Server 2003. En este caso,

debe actualizar el servidor a Windows Server 2003 antes de instalar Active Directory o AD DS.

Los mismos pasos que se requieren para migrar un RODC son necesarios para migrar un

controlador de dominio de escritura.

Finalización de la migración


Después de migrar todas las cuentas y recursos del dominio de origen al de destino, realice las

siguientes tareas para completar el proceso de reestructuración:

Transfiera la administración de cuentas de usuario y cuentas de grupo del dominio de origen

al de destino.

Asegúrese de que, al menos, dos controladores de dominio siguen funcionando en el

dominio de origen hasta que el proceso de migración de recursos haya terminado.

Haga una copia de seguridad de los dos controladores de dominio en el dominio de origen.

Una vez complete estos pasos, puede convertir la seguridad en los servidores miembros del

dominio de destino y dar de baja el dominio de origen. La siguiente ilustración muestra el

proceso para completar la migración de dominios de Active Directory entre bosques.

184

Conversión de seguridad en los servidores miembro


Convierta la seguridad de los servidores de miembro para limpiar las listas de control de acceso

(ACL) de los recursos. Tras la migración de los objetos al dominio de destino, los recursos

contienen entradas de listas ACL de los objetos del dominio de origen. Si usa el historial de

identificadores de seguridad (SID) para proporcionar acceso a los recursos durante la migración,

los SID del dominio de origen permanecen en las listas ACL de manera que los usuarios pueden

tener acceso a los recursos durante el proceso de migración. Después de finalizar la migración,

los SID del dominio de origen ya no son necesarios. Use el Asistente para conversión de

seguridad de la Herramienta de migración para Active Directory (ADMT) para reemplazar los SID

del dominio de origen por los SID del dominio de destino.

No tiene que realizar este procedimiento si no utiliza el historial de SID para el acceso a los

recursos, puesto que ya debería haber ejecutado la conversión de seguridad en modo Quitar

después de la migración de usuarios.

Puede convertir la seguridad de los servidores miembro mediante el complemento de ADMT, la


185




siguiente.



migrados.


























O bien





Siguiente.

Conversión de seguridad en los servidores miembro mediante el complemento de ADMT

186



Perfiles de usuarios.

Seleccione todas las demás opciones.













de opciones.


comandos


<Dominio de

origen>


<Dominio de

destino>


Opciones de

conversión de

seguridad

/TOT:Replace TranslateOption=REPLACE







ADMT\Logs\Agents.

Conversión de seguridad en los servidores miembro mediante la opción de línea de comandos de ADMT

187


opciones para convertir la seguridad en los servidores miembro mediante la siguiente

secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de

notas y guarde el archivo con la extensión .wsf en la misma carpeta que el archivo

AdmtConstants.vbs.

<Job id=" TranslatingSecurityOnMemberServersBetweenForests" >



Option Explicit

Dim objMigration


'


'



'


'




'


'



Conversión de seguridad en servidores miembro mediante una secuencia de comandos

188







'


'





</Script>

</Job>

Cómo dar de baja el dominio de origen


Después de completar la migración de las cuentas y recursos en el dominio de origen, dé de baja

el dominio de origen. Asegúrese de que conserva una copia de seguridad del estado de todo el

sistema de un controlador de dominio para que pueda volver a conectar el dominio en cualquier

momento.

1. Quite todas las relaciones de confianza entre el dominio de origen y el dominio de

destino.

2. Vuelva a adaptar cualquier controlador de dominio restante en el dominio de origen que

no haya migrado al dominio de destino.

3. Deshabilite todas las cuentas que haya creado durante el proceso de migración,

incluyendo aquellas cuentas a las que ha asignado permisos administrativos.

Nota

Para dar de baja el dominio de origen

189

Cuando dé de baja el dominio de origen, los grupos locales compartidos y los

grupos locales que no ha convertido usando el Asistente para conversión de

seguridad mostrarán los miembros de grupo como "cuenta desconocida". Esto

es debido a que los nombres de los miembros del dominio de origen no se

resuelven. Sin embargo esta pertenencia al grupo todavía existe y esto no afecta

a los usuarios. No elimine las entradas de la "cuenta desconocida" porque esto

deshabilita el acceso que se facilita por el historial de identificadores de

seguridad (SID). Ejecute al Asistente para la conversión de seguridad para quitar

estas entradas.

Reestructuración de dominios de Active Directory dentro de un mismo bosque


La reducción del número de dominios de Active Directory en su bosque reduce o simplifica a su

vez lo siguiente:

Requisitos administrativos de la organización

Tráfico de replicación

Administración de grupos y usuarios

Implementación de la directiva de grupo

Si los usuarios se cambian con frecuencia a ubicaciones que forman parte de diferentes

dominios, también puede migrar objetos entre dominios con regularidad. El proceso de

reestructuración de dominios de Active Directory dentro de un bosque es diferente del proceso

de reestructuración de los dominios de Active Directory entre bosques. Este proceso requiere un

atento planeamiento y realización de pruebas.

Lista de comprobación: Realización de una migración dentro del mismo bosque


La reducción del número de dominios de Active Directory en el bosque simplifica las tareas

siguientes o reduce el tiempo necesario para completarlas:

Administración de requisitos administrativos de la organización

Control del tráfico de replicación

Administración de usuarios y grupos

Implementación de la directiva de grupo

190

Si cambia con frecuencia la asignación de usuarios a diferentes dominios, también puede migrar

objetos entre dominios con regularidad. La reestructuración de los dominios de Active Directory

dentro de un bosque es diferente a la migración entre bosques y requiere un atento

planeamiento y realización de pruebas.

Tarea Referencia

Revise las instrucciones de instalación de la



destino

Para migrar equipos que ejecuten

Windows Server® 2008, Windows Server 2003,

Windows Vista® (sin Service Pack 1(SP1)), Windows

XP y Microsoft® Windows 2000 (utilizando ADMT 3.1) a

un dominio de destino con controladores de dominio

que ejecuten Windows Server 2008 R2 o Windows

Server 2008, debe configurar primero la siguiente clave

del Registro en los controladores de dominio de

destino:

Nota

No es necesario configurar esta clave para

migrar los equipos que ejecuten

Windows Vista SP1, Windows 7 o Windows

Server 2008 R2.

Ruta de Registro: HKLM\System\CurrentControlSet\

Services\Netlogon\Parameters

Valor del Registro: AllowNT4Crypto

Tipo: REG_DWORD

Datos: 1

Nota

Esta configuración de registro corresponde a la

configuración Permitir algoritmos de cifrado

con Windows NT 4.0 en la directiva de grupo.


de cómo realizar cambios mediante la

directiva de grupo, consulte

"Problemas conocidos de instalación y

eliminación de AD DS"


LinkId=119321).

Para cualquier tarea de migración que use la

implementación de agente y el Firewall de Windows,

habilite la excepción Compartir impresoras y archivos.

Esto puede incluir la migración en las siguientes

situaciones:

Migración de equipos de estación de trabajo y

servidores miembro que se ejecutan en Windows

Server 2008 R2, Windows Server 2008, Windows 7

Para obtener más información,

consulte "Habilitar o deshabilitar la

regla de excepción de uso compartido

de archivos e impresoras"


LinkID=119315).

191





Tarea Referencia

o Windows Vista

Migración de configuración de seguridad o

conversión de seguridad

Prepárese para la reestructuración de los dominios de

Active Directory dentro de un bosque. Esta tarea


Evalúe la nueva estructura de dominios de

Active Directory.

Asigne las funciones y ubicaciones de objetos de

dominio.

Planee la migración de grupos y texto.

Cree un plan de reversión y un plan de

comunicación de usuarios.

Cree grupos de cuentas de migración.

Instale ADMT.

Planee la transición de cuentas de servicios.


destino

Preparación para la reestructuración

de dominios de Active Directory dentro

de un bosque

Migre grupos globales y universales mediante el

Asistente para migración de cuentas de grupo o con la


Migración de grupos

Migre cuentas de servicios mediante el Asistente para

migración de cuenta de servicios o las herramientas de

línea de comandos de ADMT como, por ejemplo, admt

service para identificar cuentas de servicio en el

dominio de origen y admt user para migrar las cuentas

de servicio especificadas.

Migrar cuentas de sercivios

Migre cuentas de servicio administradas mediante el

Asistente para migración de cuentas de servicio

administradas o con la herramienta de línea de

comandos admt managedserviceaccount.

Migración de cuentas de servicio

administradas

Migre cuentas de usuario mediante el Asistente para

migración de cuentas de usuario o con la herramienta

de línea de comandos admt user.

Migrar cuentas de usuario

Convierta los perfiles locales de usuario mediante el

Asistente para conversión de seguridad o bien con la

herramienta de línea de comandos admt security.

Conversión de perfiles de usuarios

locales

Migre los equipos de estación de trabajo y servidores Migración de estaciones de trabajo y

192

Tarea Referencia

miembro mediante el Asistente para migración de

equipos o bien con la herramienta de línea de

comandos admt computer.

servidores miembro

Migre los grupos locales de dominios usando el



Migrar grupos locales de dominios

Complete las tareas posteriores a la migración. Esta

tarea contiene las siguientes subtareas:

Examine los registros de migración en busca de

errores.

Compruebe los tipos de grupo.

Convierta la seguridad de los servidores miembro.

Retire los dominios de origen.

Examen de los registros de

migración en busca de errores

Comprobar tipos de grupos

Conversión de seguridad en los

servidores miembro

Baja del dominio de origen

Introducción a la reestructuración de dominios de Active Directory dentro de un bosque mediante


El diseño de Active Directory más eficaz incluye el menor número posible de dominios. Al

minimizar el número de dominios en su bosque, puede reducir los costos administrativos y

aumentar la eficacia de su organización.

Es posible que tenga que reestructurar los dominios de su bosque si, por ejemplo, su

organización cierra una ubicación de oficina regional y el dominio regional de dicha ubicación ya

no se necesita. Para simplificar su estructura lógica de Active Directory, en los siguientes casos,

también podrá reestructurar dominios en su bosque:

Si ha actualizado su infraestructura de red.

Si ha aumentado el ancho de banda de red y la capacidad de replicación.

El proceso de reestructuración de los dominios de Active Directory en un bosque es similar al

proceso de migración de cuentas entre dominios. Cuando migra cuentas y recursos entre

dominios, migra objetos del dominio de origen al de destino sin dar de baja el dominio de origen.

Al reestructurar dominios de Active Directory, elimina el dominio de origen del bosque después

de completar la migración de todos los objetos de dominio.

Antes de comenzar el proceso de reestructuración de los dominios de Active Directory de un

bosque, asegúrese de que los dominios de origen y de destino operen en el nivel funcional

193

mínimo de dominio que es necesario para la versión de ADMT que vaya a utilizar. Si utiliza ADMT

v3.1, el nivel funcional mínimo de dominio es Windows 2000 nativo. Si utiliza ADMT v3.2, el nivel

funcional mínimo de dominio es Windows Server 2003.

Una vez completado el proceso de reestructuración de los dominios de Active Directory en un

bosque, puede dar de baja el dominio de origen para ayudar a reducir la sobrecarga y simplificar

la administración del nivel funcional del dominio en su organización.

Reestructuración de dominios de Active Directory dentro de un bosque mediante ADMT v3.1


Para mantener el acceso de los usuarios a los recursos durante el proceso de reestructuración

de dominios, debe realizar los pasos de la migración en un orden específico. La siguiente

ilustración muestra el proceso de reestructuración de dominios de Active Directory en un bosque.

Información general para la reestructuración de dominios de Active Directory dentro de un bosque


La reestructuración de los dominios de Active Directory dentro de un bosque implica la migración

de cuentas y recursos desde dominios de origen a dominios de destino. A diferencia del proceso

194

de reestructuración de dominios de Active Directory entre bosques, cuando se reestructuran

dominios en un bosque, los objetos migrados ya no existen en el dominio de origen.

En el caso de la migración dentro de un mismo bosque, las cuentas del equipo se tratan

de forma diferente que las cuentas de grupos y usuarios. Para facilitar la reversión, se

crea una nueva cuenta de equipo en el dominio de destino y la cuenta del equipo de

origen permanece habilitada en el dominio de origen tras la migración.

Además, la migración de cuentas de usuario, recursos y grupos requiere una consideración

especial cuando reestructura los dominios de Active Directory dentro de un bosque debido a las

reglas de contención que se aplican a los grupos de Active Directory. Por estos motivos, el

desafío cuando se reestructuran dominios de Active Directory en un bosque es asegurar que los

usuarios tienen un acceso continuo a los recursos durante el proceso de migración.

Conjuntos cerrados y conjuntos abiertosAl reestructurar los dominios de Active Directory en un bosque, debe tener presente dos tipos de

conjuntos cerrados:

Usuarios y grupos

Recursos y grupos locales

Usuarios y gruposEl primer tipo de conjunto cerrado incluye lo siguiente:

Cuentas de usuario

Todos los grupos globales a los que pertenecen los usuarios

Todos los demás miembros de los grupos globales

Los grupos globales están limitados a los miembros del dominio donde existen los grupos

globales. Por tanto, si migra una cuenta de usuario a un nuevo dominio pero no migra los grupos

globales a los que pertenece el usuario, éste dejará de ser un miembro válido de dichos grupos

globales y no podrá tener acceso a los recursos que están basados en la pertenencia a esos

grupos globales. Por consiguiente, cuando esté desplazando cuentas entre dominios en un

bosque, es necesario desplazar los conjuntos cerrados para que los usuarios conserven el

acceso a esos recursos.

Aunque las cuentas incorporadas (como administradores, usuarios y usuarios avanzados) y las

cuentas conocidas (como administradores de dominio y usuarios de dominio) no pueden ser

objetos de migración de la Herramienta de migración para Active Directory (ADMT), la migración

de esos grupos en conjuntos cerrados no es un problema común. Su utilización en listas de

control de acceso (ACL) o la pertenencia a grupos locales de dominio no es una forma eficaz de

asignar permisos de recursos.

Cuando se migran usuarios, ADMT convierte al usuario en miembro del grupo de usuarios de

dominio del dominio de destino. Sin embargo, no mantiene los permisos de otros grupos

incorporados (como operadores de servidor y operadores de copias de seguridad) o de grupos

conocidos (como administradores de dominio). Si tiene grupos incorporados o conocidos a los

Nota

195

que asignar permisos de recursos, debe reasignar esos permisos a un nuevo grupo local de

dominio antes de comenzar la migración. La reasignación de permisos incluye la realización de

los pasos siguientes:

1. Cree un nuevo grupo local de dominio en el dominio de origen.

2. Cree un nuevo grupo local en el dominio de origen que contenga usuarios que necesiten

tener acceso al recurso.

3. Agregue el nuevo grupo global al grupo local de dominio.

4. Ejecute la conversión de seguridad con el archivo de asignación del identificador de

seguridad (SID) que asigna el grupo conocido al nuevo grupo local de dominio (creado en el

primer paso) en todos los recursos que asignan permisos usando grupos conocidos. Para

obtener información sobre cómo realizar una conversión de seguridad usando un archivo de

asignación SID, consulte Conversión de seguridad mediante un archivo de asignación SID,

más adelante en esta guía.

En los pequeños entornos de dominio que tienen pocos grupos locales, es posible que pueda

identificar los conjuntos cerrados de usuarios y grupos. Si puede identificar los conjuntos

cerrados, en este caso puede migrar usuarios y grupos al mismo tiempo. En un entorno de

dominio más grande, un usuario puede pertenecer a varios grupos globales. Por tanto, es difícil

identificar y migrar sólo conjuntos cerrados de usuarios y grupos. Por este motivo, es mejor

migrar los grupos antes de migrar cuentas de usuario.

Por ejemplo, el Usuario 1 pertenece a los grupos globales Global A y Global B y es miembro del

Dominio 1. Si un administrador desplaza el Usuario 1 y Global A al Dominio 2 del mismo bosque,

estas cuentas dejarán de existir en el Dominio 1. Sólo existirán en el Dominio 2 del mismo

bosque. El grupo Global B continúa en el Dominio 1. Esto crea un conjunto abierto, o un conjunto

que incluye usuarios y grupos de más de un dominio. Como los grupos globales sólo pueden

contener miembros del dominio en donde existe el grupo global, la pertenencia del Usuario 1 a

Global B ya no es válida, y el Usuario 1 ya no tendrá acceso a los recursos basados en la

pertenencia a Global B. Por tanto, es mejor migrar ambos grupos globales antes de migrar el

Usuario 1.

Si está migrando un conjunto abierto de objetos en un entorno en el que el nivel funcional tanto

del dominio de origen como de destino está en modo nativo de Windows 2000 y superior, ADMT

transforma el grupo global en un grupo universal para que pueda contener usuarios de otros

dominios y conserven la pertenencia al grupo. Cuando el conjunto se convierte en un conjunto

cerrado, ADMT vuelve a cambiar el grupo a un grupo global. La ventaja de este proceso es que

ADMT se asegura que se resuelven todos los problemas con los conjuntos cerrados. Sin

embargo, la replicación del catálogo global aumenta aunque los grupos son grupos universales

porque la pertenencia se copia en el catálogo global.

Si el nivel funcional del dominio de origen es Windows 2000 mixto, ADMT no puede

transformar el grupo global en un grupo universal porque los grupos universales no

existen en ese nivel funcional. Sin embargo, aunque el dominio de destino esté en modo

nativo, los usuarios de los dominios de modo mixto no podrían obtener los SID de los

grupos universales en sus tokens de acceso, si los grupos proceden de fuera del

dominio. Por tanto, ADMT crea una copia del grupo global en el dominio de destino y

Nota

196

agrega todos los usuarios migrados a la copia de dicho grupo. Este grupo tiene un nuevo

SID y ningún historial de SID. Este método no conserva el acceso a los recursos a no ser

que se ejecute el Asistente para conversión de seguridad de ADMT en modo Agregar

para actualizar los permisos, lo que retrasa y complica el proceso de migración. Por este

motivo, no recomendamos reestructurar dominios que están funcionando en el nivel

funcional de Windows 2000 mixto o en el nivel funcional de dominio provisional de

Windows Server 2003.

Recursos y grupos localesEl segundo tipo de conjunto cerrado son los recursos y grupos locales. En la mayoría de los

casos, los recursos tienen permisos asignados a grupos locales del equipo o a grupos locales de

dominio. Como los grupos locales del equipo se migran cuando migra el equipo, estos grupos

son un conjunto cerrado natural. Sin embargo, los grupos locales de dominio se pueden usar en

varios equipos para asignar permisos.

En este caso, o bien puede migrar todos los equipos que usan el grupo local de dominio al

mismo tiempo que el grupo local de dominio migra al dominio de destino, o bien puede cambiar

manualmente el grupo local de dominio a un grupo universal y luego migrar el grupo universal. El

cambio del grupo local de dominio a un grupo universal es un proceso manual porque ADMT no

realiza de forma automática esta tarea. Aunque este cambio puede aumentar el tamaño del

catálogo global, en un período limitado de tiempo, es una forma eficaz de migrar recursos y

grupos locales de dominio como un conjunto cerrado.

Historial de SIDEl historial de SID le ayuda a mantener el acceso del usuario a los recursos durante el proceso

de reestructuración de dominios de Active Directory. Cuando migra un objeto a otro dominio, al

objeto se le asigna un nuevo SID. Como asigna permisos a objetos basados en SID, cuando el

SID cambia, el usuario pierde el acceso a ese recurso hasta que se puedan reasignar los

permisos. Cuando usa ADMT para migrar objetos entre dominios del mismo bosque, el historial

de SID se conserva automáticamente. De esta forma, el SID del dominio de origen permanece

como un atributo del objeto después de que éste migre al dominio de destino.

Por ejemplo, una organización que está reestructurando sus dominios de Active Directory

desplaza los grupos universales y globales de un dominio de origen a un dominio de destino

antes de mover las cuentas de usuario. Como es una migración dentro de un bosque y el nivel

funcional del dominio de origen es Windows 2000 nativo, estos grupos dejan de existir en el

dominio de origen y sólo existen en el dominio de destino. Como se migra el historial de SID de

usuarios y grupos, los usuarios siguen teniendo acceso a los recursos del dominio de origen

basándose en su pertenencia a un grupo que existe en el dominio de destino.

Asignación de acceso de recursos a gruposLa forma más eficaz de asignar permisos a recursos es realizar las acciones siguientes:

197

1. Asignar usuarios a grupos globales

2. Colocar grupos globales dentro de grupos locales de dominio

3. Asignar permisos a los grupos locales de dominio

La asignación de permisos a recursos simplifica así el proceso de migración.

Preparación para la reestructuración de dominios de Active Directory dentro de un bosque


La cuidadosa preparación antes de reestructurar los dominios de Active Directory puede reducir

el efecto que tiene en los usuarios la migración de objetos de los dominios de origen a los de

destino. En la ilustración siguiente se muestran los pasos implicados en la preparación de la

reestructuración de dominios de Active Directory dentro de un bosque.

198

Evaluación de la nueva estructura de bosque de Active Directory


Evalúe la estructura de dominio de su bosque de Active Directory existente y, a continuación,

identifique los dominios que desea reestructurar consolidándolos con otros dominios. También

deberá:

Identificar los dominios de origen desde los que migra objetos.

Identificar y evaluar la estructura de unidad organizativa (OU) del dominio de destino en el

que ubicará esos objetos.

199

Identificar los dominios de origenLos dominios de origen son aquéllos desde los que desea migrar objetos y que planea dar de

baja. Cuando reestructura los dominios de Active Directory, lo mejor es migrar el menor número

posible de objetos. Cuando selecciona dominios de origen, identifique los dominios que tienen

menos objetos que migrar.

Identifique y evalúe la estructura de unidades organizativas del dominio de destinoIdentifique las unidades organizativas del dominio de origen que necesite en el dominio de

destino y, a continuación, determine si tiene que crear nuevas unidades organizativas en el

dominio de destino.

Si está utilizando la Herramienta de migración para Active Directory (ADMT) en modo línea de

comandos o secuencia de comandos, puede migrar la estructura de unidades organizativas

cuando migre usuarios, grupos o equipos. Las unidades organizativas siempre se copian entre

los dominios y no se eliminan en el dominio de origen. Para migrar correctamente una unidad

organizativa, debe especificar una unidad organizativa de origen y otra de destino en ADMT y la

unidad organizativa de destino debe existir. Todos los objetos en la unidad organizativa de origen

y todas las unidades organizativas subordinadas se migran a la unidad organizativa de destino.

La unidad organizativa de origen especificada en sí misma no se migra.

Para obtener más información acerca de cómo crear una estructura de unidad organizativa,

consulte "Designing Organizational Units for Delegation of Administration" (Diseño de unidades

organizativas para la delegación de la administración) (http://go.microsoft.com/fwlink/?

LinkID=76628).

Asignación de las funciones y ubicaciones de objetos de dominio


Cree una tabla de asignación de objetos que enumere las funciones y ubicaciones de todos los

objetos que está migrando. Cree una tabla para objetos de cuenta, como usuarios, grupos y

cuentas de servicios, así como una tabla para los objetos de recursos, como estaciones de

trabajo, perfiles y controladores de dominio. En sus tablas, enumere las ubicaciones de origen y

de destino para todos los objetos que se van a migrar.

Antes de crear su tabla de asignación de objetos de cuentas, determine si las estructuras de

unidades organizativas (OU) del dominio para los dominios de origen y destino son las mismas.

Si no son las mismas, debe identificar las unidades organizativas de origen y destino en sus

tablas de asignación de objetos.

200



Para obtener una hoja de cálculo para ayudarle a crear una tabla de asignación de objetos de

cuenta, consulte "User and Group Object Assignment Table" (Tabla de asignación de objetos de

grupo y usuario) (DSSREER_1.doc) en la descarga


Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/?LinkId=14384).

La siguiente ilustración muestra un ejemplo de una tabla de asignación de objetos para usuarios

y grupos.

Para crear una tabla de asignación de objetos de recursos, identifique las unidades organizativas

de origen y destino para cada objeto y observe la ubicación física y la función en el dominio de

destino. Para obtener una hoja de cálculo para ayudarle a crear una tabla de asignación de

objetos de recursos, consulte "Resource Object Assignment Table" (Tabla de asignación de

objetos de recursos) (DSSREER_2.doc) en la descarga



La siguiente ilustración muestra un ejemplo de una tabla de asignación de objetos de recursos.

201



Plan para la migración de grupos


A no ser que pueda identificar conjuntos cerrados al reestructurar dominios de Active Directory

dentro de un bosque, debería migrar grupos y usuarios por separado. De esta forma se asegura

de que los usuarios continúan teniendo acceso a los recursos requeridos.

En la tabla siguiente se enumera cada tipo de grupo y dónde se ubica físicamente.

Tipo de grupo Ubicación

Grupo global Active Directory

Grupo universal Active Directory

Grupo local de dominio Active Directory

Grupo local del equipo Base de datos del equipo local

202

Cada tipo de grupo se migra de forma diferente en función de la ubicación física del grupo y de

sus reglas para la pertenencia al grupo. Puede migrar los grupos universales y los grupos

globales usando la Herramienta de migración para Active Directory (ADMT). Puede

transformarlos en grupos universales durante la duración de la migración, si no está migrando

conjuntos cerrados. Puede actualizar la pertenencia a grupos locales del equipo usando el

Asistente para la conversión de seguridad.

Cada tipo de grupo tiene reglas diferentes para la pertenencia y cada tipo de grupo sirve para un

propósito diferente. Esto afecta al orden de migración de los grupos de los dominios de origen a

los de destino. En la tabla siguiente se resumen los grupos y sus reglas de pertenencia.

Tipo de grupo Reglas y pertenencia

Grupos universales Los grupos universales pueden contener

miembros de cualquier dominio del bosque y

pueden replicar la pertenencia a grupos del

catálogo global. Por tanto, puede usarlos para

grupos administrativos. Al reestructurar los

dominios, migre primero los grupos

universales.

Grupos globales Los grupos globales sólo pueden incluir

miembros del dominio al que pertenecen.

ADMT cambia automáticamente el grupo global

en el dominio de origen a un grupo universal

cuando se ha migrado al dominio de destino, si

el nivel funcional de ambos dominios está en

modo nativo de Windows 2000 o superior.

ADMT vuelve a cambiar automáticamente los

grupos universales en grupos globales después

de que todos los miembros del grupo hayan

migrado al dominio de destino.

Grupos locales de dominio Los grupos locales de dominio pueden

contener usuarios de cualquier dominio. Se

utilizan para asignar permisos a recursos. Al

reestructurar los dominios, debe migrar los

grupos locales de dominio cuando migra los

recursos a los que proporcionan acceso, o

debe cambiar el tipo de grupo a grupo

universal. Esto minimiza la interrupción del

acceso del usuario a los recursos.

ADMT no convierte automáticamente los

grupos locales de dominio en grupos

203

Tipo de grupo Reglas y pertenencia

universales, como lo hace para los grupos

globales.

Plan para migraciones de prueba


La Herramienta de migración Active Directory (ADTM) no incluye una opción de migración de

prueba. Desarrolle un plan de prueba para ayudarle a la comprobación sistemática de cada

objeto después de migrarlo al nuevo entorno y a la identificación y corrección de cualquier

problema que pueda surgir. La comprobación de que la migración se ha realizado correctamente

le ayuda a asegurar que los usuarios que se migran del dominio de origen al de destino puedan

iniciar sesión, tener acceso a los recursos en base a la pertenencia a un grupo y tener acceso a

los recursos en base a sus credenciales de usuario. La comprobación también le ayuda a

asegurar que los usuarios puedan obtener acceso a los recursos que migre.

Una vez completada la comprobación, puede seguir con la migración de pequeños grupos piloto

y, a continuación, ir aumentando gradualmente el tamaño de cada lote de objetos de migración

en su entorno de producción.

Utilice el siguiente proceso para comprobar la migración de su objeto de cuenta y objetos de

recursos:

1. Cree un usuario de prueba en el dominio de origen. Incluya este usuario de prueba en sus

migraciones.

2. Agregue dicho usuario a los grupos globales apropiados para habilitar el acceso a los

recursos.

3. Inicie sesión en el dominio de origen como el usuario de prueba y compruebe que puede

obtener acceso a los recursos correspondientes.

4. Tras migrar la cuenta de usuario, convierta el perfil de usuario y migre la estación de trabajo

del usuario, inicie sesión en el dominio de destino como el usuario de prueba y compruebe

que el usuario conserva todos los accesos y funciones necesarios. Por ejemplo, podrá

comprobar que:

El usuario puede iniciar sesión correctamente.

El usuario tiene acceso a todos los recursos apropiados, como usos compartidos de

impresiones y archivos; acceso a los servicios como mensajería, así como acceso a las

aplicaciones de línea de negocio (LOB). Es especialmente importante comprobar el

acceso a las aplicaciones desarrolladas internamente que tienen acceso a los servidores

de bases de datos.

El perfil de usuario se ha convertido correctamente y el usuario conserva su

configuración de escritorio, apariencia de escritorio, accesos directos y acceso a la

204

carpeta Mis documentos. Asimismo, compruebe que las aplicaciones aparecen y se

inician desde el menú Inicio.

No puede migrar cada propiedad de usuario al migrar cuentas de usuario. Para obtener

más información sobre las propiedades de usuario que no se pueden migrar, consulte

Migrar cuentas de usuario, más adelante en esta guía.

Una vez migrados los recursos, inicie sesión como el usuario de prueba en el dominio de destino

y compruebe que puede obtener acceso a los recursos correspondientes.

Si cualquier paso del proceso de prueba da error, identifique el origen del problema y determine

si puede corregir el problema antes de que se deba tener acceso al objeto en el dominio de

destino. Si no puede corregir el problema antes de obtener acceso al objeto necesario, revierta la

configuración original para asegurar el acceso al objeto de recurso o usuario. Para obtener más

información sobre la creación de un plan de reversión, consulte Creación de un plan de

reversión, más adelante en esta guía.

Como parte de su plan de prueba, cree una matriz de prueba de migración. Complete una matriz

de prueba para cada paso que complete en el proceso de migración. Por ejemplo, si migra 10

lotes de usuarios, complete 10 veces la matriz de prueba, una para cada lote que migre. Si migra

10 servidores miembro, complete la matriz de prueba para cada uno de los 10 servidores.

Para obtener una hoja de cálculo para ayudarle a crear una matriz de prueba, consulte Migration

Test Matrix (DSSREER_3.doc) en la descarga



La siguiente ilustración muestra un ejemplo de una matriz de prueba de migración completada.

205


Crear un plan de reversión


Una vez comenzado el proceso de migración, no se pueden revertir los cambios que haya

realizado en los dominios de Active Directory en el bosque. Como las cuentas se mueven y no se

copian de un dominio a otro cuando se reestructuran los dominios, los cambios no son

reversibles. Si sus planes cambian después de comenzar el proceso de migración, la única

206

forma de devolver las cuentas a su dominio de origen es volver a migrarlas. Cree un plan de

reversión en caso de que tenga que volver a migrar las cuentas después de haber comenzado a

reestructurar los dominios. Para crear un plan de reversión, seleccione el método que utilizará

para volver a migrar las cuentas.

Para garantizar una correcta reversión de una migración en el mismo bosque, no intente

eliminar los objetos en el dominio de destino y restaurarlos en el dominio de origen. No

podrá recuperar los objetos en el dominio de origen porque se eliminan automáticamente

por el proxy de movimiento entre dominios si se intenta restaurar.

Puede usar la Herramienta de migración para Active Directory (ADMT) para volver a migrar las

cuentas desde el dominio de destino de nuevo al dominio de origen. En este caso, el dominio de

destino original se convierte en el nuevo dominio de origen y el dominio de origen original se

convierte en el nuevo dominio de destino. Siga los mismos pasos de los asistentes que ha

utilizado anteriormente para migrar las cuentas. Si repite la migración de las cuentas, los objetos

que ha migrado en el dominio de destino y luego ha vuelto a migrar dominio de origen tendrán

nuevos identificadores de seguridad (SID). Sin embargo, tendrán el SID original en el atributo de

historial de SID. Por tanto, no serán idénticas a las cuentas antes de la migración, sino que

tendrán la misma funcionalidad.

Si desea revertir una migración de cuentas de servicios, debe enumerar de nuevo los servicios y,

a continuación, volver a migrar las cuentas de servicio al revertir los dominios de destino y de

origen.

Si utiliza secuencias de comandos para realizar la migración original, la utilización de secuencias

de comandos para volver a migrar las cuentas es el método más rápido para revertir los

cambios. Simplemente revierta los objetos usados en los dominios de origen y destino en la

secuencia de comandos para volver a migrar los objetos.

Después de crear su plan de reversión, asegúrese de probarlo para identificar y corregir

cualquier problema antes de comenzar a reestructurar sus dominios de Active Directory.

Crear un plan de comunicación con los usuarios finales


Desarrolle un plan para informar a todos los usuarios afectados sobre la próxima migración de

cuentas, para asegurarse de que saben cuáles son sus responsabilidades, el impacto de la

migración y con quién tienen que ponerse en contacto para obtener ayuda y soporte técnico.

Antes de comenzar el proceso de migración de usuarios, envíe un aviso a todos los usuarios

programados para la migración. Dado que normalmente migra usuarios en lotes de

aproximadamente 100 usuarios de una vez, también es útil enviar un aviso final a los usuarios de

cada lote dos o tres días antes de la programación de su lote. Si su organización dispone de una

intranet, publique la programación de la migración de cuentas y la información contenida en el

correo de usuario en una página web fácilmente accesible.

Nota

207

Incluya la siguiente información en su comunicación al usuario final.

Información generalAvise a los usuarios de que sus cuentas de usuario están programadas para la migración a un

nuevo dominio. Remita a los usuarios a una página web o recurso interno donde puedan

encontrar información adicional y ver una programación de migración.

Informe a los usuarios del nuevo nombre de dominio. Asegúrese de informarles de que sus

contraseñas de cuentas no cambiarán. Informe a los usuarios de que la cuenta de dominio

original se deshabilitará inmediatamente después de la migración y la cuenta deshabilitada se

eliminará transcurrido un período de tiempo específico. Esto no es necesario si inician la sesión

con nombres principales de usuario (UPN).

ImpactoAsegúrese de que los usuarios comprenden que cuando sus cuentas se migran, es posible que

no puedan tener acceso a algunos recursos, como sitios web, carpetas compartidas o recursos

que los usuarios de su grupo o división no utilizan de forma habitual.

Proporcione información a los usuarios sobre con quién tienen que ponerse en contacto para

obtener asistencia para tener acceso a los recursos necesarios.

Estado de inicio de sesión durante la migraciónAsegúrese de que los usuarios comprenden que, durante el proceso de migración, no podrán

iniciar sesión en el dominio ni acceder al correo electrónico ni a otros recursos. Asegúrese de

especificar el período de tiempo durante el que no podrán iniciar sesión.

Pasos de migración previaAlerte a los usuarios de cualquier paso que necesiten completar antes de que comience el

proceso de migración. Por ejemplo, deben descifrar los archivos cifrados por medio del Sistema

de cifrado de archivos (EFS). Si se produce un error al descifrar archivos cifrados, se perderá el

acceso a los archivos cifrados después de la migración.

Los usuarios también deben asegurarse de que sus equipos están conectados a la red cuando la

migración de su cuenta está programada.

Cambios esperadosDescriba otros cambios que los usuarios puedan experimentar después de la migración, como

cambios en el uso de tarjetas inteligentes, correo electrónico seguro o mensajería instantánea, si

procede.

208

Programación e información de soporte técnicoProporcione información sobre dónde se pueden dirigir los usuarios para obtener más

información, por ejemplo, pueden visitar un sitio web interno donde publique información sobre la

migración. Además, proporcione información sobre con quién debe ponerse en contacto el

usuario si la fecha programada para la migración presenta un conflicto para un usuario.

Creación de grupos de cuentas de migración


Para migrar cuentas y recursos dentro de un bosque, puede crear un grupo de migración de

cuentas y un grupo de migración de recursos con las credenciales apropiadas. Debe agregar las

cuentas que vayan a realizar las migraciones de la Herramienta de migración para

Active Directory a los grupos de migración de cuentas y de migración de recursos, según

corresponda. Dado que ADMT requiere sólo un conjunto limitado de permisos, la creación de

grupos de migración separados hace posible simplificar la administración mediante la creación

de grupos, la asignación de los permisos adecuados y la posterior adición de los administradores

necesarios para dichos grupos. Si las tareas de migración de su organización se distribuyen a

más de un grupo administrativo, cree grupos de migración independientes para cada grupo

administrativo que realice la migración.

Asigne los permisos necesarios para modificar objetos, como usuarios, grupos globales y perfiles

locales, conforme a la siguiente tabla. El usuario que ejecuta ADMT debe ser administrador de

un equipo en el que esté instalada ADMT.

En el dominio de destino, utilice un grupo con control delegado de la unidad organizativa del

equipo y la unidad organizativa del usuario. Es posible que desee utilizar un grupo independiente

para la migración de estaciones de trabajo si este proceso de migración se delega a los

administradores de la misma ubicación que las estaciones de trabajo.

Use la información de la siguiente tabla para determinar las credenciales necesarias para su

migración.

Objeto de migración Credenciales necesarias en

el dominio de origen

Credenciales necesarias en el

dominio de destino

Usuario/cuenta de servicio de

administrada/grupo

Nota

Las cuentas de servicio

administradas no

conservan el historial

del identificador de

seguridad (SID) en una

Administrador local,

administrador de dominio y

permiso delegado Leer

toda la información del

usuario para la unidad

organizativa de origen



de usuario, Crear, eliminar y

administrar grupos y

Modificar la pertenencia de un

grupo para la unidad

organizativa de usuario o la

unidad organizativa de grupo y

administrador local del equipo

209




dominio de destino

migración interna del

bosque.


Equipo Administrador de dominio o

derechos delegados para

eliminar los objetos de la


origen y miembro del grupo

Administradores de cada

equipo


organizativa de equipo y



Nota

Si el equipo tiene una

cuenta de servicio

administrada instalada,

utilice una cuenta que

tenga permiso para

actualizar el descriptor

de seguridad de la

cuenta de servicio

administrada en el

dominio de destino.

Perfil Administrador local o

administrador de dominio;

para perfiles móviles,

Administrador del equipo

que aloja la carpeta

compartida del perfil móvil



de usuario para la unidad

organizativa del equipo y

administrador local del equipo


Nota

Es posible que tenga

que seguir otros pasos

adicionales de

preparación si migra

perfiles móviles de


Windows Vista o

Windows 7. Para

obtener más

información, consulte

Preparación para la

migración de perfiles

móviles con equipos

que ejecutan Windows

210




dominio de destino

Vista y Windows 7.

ADMT también incluye funciones de administración de base de datos que puede utilizar para

asignar un subconjunto de permisos a los usuarios que realicen tareas de migración específicas.

Las funciones de administración de base de datos y las tareas de migración que pueden realizar

se enumeran en la siguiente tabla.

Función Tarea de migración

Migradores de cuentas Tareas de migraciones de cuentas, como

migración de usuarios y grupos

Migradores de recursos Tareas de migración de recursos, como

migraciones de equipos y conversión de

seguridad; los migradores de cuentas también

desempeñan la función de migradores de

recursos.

Lectores de datos Consultas en la base de datos; los migradores

de cuentas y los migradores de recursos

también desempeñan la función de lectores de

datos

Los usuarios que tienen la función de administrador del sistema de SQL Server asumen todas

las funciones de administración de base de datos de ADMT. Tienen permisos para:

Mostrar funciones de base de datos y usuarios que asumen dichas funciones.

Agregar grupos o usuarios a funciones.

Quitar grupos o usuarios de funciones.

De manera predeterminada, se asigna la función de administrador del sistema al grupo local

Administradores. Este grupo puede realizar todas las funciones de la base de datos de ADMT.

Instalación de ADMT en el dominio de destino


Siga una de las siguientes instrucciones para instalar la Herramienta de migración

Active Directory (ADMT), según la versión que vaya a instalar. La versión 3.1 de ADMT ofrece

una opción para instalar una instancia de base de datos de Microsoft SQL Server® Express

211

preconfigurada. La versión 3.2 de ADMT necesita una instancia de base de datos de SQL Server

para instalarse previamente. El resto de instrucciones para separar, reconfigurar y eliminar un

archivo de base de datos se aplican a cualquier versión de ADTM.




SQL Server

Reconfigurar la instalación de la base de datos con Admtdb.exe

Reutilizar una base de datos de ADMT existente desde una instalación anterior

Instalación de ADMT v3.1En esta sección se tratan los siguientes problemas de instalación de ADMT v3.1.


Instalación de ADMT v3.1 usando el almacén de la base de datos predeterminado

Requisitos previos para la instalación de ADMT v3.1Cuando instala la Herramienta de migración para Active Directory 3.1 (ADMT v3.1), también

instala SQL Server 2005 Express Edition de forma predeterminada para usarlo como almacén de

datos. Como opción, puede configurar ADMT v3.1 para usar una base de datos SQL Server 2000

con Service Pack 4 (SP4) Standard o Enterprise Edition o una instalación SQL Server 2005

Standard o Enterprise Edition anteriormente creada.

Antes de instalar ADMT v3.1, complete los siguientes requisitos previos:

Instale Windows Server 2008.

Quite todas las versiones anteriores de ADMT mediante Agregar o quitar programas del

Panel de control. Si intenta instalar ADMT v3.1 en un servidor con una versión anterior de

ADMT, recibirá un mensaje de error y la instalación se detendrá. Si es necesario, puede

importar la base de datos de la versión anterior de ADMT (como ADMT v2.0 o ADMT v3.0) en

ADMT v3.1 durante la instalación.

Si no piensa usar la instalación de la base de datos local predeterminada, asegúrese de que

está configurada otra instalación de la base de datos SQL Server 2000 o SQL Server 2005

con una instancia de ADMT. Para obtener más información sobre cómo crear una instancia

de ADMT en una base de datos de SQL Server, consulte Instalación de ADMT usando una

base de datos de SQL Server preconfigurada.

Instalación de ADMT v3.1 usando el almacén de la base de datos predeterminadoPara instalar ADMT, puede usar el almacén de la base de datos predeterminado basado en SQL

Server 2005 Express Edition o una base de datos SQL preconfigurada. El método de instalación

más común y recomendado es usar el almacén de la base de datos predeterminado, configurado

212

automáticamente por el Asistente para la instalación de Herramienta de migración para Active

Directory.

Según su entorno, descargue ADMT v3.1 (http://go.microsoft.com/fwlink/?

LinkId=121732) o ADMT v3.2 (http://go.microsoft.com/fwlink/?LinkId=186197). Para

obtener más información acerca de qué versión de ADMT se debe utilizar, consulte

Herramienta de migración Active Directory: versiones y entornos admitidos. En la

ubicación de descarga, haga doble clic en admtsetup.exe para abrir el asistente de

instalación.


Ésta es la instalación de la

Herramienta de migración Active

Directory


Configuración de componentes La instancia de la base de datos de ADMT

(MS_ADMT) se crea en el equipo local.

Aunque SQL Server 2005 Express Edition

se instala localmente de manera

predeterminada lo use o no ADMT, ADMT

deshabilita SQL Server 2005 Express

Edition si especifica otra instancia de la

base de datos en la siguiente página del

Asistente.

Selección de base de datos Especifique la instancia de la base de

datos a la que desea conectarse. La

selección recomendada es Usar

Microsoft SQL Server Express Edition,

que configura ADMT v3.1 para usar la

instancia de la base de datos instalada

localmente.

Si está usando varias consolas de

ADMT v3.1 y tiene un servidor de base de

datos dedicado donde desea centralizar

su base de datos de ADMT, seleccione la

opción Utilizar Microsoft SQL Server

existente. Especifique el servidor al que

se va a conectar mediante el formato

Servidor\instancia.

Debería configurar la instancia de la base

de datos de SQL Server antes de

Para instalar ADMT usando el almacén de la base de datos predeterminado

213




seleccionar esta opción. Aunque la

instalación de ADMT v3.1 continúe a pesar

de no poder ponerse en contacto con la

base de datos, no podrá usar ADMT para

migrar cuentas o recursos hasta que se

cree la instancia de la base de datos y

esté disponible.



Directory v3





datos de ADMT v3.0.




base de datos existente

(predeterminado).







datos de ADMT v3.0.



Directory v2





datos de ADMT v2.0.




base de datos de ADMT v2.







214


datos de ADMT v2.0.

La base de datos de ADMT v2.0 tiene el

nombre de archivo protar.mdb y debería

estar ubicada en el directorio

anteriormente usado para su instalación

de ADMT v2.0.

Resumen En esta página se resumen las opciones

que ha seleccionado. Haga clic en

Finalizar para completar la instalación de

ADMT v3.1.

Instalación de ADMT v3.2 ADMT v3.2 requiere una instancia de SQL Server preconfigurada para su almacén de datos

subyacente. Debe utilizar SQL Server Express. Al utilizar una de las siguientes versiones de

SQL Server Express, la instalación de ADMT impone los siguientes requisitos de Service Pack:



Si utiliza SQL Server Express, la consola de ADMT se debe instalar y ejecutar

localmente en el servidor que aloja la instancia de base de datos de SQL Server

Express.

Como opción, puede utilizar versiones completas de SQL Server 2005 o SQL Server 2008. En

este caso, puede instalar y ejecutar la consola de ADMT en un equipo remoto y puede ejecutar

varias consolas de ADMT en diferentes equipos remotos. Si utiliza una versión completa de

SQL Server, la instalación de ADMT no impondrá ningún requisito de Service Pack.

El resto de la sección abarca los siguientes problemas de instalación:


Instalar ADMT v3.2

Requisitos previos para la instalación de ADMT v3.2Antes de instalar ADMT v3.2, complete las siguientes tareas de requisitos previos:

En el Panel de control, seleccione Agregar o quitar programas para quitar todas las

versiones de ADMT anteriores a ADMT v3.2.

Aunque ADMT v3.2 no admite actualizaciones de una versión anterior de ADMT, puede

reutilizar una base de datos existente de una instalación de ADMT anterior, a menos que sea

una base de datos de ADMT v2 o ADMT v1. Para obtener más información, consulte

Reutilizar una base de datos de ADMT existente desde una instalación anterior.

Nota

215

Instale o actualice un equipo de servidor (preferiblemente un servidor miembro) en el entorno

de dominio de origen o de destino, si fuera necesario, para que se ejecute Windows

Server 2008 R2.

Aunque puede utilizar ADMT v3.2 para migrar cuentas y recursos desde entornos de

Active Directory que tienen el nivel funcional del dominio de Windows Server 2003 o

posterior, puede instalar ADMT v3.2 sólo en un servidor que esté ejecutando Windows

Server 2008 R2.

Además de ejecutar Windows Server 2008 R2, no debe instalarse el equipo de servidor

utilizado para instalar ADMT v3.2 con la opción de instalación de Server Core ni debe estar

ejecutándose como un controlador de dominio de sólo lectura (RODC).

Configure una instalación de base de datos de SQL Server con una instancia de ADMT.

Puede descargar e instalar SQL Server Express localmente o crear una instancia de base de

datos para ADMT desde una base de datos existente de SQL Server.

Para obtener más información acerca de cómo instalar SQL Server Express, consulte

Instalar ADMT v3.2 . Para obtener más información sobre cómo crear una instancia de

ADMT en una base de datos existente de SQL Server, consulte Instalar ADMT

reconfigurando la instalación de la base de datos con Admtdb.exe.

Instalar ADMT v3.2Descargue SQL Server 2005 Express (http://go.microsoft.com/fwlink/?LinkId=181159), o cree una

nueva instancia de base de datos en una instalación existente de SQL Server para utilizar con

ADMT v3.2. Durante el proceso de instalación de SQL Server, seleccioneModo de

autenticación de Windows. Después de instalar SQL Server, complete el siguiente

procedimiento para instalar ADMT v3.2.





1. En el paquete de descarga de ADMT, haga doble clic en admtsetup32.exe.

2. En la página de bienvenida, asegúrese de que las recomendaciones se han cumplido y,

a continuación, haga clic en Siguiente.

3. En la página del Contrato de licencia, haga clic en Acepto y, a continuación, en

Siguiente.

4. En la página Selección de base de datos, escriba servidor\instancia.

El requisito de escribir el nombre del servidor se aplica también a la instancia de la base

de datos local. Puede escribir un punto (“.”) para indicar el servidor local. De forma

predeterminada, la instancia de SQL Server Express se denomina SQLEXPRESS.

Por ejemplo, para utilizar una instancia de SQL Server Express predeterminada en el

servidor local, escriba .\SQLEXPRESS.

Para instalar ADMT v3.2

216



5. Si elige instalar SQL Express y el archivo ADMT.mdf de la base de datos no se

encuentra en la ubicación de datos predeterminada %windir%\ADMT\Data, aparecerá la

página Importación de base de datos. De lo contrario, la configuración de ADMT se

asocia automáticamente a ese archivo de base de datos y aparece la página Resumen.

En la página de Importación de base de datos, si no necesita realizar una importación

de datos, haga clic en No, no importar los datos desde una base de datos existente

(Predeterminado). Si necesita importar datos de una instalación anterior de ADMT, haga

clic en Sí, importar datos de una base de datos existente de ADMT v3.0 o

ADMT v3.1 y, a continuación, para desplazarse a la ubicación del archivo de base de

datos existente haga clic en Examinar.

Antes de importar los datos desde una base de datos existente, debe separar el archivo

de base de datos del SQL Server utilizando los comandos de SQL Server. Para obtener

más información, consulte Separar un archivo de base de datos existente de una

versión anterior de ADMT y de SQL Server.

Cuando haya terminado, haga clic en Siguiente.

6. En la página Resumen, revise los resultados de la instalación y, a continuación, haga

clic en Finalizar.

Separar un archivo de base de datos existente de una versión anterior de ADMT y de SQL ServerSi utiliza SQL Server Express, la base de datos se separa automáticamente al quitar ADMT. La

base de datos de SQL Server Express separada puede reutilizarse para una instalación de

ADMT posterior. En ese caso, ADMT se conecta automáticamente con la base de datos existente

que especifique durante la instalación.

Puede separar el archivo de base de datos de ADMT desde una instancia completa de

SQL Server si tiene otra aplicación que quiera conectar a la misma base de datos. Por ejemplo,

si tiene previsto moverlo desde una instalación completa de SQL Server a SQL Server Express,

o si tiene un archivo de base de datos de ADMT de una instalación previa que ha conectado a

las herramientas de administración de SQL Server, tendrá que separarlo de esa base de datos

para que ADMT pueda utilizarlo.

Para separar una base de datos, puede completar el procedimiento almacenado de SQL:

sp_detach_db [ @dbname = ] 'dbname'

Para obtener más información acerca de la llamada al procedimiento almacenado, consulte la

documentación de SQL Server. Para obtener más información acerca de cómo usar SQL Server

Management Studio para separar la base de datos, consulte Cómo: Separar una base de datos

(SQL Server Management Studio (http://go.microsoft.com/fwlink/?LinkId=183994).

217



Reconfigurar la instalación de la base de datos con Admtdb.exeSi durante la instalación tiene problemas con la configuración de la base de datos, o si especificó

SQL Server Express durante la instalación de ADMT v3.2 pero desea cambiar a SQL Server (o

viceversa) después del proceso de instalación, puede utilizar Admtdb.exe. La sintaxis de línea de

comandos para Admtdb.exe se encuentra en la tabla siguiente.

Puede ejecutar Admtdb.exe desde el símbolo del sistema con privilegios elevados en cualquier

servidor que se pueda dirigir al equipo de servidor que ejecute SQL Server para crear una

instancia de ADMT en dicho equipo de servidor.


admtdb create /{s|server}: "Servidor\

instancia"

Instala una nueva base de datos de ADMT o

prepara una base de datos vacía.

El parámetro /server especifica el nombre del

servidor SQL Server y la instancia a la que se

va a conectar para crear la base de datos. Es

un parámetro obligatorio.

admtdb upgrade /s|server: Server\Instance Actualiza a una versión anterior de una base de

datos de ADMT v3.0 o ADMT v3.1.

El parámetro /server, que es obligatorio,

especifica el nombre del servidor SQL Server y

la instancia a la que se va a conectar para

actualizar la base de datos de ADMT v3.0 o

ADMT v3.1.

Nota

Antes de actualizar la base de datos de

ADMT, abra la consola de ADMT para

comprobar que es compatible con la

base de datos.

admtdb attach [/{a|attach}: "ruta de acceso a

la base de datos v3x"

Conecta una base de datos existente de ADMT

a la instancia de SQL Server Express 2005 o

SQL Server Express 2008 local.

El parámetro /attach, que es obligatorio,

especifica la ruta al archivo de base de datos

Admt.mdf separado.

218

Para ver la Ayuda de todas las opciones de la línea de comandos de Admtdb.exe, en el símbolo

del sistema, escriba admtdb /? .

Si ha empezado la migración mediante una base de datos local de SQL Server Express y luego

ha configurado la instancia remota de una base de datos de SQL Server, y necesita volver a

utilizar una base de datos local de SQL Server Express, complete el siguiente procedimiento. En

este caso, el archivo de base de datos de ADMT ya está conectado a la instancia de

SQL Express. Por lo tanto, no es necesario que se vuelva a conectar.

Si ha empezado la migración mediante SQL Server y desea cambiar a SQL Server Express,

consulte Reutilizar una base de datos de ADMT existente desde una instalación anterior.







2. En el panel de Detalles, asegúrese de que el servicio que aloja la instancia de











Nota

El comando admtdb attach es necesario sólo si anteriormente ha ejecutado

comandos SQL para que separen la instancia local de SQL Server Express.

admtdb attach /{s | Server}:”Instancia de SQL Server Express local”

admt config setdatabase /s:Servidor\Instancia.

Ahora puede utilizar la base de datos local.

Para reutilizar la base de datos local después de configurar una instancia remota de una base de datos de SQL Server

219


Reutilizar una base de datos de ADMT existente desde una instalación anteriorSi desea utilizar una base de datos existente (separada) de una instalación de ADMT v3.0,

ADMT v3.1 o ADMT v3.2 anterior con la instancia de SQL Server local, puede completar el

siguiente procedimiento.

Para llevar a cabo este procedimiento, se requiere como mínimo pertenecer a

Administradores o a un grupo equivalente. Revise los detalles sobre cómo usar las

cuentas apropiadas y pertenencia a grupos en Grupos de dominio y locales

predeterminados (http://go.microsoft.com/fwlink/?LinkId=83477).



2. En el panel de detalles, asegúrese de que el servicio que aloja la instancia de











admtdb attach /{s | Server}:”Instancia de SQL Server Express local” /{a |

Attach}:”Ruta de acceso al archivo de base de datos de ADMT v3.x que desea

asociar"

admt config setdatabase /s: servidor\instancia

Ahora puede utilizar la base de datos de ADMT existente con la instancia de SQL Server

local. No es necesario volver a ejecutar el asistente de instalación de ADMT. La

instalación de ADMT se puede ejecutar una sola vez. Puede realizar cualquier cambio

posterior en la configuración de la base de datos mediante los comandos admtdb.exe y

admt config setdatabase.

Nota Para utilizar una base de datos de ADMT existente (separada) con la instancia de

SQL Server local

220



Plan para transiciones de cuentas de servicios


La mayoría de los servicios se ejecutan dentro del contexto de la cuenta del sistema local. Por

consiguiente, no necesitan mantenimiento alguno cuando se migran a un dominio diferente. No

obstante, algunos servicios se ejecutan dentro del contexto de una cuenta de usuario en lugar de

la cuenta del sistema local.

La transición de cuentas de servicios hace referencia al proceso de identificación, migración y

actualización de servicios que se ejecutan en el contexto de las cuentas de usuario. Este

proceso consta de tres pasos. En primer lugar, el administrador inicia la Herramienta de

migración para Active Directory (ADMT) desde el controlador de dominio de destino de

Active Directory y ejecuta el Asistente para migración de cuentas de servicios. En segundo lugar,

el Asistente para migración de cuentas de servicios envía un agente al equipo especificado e

identifica (pero no migra) todos los servicios del equipo que se ejecutan en el contexto de una

cuenta de usuario. En tercer lugar, que puede producirse posteriormente en el proceso de

migración, las cuentas se migran cuando otras cuentas de usuario se migran con el Asistente

para migración de cuentas de usuario.

El Asistente para migración de cuentas de servicios comprueba cada servicio de un equipo para

identificar los servicios que se ejecutan en el contexto de una cuenta de usuario. Puede

producirse una carencia de seguridad durante la migración de cuentas de servicio si alguien

distinto del administrador de servicio entra en una cuenta con permisos administrativos en el

dominio de origen, pero utiliza una contraseña no válida en el equipo para iniciar el servicio. El

servicio no se iniciará antes de la migración de la cuenta, dado que la contraseña no es correcta,

pero funcionará después de la migración, porque ADMT restablece la contraseña de la cuenta de

servicio y configura todos los servicios que utilizan dicha cuenta de servicio con la nueva

contraseña.

Para eliminar este posible problema de seguridad, es importante incluir en el Asistente para

migración de cuentas de servicios sólo los servidores cuya administración depende de

administradores de confianza. No utilice el Asistente para migración de cuentas de servicios para

detectar las cuentas de servicio en equipos que los administradores de confianza no administran,

como las estaciones de trabajo.

Si no identifica ni realiza una transición de un equipo de confianza que, por consiguiente, no

actualiza su cuenta de servicio, tendrá que definir de forma manual la nueva contraseña que crea

ADMT. Para ello, obtenga la contraseña del archivo Password.txt y, a continuación, introduzca de

forma manual la información de la contraseña y la cuenta para el servicio del equipo al que no se

le ha realizado la transición.

Cuando las cuentas que el Asistente para migración de cuentas de servicios identifica en la base

de datos de ADMT como en ejecución en el contexto de una cuenta de usuario se migran al

dominio de destino, ADMT otorga a cada cuenta el derecho de iniciar sesión como servicio.

221

1. En ADMT, inicie el Asistente para migración de cuentas de servicios.

2. Utilice el asistente siguiendo los pasos de la tabla siguiente.











Al realizar una migración dentro del mismo

bosque, el controlador de dominio que

realiza el papel de servidor principal de

operaciones de identificador relativo (RID)

se utiliza siempre como el controlador de

dominio de origen, independientemente de

su selección.










Actualizar información Haga clic en Sí, actualizar la

información.








Siguiente.

O bien

Ejecución del Asistente para migración de cuentas de servicio

222




Siguiente. Escriba la ubicación del archivo

de inclusión y haga clic en Siguiente.

Diálogo de agente En Acciones de agente seleccione

Ejecutar comprobación previa y

operación de agente y, a continuación,

haga clic en Inicio. Aparecerá un mensaje

en Resumen de agente cuando se

completen las operaciones de agente. Una

vez finalizadas las operaciones de agente,

haga clic en Cerrar.

Información de cuentas de servicios Seleccione cualquier cuenta de usuario

que no tenga que estar marcada como

cuenta de servicio en la base de datos de

ADMT y, a continuación, haga clic en


como Omitir.

El asistente se conecta a los equipos seleccionados y, a continuación, envía un agente

para comprobar cada servicio en los equipos remotos. La página Información de cuentas

de servicios muestra los servicios que se ejecutan en el contexto de una cuenta de

usuario y el nombre de dicha cuenta de usuario. ADMT indica en su base de datos que

estas cuentas de usuario se tienen que migrar como cuentas de servicio. Si no desea

migrar una cuenta de usuario como cuenta de servicio, seleccione la cuenta y, a

continuación, haga clic en Omitir/Incluir para cambiar el estado de Incluir a Omitir.

3. Utiliza Actualizar SCM para actualizar el Administrador de control de servicios con la

nueva información. A menos que se produzca un error de acceso a un equipo para

actualizar el servicio, el botón Actualizar SCM no está disponible. Si tiene problemas al

actualizar una cuenta de servicio una vez identificada y migrada la cuenta, asegúrese de

que el equipo al que intenta tener acceso está disponible y, a continuación, reinicie el

Asistente para migración de cuentas de servicios. En el asistente, haga clic en

Actualizar SCM para intentar actualizar el servicio. Si ya ha ejecutado el Asistente para

migración de cuentas de servicios anteriormente y el botón Actualizar SCM no está

disponible, examine los archivos de registro de ADMT para determinar la causa del

problema. Una vez corregido el problema y cuando el agente se pueda conectar

correctamente, el botón Actualizar SCM estará disponible.

223




ENTRAR:

ADMT SERVICE /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:"<dominio_origen>" /TD:"

<dominio_destino>"

Donde <nombre_equipo1> y <nombre_equipo2> son los nombres de equipos del

dominio de origen que ejecutan cuentas de servicio.



ADMT SERVICE /N "<nombre_equipo1>" "<nombre_equipo2>" /O:" <archivo_opción>.txt"

La siguiente tabla enumera los parámetros comunes que se utilizan para la identificación

de cuentas de servicio, junto con el parámetro de línea de comandos y los equivalentes



comandos


<Dominio de

origen>


<Dominio de

destino>



Cree una secuencia de comandos que incorpore los comandos de ADMT y las opciones

para la identificación de cuentas de servicio utilizando la siguiente secuencia de



<Job id="IdentifyingServiceAccounts" >



Option Explicit

Dim objMigration

Dim objServiceAccountEnumeration

Identificación de cuentas de servicio mediante la opción de línea de comandos de ADMT

Identificación de cuentas de servicio mediante una secuencia de comandos

224

'


'


Set objServiceAccountEnumeration = _

objMigration.CreateServiceAccountEnumeration

'


'


'

'Enumerar cuentas de servicio en equipos especificados.

'

objServiceAccountEnumeration.Enumerate admtData, _


Set objServiceAccountEnumeration = Nothing


</Script>

</Job>

Ejemplo: Preparación para la reestructuración de dominios de Active Directory


225

Contoso Corporation ha actualizado el hardware para aumentar su ancho de banda de la red y la

cantidad de tráfico de replicación que puede admitir. Como resultado, la compañía está

consolidando su dominio África en su dominio EMEA.

El dominio África es el dominio de origen y el dominio EMEA es el dominio de destino para la

migración. La organización tiene que migrar un total de 1.800 usuarios del dominio África al

dominio EMEA. Además de las cuentas de usuario, la organización también debe migrar los

recursos, como estaciones de trabajo, servidores y grupos.

Como Contoso Corporation es una gran organización con varios grupos globales, los grupos

cerrados son difíciles de identificar. Por tanto, la compañía decide migrar los grupos globales

como grupos universales. La compañía puede hacerlo porque la infraestructura de la corporación

puede manejar la replicación aumentada de los grupos universales, y porque tanto los dominios

de África como los de EMEA están funcionando a nivel funcional de Windows 2000 nativo. La

compañía ha creado estructuras idénticas de la unidad organizativa idéntica (OU) en los

dominios África y EMEA. Por tanto, no tienen que crear una nueva estructura de la unidad

organizativa ni migrar las unidades organizativas.

Contoso Corporation ha creado una lista de equipos que ejecutan cuentas de servicios, por lo

que puede usar el Asistente para la migración de cuentas de servicios para identificar los

servicios que se ejecutan en el contexto de las cuentas de usuario. La compañía está más

preocupada por un conjunto de cuentas que tienen acceso a una base de datos de SQL Server.

El acceso a esta base de datos es una parte importante de su negocio.

La compañía ha decidido usar la Herramienta de migración para Active Directory (ADMT) como

su herramienta de migración y para usar los asistentes. La compañía instala ADMT y crea dos

grupos de migración de cuentas que se utilizarán para el proceso de migración. La compañía

asigna permisos de alto nivel al primer grupo y después agrega los miembros del equipo de

implementación apropiados a dicho grupo. El equipo de implementación centralizado usará esta

cuenta para migrar usuarios. La compañía asigna los permisos de la estación de trabajo y

recursos locales al segundo grupo. El equipo de implementación usará el segundo grupo para

migrar recursos en las ubicaciones remotas.

Migración de objetos de dominio entre dominios de Active Directory


La reestructuración de dominios de Active Directory en un bosque implica la migración de objetos

de dominio en un orden específico para garantizar que los usuarios mantienen el acceso a los

recursos. La siguiente ilustración muestra el proceso de migración de objetos de dominio entre

dominios de Active Directory.

226

Migración de grupos


Para proteger su sistema frente al problema de los conjuntos abiertos cuando reestructura los

dominios de Active Directory en un bosque, migre los grupos antes de migrar las cuentas de

usuario que pertenezcan a esos grupos. Si migra grupos de forma simultánea a la migración de

usuarios, es posible que no pueda migrar los grupos anidados, lo que crea un conjunto abierto.

Además, siga las estas indicaciones para la migración de grupos:

Migre primero los grupos universales y después los grupos globales.

Migre los grupos locales del dominio cuando migre los recursos (controladores de dominio y

servidores miembros) en los que se usan para asignar permisos.

Puede elegir migrar los grupos locales del equipo cuando migre el equipo más adelante en el

proceso de reestructuración.

227

Migrar grupos universales


Migre grupos universales, sin migrar los usuarios que sean miembros de estos grupos a la

misma vez, desde el dominio de origen al dominio de destino. La migración de grupos

universales sin usuarios ayuda a proteger del problema de conjuntos abiertos. El historial de

identificadores de seguridad (SID) permite a los miembros del grupo seguir teniendo acceso a los

recursos en base a una pertenencia a grupos universales. Cuando migra grupos universales al

dominio de destino, cesan de existir en el dominio de origen.

Si migra un número pequeño de grupos universales, puede migrar grupos universales al

mismo tiempo que migra grupos globales.

Puede migrar grupos universales mediante el complemento de la Herramienta de migración para

Active Directory (ADMT), la opción de línea de comandos de ADMT o secuencia de comandos.

En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la


Utilice el Asistente para migración de cuentas de grupo realizando los pasos de la tabla

siguiente.















(también conocidas como operaciones de

servidor principal único flexible o FSMO)



su selección.



Nota Migración de grupos universales mediante el complemento de ADMT

228









Opción de selección de grupo Haga clic en Seleccionar grupos desde







Siguiente.

O bien









dominio de destino al que desea mover los

grupos universales y, a continuación, haga

clic en Aceptar.

Opciones de grupo Se activan las casillas de verificación

Migrar los identificadores de seguridad

(SID) de grupos hacia el dominio de

destino y Corregir pertenencia a grupo,

y aparecen atenuadas.

Asegúrese de que no se seleccionan otras

opciones.

Gestión de conflictos Seleccione No migrar el objeto de origen


de destino.

229



Nota

Cuando inicie una migración de grupos con la migración del SIDHistory desde la

línea de comandos, el comando se debe ejecutar en un controlador de dominio

del dominio de destino.

2. En la línea de comandos, escriba el comando ADMT GROUP con los parámetros adecuados


ADMT GROUP /N "<nombre_grupo1>" "<nombre_grupo2>" /IF:YES /SD:"

<dominio_origen>" /TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>"




La siguiente tabla muestra los parámetros necesarios para migrar grupos universales,

los parámetros de línea de comandos y los equivalentes del archivo de opciones. Para

obtener una lista completa de todos los parámetros disponibles, consulte la Ayuda de

ADMT v3.1.


Dentro de

un mismo

bosque

/IF:YES IntraForest=YES

<Dominio

de

destino>


Ubicación

de la

<Unidad

organizativ

a de

destino>

/


"


o"

Gestión de

conflictos

/CO:IGNORE (valor

predeterminado)



4. Abra Usuarios y equipos de Active Directory y, a continuación, localice la unidad

organizativa del dominio de destino. Compruebe que los grupos universales existen en la

unidad organizativa del dominio de destino.

Migración de grupos universales mediante la opción de línea de comandos de ADMT

230

Utilice la siguiente muestra para preparar una secuencia de comandos que incorpore los

comandos de ADMT y las opciones para migrar grupos dentro de un bosque. Copie la

secuencia de comandos en el Bloc de notas y guarde el archivo con la extensión .wsf en

la misma carpeta que el archivo AdmtConstants.vbs.

Nota

Cuando inicie una migración de grupos con la migración sIDHistory desde una

secuencia de comandos, éste debe ejecutarse en comandos en un controlador

de dominio del dominio de destino.

<Job id="MigratingGroupsWithinForest" >



Option Explicit

Dim objMigration


'


'



'


'

objMigration.IntraForest = True


objMigration.SourceOu = "source container"



'

Migración de grupos universales usando una secuencia de comandos

231


'


grupo2" )



</Script>

</Job>

Migrar grupos globales


Migre grupos globales, sin miembros, desde el dominio de origen al dominio de destino para

protegerse del problema de los conjuntos abiertos. (Para obtener más información sobre los

conjuntos abiertos, consulte Información general para la reestructuración de dominios de Active

Directory dentro de un bosque, anteriormente en esta guía). Cuando los grupos globales hayan

migrado al dominio de destino, dejan de existir en el dominio de origen si éste tiene un nivel

funcional de modo nativo Windows 2000 o superior.

Como los grupos globales sólo contienen miembros de su propio dominio, no puede migrarlos de

un dominio a otro. La Herramienta de migración para Active Directory (ADMT) cambia los grupos

globales a grupos universales cuando se migran. El grupo universal del dominio de destino

conserva el historial de identificadores de seguridad (SID) del grupo global en el dominio de

origen, que permite a los usuarios continuar teniendo acceso a los recursos del dominio de

origen después de migrar los grupos globales. ADMT vuelve a cambiar los grupos universales a

grupos locales después de migrar todos los miembros del grupo global desde el dominio de

origen al dominio de destino.

No tiene que incluir grupos globales integrados y bien conocidos en su migración porque estos

grupos ya existen en el dominio de destino. Si selecciona un grupo integrado o un grupo global

bien conocido para la migración, ADMT no lo migra. En cambio, ADMT lo anota en el registro y

continúa la migración de otros grupos globales.

El procedimiento para usar el Asistente para migración de cuentas de grupo para migrar grupos

globales es el mismo que el utilizado para migrar grupos universales. Para obtener más

información sobre el procedimiento para migrar grupos globales y grupos universales, consulte

Migrar grupos universales, anteriormente en esta guía.

232

Después de completar el proceso de migración de grupos globales, utilice Usuarios y equipos de

Active Directory para comprobar que los grupos globales han migrado correctamente.

Compruebe que los grupos globales ya no existen en el dominio de origen y que los grupos

aparecen en el dominio de destino en la unidad organizativa (OU) especificada durante el

proceso de migración. Los grupos globales se enumeran como grupos universales en el dominio

de destino si todavía tienen miembros en el dominio de origen. Para ver una lista de miembros

del grupo universal, haga clic con el botón secundario en el grupo, haga clic en Propiedades y, a

continuación, haga clic en la ficha Miembros. Se muestran los miembros originales del grupo

global. Sin embargo, observe que las cuentas de usuario todavía no se han migrado.

Si está migrando las cuentas de usuario durante la migración dentro del mismo bosque, pero no

está migrando los grupos globales del dominio de origen de los que son miembros las cuentas

de usuario, ADMT actualiza de cualquier forma los grupos globales en el dominio de origen.

ADMT quita las cuentas de usuario migradas de la pertenencia del grupo global en el dominio de

origen porque el grupo global sólo puede incluir miembros del dominio de origen. Como resultado

de ello, es posible que los usuarios no continúen teniendo acceso a los recursos del dominio de

origen después de la migración porque ya no hay miembros de esos grupos.

Puede migrar grupos globales usando el complemento de ADMT, la opción de línea de

comandos ADMT o script.




siguiente.











Al realizar una migración dentro de un

mismo bosque, el controlador de dominio

que almacena la función del maestro de

operaciones (también denominada

operaciones FSMO (Flexible Single

Master Operations)) de ID relativo (RID)

siempre se usa como el controlador de

Para migrar grupos globales usando el complemento de ADMT

233


dominio de origen, sin importar cuál sea la

selección.

















Siguiente.

O bien





Siguiente.














opciones.

234


Gestión de conflictos Seleccione No migrar el objeto de


dominio de destino.

3. Después de ejecutar el Asistente, haga clic en Ver registro y revise el registro de

migración para buscar si hay algún error.


organizativa del dominio de destino. Compruebe que los grupos globales existen en la




Nota

Cuando inicie una migración de grupos con la migración sIDHistory desde la

línea de comandos, debe ejecutar el comando en un controlador del dominio en

el dominio de destino.




<dominio_origen>" /TD:" <dominio de destino>" /TO:" <unidad organizativa de

destino>"




En la tabla siguiente se muestran los parámetros necesarios para migrar grupos

globales, los parámetros de línea de comandos y los equivalentes del archivo de

opciones.


Dentro de

un mismo

bosque


<Dominio

de

destino>


Ubicación

de la

/



Para migrar grupos globales usando la opción de línea de comandos de ADMT

235


<Unidad

organizativ

a de

destino>

" o"

Gestión de

conflictos

/CO:IGNORE (valor

predeterminado)


3. Revise los resultados que se muestran en la pantalla en busca de errores.


organizativa del dominio de destino. Compruebe que los grupos globales existen en la


1. Utilice un script que incorpora comandos y opciones de ADMT para migrar grupos

universales. Para obtener más información sobre la migración de grupos universales,

consulte Migrar grupos universales, anteriormente en esta guía.

Nota

Cuando inicie una migración de grupos con la migración sIDHistory desde un

script, éste debe ejecutarse en un controlador de dominio del dominio de

destino.

2. Después de haber completado la migración del grupo global usando un script, vea el

registro de migración. El archivo migration.log se almacena en la carpeta donde ha

instalado ADMT, por lo general, Windows\ADMT\Logs.

Nota

Como los grupos universales se replican en el catálogo global, la conversión de

los grupos globales en grupos universales puede afectar al tráfico de replicación.

Cuando el bosque está funcionando en el nivel de Windows Server 2003 o

Windows Server 2008, este impacto se reduce porque sólo se replican los

cambios en la pertenencia al grupo universal. Sin embargo, si el bosque no está

funcionando en el nivel de Windows Server 2003 o Windows Server 2008, toda

la pertenencia al grupo se replica cada vez que cambia la pertenencia a grupos

universal.

Migrar cuentas de sercivios


Para migrar grupos globales usando un script

236

Migre las cuentas de servicio que ha identificado anteriormente en el proceso de reestructuración

dentro del mismo bosque mediante el Asistente para migración de cuentas de servicios. Este

asistente marca las cuentas como cuentas de servicio en la base de datos de la Herramienta de

migración para Active Directory (ADMT). Para obtener más información sobre el uso de ADMT

para identificar cuentas de servicio que se ejecutan en el contexto de una cuenta de usuario,

consulte Plan para transiciones de cuentas de servicios, expuesto anteriormente en esta guía.

Puede migrar las cuentas de servicio mediante el complemento de ADMT, la opción de línea de

comandos de ADMT o secuencia de comandos.



Utilice el Asistente para migración de cuentas de usuario realizando los pasos de la tabla

siguiente.



















su selección.









Migración de cuentas de servicio mediante el complemento de ADMT

237






usuario, haga clic en Agregar para

seleccionar las cuentas del dominio de



O bien









dominio de destino al que desea mover las

cuentas y, a continuación, haga clic en

Aceptar.

Opciones de usuario Active la casilla de verificación Actualizar


Asegúrese de que no ha seleccionado otra

configuración, incluida la opción Migrar

grupos de usuario asociados. Aparecerá

un cuadro de advertencia para informarle

de que si los grupos globales a los que

pertenecen las cuentas de usuario no se

migran también, los usuarios perderán el

acceso a los recursos. Seleccione Aceptar

para continuar con la migración.

Gestión de conflictos Seleccione No migrar el objeto de origen


de destino.

Información de cuentas de servicios Haga clic en Migrar todas las cuentas de

servicio y actualizar SCM de los

elementos marcados para incluir. El

asistente le muestra una lista de las

238


cuentas de servicio que está migrando (si

migra cuentas que no son cuentas de

servicio, se migrarán pero no se mostrará

en la lista). De forma predeterminada, las

cuentas se marcan como Incluir. Para

cambiar el estado de la cuenta,

selecciónela y haga clic en Omitir/Incluir.

Haga clic en Siguiente para migrar las

cuentas.

Un cuadro de diálogo Progreso de la migración le mantiene informado del estado de la

migración. Durante este tiempo, ADMT mueve las cuentas al dominio de destino, genera

una nueva contraseña para las cuentas, asigna a las cuentas el derecho de iniciar sesión

como un servicio y proporciona esta nueva información a los servicios que utilizan las

cuentas. Cuando el estado se muestre como Completado en el cuadro de diálogo

Progreso de la migración, puede continuar con el resto de la migración dentro del

mismo bosque.

Antes de que se complete la migración de las cuentas de servicio, es posible que los

usuarios experimenten interrupciones al utilizar los servicios. Lo que se debe a que,

hasta que el servicio se reinicie, se sigue utilizando la cuenta que se ha estado

migrando. Para cualquier servicio que utilice continuamente credenciales, como los

servicios de búsqueda, reinicie manualmente los servicios para garantizar resultados

óptimos.




ENTRAR:

ADMT USER /N "<nombre_servidor1>" "<nombre_servidor2>" /IF:YES /SD:"


/MSA:YES

Donde <Nombre_servidor1> y <Nombre_servidor2> son los nombres de servidores del

dominio de origen que ejecutan cuentas de servicio. Como alternativa, puede incluir

parámetros en un archivo de opciones que se especifica en la línea de comandos, de la

manera siguiente:

ADMT USER /N "<nombre_servidor1>" "<nombre_servidor2>" /O: "<archivo_opción>.txt"

La tabla siguiente muestra los parámetros necesarios para migrar cuentas de servicio, la

sintaxis de línea de comandos y los equivalentes del archivo de opciones.

Migración de cuentas de servicio mediante la opción de línea de comandos de ADMT

239


Dentro de

un mismo

bosque


<Dominio

de

destino>


Ubicación

de la

<Unidad

organizativ

a de

destino>

/


"


o"

Migrar

cuentas de

servicio

/MSA:YES MigrateServiceAccounts=YES

Actualizar

derechos

de usuario


Omitir

cuentas en

conflicto

/CO:IGNORE (valor

predeterminado)

ConflictOptions=IGNORE (valor

predeterminado)


4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa del dominio

de destino. Compruebe que las cuentas de servicio existen en la unidad organizativa del

dominio de destino.

Utilice la siguiente lista para preparar una secuencia de comandos que incorpore los

comandos de ADMT y las opciones para migrar cuentas de servicio. Copie la secuencia

de comandos en el Bloc de notas y guarde el archivo con la extensión .wsf en la misma

carpeta que el archivo AdmtConstants.vbs.

<Job id=" MigratingServiceAccountsWithinForest" >



Option Explicit

Migración de cuentas de servicio mediante una secuencia de comandos

240

Dim objMigration


'


'



'


'






'


'


objUserMigration.MigrateServiceAccounts = True

'

'Migrar cuentas de servicio especificadas.

'

objUserMigration.Migrate admtData, _

Array("nombre de cuenta de servicio1", "nombre de cuenta de servicio2" )

241



</Script>

</Job>
































Importante

242








































Migración de cuentas de servicio administradas con el complemento ADMT

243













O bien






























Opción de selección de cuenta de Haga clic en Seleccionar cuentas de

244





del dominio.








Siguiente.

O bien





Siguiente.





administrada


derechos de cuenta.





















245




ENTRAR:






origen.









comandos



bosques





cuenta



grupos de cuentas



Nota

Sólo puede

migrar SID de

cuentas de

servicio

administradas

entre

bosques. Si



246


comandos


utiliza este

parámetro

durante una

migración

dentro del

mismo

bosque,

aparece un

error.





el equipo.

Migrar cuentas de usuario


Los dominios pueden incluir un amplio número de cuentas de usuario. Para conseguir que la

migración de cuentas de usuario sea gestionable, use una técnica denominada transición en

fases, según la cual se colocan las cuentas de usuarios en lotes más pequeños y se migra cada

uno de los lotes por separado. Puede agrupar los usuarios de la forma en que prefiera.

No puede migrar cada propiedad de usuario al migrar cuentas de usuario. Por ejemplo, los datos

protegidos con la API de protección de datos (DPAPI) no se migran. DPAPI ayuda a proteger los

siguientes elementos:

Los credenciales de página Web (por ejemplo, contraseñas)

Credenciales de recurso compartido de archivo

Las claves privadas asociadas con EFS, Extensiones seguras multipropósito al correo de

Internet (S/MIME) y otros certificados

Los datos de programa protegidos mediante la función CryptProtectData()

Por este motivo, es importante para comprobar las migraciones de usuarios. Utilice su cuenta de

migración de prueba para identificar cualquier propiedad que no se haya migrado y actualice las

configuraciones en el dominio de destino consecuentemente.

Si usa objetos de directiva de grupo para gestionar la instalación del software, recuerde que

algunos archivos de Windows Installer requieren acceso al origen para determinadas

247

operaciones, como la reparación o la desinstalación. El administrador debe reasignar los

permisos al punto de distribución del software para proporcionar acceso a cualquier cuenta.

Para conservar el acceso a la distribución de software, realice estas tareas:

1. Migre cuentas de usuario mediante la Herramienta de migración para Active Directory

(ADMT).

2. Ejecute el Asistente para conversión de seguridad en el punto de distribución de software.

Migración de unidades organizativas y subárboles de unidades organizativas


Si desea copiar unidades organizativas y subárboles de unidades organizativas a su dominio de

destino, puede utilizar las opciones de línea de comandos o de secuencia de comandos y

sustituir los parámetros adecuados. Debe especificar una unidad organizativa de origen y otra de

destino, y la de destino debe existir. Todos los objetos en la unidad organizativa de origen y en

todas las unidades organizativas subordinadas se migran a la unidad organizativa de destino,

pero la unidad organizativa de origen especificada en sí no se migra.

Si usa la opción de línea de comandos para migrar las cuentas, grupos o equipos y también

desea migrar unidades organizativas, modifique la línea de comandos para utilizar la opción /D.

En lugar de usar la opción /N (/IncludeName), debe emplear la opción /D (/IncludeDomain) con

RECURSE y MAINTAIN de la siguiente forma:

ADMT /D:RECURSE+MAINTAIN /O "<archivo_opción.txt>"

Si migra cuentas, grupos o equipos mediante la opción de secuencia de comandos y también

desea migrar unidades organizativas, modifique la secuencia de comandos para usar la opción

admtDomain. En lugar de usar la opción admtData o admtFile, debe usar la opción

admtDomain con admtRecurse y admtMaintainHierarchy, de la siguiente forma:

objUserMigration.Migrate admtDomain + admtRecurse + admtMaintainHierarchy



Puede migrar cada lote de cuentas de usuario mediante el complemento de la Herramienta de

migración para Active Directory (ADMT), la opción de línea de comandos de ADMT o una

secuencia de comandos. Si va a migrar cuentas de usuario que tienen habilitada la seguridad del

mecanismo de autenticación, use un archivo de inclusión. En el archivo de inclusión, especifique

el nombre principal de usuario (UPN) original del dominio de origen como UPN de destino para

poder mantener en funcionamiento la seguridad del mecanismo de autenticación. Para obtener

248

más información acerca del uso de un archivo de inclusión, consulte Uso de un archivo de

inclusión.



Utilice el Asistente para migración de cuentas de usuario realizando los pasos de la tabla

siguiente:



















su selección.















Migración de cuentas de usuario mediante el complemento de ADMT

249




Siguiente.

O bien









Examinar.


contenedor, busque el dominio de destino

y la unidad organizativa y, a continuación,



perfiles móviles.




grupos de usuario asociados. Aparecerá

un cuadro de advertencia que indica que si

los grupos globales a los que pertenecen

las cuentas de usuario no se migran

también, el usuario perderá el acceso a los

recursos. Haga clic en Aceptar para

continuar con la migración.



dominio de destino.

Después de hacer clic en Finalizar en el Asistente para migración de cuentas de usuario,

aparecerá el cuadro de diálogo Progreso de la migración. Una vez que el estado cambia a

Completado, vea el registro de migración para determinar si se han producido errores en el

proceso de migración. En el cuadro de diálogo Progreso de la migración, haga clic en

Cerrar.

250

Las cuentas de usuario migradas pueden iniciar sesión sólo en el dominio de destino y se

indica que cambien la contraseña la primera vez que inician sesión en el dominio de destino.



Nota

Cuando inicie una migración de usuario con la migración del historial de SID

desde la línea de comandos, debe ejecutar el comando en un controlador de


2. En una línea de comandos, escriba el comando ADMT User con los parámetros

apropiados, por ejemplo:

ADMT USER /N "<nombre_usuario1>" "<nombre_usuario2>" /IF:YES /SD:"


/TRP:YES /UUR:YES




La tabla siguiente muestra los parámetros necesarios para la migración de cuentas de

usuario, los parámetros de línea de comandos y los equivalentes del archivo de

opciones.


Dentro de

un mismo

bosque


<Dominio

de origen>


Ubicación

de la

<Unidad

organizativ

a de

origen>

/



"

<Dominio

de

destino>


Ubicación

de la

/



o"


251


<Unidad

organizativ

a de

destino>

"

Gestión de

conflictos

/CO:IGNORE (valor

predeterminado)


Convertir

perfil móvil


Actualizar

derechos

de usuario




organizativa del dominio de destino. Compruebe que los usuarios existen en la unidad


Nota

Cuando inicie una migración de usuario con la migración del historial de SID

desde una secuencia de comandos, se debe ejecutar la secuencia de comandos

en un controlador de dominio del dominio de destino.


comandos de ADMT y las opciones para migrar cuentas de usuario dentro de un bosque.



<Job id=" MigratingUserAccountsWithinForest" >



Option Explicit

Dim objMigration


'


252


'



'


'






'


'





'


'


de usuario2" )



253

</Script>

</Job>

Conversión de perfiles de usuarios locales


Convierta los perfiles locales de usuario después de migrar las cuentas de usuario. Para

minimizar la interrupción de los usuarios, convierta los perfiles de usuario locales

inmediatamente después de migrar un lote de usuarios. Si su dominio de origen incluye sólo un

número pequeño de clientes previos a Active Directory, mígrelos como grupo y, a continuación,

convierta sus perfiles de usuario antes de migrar el siguiente lote de usuarios.

Normalmente, no se requiere ninguna acción para convertir un perfil local en clientes entre

dominios del mismo bosque porque el GUID del usuario sigue siendo el mismo. El perfil local

puede utilizar la asignación SID a GUID que se conserva en el registro para reasignar el perfil del

usuario y, a continuación, reasociarlo con el nuevo identificador de seguridad (SID).

Si migra la cuenta de usuario a un dominio dentro del bosque y la ruta de acceso al perfil local es

diferente, se modifica el perfil de usuario y se crea una nueva carpeta de perfil en el servidor con

las listas de control de acceso (ACL) correctas. El administrador se debe asegurar de que el

usuario tenga acceso a la carpeta de perfiles.

Puede convertir los perfiles de usuario locales mediante el complemento de la Herramienta de

migración para Active Directory (ADMT), la opción de línea de comandos de ADMT o una

secuencia de comandos.

Compruebe que la conversión de perfil de usuario se haya completado correctamente

para cada usuario antes de permitir que ese usuario inicie sesión. Si se produce un error

en la conversión de perfil de usuario, ese usuario no debe iniciar sesión en el dominio de

destino. En ese caso, revierta la cuenta de usuario de forma manual deshabilitando la

cuenta de usuario en el dominio de destino y permitiendo la cuenta de usuario en el

dominio de origen.



2. En el complemento de la Herramienta de migración para Active Directory (ADMT), haga

clic en Acción y, a continuación, haga clic en Asistente para conversión de seguridad.

3. Complete el Asistente para la conversión de seguridad con la información de la tabla

siguiente.



Precaución Conversión de perfiles de usuarios locales mediante el complemento de ADMT

254


migrados.


Dominio, escriba o seleccione el nombre

de DNS (Sistema de nombres de dominio)

o NetBIOS del dominio de origen. En la

lista desplegable Controlador de












su selección.















origen que contengan los perfiles de

usuario que desea migrar, haga clic en


O bien




255










/TD:" <dominio_destino>" /TOT:REPLACE /TUP:YES



ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /O "archivo_opción.txt "

La siguiente tabla muestra los parámetros necesarios para la conversión de perfiles de

usuario locales, los parámetros de línea de comandos y los equivalentes del archivo de

opciones.


comandos


Dentro de un

mismo bosque


<Dominio de

origen>


<Dominio de

destino>


<Dominio de

destino>


Modificar la

seguridad de perfil

de usuario local


3. Revise si hay errores en los resultados que se muestran en el registro de migración.



256


comandos de ADMT y las opciones para convertir perfiles de usuario locales. Copie la

secuencia de comandos en el Bloc de notas y guarde el archivo con la extensión .wsf en

la misma carpeta que el archivo AdmtConstants.vbs.

<Job id=" TranslatingLocalProfilesWithinForest" >



Option Explicit

Dim objMigration


'


'

Set objMigration = CreateObject("ADMT.Migration")


'


'




'


'



257

'


'





</Script>

</Job>

Migración de estaciones de trabajo y servidores miembro


Migre estaciones de trabajo y servidores miembro del dominio de origen al dominio de destino.

Cuando migra equipos, los cambios no tienen efecto hasta que se reinicie el equipo. Reinicie los

equipos que está migrando con la mayor brevedad posible para completar el proceso de

migración.

Reinicie las estaciones de trabajo y los servidores miembro inmediatamente después de

agregarlos al dominio de destino seleccionando un número bajo para el parámetro

RestartDelay. Los recursos que no se han reiniciado después de la migración se

encuentran en un estado indeterminado.

Los Firewall, como Firewall de Windows en Windows XP Service Pack 2 (SP 2), pueden impedir

que se complete la migración de la cuenta de equipo de la Herramienta de migración para

Active Directory (ADMT). Compruebe rigurosamente la migración de su equipo en un entorno de

laboratorio para descubrir cualquier problema potencial antes de realizar la migración en el

entorno de producción. Para obtener más información sobre la configuración del

Firewall de Windows, consulte Parece que algunos programas dejan de funcionar después de

instalar el Service Pack 2 de Windows XP (http://go.microsoft.com/fwlink/?LinkId=76705) e

Introducción al servicio y requisitos del puerto de red para el sistema

Windows Server(http://go.microsoft.com/fwlink/?LinkId=58432).

Las cuentas de equipo se tratan de forma diferente que las cuentas de grupo y usuario durante

un proceso de migración entre dominios en un bosque de Active Directory. Mientras que las

Nota

258



cuentas de grupo y usuario del dominio de origen se eliminan durante una migración interna del

bosque, las cuentas de equipo se dejan habilitadas en el dominio de origen y se crea una nueva

cuenta de equipo en el dominio de destino.

Lo que hace posible revertir la migración del equipo, en caso necesario. Tras completar la

migración y comprobar que el equipo funciona según lo esperado, puede eliminar de forma

segura la cuenta de equipo en el dominio de origen.







Puede migrar estaciones de trabajo y servidores miembro mediante el complemento de ADMT, la


1. En el equipo del dominio de destino donde se instala ADMT, inicie sesión utilizando una

cuenta de usuario que sea miembro del grupo de migración de recursos de ADMT.

2. Utilice el Asistente para migración de cuentas de equipos siguiendo los pasos de la tabla

siguiente.



















su selección.


Migración de estaciones de trabajo y servidores miembro mediante el complemento de ADMT

259

















O bien














como Omitir.



contenedor, haga clic en la unidad

organizativa del dominio de destino al que

se migran los equipos y, a continuación,



locales.


de usuarios.


Al ejecutar una migración dentro del

260


mismo bosque, ADMT migra el historial de

identificadores de seguridad (SID) y

elimina el objeto de origen. Por lo tanto, al

realizar una migración en el mismo

bosque, ADMT sólo permite la conversión

de seguridad en el modo Reemplazar.













Siguiente.



dominio de destino.





finalizado el asistente, haga clic en Ver registro para ver la lista de equipos, estado de

conclusión y la ruta al archivo de registro para cada equipo. Si se informa de un error en

un equipo, tendrá que consultar el archivo de registro de dicho equipo para revisar

cualquier problema con los grupos locales. El archivo de registro de cada equipo se

denomina MigrationTaskID.log, y se almacena en la carpeta Windows\ADMT\Logs\

Agents.

1. En el equipo del dominio de destino donde se instala ADMT, inicie sesión utilizando una

cuenta de usuario que sea miembro del grupo de migración de recursos de ADMT.


Migración de estaciones de trabajo y servidores miembro mediante la opción de línea de comandos de ADMT

261


ADMT COMPUTER /N "<nombre_equipo1>" "<nombre_equipo2>" /IF:YES

/SD:"<dominio_origen>" /TD:"<dominio_destino>" /TO:"<unidad_organizativa_destino>"

[/M: "nombre de cuenta de servicio administrada 1” “nombre de cuenta de servicio

administrada 2”] [/UALLMSA:Yes] /RDL:1




La siguiente tabla enumera los parámetros necesarios para la migración de estaciones

de trabajo y servidores miembro, los parámetros de la línea de comandos y los

equivalentes de archivo de opciones.


comandos


Dentro de un

mismo bosque


<Dominio de

origen>


<Dominio de

destino>


Actualizar las

cuentas de servicio

administradas

especificadas

Nota

El

paráme

tro /M

tiene

prefere

ncia

sobre

el

paráme

tro

/UALL

MSA.

/M:“nombre de cuenta de

servicio administrada”

UpdateMSAName=:“nombre de

cuenta de servicio administrada”


cuentas de servicio


=Yes

262


comandos


administradas

Actualizar cuentas

de servicio

administradas

específicas

Nota

El

paráme

tro /M

tiene

prefere

ncia

sobre

el

paráme

tro

/UALL

MSA.


“nombre 2”…

Ubicación de la

<Unidad

organizativa de

destino>

/


tino"


estino"

Retraso de reinicio

(minutos)


Gestión de

conflictos

/CO:IGNORE (valor

predeterminado)


Opciones de

conversión de

seguridad

/TOT:ADD TranslationOption=YES

Convertir derechos

de usuario


Convertir grupos

locales




263






organizativa del dominio de destino. Compruebe que las estaciones de trabajo y los

servidores miembro existen en la unidad organizativa del dominio destino.

Utilice la siguiente lista para preparar una secuencia de comandos que incorpore los

comandos de ADMT y las opciones para migrar estaciones de trabajo y servidores

miembro dentro de un bosque. Copie la secuencia de comandos en el Bloc de notas y

guarde el archivo con la extensión .wsf en la misma carpeta que el archivo

AdmtConstants.vbs.

<Job id=" MigratingWorkstationsMemberServersWithinForest" >



Option Explicit

Dim objMigration


'


'



'


'




Migración de estaciones de trabajo y servidores miembro mediante una secuencia de comandos

264



'


'






'


'


Array("nombre de equipo1" ,"nombre de equipo2")



</Script>

</Job>

Migrar grupos locales de dominios


Migre los grupos locales de dominio que existen en el dominio de Active Directory. Puede migrar

grupos locales de dominio mediante el complemento de la Herramienta de migración para Active

Directory (ADMT), la opción de línea de comandos ADMT o secuencia de comandos.


Para migrar grupos locales de dominio usando el complemento de ADMT

265


Utilice el Asistente para migración de cuentas de grupo siguiendo los pasos de la tabla

siguiente.











Al realizar dentro del mismo bosque, el

controlador de dominio que realiza el papel

de servidor principal de operaciones de

identificador relativo (RID) (también

conocidas como operaciones de servidor

principal único flexible o FSMO) se utiliza

siempre como el controlador de dominio

de origen, independientemente de su

selección.

















Siguiente.

O bien

266








En Buscar un contenedor, busque la

unidad organizativa en el dominio de

destino a la que desea migrar los grupos

locales de dominio y, a continuación, haga

clic en Aceptar.







opciones.

Conflictos de nombre Haga clic en Omitir las cuentas en

conflicto y no migrar.







Como alternativa, puede incluir parámetros en un archivo de opciones que se

especifique en la línea de comandos, de la manera siguiente:


En la tabla siguiente se muestran los parámetros necesarios para migrar grupos locales

de dominio, los parámetros de línea de comandos y los equivalentes del archivo de

opciones. Para obtener una lista completa de todos los parámetros disponibles, consulte

la Ayuda de ADMT v3.1.

Para migrar grupos locales de dominio usando la opción de línea de comandos de ADMT

267


Dentro de

un mismo

bosque


<Dominio

de

destino>


Ubicación

de la

<Unidad

organizativ

a de

destino>

/


"


o"

Gestión de

conflictos

/CO:IGNORE (valor

predeterminado)




organizativa del dominio de destino. Compruebe que los grupos locales de dominio

existen en la unidad organizativa del dominio de destino.

Utilice una secuencia de comandos que incorpora comandos y opciones de ADMT para

migrar grupos locales de dominio. Puede usar la misma secuencia de comandos que ha

usado para migrar grupos universales. Para obtener más información sobre la migración

de grupos universales, consulte Migrar grupos universales, anteriormente en esta guía.

Ejemplo: Reestructuración de dominios de Active Directory


Contoso Corporation desea migrar los objetos del dominio África al dominio EMEA. Para

minimizar el impacto sobre los usuarios y reducir el tiempo en que el tráfico de red resultaría

afectado, Contoso decidió realizar la migración de objetos de dominio en el menor tiempo

posible. Durante la migración, todos los grupos globales que se migran se convierten en grupos

universales hasta que cada usuario propietario del grupo se migre al dominio de destino. Como

el bosque incluye dominios que se ejecutan en el nivel funcional de Windows Server 2003, sólo

Migración de grupos locales de dominio mediante una secuencia de comandos

268

se replican los cambios graduales de pertenencia de los grupos universales en el catálogo

global.

Los administradores de Contoso crearon un exhaustivo laboratorio de pruebas para analizar el

proceso de migración antes de continuar. Probando los procedimientos determinaron que

podrían completar el proceso de migración en dos semanas. Los grupos universales y globales

se migrarían el lunes y el martes de la primera semana. El miércoles se migrarían las cuentas de

servicio y se actualizarían los servicios. Jueves, viernes y sábado se reservarían para la

migración de cuentas de usuario. Los servidores se migrarían el domingo de la primera semana.

La segunda semana se dedicaría a la migración de servidores y estaciones de trabajo. Los

grupos locales se migrarían al final de la segunda semana.

Finalización de las tareas posteriores a la migración


Una vez completadas todas las tareas de migración necesarias para reestructurar sus dominios

de Active Directory en un bosque, debe verificar que la migración se produjo según lo planeado y

completar algunas tareas posteriores a la migración. La siguiente ilustración muestra el proceso

de realización de las tareas posteriores a la migración.

269

Examen de los registros de migración en busca de errores


La Herramienta de migración para Active Directory (ADMT) conserva un registro detallado de

cada acción que realiza cuando migra recursos entre dominios de Active Directory. Los errores

que se producen durante el proceso de migración se incluyen en el registro de migración,

aunque no produzcan un mensaje de advertencia en ADMT. La comprobación del registro de

migración tras la migración es una buena forma de comprobar que todas las tareas se han

completado correctamente. Dado que es importante completar los pasos de la migración en un

orden específico, es mejor comprobar el registro de migración después de cada paso, de manera

que pueda descubrir cualquier error a tiempo para solucionarlo.

Los archivos de registro se crean en la carpeta Windows\ADMT\Logs del equipo donde

está instalada ADMT.

Acceso a archivos de registro de ADMT ADMT registra cada tarea de migración y almacena los registros en la base de datos de ADMT.

Los registros de las últimas 20 tareas de migración se almacenan en el equipo local. Puede ver

la información del registro que se almacena en la base de datos de ADMT desde el complemento

de ADMT, o puede usar el comando admt task para recuperar y almacenar dicha información en

una ubicación específica.

Cuando realiza migraciones entre distintos bosques, puede seleccionar si desea registrar los

atributos de cada usuario, grupo y objeto de equipo migrado. Se denomina registro detallado y se

realiza con el comando admt config logging.

Para obtener más información y ejemplos de comandos relacionados con el acceso a los

archivos de registro de ADMT, busque "admt config logging" o "admt task" en la Ayuda de ADMT.

Comprobar tipos de grupos


La Herramienta de migración para Active Directory (ADMT) cambia los grupos globales en

grupos universales cuando los migra desde el dominio de origen al de destino. El cambio tiene

lugar automáticamente porque los grupos globales sólo pueden contener miembros de su propio

dominio. Por tanto, no pueden continuar siendo grupos globales cuando se migran a otro dominio

hasta que migran los miembros del grupo. ADMT vuelve a cambiar los grupos universales a

grupos globales cuando el último miembro del grupo migra al dominio de destino. Como los

grupos universales replican su pertenencia en el catálogo global, es importante comprobar que

los grupos universales se han vuelto a cambiar correctamente en grupos globales.

Nota

270

Use el complemento Usuarios y equipos de Active Directory para comprobar que los grupos

universales han migrado correctamente. Si ha cambiado manualmente los grupos locales de

dominio en grupos universales, asegúrese de que los vuelve a cambiar en grupos locales de

dominio cuando todos los recursos hayan migrado.

Conversión de seguridad en los servidores miembro


Convierta la seguridad en los servidores miembro para limpiar las listas de control de acceso

(ACL) de los recursos. Tras la migración de los objetos al dominio de destino, los recursos

contienen entradas de listas ACL de los objetos del dominio de origen. Aunque el historial de

identificadores de seguridad (SID) proporciona acceso a los recursos durante la migración, las

listas ACL se deben limpiar después de la migración para contener el nuevo SID principal de los

grupos migrados. Use el Asistente para conversión de seguridad en ADMT para reemplazar los

SID del dominio de origen con los SID del dominio de destino.

Si ha migrado cuentas de servicio administradas entre dominios dentro del mismo

bosque, ejecute la conversión de seguridad en los servidores miembro del dominio de

origen que tengan recursos con permisos de acceso a la cuentas de servicio

administradas. Las cuentas de servicio administradas que se migran entre diferentes

dominios en el mismo bosque se copian. Se crea una nueva cuenta en el dominio de

destino y las propiedades de la cuenta (excepto SID) se copian desde el dominio de

origen. Por tanto, será necesario ejecutar la conversión de seguridad. Para obtener más

información, consulte Migración de cuentas de servicio administradas.



Utilice el Asistente para la conversión de seguridad siguiendo los pasos de la tabla

siguiente.



migrados.

Si planea usar un archivo de asignación de

SID, haga clic en Otros objetos

especificados en un archivo y, a

continuación, proporcione la ubicación del

archivo de asignación de SID que ha

creado.

Importante Conversión de seguridad en servidores miembro mediante el complemento de ADMT

271



Dominio, escriba o seleccione el nombre

de DNS (Sistema de nombres de dominio)

o NetBIOS del dominio de origen. En la

lista desplegable Controlador de




Al realizar dentro del mismo bosque, el

controlador de dominio que realiza el papel

de servidor principal de operaciones de

identificador relativo (RID) (también

conocidas como operaciones de servidor

principal único flexible o FSMO) se utiliza

siempre como el controlador de dominio de

origen, independientemente de su

selección.

















Siguiente.

- o bien -





Convertir objetos Haga clic en Archivo y carpetas,

272


Recursos compartidos, Impresoras,

Derechos de usuario y Registro.





ENTRAR:

ADMT Security /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:" <dominio_origen>"

/TD:" <dominio_destino>"

Donde <nombre_equipo1> y <nombre_equipo2> son los nombres de los equipos para los

que desea convertir la seguridad.



ADMT Security /N "<nombre_equipo1>" "<nombre_equipo2>" /O:" <archivo_opción>.txt"

La siguiente tabla enumera los parámetros comunes que se utilizan para la conversión

de seguridad en servidores miembro, junto con el parámetro de línea de comandos y los

equivalentes de archivo de opciones.


comandos


<Dominio de

origen>


<Dominio de

destino>




comandos de ADMT y las opciones para convertir la seguridad en servidores miembro.



<Job id=" TranslatingSecurityOnMemberServersWithinForest" >


Conversión de seguridad en los servidores miembro mediante la opción de línea de comandos de ADMT

Conversión de seguridad en servidores miembro mediante una secuencia de comandos

273


Option Explicit

Dim objMigration


'


'



'


'





'


'









274

'


'





</Script>

</Job>

Conversión de seguridad mediante un archivo de asignación SID


Si tiene que convertir la seguridad de forma que los permisos que se conceden a la cuenta o

grupo de origen se concedan ahora a la cuenta de destino, use un archivo de asignación de

identificador de seguridad (SID) para asociar las dos cuentas. El archivo de asignación de SID es

un archivo con formato de valores separados por comas (CSV) que enumera pares de cuentas,

bien en formato de nombre de cuenta de Windows NT (dominio\nombre) o en formato SID. La

cuenta de la izquierda es la cuenta de origen y la de la derecha la cuenta de destino. La

conversión de seguridad de la Herramienta de migración para Active Directory (ADMT) convierte

la seguridad de la cuenta de origen a la de destino.

Puede hacer referencia al archivo de asignación SID en el Asistente para conversión de

seguridad o desde la línea de comandos. La opción es /SMF de forma que toda la línea de

comandos es similar a la siguiente:

ADMT SECURITY /N "<nombre_equipo>" /SMF:"<ruta_acceso_archivo_asignación_sid>"

Baja del dominio de origen


Una vez que haya migrado todos los objetos del dominio de origen al dominio de destino,

incluidos todos los equipos y servidores miembro, sólo los controladores de dominio permanecen

275

en el dominio de origen. Para dar de baja el dominio de origen, ejecute el Asistente para la

instalación de Active Directory para quitar Active Directory o los Servicios de dominio de

Active Directory (AD DS) de los controladores de dominio en el dominio de origen.

Migre los controladores de dominio del dominio de origen al dominio de destino como servidores

miembros. Si es necesario, según la nueva función que se ha planificado para los servidores en

el dominio de destino, utilice el Asistente para la instalación de Active Directory para instalar

Active Directory o AD DS en los servidores miembro para devolverlos al estado de controlador de

dominio en el dominio de destino. Ejecute la conversión de seguridad en los controladores de

dominio, si en el equipo residen recursos que se usarán como nuevo controlador de dominio.

Ejemplo: Finalización de las tareas posteriores a la migración


El equipo postmigración de Contoso Corporation inicia las tareas de postmigración durante la

primera semana de la migración. Los miembros del equipo examinan el registro de migración

una vez se ha completado el primer grupo de migraciones el primer día. Analizan el registro de

migraciones y definen la acción necesaria para migrar las cuentas en las que encuentren errores.

De esta forma, el equipo de migración puede continuar con la migración sin interrupciones.

Durante la segunda semana del proceso de migración, el equipo de implementación verifica que

los grupos globales han vuelto del estado de grupo universal al de grupo global una vez se ha

completado la migración de usuarios. Una vez se han migrado los servidores miembro, el equipo

de implementación ejecuta el Asistente para conversión de seguridad para quitar los

identificadores de seguridad (SID) del dominio de origen de las listas de control de acceso (ACL)

de los servidores miembro. Finalmente, los miembros del equipo de implementación dan de baja

el dominio África al final de la segunda semana quitando Active Directory o AD DS de los

controladores de dominio en el dominio África. A continuación, migran los controladores de

dominio al dominio Europa, Oriente Medio y África como servidores miembro.

Apéndice: Procedimientos avanzados


Los siguientes son procedimientos avanzados que puede utilizar para realizar varias tareas de

utilidad cuando reestructura dominios mediante la Herramienta de migración Active Directory

versión (ADMT).

Configurar un controlador de dominio preferido

Cambiar los nombres de objetos durante la migración

Uso de un archivo de inclusión

276

Uso de un archivo de opciones

Configurar un controlador de dominio preferido


La Herramienta de migración para Active Directory (ADMT) permite seleccionar el controlador de

dominio de origen y de destino que se va a usar en una herramienta en lugar de depender del

ubicador del controlador de dominio para seleccionarlos.

La página Selección de dominio, que contiene todos los asistentes de ADMT, incluye ahora una

forma de seleccionar un controlador de dominio de origen y de destino explícito. Sólo se puede

seleccionar un controlador de dominio de escritura como controlador de dominio preferido.

Como alternativa, puede seleccionar Cualquier controlador de dominio en la lista desplegable.

Si especifica un controlador de dominio, se utilizará dicho controlador de dominio si está

disponible. Si selecciona Cualquier controlador de dominio, ADMT busca un controlador de

dominio preferido. Si no se ha configurado ninguno, ADMT usa el ubicador del controlador de

dominio para ubicar un controlador de dominio en el dominio especificado.

También puede especificar un controlador de dominio preferido mediante la opción de línea de

comandos admt config. Debe configurar de manera independiente los controladores de dominio

de origen y destino. Una vez configurado el controlador de dominio preferido, ADMT determina

su validez y disponibilidad y, a continuación, lo utiliza automáticamente cada vez que se ejecuta

ADMT.

Al realizar una migración dentro de un mismo bosque, el controlador de dominio que

almacena la función de servidor principal de operaciones de identificador relativo (RID)

(también concidas como operaciones de servidor principal único flexible o FSMO)

siempre se usa de forma predeterminada. Si selecciona un controlador de dominio

distinto del servidor principal de RID como controlador de dominio preferido, ADMT anula

su selección y siempre utiliza el servidor principal de RID.

En un símbolo de sistema, escriba el siguiente comando y, a continuación, presione

ENTRAR:

admt config setdomaincontroller /Domain:<NombreDominio>

/sdc:<ControladorDominioOrigen>

Valor Descripción

NombreDominio Especifica el nombre de un dominio de Active

Directory.

SourceDomainController Especifica el nombre del equipo de un

Nota Para configurar un controlador de dominio preferido en el dominio de origen

277

Valor Descripción

controlador de dominio del dominio de origen.


ENTRAR:

admt config setdomaincontroller /Domain:<NombreDominio>

/tdc:<ControladorDominioDestino>

Valor Descripción


Directory.

TargetDomainController Especifica el nombre del equipo de un

controlador de dominio del dominio de destino.

También puede borrar el controlador de dominio preferido que ha configurado en el dominio de

origen o destino.


ENTRAR:

admt config cleardomaincontrollers /Domain:<NombreDominio>

Valor Descripción


Directory.

También puede mostrar los controladores de dominio preferidos que ha configurado en el

dominio de origen o destino.


ENTRAR:

admt config getdomaincontrollers

Para configurar un controlador de dominio preferido en el dominio de destinoPara borrar los controladores de dominio preferidos de un dominio especificadoPara mostrar los controladores de dominio preferidos que ha configurado

278

Cambiar los nombres de objetos durante la migración


En la Herramienta de migración Active Directory (ADMT), puede usar un archivo de inclusión

para cambiar el nombre de los objetos del dominio de origen de manera que adquieran un nuevo

nombre después de migrarlos al dominio de destino.

Para obtener más información sobre cómo usar un archivo de inclusión durante una migración,

consulte Uso de un archivo de inclusión.

Use el formato siguiente en un archivo de inclusión para cambiar el nombre del equipo, usuario u

objetos de grupo durante la migración.

Use SourceName, TargetRDN, TargetSAM y TargetUPN como encabezados de

columna en la parte superior del archivo de inclusión. SourceName es el nombre de la

cuenta de origen y se debe mostrar como el encabezado de la primera columna.

Nota

Si el nombre principal de usuario (UPN) de destino de un usuario exige que

especifique un nombre de dominio diferente del UPN del dominio de destino, use

este formato para garantizar que el nombre de usuario se conserva y que ADMT

no lo modifica durante la migración.

Debe especificar el nombre de cuenta como nombre de usuario, nombre distintivo

relativo o nombre canónico. Si especifica el nombre de cuenta como un nombre distintivo

relativo, también debe especificar la unidad organizativa de origen.

Los encabezados de columna TargetRDN, TargetSAM y TargetUPN son opcionales y

puede incluirlos en cualquier orden.

Nota

El encabezado de columna TargetUPN sólo es relevante durante las

migraciones de cuentas de usuario porque las cuentas de grupos y equipos no

tienen UPN.

A continuación se incluyen ejemplos de archivos de inclusión válidos en los que se usa la opción

de cambio de nombre:

SourceName,TargetSam

abc,def

Esta entrada de archivo de inclusión cambia el nombre de cuenta de TargetSam para el usuario

"abc" a "def.". TargetRDN y TargetUPN, que no se han especificado en el archivo de inclusión,

no cambian como resultado de la migración.

SourceName,TargetRDN,TargetUPN

abc,CN=def,[email protected]

Cambio de nombre de objetos mediante un archivo de inclusión

279

Esta entrada de archivo de inclusión cambia TargetRDN para el usuario abc a CN=def y

TargetUPN a [email protected]. TargetSAM para el usuario abc no cambia como resultado de

la migración.

Debe especificar CN= antes de usar un valor RND.

Uso de un archivo de inclusión


Cuando migra un gran número de usuarios, grupos o equipos, es más eficaz utilizar un archivo

de inclusión. Un archivo de inclusión es un archivo de texto en el que se incluyen los objetos de

usuario, grupo y equipo que desea migrar, con cada objeto en una línea separada. Puede incluir

usuarios, grupos y equipos juntos en un archivo o puede crear un archivo independiente para

cada tipo de objeto.

Una vez creado el archivo (o archivos) de inclusión, especifique el nombre del archivo durante la

migración. La Herramienta de migración para Active Directory (ADMT) obtiene acceso al archivo

para obtener la información apropiada.

Especificación de un archivo de inclusiónDesde un asistente de ADMT

Desde la línea de comandos

En:

La página Opción de selección de equipos del Asistente para migración de

equipos

La página Opción de selección de usuarios del Asistente para migración de

cuentas de usuario

La página Opción de selección de grupos del Asistente para migración de cuentas

de grupo

Haga clic en Leer objetos de un archivo de inclusión. Cuando se muestre un

mensaje, especifique la ubicación del archivo de inclusión.


ENTRAR:

admt computer /sd:<DominioOrigen> /td:<DominioDestino> /F:<NombreArchivoInclusión>

Nota

Para obtener la sintaxis de línea de comandos apropiada para la migración de

usuarios y grupos, busque "admt user" y "admt group" en la Ayuda de ADMT

Importante Especificación de un archivo de inclusión desde un asistente de ADMTEspecificación de un archivo de inclusión desde la línea de comandos

280

versión 3.1 (v3.1).

La siguiente información describe los campos de un archivo de inclusión y proporciona ejemplos

de cada campo:

Campo SourceName

El campo SourceName especifica el nombre del objeto de origen. Puede especificar un nombre

de cuenta o un nombre distintivo relativo. Si sólo especifica nombres de origen, es opcional

definir un encabezado en la primera línea del archivo.

Los siguientes ejemplos incluyen una línea de encabezado que indica el campo SourceName y

un nombre de objeto de origen que se especifica en varios formatos. La segunda línea especifica

un nombre de cuenta. La tercera línea especifica un nombre de cuenta en formato de nombre de

cuenta de Windows NT 4.0. La cuarta línea especifica un nombre distintivo relativo.

SourceName

name

domain\name

CN=name

Campo TargetName

Puede utilizar el campo TargetName para especificar un nombre base que se utilice para generar

un nombre distintivo relativo de destino, un nombre de cuenta del Administrador de cuentas de

seguridad (SAM) y un nombre principal de usuario de destino (UPN). El campo TargetName no

se puede combinar con otros campos de nombre de destino que se describirán a continuación.

El UPN de destino se genera sólo para los objetos de usuario y sólo se genera un prefijo

de UPN. Se anexa un sufijo de UPN mediante un algoritmo que depende de si se define

un sufijo de UPN para la unidad organizativa de destino o para el bosque de destino. Si

el objeto es un equipo, el nombre de cuenta del SAM de destino incluye un sufijo "$".

Dada la entrada del siguiente ejemplo, el nombre distintivo relativo de destino, el nombre de

cuenta del SAM de destino y el UPN de destino generado son "CN=newname", "newname" y

"newname" respectivamente.

SourceName,TargetName

oldname, newname

Campos TargetRDN, TargetSAM y TargetUPN

Puede utilizar los campos TargetRDN, TargetSAM y TargetUPN para especificar nombres de

destino diferentes para cada uno. Puede especificar una combinación de estos campos en

cualquier orden. TargetRDN especifica el nombre distintivo relativo de destino del objeto.

TargetSAM especifica el nombre de cuenta del SAM de destino del objeto. Tenga en cuenta que

en los equipos el nombre debe incluir un sufijo "$" para que sea un nombre de cuenta de SAM

válido para un equipo.

TargetUPN especifica el nombre principal de usuario (UPN) de destino del objeto. Puede

especificar sólo el prefijo de UPN o un nombre completo de UPN (prefix@suffix). Si el nombre

que especifica contiene caracteres " "o ",", debe incluir el nombre entre comillas dobles (").

Nota

281

Además, un carácter "," debe estar precedido de un carácter de espacio "\", de lo contrario se

producirá un error en la operación y ADMT registrará un error de sintaxis no válido en el archivo

de registro.

SourceName,TargetRDN

oldname, CN=newname

SourceName,TargetRDN,TargetSAM

oldname, "CN=New RDN", newsamname

SourceName,TargetRDN,TargetSAM,TargetUPN

oldname, "CN=last, first", newsamname, newupnname

SourceName,TargetSAM,TargetUPN,TargetRDN

Utilice este formato cuando cambie el nombre de objetos de usuario, por ejemplo, para

llevar a cabo la especificación de un dominio de destino de un dominio diferente para el

UPN de destino. Para obtener más información, consulte Cambiar los nombres de

objetos durante la migración.

oldname, newsamname, [email protected], "CN=New Name"

También puede cambiar el nombre de objetos durante la migración mediante un archivo

de inclusión. Para obtener más información sobre cómo utilizar un archivo de inclusión,

consulte Cambiar los nombres de objetos durante la migración.

Uso de un archivo de opciones


Puede usar archivos de opciones para especificar uno o más parámetros para las tareas de

migración. Un archivo de opciones elimina la necesidad de proporcionar parámetros cada vez

que ejecuta una tarea desde la línea de comandos.

Dispone de dos opciones para crear un archivo de opciones. Puede:

Crear un único archivo de opciones que contenga sectores para cada tipo de tarea de

migración.

Crear archivos de opciones independientes con configuraciones exclusivas para cada tipo de

tarea de migración.

La sección de migración del archivo de opción especifica los parámetros que se aplican a todas

las tareas. Las siguientes secciones especifican los parámetros concretos de cada tarea.

Use el siguiente archivo de opciones como referencia para personalizar el archivo de opciones

de su migración.

[Migración]

IntraForest=No

SourceDomain=nombreDeDominioDeOrigen

SourceOu=SourceOuPath

Nota Nota

282

TargetDomain=nombreDeDominioDeDestino

TargetOu=TargetOuPath

PasswordOption=Complex

PasswordServer=""

PasswordFile=""

ConflictOptions=Ignore

UserPropertiesToExclude=""

InetOrgPersonPropertiesToExclude=""

GroupPropertiesToExclude=""

ComputerPropertiesToExclude=""

[Usuario]

DisableOption=EnableTarget

SourceExpiration=None

MigrateSIDs=Yes

TranslateRoamingProfile=No

UpdateUserRights=No

MigrateGroups=No

UpdatePreviouslyMigratedObjects=No

FixGroupMembership=Yes

MigrateServiceAccounts=No

UpdateGroupRights=No

[Grupo]

MigrateSIDs=Yes

UpdatePreviouslyMigratedObjects=No

FixGroupMembership=Yes

UpdateGroupRights=No

MigrateMembers=No

DisableOption=EnableTarget

SourceExpiration=None

TranslateRoamingProfile=No

MigrateServiceAccounts=No

[Seguridad]

TranslationOption=Add

TranslateFilesAndFolders=No

TranslateLocalGroups=No

TranslatePrinters=No

283

TranslateRegistry=No

TranslateShares=No

TranslateUserProfiles=No

TranslateUserRights=No

SidMappingFile=SidMappingFile

Se pueden incluir comentarios para las opciones agregando un punto y coma al comienzo de la

línea.

Cuando no se especifica un parámetro, se usa el parámetro predeterminado.

Solución de problemas de ADMT


Para solucionar cualquier problema durante el proceso de migración, siga estas

recomendaciones:

Solución de problemas de instalación de ADMT

Solución de problemas relativos a la migración de usuarios

Solución de problemas relativos a la migración de grupos

Solución de problemas relativos a la migración de cuentas de servicios

Solución de problemas relativos a la migración de cuentas de servicios administradas

Solución de problemas relativos a la migración de equipos

Solución de problemas relativos a la migración de contraseñas

Solución de problemas relativos a la conversión de seguridad

Solución de problemas relativos a la migración dentro de un mismo bosque

Solución de problemas relativos a los archivos de registro de ADMT

Solución de problemas relativos a la línea de comandos de ADMT

Solución de problemas relativos a las operaciones de agentes

Solución de problemas de instalación de ADMT


En este tema se describen problemas conocidos relacionados con la instalación de la

Herramienta de migración Active Directory.

Error en el inicio de ADMT después de que la instalación se realice correctamente y

cuando la versión de la base de datos es 0.0

Nota

284

Cuando la instalación de ADMT puede ubicar la instancia de la base de datos de SQL Server

Express Edition pero no puede crear la base de datos de ADMT como consecuencia de un

acceso denegado o por cualquier otro motivo, la instalación de ADMT puede realizarse

correctamente pero la página Finalizar indica Versión de base de datos: 0.0. La versión de

base de datos puede obtenerse también desde el archivo de registro en %windir%\ADMT\Logs\

admtsetup.log.

En este caso, se encontrará con el siguiente error cuando intente iniciar ADMT:

No se pueden comprobar las acciones erróneas...Error de inicio de sesión del usuario. El

usuario no está asociado a una conexión de SQL Server de confianza.

Para solucionar este error:

1. Desinstale ADMT.

2. Compruebe que el usuario ha escrito el acceso en la instancia especificada y puede crear la

base de datos.

El grupo de cuentas de servicio de SQL Server Express Edition que se crea durante la

instalación de SQL Server cuenta con permisos de acceso a la carpeta de base de datos de

ADMT. Es necesario agregar al usuario que instala ADMT al grupo de cuentas de servicio.

No obstante, si la cuenta que se utiliza para instalar ADMT es la misma que se utilizó para

instalar SQL Server Express Edition, la cuenta se agrega a este grupo como parte de la

instalación de SQL Server.

En SQL Server 2005 Express Edition, el grupo de cuentas de servicio es

SQLServer2005MSSQLUser$nombre del equipo$nombre de instancia.

En SQL Server 2008 Express Edition, el grupo de cuentas de servicio es

SQLServerMSSQLUser$nombre del equipo$nombre de instancia.

3. Reinstale ADMT.

Si observa este comportamiento con la versión completa de SQL Server, compruebe que

la cuenta que instala ADMT tiene permisos para crear y conectarse a la base de datos en

la instancia de SQL Server.

Solución de problemas relativos a la migración de usuarios


En este tema se describen problemas conocidos relativos a la migración de usuarios con la


Los caracteres especiales se sustituyen cuando se migran los nombres de cuentas

ADMT sustituye los siguientes caracteres por un signo de subrayado “_” en el nombre de cuenta

del Administrador de cuentas de seguridad (SAM) y en el nombre principal de usuario (UPN) de

versiones anteriores a Windows 2000:

Nota

285

"*+,/:;<=>?[\]|

El punto “.” se sustituye por un signo de subrayado “_” si es el último carácter del nombre.

La pertenencia a grupos de las cuentas de destino se actualiza después de las posteriores

migraciones de usuarios

Al migrar un usuario que se ha migrado anteriormente, la opción Migrar grupos de usuario

asociados del Asistente para migración de cuentas de usuarios actualiza la pertenencia a

grupos de la cuenta migrada. Durante las posteriores migraciones de usuarios, cualquier grupo

nuevo del que la cuenta de usuario de origen sea miembro se agrega a la pertenencia del grupo

del usuario en la cuenta de destino.

Ejemplo: Roberto es un usuario del dominio HB-ACCT-WC. Es miembro del grupo HB-ACCT-WC

\Writers y se migra junto con el grupo Writers al dominio de destino hay-buv.tld (nombre NetBIOS

HAY-BUV). Tras la primera migración, Roberto es miembro de HAY-BUV\Writers. Roberto

también se agrega a los siguientes grupos en el dominio de origen después de su primera

migración:

1. HB-ACCT-WC\Roberto se agrega al grupo HB-ACCT-WC\Editors

2. HAY-BUV\Roberto se agrega a HAY-BUV\TechEditors.

Cuando se vuelva a migrar la cuenta HB-ACCT-WC\Roberto para revisar sus cuentas de grupo,

HAY-BUV\Roberto será miembro de HAY-BUV\Writers.

Para restablecer la cuenta solamente con los grupos del usuario de origen, deberá eliminar la

cuenta de destino y después repetir la migración de la cuenta de origen.

También se pueden volver a migrar grupos con la opción Quitar los miembros existentes.

Los permisos de un usuario migrado desde un dominio de Active Directory se restablecen

a sus valores predeterminados durante la migración.

Al migrar un usuario desde un dominio a otro de Active Directory, el Asistente para migración de

cuentas de usuario crea un nuevo descriptor de seguridad en objetos de usuario migrados con

opciones de configuración del dominio de destino. La ficha Seguridad sólo es visible si

selecciona Ver\Características avanzadas.

Este comportamiento se produce de forma predeterminada porque el dominio de destino, y no el

de origen, dicta la configuración de seguridad de la cuenta de usuario migrada.

Se muestra un mensaje de error incorrecto durante la corrección de un grupo de usuarios

si se elimina una cuenta

Después de una migración, si se elimina una cuenta de usuario del dominio de destino y se

migra un grupo que contenía la cuenta de usuario en el dominio de origen (como miembro de

otro grupo) entre los mismos dominios, ADMT registra el siguiente mensaje de error incorrecto:

No se puede agregar <cuenta> a <grupo>, porque <cuenta> no ha migrado al dominio de

destino.

Si recibe este mensaje de error, vuelva a migrar la cuenta de usuario al dominio de destino.

Se ha ignorado la exclusión de la propiedad useraccountcontrol

286

La propiedad de usuario userAccountControl siempre se copia cuando migra desde dominios

Windows NT 4.0. Incluso si elige excluir esta propiedad en la página del asistente Exclusión de

propiedad de objetos, se ignora la exclusión y se migra la propiedad.

Sin embargo, cuando migra desde dominios Active Directory, la exclusión de esta propiedad se

cumple y no se copia durante la migración de usuario.

No ha funcionado la opción Quitar los derechos de usuario existentes.

Causa: no se puede realizar esta operación si la plantilla Directiva de grupo asociada a un

usuario cuyos derechos de usuario se están quitando contiene el nombre cualificado del usuario

que no es del dominio (por ejemplo, si contiene Usuario1 en lugar de DominioA\Usuario1).

Solución: corrija la entrada del nombre de usuario en la plantilla Directiva de grupo.

Cuando intenta migrar usuarios con el historial SID, recibe el siguiente error:

No se puede migrar usuarios. No se realizó la siguiente configuración requerida para el historial

SID. No se habilitó la auditoría en el dominio de destino. Error no especificado (0x80004005)

Este error se puede deber a que algunas subcategorías de la directiva de auditoría del servicio

de directorio no están habilitadas de forma predeterminada en Windows Server 2008 y Windows

Server 2008 R2. Para migrar usuarios con su SID History deben estar habilitadas todas las

subcategorías. Para obtener más información acerca de cómo habilitarlas, consulte

Configuración de los dominios de origen y destino para la migración del historial de SID.

Solución de problemas relativos a la migración de grupos


En este tema se describen problemas conocidos relativos a la migración de grupo con la


El grupo local contiene tanto la cuenta de origen como la cuenta de destino cuando se

migra dicha cuenta después de migrar el grupo local

Cuando migra un miembro de un grupo local migrado previamente, la cuenta de origen de ese

miembro no se quita al agregar el miembro de destino. Si se migra el miembro antes de migrar el

grupo local, sólo se agrega el miembro de la cuenta de destino.

Este comportamiento se produce de forma predeterminada y sólo se aplica a migraciones de un

bosque a otro.

La lista de miembros de grupo no se actualiza en un grupo que incluye un grupo migrado

de otro dominio

Si migra un grupo, todo grupo de otro dominio que incluya el grupo original como miembro

seguirá haciendo referencia al grupo del dominio de origen. Cuando realiza una migración dentro

del mismo bosque, los miembros de grupo mantienen el acceso a los recursos porque el historial

de identificadores de seguridad (SID) se migra automáticamente. Cuando realiza una migración

287

dentro del mismo bosque, la pertenencia a un grupo debe corregirse a menos que se migre el

historial de SID.

Utilizar el Asistente para migración de grupos para migrar usuarios que pertenecen a

grupos anidados

Si se selecciona Migrar grupos de usuarios asociados, el Asistente para migración de cuentas

de usuario migra solamente los grupos de los que es miembro directo el usuario. No migra los

grupos de los que es miembro el usuario mediante el anidamiento de grupos.

Cuando se migran grupos mediante el Asistente para migración de cuentas de grupo, si se ha

seleccionado Copiar miembros de grupo, el asistente migra recursivamente todos los usuarios

y grupos que son miembros de ese grupo, incluidos los grupos que lo son mediante el

anidamiento de grupos.

Si en el dominio de origen se ejecuta Windows 2000 o Windows Server 2003 con anidamiento de

grupos, se recomienda migrar los objetos afectados mediante el Asistente para migración de

grupos, si desea conservar la pertenencia a grupos obtenida mediante dicho anidamiento.

Solución de problemas relativos a la migración de cuentas de servicios


En este tema se describen problemas conocidos relativos a la migración de cuentas de servicio

con la Herramienta de migración Active Directory.

Debe tener los derechos apropiados para actualizar una cuenta de servicios en un equipo

remoto cuando migra una cuenta.

La cuenta de usuario que ejecuta ADMT debe tener derechos de inicio de sesión local en

cualquier equipo remoto al que la herramienta distribuya un agente. Esto también es aplicable a

cualquier equipo remoto cuyo Administrador de control de servicios (SCM) se modifique mientras

se migra una cuenta de servicios con el Asistente para migración de cuentas de usuarios. Si la

cuenta no tiene el derecho de cambiar el SCM, la cuenta de servicios seguirá migrándose al

dominio de destino, pero el servicio del equipo remoto no se actualizará para utilizar la cuenta del

dominio de destino. Para actualizar el servicio en el equipo remoto, ejecute el Asistente para

migración de cuentas de servicios y seleccione la opción No, usar la información recogida

anteriormente en la página Actualizar información. Puesto que la falta de acceso del usuario

no se indica siempre como un error en el Progreso de la migración, se recomienda consultar el

archivo de registro de la migración para ver si hay errores tras la migración de cuentas de

servicios.

Los servicios deben identificarse en todos los equipos antes de migrar cuentas de

servicios

Si se identifican servicios en servidores usando el Asistente para migración de cuenta de

servicios después de que haya tenido lugar la migración de usuario, la configuración de estos

288

servicios con la cuenta migrada y la contraseña dará lugar a error. Para configurar estos

servicios, tiene que volver a ejecutar la migración de usuarios.

La migración de cuentas de servicios en Windows Server 2008 y Windows Vista emplea

más tiempo del esperado

Si está ejecutando una migración de cuentas de servicios en un equipo que está ejecutando

Windows Server 2008 o Windows Vista y está tardando mucho más tiempo del esperado, puede

aumentar el rendimiento habilitando una excepción del Firewall de Windows para la

Administración remota de servicios en el equipo que se está usando. Para obtener más

información, consulte el procedimiento siguiente.

1. Abra el Panel de control (Vista clásica) y, a continuación, abra el Firewall de Windows.

2. Haga clic en la ficha Excepciones.

3. Asegúrese de que se ha seleccionado la casilla de verificación Administración remota

de servicios.

4. Haga clic en Aceptar.

Solución de problemas relativos a la migración de cuentas de servicios administradas

En este tema se describen los problemas conocidos relativos a la migración de cuentas de

servicio administradas con la Herramienta de migración Active Directory. Las cuentas de servicio

administradas sólo se pueden migrar con ADMT v3.2.

Es posible que si el Asistente para migración de equipos se bloquea, tenga que revocar

los cambios en el descriptor de seguridad de una cuenta de servicio administrada.

Si migra un equipo que tiene cuentas de servicio administradas instaladas y las ha migrado,

ADMT instala dichas cuentas en el equipo después de que éste se haya migrado al dominio de

destino. Antes de que ADMT instale una cuenta de servicio administrada, cambia el descriptor de

seguridad en la cuenta para que conceda permisos al equipo de destino para restablecer la

contraseña y modificar el atributo userAccountControl. Cambiar el descriptor de seguridad es

necesario para que se instalen las cuentas de servicio administradas.

Mientras el equipo tenga los permisos elevados, un servicio de red del equipo puede

tener la posibilidad de deshabilitar una cuenta de servicio administrada. Por lo tanto,

puede iniciar un ataque por denegación de servicio en aquellos servicios que se estén

ejecutando en el contexto de seguridad de la cuenta de servicio administrada. El

Para agregar una excepción del Firewall de Windows para la Administración remota de servicios

Seguridad

289

atacante también puede utilizar los credenciales de la cuenta de servicio administrada

para tener acceso a otro tipo de datos.

Para mitigar el riesgo, ADMT registra como referencia los cambios hechos al descriptor de

seguridad de las cuentas de servicio administradas. Si el Asistente para migración de equipos se

bloquea, compruebe el archivo de registro del equipo migrado. Para cada cuenta de servicio

administrada, compruebe que se revocó el permiso. Si el permiso no se revocó, realice estos

cambios manualmente en Active Directory Domain Services (AD DS) para impedir que los

equipos de destino reciban permisos elevados para restablecer contraseñas y habilitar y

deshabilitar las cuentas de servicio administradas.

Los cambios realizados en los descriptores de seguridad se registran en el archivo de registro de

la migración del equipo denominado Migration<TaskID>.log. Este archivo se ubica en la carpeta

%windir%\ADMT\Logs del equipo que ejecuta ADMT. Los mensajes de registro y las

descripciones de los mismos se enumeran en la siguiente tabla.

Mensaje de registro El mensaje se registra cuando ...

El descriptor de seguridad para la cuenta de

servicio administrada '%1' permite que el

equipo '%2' restablezca su contraseña y

modifique su atributo userAccountControl.

ADMT modifica con éxito el descriptor de

seguridad de una cuenta de servicio

administrada.

El descriptor de seguridad se ha restaurado

para la cuenta de servicio administrada '%1'.

ADMT restaura con éxito el descriptor de

seguridad de una cuenta de servicio

administrada.

No se puede modificar el descriptor de

seguridad para la cuenta de servicio

administrada '%1', hr=%2!lx!. La siguiente

instalación de esta cuenta de servicio

administrada en el equipo '%3' generará un

error.

ADMT no modifica el descriptor de seguridad

de una cuenta de servicio administrada.

No se restaura el descriptor de seguridad para

la cuenta de servicio administrada '%1', hr=%2!

lx!.

ADMT no restaura el descriptor de seguridad

de una cuenta de servicio administrada.

Complete el siguiente procedimiento para revocar manualmente los cambios realizados en el

descriptor de seguridad.

1. Abra Usuarios y equipos de Active Directory. Para abrir Usuarios y equipos de Active

Directory, haga clic en Inicio, en Panel de control, haga doble clic en Herramientas

administrativas y, a continuación, haga doble clic en Usuarios y equipos de Active

Directory.

Para revocar los cambios realizados en el descriptor de seguridad de una cuenta migrada de servicios administrada

290

2. Haga clic en Ver y, a continuación, haga clic en Características avanzadas.

3. Desplácese al contenedor donde esta la cuenta de servicio administrada, haga clic con

el botón secundario en la cuenta y, a continuación, haga clic en Propiedades.

De forma predeterminada, las cuentas de servicio administradas se crean en el

contenedor Cuentas de servicio administradas

4. Haga clic en la ficha Seguridad y, a continuación, en la entrada de control de acceso al

objeto de equipo.

5. Para Restablecer contraseña, desactive la casilla de verificación Permitir.

6. Haga clic en Avanzadas.

7. Haga clic en la entrada de control de acceso al objeto de equipo, luego en Editar y, a

continuación, para Escribir userAccountCntrol desactive la casilla de verificación

Permitir.

8. Haga doble clic en Aceptar, luego en Aplicar y, a continuación, de nuevo en Aceptar

para cerrar el cuadro de diálogo Propiedades.

Solución de problemas relativos a la migración de equipos


En este tema se describen problemas conocidos relativos a la migración de equipos con la

Herramienta de migración Active Directory (ADTM).

La migración de equipos dentro del mismo bosque no deshabilita la cuenta de equipo en


Después de una migración de equipos dentro del mismo bosque, no se deshabilita ni elimina la

cuenta de equipo migrada en el dominio de origen. Este comportamiento se produce de forma

predeterminada.

Para deshabilitar o eliminar las cuentas de los equipos migrados en del dominio de origen,

escriba una sencilla secuencia de comandos de Interfaces de servicio de Active Directory (ADSI).

Aunque se produzca un error en la migración, se crea una cuenta de equipo

Si en la migración de un equipo se produce un error debido a un error relacionado con el agente,

la cuenta de equipo creada en el dominio de destino para el equipo que se pretendía migrar no

se elimina.

Si selecciona Migrar y combinar objetos en conflicto en la página Gestión de

conflictos del Asistente para migración de cuentas de equipos, no tiene que eliminar la

cuenta de equipo que se creó en el dominio de destino antes de volver a intentar migrar

el equipo.

Los equipos se migran antes que cualquier grupo en una migración en el mismo bosque

Nota

291

Cuando realiza una migración en el mismo bosque, si tiene equipos que son miembros de

grupos (distintos del grupo Equipos del dominio), debe migrar siempre esos equipos antes que

los grupos a los que pertenecen. Esta condición se aplica a las migraciones dentro de un mismo

bosque y evita que los equipos pierdan su pertenencia al grupo.

Error ocasional del servicio del agente remoto de ADMT

Si se produce un error al implementar el servicio del agente remoto de ADMT en un equipo

remoto durante una migración de equipos, conversión de seguridad, identificación de cuentas de

servicios o informe de referencia de cuentas, es posible que el agente no pueda detenerse o

desinstalarse automáticamente. Si esto se produce, recibirá el mensaje “Ya se está ejecutando

una instancia del agente” con cada implementación posterior del agente hasta que se cierre el

proceso de agente ADMT o se reinicie el equipo remoto.

La migración de equipos puede fallar si ya existe una cuenta de equipo con el mismo

nombre NetBios en el dominio de destino

Cuando migre un equipo entre dos dominios, la distribución del agente puede fallar si ya existe

una cuenta de equipo en el dominio de destino con el mismo nombre NetBIOS que el equipo que

se está migrando desde el dominio de origen.

ADMT no ha podido cambiar la afiliación de dominio de un equipo concreto. Este error

provocó la pérdida de la afiliación del equipo con todos los dominios.

Causa: este error puede ser consecuencia de una configuración incorrecta del entorno de

migración o del mal funcionamiento de los equipos, ya sean de origen o de destino.

Solución: agregue el equipo a un dominio y cree en él la cuenta de equipo siguiendo los pasos

que se describen a continuación:

Para agregarse a un dominio, deberá proporcionar credenciales de una cuenta que tenga

permisos administrativos en el dominio al que desea agregar el equipo. Debe reiniciar el equipo

para terminar de agregar el equipo al dominio.

1. Inicie la sesión en el equipo que usa una cuenta que tiene credenciales locales de

administrador.

2. En el escritorio, haga clic con el botón secundario en Mi PC y, después, haga clic en

Propiedades.

3. En la ficha Nombre de equipo, haga clic en Cambiar.

4. En Cambios en el nombre de equipo, seleccione Dominio: y, a continuación, escriba

el nombre del dominio al que quiere agregar este equipo. Haga clic en Aceptar y,

cuando se le pida que reinicie el equipo, haga clic de nuevo en Aceptar.

1. Inicie la sesión en el equipo que usa una cuenta que tiene credenciales locales de

administrador.

2. Haga clic en Inicio, haga clic con el botón secundario en Equipo y, a continuación, haga

clic en Propiedades.

Para cambiar la pertenencia a un dominio de un equipo que está ejecutando Windows 2000 (para ADMT v3.1) o Windows Server 2003

Para cambiar la pertenencia al dominio de un equipo que ejecuta Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2

292

3. Haga clic en Cambiar configuración.

4. En la ficha Nombre de equipo, haga clic en Cambiar.

5. En Cambios en el nombre de equipo, seleccione Dominio y, a continuación, escriba el

nombre del dominio al que desea agregar este equipo. Haga clic en Aceptar y, cuando

se le pida que reinicie el equipo, haga clic de nuevo en Aceptar.

Solución de problemas relativos a la migración de contraseñas


En este tema se describe un problema conocido relacionado con la migración de contraseñas

con la Herramienta de migración Active Directory.

Las contraseñas migradas podrían no cumplir la directiva de contraseñas del dominio de

destino.

La migración de contraseñas en ADMT omite las comprobaciones de la directiva de contraseñas.

Si se establece una directiva de contraseñas, no se puede implementar hasta que la contraseña

se cambie. Por este motivo, ADMT siempre requiere que los usuarios migrados cambien sus

contraseñas la próxima vez que inicien sesión.

Después de una migración entre distintos bosques, los usuarios no pueden iniciar sesión

en su nuevo dominio.

Causa: al realizar una migración entre distintos bosques, ADMT siempre establece la opción El

usuario debe cambiar la contraseña para los usuarios migrados. Si la cuenta de usuario tiene

activada la opción El usuario no puede cambiar la contraseña, la cuenta de destino no podrá

iniciar sesión hasta que se cambie una o ambas opciones.

Solución: cambie las opciones siguiendo uno de los siguientes procedimientos:

1. En Usuarios y equipos de Active Directory, en el menú Ver, haga clic en Características

avanzadas.

2. Haga clic con el botón del mouse (ratón) secundario en el usuario y, a continuación,

haga clic en Propiedades.

3. En la ficha Seguridad, conceda el permiso de Cambiar contraseña a Todos y al

usuario.

En Usuarios y equipos de Active Directory, haga clic con el botón secundario en el

usuario y, a continuación, haga clic en Restablecer contraseña.

Para habilitar la posibilidad de cambiar la contraseña de usuarioPara quitar el indicador El usuario debe cambiar la contraseña

293

Después de una migración dentro del mismo bosque, los usuarios no pueden iniciar

sesión en su nuevo dominio.

Causa: puede que las contraseñas de cuentas de usuario que se utilizaban en el antiguo

dominio infrinjan las restricciones de contraseña del nuevo dominio.

En una migración dentro del mismo bosque, las contraseñas de cuentas de usuario del dominio

de origen se migran al dominio de destino. Si las cuentas de usuario del dominio de origen tienen

contraseñas que infringen las restricciones de contraseña (como el número mínimo de

caracteres, por ejemplo) del de destino, los usuarios migrados afectados no podrán iniciar

sesión, a menos que la contraseña se haya configurado con un valor que se ajuste a las

directivas de contraseña del dominio de destino.

Si los usuarios intentan utilizar las contraseñas incorrectas, sus nuevas cuentas de usuario se

bloquearán. Si seleccionó Deshabilitar cuentas de destino en el Asistente para migración de

cuentas de usuario, las nuevas cuentas de usuario se deshabilitarán. El resultado será que los

usuarios migrados quizá no puedan iniciar sesión hasta que sus cuentas se desbloqueen o se

marquen como habilitadas.

Solución: restablezca las contraseñas de cuentas de usuario en un valor que se ajuste a la

directiva de contraseña del nuevo dominio y habilite las cuentas de usuario si anteriormente

habían sido deshabilitadas como resultado de continuos errores de contraseña.

A los usuarios migrados les aparece un error indicando que su nombre o contraseña de

usuario es incorrecto.

Causa: los usuarios migrados no pueden iniciar sesión debido a la directiva de contraseña,

aunque parezca que las directivas de contraseña están deshabilitadas.

Durante una migración, algunos administradores pueden decidir deshabilitar las directivas de

contraseña en el dominio de destino. Si intentan llevar esto a cabo desactivando la directiva de

caracteres mínimos de la contraseña sin establecer la directiva de contraseña en cero, es posible

que, al haber aún una directiva de contraseña activa, los usuarios no puedan iniciar sesión.

Solución: establezca la directiva de caracteres mínimos de la contraseña en cero. Una vez que

la directiva de longitud esté establecida en cero, podrá desactivarse la directiva de longitud

mínima de la contraseña.

Solución de problemas relativos a la conversión de seguridad


En este tema se describen problemas conocidos relativos a la conversión de seguridad con la


La conversión de seguridad no afecta al perfil de Outlook

Cuando seleccione Perfiles de usuario en la página Convertir objetos del Asistente para la

conversión de seguridad, la seguridad no se convierte en los perfiles de Microsoft Office

294

Outlook®. Para solucionar los perfiles de Outlook para las cuentas migradas, utilice el Asistente

para migración de Exchange Server de Microsoft. El Asistente para migración de

Exchange Server se incluye e instala con Exchange Server a partir de Exchange Server 2003.

La conversión de seguridad en las claves del registro nativas no está disponible cuando

ejecuta versiones de 64 bits anteriores a Windows Vista

Este es un problema conocido que se produce debido a inconsistencias en cómo el subsistema

de Windows en Windows de 64 bits (WoW64) gestiona la redirección del registro de forma

distinta en Windows Vista y en versiones anteriores del sistema operativo Microsoft Windows.

Este problema no afecta a la ejecución de conversión de seguridad en ubicaciones de registros

nativas para las versiones de 64 bits de Windows Server 2008 o Windows Vista.

Después de la migración, las nuevas cuentas de usuario del dominio de destino no

pueden obtener acceso a los recursos en los que tienen permisos las cuentas del dominio

de origen.

Causa: La configuración necesaria para ejecutar ADMT no se ha establecido correctamente.

La mayoría de los problemas de migración son ocasionados por un entorno de migración mal

configurado.

Solución: abra el archivo de registro de la migración y busque la cuenta que migró con el

historial de identificadores de seguridad (SID). Si se agregó el historial de SID a la cuenta,

debería ver una entrada similar a la siguiente:

06.10.05 18:28:50-SID para nombreDeCuentaDeUsuario agregada al historial de SID de

nombreDeCuentaDeUsuario

Si aparece un mensaje de error, seguramente no habrá configurado el entorno correctamente y

deberá consultar los temas de configuración antes de volver a intentar la migración.

No funciona la migración del historial de SID.

Causa: para que se la migración del historial de SID funcione, deben cumplirse una serie de

condiciones.

Solución: Configure el entorno de migración correctamente antes de ejecutar ADMT y revise los

temas de configuración antes de continuar con la migración.

Al migrar un principal de seguridad anteriormente migrado a un nuevo dominio, los tres

dominios deben tener establecidos los criterios para migrar el historial de SID.

Por ejemplo, supongamos que tenemos estos tres dominios: DominioA, DominioB y DominioC.

El Usuario1 del DominioA (DominioA\Usuario1) se migra al DominioB como DominioB\Usuario1 y

se convierte el historial de SID. El DominioB\Usuario1 tiene ahora el SID principal para el

DominioB\Usuario1 y el valor del historial de SID para el DominioA\Usuario1. Si un administrador

quiere migrar el DominioB\Usuario1 al DominioC\Usuario1 y preservar todos los SID del

DominioB\Usuario1, deberá establecerse la configuración apropiada para posibilitar la migración

del DominioA al DominioC y del DominioB al DominioC. Si se ha dado de baja el DominioA o si

no se puede establecer la configuración apropiada entre el DominioA y el DominioC, ADMT

migrará el SID para el DominioB\Usuario1 al DominioC\Usuario1 y registra el hecho de que no

pudo migrar el SID del DominioA\Usuario1.

Nota

295

Si no existe el DominioA, ADMT generará un mensaje de error en el registro, pero la migración

se habrá realizado correctamente. Puede ignorar este mensaje de error.

Después de la migración, las nuevas cuentas de usuario del dominio de destino no

pueden obtener acceso a los recursos en los que tienen permisos las cuentas del dominio

de origen.

Causa: La configuración necesaria para ejecutar ADMT no se ha establecido correctamente.

La mayoría de los problemas de migración son ocasionados por un entorno de migración mal

configurado.

Solución: abra el archivo de registro de la migración y busque la cuenta que migró con el

historial de SID. Si se agregó el historial de SID a la cuenta, debería ver una entrada similar a la

siguiente:

2005-10-06 18:28:50-SID para nombreDeCuentaDeUsuario agregada al historial de SID de

nombreDeCuentaDeUsuario

Si aparece un mensaje de error, seguramente no habrá configurado el entorno correctamente y

deberá consultar los temas de configuración antes de volver a intentar la migración.

Me aparece el siguiente error: "La Papelera de reciclaje de C:\ está dañada o no es válida.

¿Desea vaciar la Papelera de reciclaje de esta unidad?"

Causa: Este comportamiento se produce de forma predeterminada. Por razones de seguridad,

cada usuario que inicia sesión en un equipo de Windows 2000 o Windows Server 2003 tiene una

Papelera de reciclaje específica propia. La lista de control de acceso (ACL) sólo puede contener

un SID por usuario por cada instancia de Papelera de reciclaje. Cuando se migra el perfil de un

usuario mediante la opción Agregar, el SID del usuario del dominio de origen se agrega al

historial de SID de la Papelera de reciclaje. Lo que se consigue con esto es colocar dos SID por

usuario en la lista ACL de la Papelera de reciclaje. Este problema no se produce si migra los

perfiles mediante la opción Reemplazar.

Solución: en el mensaje de error, haga clic en Sí y la Papelera de reciclaje se vaciará sin

problemas. Si hace clic en No, el error seguirá apareciendo hasta que la Papelera de reciclaje se

vacíe.

Los usuarios de dominios que no son de confianza no pueden tener acceso a los recursos

compartidos del sistema de archivos distribuido (DFS) en dominios de Active Directory.

Causa: Este comportamiento se produce de forma predeterminada.

Solución: si planea utilizar recursos compartidos de DFS en el dominio, migre los equipos que

pertenecen a usuarios que antes tienen acceso a los recursos compartidos de DFS, o migre los

equipos y los usuarios en la misma sesión de migración.

Solución de problemas relativos a la migración dentro de un mismo bosque


296

En este tema se describen problemas conocidos relativos a la migración entre bosques con la


Los derechos de usuario y de grupo de todo el dominio no migran al dominio de destino

Cuando activa Derechos de usuario en los Asistentes para migración de cuentas de grupo y

usuario, migra sólo los derechos locales en el controlador de dominio de origen. Los derechos de

todo el dominio no migran.

Migración de grupos globales y dominios de origen en modo mixto

Cuando se migran grupos globales de un dominio de origen en modo mixto a un dominio de

destino en modo nativo, y los grupos no están vacíos, ADMT crea copias de dichos grupos

globales en el dominio de destino y no agrega el identificador de seguridad (SID) del grupo global

del dominio de origen al atributo del historial de SID. Este comportamiento se produce de forma

predeterminada.

En esta situación, ADMT no puede convertir el grupo global en un grupo universal porque los

dominios en modo mixto no reconocen grupos universales y no pueden agregarlos al token de

acceso del usuario. Por lo tanto, los usuarios perderían el acceso a los recursos.

Se recomienda migrar usuarios y grupos sólo de un dominio en modo nativo a otro

dominio también en modo nativo.

Los grupos globales se copian sin el atributo del historial de SID en las migraciones

dentro del mismo bosque si no se migran con miembros del grupo y el dominio de origen

está en modo mixto.

Al migrar un grupo global en un dominio de modo mixto para realizar una migración dentro del

mismo bosque mediante el Asistente para migración de cuentas de grupo, si no está

seleccionada la opción Copiar miembros de grupo, ese grupo global no se migrará, sino que se

copiará sin el historial de SID en lugar de moverse. Esto ocurre por las reglas de pertenencia a

grupos globales.

Si ADMT mueve el grupo global en lugar de copiarlo, los miembros del grupo serán "huérfanos"

con respecto al grupo y perderán todo acceso a recursos concedido mediante la pertenencia al

grupo porque los grupos globales no pueden contener miembros de otros dominios.

Al migrarse posteriormente los miembros de ese grupo, la pertenencia al grupo se restaura. Sin

embargo, como el historial de SID no se migra con el grupo, deberá ejecutar el Asistente para

conversión de seguridad para actualizar las listas de control de acceso (ACL), al igual que en

una migración entre distintos bosques sin historial de SID.

Se recomienda migrar usuarios y grupos sólo de un dominio en modo nativo a otro

dominio también en modo nativo.

La tabla de objetos migrados no se sincroniza

Si el administrador del dominio de destino elimina un grupo migrado tras la migración, las

entradas del grupo migrado no se quitan de la tabla de objetos migrados. Si se migra un grupo

desde el dominio de origen con el mismo nombre que el del grupo eliminado en el dominio de

destino, puede producirse un error. Este error sólo se produce si los usuarios se migran con el

grupo. El mensaje de error es el siguiente:

Importante Importante

297

ERR2:7422 Error al mover objeto <objeto_RDN>, hr=80070057 El parámetro no es correcto.

Solución de problemas relativos a los archivos de registro de ADMT


En esta sección se describe un problema conocido relativo a los archivos de registro de la


No puedo encontrar los archivos de registro de ADMT.

Solución: todos los archivos de registro de ADMT se almacenan en la base de datos de ADMT.

Sin embargo, los 20 últimos registros de migración también se almacenan en la carpeta Logs,

dentro de la carpeta ADMT del equipo en el que está instalado ADMT. Puede tener acceso a

todos los registros de ADMT en la base de datos mediante el comando admt task en una línea

de comandos.

No puedo leer las entradas del registro de eventos para el agente ADMT.

Causa: no está en un equipo que tenga instalado ADMT.

Solución: el agente puede escribir entradas de registro de eventos en el equipo en el que se

ejecuta. Sin embargo, el software del agente se quita cuando la tarea del agente ha terminado.

Puede ver las entradas del registro de eventos en el equipo al que se distribuyó al agente

ejecutando el Visor de sucesos desde el equipo en el que ADMT está instalado.

Necesito más información de los registros de ADMT.

Causa: configuración incorrecta del nivel de registro.

De forma predeterminada, ADMT escribe la información de resumen en sus archivos de registro.

Puede aumentar el nivel de detalle cambiando la entrada del registro que controla el nivel de

registro.

Solución: En el equipo en el que ADMT está instalado, establezca en 7 el valor de la clave del

registro HKEY_LOCAL_MACHINE\Software\Microsoft\ADMT\TranslationLogLevel.

Puede utilizar el modo de registro detallado para el diagnóstico y la solución de problemas. El

modo de registro detallado puede crear archivos de registro muy grandes, especialmente en los

casos en los que el equipo de destino tiene muchos archivos u otros objetos cuyas listas de

control de acceso (ACL) deban actualizarse. Dado que los registros del agente se escriben en la

carpeta especificada por la variable de entorno %TEMP%, el volumen al que se dirige dicha

variable de entorno debe contar con bastante espacio en disco. Cuando inicia sesión con el

modo detallado, puede que tenga que cambiar el valor de la variable de entorno %TEMP% antes

de distribuir a un agente.

Los informes generados no aparecen en ADMT.

Causa: cuando ADMT genera informes, no actualiza automáticamente la consola.

Solución: Para ver los informes, cierre y vuelva a abrir ADMT.

298

Ejecución de varias instancias de ADMT en varios idiomas

Cuando ejecuta varias instancias de ADMT en las que distintas instancias utilizan diferentes

idiomas, los archivos de registro se generan en el idioma en el que se ejecuta la instancia. Esto

no afecta a la funcionalidad de ADMT en modo alguno. Sin embargo, recomendamos que utilice

un lenguaje unificado cuando ejecute varias instancias de ADMT.

Solución de problemas relativos a la línea de comandos de ADMT


Tenga en cuenta que la herramienta de línea de comandos usa el componente de secuencias de

comandos y, por lo tanto, las cuestiones relativas a las secuencias de comandos se aplican

también a la herramienta de línea de comandos.

Los parámetros duplicados de la línea de comandos prevalecen sobre cualquier aparición

anterior

Si se especifica varias veces un parámetro de la línea de comandos, el último valor prevalece

sobre el valor anterior. Este comportamiento se produce de forma predeterminada.

La interfaz de línea de comandos no muestra caracteres extendidos

La interfaz de línea de comandos de ADMT no convierte caracteres Unicode. Por lo tanto, los

caracteres extendidos como la diéresis no se muestran correctamente.

La opción de habilitar la cuenta de origen no está deshabilitada en las migraciones dentro

de un mismo bosque

Cuando realiza migraciones dentro de un mismo bosque, las cuentas se mueven de un dominio

a otro en lugar de copiarse. La cuenta de origen se quita durante el proceso. No obstante, la

opción de habilitar una cuenta de origen se encuentra disponible por medio de la interfaz de línea

de comandos de ADMT. Cuando use esta opción, recibirá la siguiente advertencia:

WRN1: 7362: <nombre_de_objeto>: no se pudo habilitar la cuenta de origen. El parámetro

es incorrecto.

Solución de problemas relativos a las operaciones de agentes


Me aparece un mensaje de error según el cual la Herramienta de migración para

Active Directory (ADMT) no pudo comprobar la auditoría ni TcpipClientSupport en los

dominios.

299

Causa: el agente se distribuye con unas credenciales que no son válidas o no está configurado

correctamente el entorno de migración.

Solución: un agente se distribuye en un equipo remoto mediante las credenciales de la cuenta

utilizada para ejecutar ADMT. Una vez instalado el agente en el equipo remoto, se ejecuta bajo la

cuenta del sistema local. Las credenciales que se proporcionan al asistente antes de la

distribución del agente en el equipo remoto se utilizan para volver a escribir los resultados en un

recurso compartido creado en el equipo en el que se ejecuta ADMT. El agente debe tener el

derecho de iniciar sesión localmente en el equipo remoto y, si se utiliza para migrar equipos,

debe tener derechos administrativos en el dominio de origen y ser un administrador local en

todas las estaciones de trabajo.

Para asegurarse de que tiene las credenciales correctas, cree confianzas de tal modo que el

dominio de origen confíe en el de destino y viceversa. Agregue el grupo Administradores de

dominio del dominio de destino (destino\Administradores de dominio) al grupo Administradores

incorporado del dominio de origen (origen\Administradores). Inicie sesión utilizando la cuenta

destino\Administradores de dominio y proporcione un conjunto de credenciales para la cuenta

origen\Administradores cuando se le solicite. Esto le concederá permisos administrativos tanto

en el dominio de origen como en el de destino.

Las operaciones de distribución del agente fallan por errores de conflicto de credenciales.

Causa: tiene una conexión activa, como una unidad asignada o una impresora, en un equipo en

el que se está instalando un agente. La operación de distribución falla porque las credenciales de

la instalación del agente entran en conflicto con el actual conjunto de credenciales.

Solución: quite todas las conexiones activas que haya entre el equipo que ejecuta ADMT y el

equipo en el que se está distribuyendo el agente.

Cuando intento ver los resultados de una operación de agente remoto, aparece el

siguiente error: "No se puede abrir el archivo \\NombreDelEquipo\(%SystemRoot%)$\temp\

dctlog.txt."

Causa: el recurso compartido administrativo predeterminado para el volumen de sistema del

equipo en el que se distribuyó el agente no está habilitado.

Al no estar habilitado el recurso compartido predeterminado, ADMT no puede leer el archivo de

registro.

Solución: vuelva a habilitar el recurso compartido predeterminado del volumen de sistema.

Al generar informes, aparece el error 3107 IDispatch.

Causa: este error puede surgir cuando se cierra el Agente de supervisión antes de que todos los

agentes hayan terminado de escribir de nuevo sus resultados en la base de datos de informe de

ADMT.

Solución: para evitar este problema, espere a que todos los agentes terminen sus tareas antes

de cerrar el Agente de supervisión.

Necesito saber qué protocolos y puertos utiliza ADMT para establecer la comunicación de

la consola con los controladores de dominio y los agentes de ADMT que se ejecutan en

las estaciones de trabajo.

300

Causa: cuando ejecuta ADMT en entornos con firewall, es posible que tenga que establecer

excepciones de puertos de firewall para permitir el tráfico relacionado con ADMT en su red.

Solución: la consola de ADMT utiliza el puerto de Protocolo ligero de acceso a directorios

(LDAP) 389 para comunicarse con los controladores de dominio y Llamada a procedimiento

remoto (RPC) para comunicarse con los agentes de ADMT. Para la comunicación RPC, se puede

utilizar cualquier puerto RPC disponible en el intervalo comprendido entre 1024 y 5000. Para

obtener más información, consulte el artículo 836429 de Microsoft Knowledge Base


¿Por qué no se quitan los archivos que genera ADMT para la implementación del agente

después de su uso?

Los archivos generados en los equipos cliente donde se ejecutó el servicio de agente de ADMT

para la conversión de seguridad de grupos locales se colocan en %windir%\

onepointdomainagent:

Los archivos de esta ubicación pueden conservarse después de reiniciar debido a los siguientes

motivos:

Si el equipo aún tiene instalada ADMT.

Si tras quitar ADMT del equipo, no realiza una limpieza de registro para quitar cualquier

entrada desde la ruta de acceso HKLM\Software\Microsoft\ADMT.

Si reinicia el equipo sin esperar a que los procesos del agente de ADMT se cierren o

completen. Para comprobar que los procesos de ADMT se han cerrado, puede usar el

Administrador de tareas para comprobar que ADMTAgnt.exe y DctAgentServices.exe no se

muestran en la ficha Procesos. Si se muestra alguno de estos procesos, utilice el

Administrador de tareas para finalizarlos antes de reiniciar.

Recursos adicionales


Estos recursos contienen ayudas para tareas, herramientas e información adicionales

relacionadas con esta guía.

Información relacionada Designing and Deploying Directory and Security Services (Diseño e implantación de

Directory y los servicios de seguridad) (http://go.microsoft.com/fwlink/?LinkId=76005)

Herramientas relacionadas Artículo 295758 de Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkId=77553)

301




Ayudas para tareas relacionadas La descarga Job_Aids_Designing_and_Deploying_Directory_and_Security_Services de Job

Aids for Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/?LinkId=14384)

Este paquete incluye hojas de cálculos y secuencias de comandos de ejemplo que puede

personalizar para su propia migración.

302


admt migración y reestructuración de dominios

Documents