我有一个情况下有一个根域(RD)和两个子域(CD1和CD2)。 用户在CD1和CD2上都有帐户,具有相同的samAccountNames,名称等,各种应用程序使用CD1或CD2帐户对资源进行身份validation。
我需要将CD2分解为CD1,所以我想合并帐户。 但是,ADMT不允许我这个选项(合并选项是灰色的),我认为,因为它不支持林内合并帐户(虽然它没有明确指出在文档中的任何地方)。
我的问题是 – 我合并这些帐户最简单的方法是什么? 最终,我真正需要的(我认为)是CD2 \ user1的SID被添加到CD1 \ user1的SIDHistory – 是否有一个工具支持这个?
计算机帐户和configuration文件不是这种情况下的问题。 群组迁移不太可能成为问题 – CD2 \ user1通常通过CD1上的一个群组的成员身份授予资源访问权限。
看看ADMT 3.1迁移指南:
在Windows Server 2008林中重构Windows Server 2008域时,可以整合域结构并降低pipe理复杂性和开销。 与在林之间重构Windows Server 2008域的过程不同,当您重新构build林中的域时,迁移的帐户不再存在于源域中。 因此,只有在按照从前一个目标域到前一个源域的相反顺序执行迁移过程时,才能进行迁移回滚。
重要说明:所有目标域必须在Windows 2000本机function级别,Windows Server 2003function级别或Windows Server 2008function级别上运行。 下表列出了林间域重构与林内域重构之间的差异。
难道你的子域不是在本地模式?
这个问题的简单答案是,你不能做一个森林内合并。 我们最终通过创build一个临时的外部森林解决了这个问题,使用ADMT将一个帐户从CD1迁移到该森林,然后将其迁移回CD2。
笨重,但它的工作。