Configurazione dell’Utilità di migrazione ad Active Directory per migrare utenti e password da un dominio Windows NT 4.0 a un dominio Windows Server 2003
Per poter migrare la cronologia degli ID di protezione e le informazioni delle password, è necessario che ADMT sia installato in un controller di dominio. A questo fine, attenersi alla procedura seguente: 1. Attivare il controllo delle operazioni riuscite e non riuscite della gestione degli account nel criterio Controller di dominio predefiniti. Per effettuare questa operazione: a. Avviare Utenti e computer di Active Directory.
b. Espandere il dominio, fare clic con il pulsante destro del mouse su Controller di dominio, quindi scegliere Proprietà.
c. Fare clic sulla scheda Criteri di gruppo, scegliere Criteri predefiniti controller di dominio, quindi scegliere Modifica.
d. Espandere Configurazione computer, Impostazioni di Windows, Impostazioni protezione, Criteri locali e infine fare clic su Criteri controllo.
e. Nel riquadro destro fare doppio clic su Controlla gestione degli account.
f. Selezionare la casella di controllo Definisci le impostazioni relative ai criteri se non è già selezionata, quindi selezionare entrambe le caselle di controllo seguenti:
Operazioni riuscite
Operazioni non riuscite
g. Scegliere OK, chiudere l’Editor oggetti Criteri di gruppo, quindi scegliere OK.
h. Attendere il tempo sufficiente affinché le modifiche dei criteri di gruppo vengano propagate in tutto il dominio.
2. Accedere come amministratore a un controller di dominio in cui è installato ADMT versione 2.
3. Al prompt dei comandi digitare il seguente comando per creare un file della chiave di esportazione delle password (estensione pes)
admt key dominiooriginepercorsopassword
dove dominioorigine è il nome NetBIOS del dominio di origine Windows NT 4.0, percorso è il percorso in cui si desidera creare la chiave di esportazione delle password e dove password è una password facoltativa o il carattere asterisco (*) a protezione del file pes.
Nota È necessario specificare un percorso locale per il file pes. Questo percorso può fare riferimento a un’unità con supporti rimovibili, ad esempio un’unità floppy, un’unità ZIP o un’unità CD-R o CD-RW. Inoltre, se si digita una password, ADMT consente di proteggere il file con la password. Se si digita un asterisco (*), viene chiesto di immettere e confermare una password. Tale password non viene visualizzata mentre la si digita.
4. Spostare il file pes sul server di esportazione password designato nel dominio di origine. Può essere qualsiasi controller di dominio del dominio Windows NT 4.0 che disponga di un collegamento veloce e affidabile al computer basato su Windows Server 2003 nel quale è installato ADMT.
Torna all’inizio
Configurazione del dominio di origine
Avviso L’errata modifica del Registro di sistema tramite l’editor o un altro metodo può causare seri problemi, che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce la soluzione di eventuali problemi derivanti dall’errata modifica del Registro di sistema. La modifica del Registro di sistema è a rischio e pericolo dell’utente.
Configurare il dominio di origine Windows NT 4.0 per l’operazione di migrazione delle password. Per effettuare questa operazione: 1. Configurare un nuovo gruppo locale e assegnargli il nome dominioorigine$$$, dove dominioorigine è il nome NetBIOS del dominio di origine Windows NT 4.0. Il gruppo non deve contenere alcun membro.
2. Sul controller di dominio primario (PDC) attivare il controllo delle operazioni riuscite e non riuscite della gestione di utenti e gruppi nel dominio. Per effettuare questa operazione: a. Avviare User Manager per domini.
b. Scegliere Controllo dal menu Criteri.
c. Scegliere Controlla, quindi selezionare entrambe le caselle di controllo seguenti per la voce Gestione utenti e gruppi:
Operazioni riuscite
Operazioni non riuscite
d. Scegliere OK.
3. Configurare il dominio di origine in modo da consentire l’accesso RPC (Remote Procedure Call) al database SAM (Security Accounts Manager) impostando il valore del Registro di sistema TcpipClientSupport su 1. Per effettuare questa operazione, attenersi alla seguente procedura: a. Sul computer PDC fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri, quindi scegliere OK.
b. Individuare e selezionare la seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
c. Scegliere Nuovo dal menu Modifica, quindi Valore DWORD.
d. Assegnare al nuovo valore il nome TcpipClientSupport.
e. Fare clic con il pulsante destro del mouse su TcpipClientSupport, quindi scegliere Modifica.
f. Nella casella Dati valore digitare 1, quindi scegliere OK.
g. Chiudere l’editor del Registro di sistema.
Nota Occorre riavviare il computer per applicare questa modifica del Registro di sistema. Non è tuttavia necessario riavviare il computer fino a quando non si installa il componente DLL per la migrazione delle password di ADMT.
4. Installare la DLL di migrazione delle password di ADMT sul computer PDC. A questo scopo, eseguire Pwdmig.exe dalla cartella I386\ADMT\Pwdmig sul CD di Windows Server 2003 o dal percorso in cui è stato scaricato ADMT.
Quando si esegue l’installazione guidata della DLL di migrazione delle password di ADMT, viene chiesto il percorso del file pes spostato nel dominio Windows NT 4.0. È necessario specificare un percorso locale per questo file. Viene inoltre chiesta la password utilizzata in occasione della creazione del file.
5. Al termine dell’installazione della DLL di migrazione delle password di ADMT scegliere Sì quando viene chiesto di riavviare il server.
6. Quando si è pronti a migrare le password dal dominio Windows NT 4.0, modificare il valore del Registro di sistema AllowPasswordExport in 1. Per effettuare questa operazione, attenersi alla seguente procedura: a. Sul computer PDC fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri, quindi scegliere OK.
b. Individuare e selezionare la seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
c. Nel riquadro destro fare clic con il pulsante destro del mouse su AllowPasswordExport, quindi scegliere Modifica.
d. Nella casella Dati valore digitare 1, quindi scegliere OK.
e. Chiudere l’editor del Registro di sistema.
Torna all’inizio
Riferimenti
L’Utilità di migrazione ad Active Directory v2 è contenuta nella cartella I386\Admt sul CD di Windows Server 2003. Per ulteriori informazioni, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://technet2.microsoft.com/windowsserver/en/library/c283b699-6124-4c3a-87ef-865443d7ea4b1033.mspx (http://technet2.microsoft.com/windowsserver/en/library/c283b699-6124-4c3a-87ef-865443d7ea4b1033.mspx)
Per maggiori dettagli visitare il sito …
http://support.microsoft.com/kb/832221