Indholdsfortegnelse:
Video: Flyt FSMO rollerne til Windows Server 2008 Domain controlleren 2024
Flytning af objekter rundt i Active Directory kan indebære at flytte objekter fra et sted til et andet inden for et domæne, eller du skal muligvis flytte objekter fra et domæne til et andet. Du skal kende detaljerne i forbindelse med enten operationen til MCSE Directory Services eksamen. Heldigvis behøver du blot at huske nogle enkle regler.
Flytning af objekter inden for et domæne
Flytning af objekter inden for et domæne er en simpel proces: Højreklik bare på objektet, og vælg Flyt. Windows 2000 viser en dialogboks, hvor du blot vælger destinationsbeholderobjektet for flytningen. (I nyere versioner af Windows 2000 kan du trække og slippe Active Directory-objekter fra en OU til en anden.)
Et reelt eksempel på at flytte et objekt inden for et domæne indebærer at flytte en brugerkonto fra en OU til en anden, når brugeren overfører fra en afdeling til en anden i din organisation. Flytning af brugerens konto gør det muligt for brugeren at modtage de fordele og begrænsninger, du har defineret for den nye OU.
Hvad er ikke så ligetil (og hvad du behøver at vide til eksamen) er den effekt, at bevægelige objekter har på tilladelser. Her er reglerne du skal vide:
- Tilladelser, du tildeler direkte til et Active Directory-objekt, forbliver i objektet, når du flytter objektet.
- Objektet arver de tilladelser, der er tildelt den nye OU og mister eventuelle tidligere arvede tilladelser.
Du har måske allerede regnet ud dette: En fremragende strategi til administration af Active Directory-objekter er at flytte objekter, der kræver lignende tilladelsesindstillinger til samme OU. Ved at gøre det kan du nemt administrere dit netværk, tildele tilladelser og delegere myndighed effektivt med blot et par museklik.
Flytning af objekter mellem domæner
I en skov med flere domæner i Windows 2000 skal du muligvis flytte objekter (brugere, organisatoriske enheder, grupper) mellem disse flere domæner. Du bruger kommandolinjen MOVETREE til at udføre mange af disse operationer.
Når du flytter brugere og grupper til et nyt domæne, modtager de nye sikkerhedsidentifikatorer (SID'er). Heldigvis understøtter Windows 2000, der kører i indfødt tilstand, en attribut, der hedder SIDHistory. Når du flytter en bruger fra domæne til domæne, fylder Windows 2000 SIDHistory, så du ikke behøver at nulstille tilladelser til objekter hver gang du udfører flytningen.
MOVETREE hjælper dig med de fleste flytninger mellem domæner. Og i de tilfælde, hvor MOVETREE ikke kan udføre jobbet, kan du henvende dig til et andet værktøj kaldet NETDOM.MOVETREE kan
- Flyt de fleste Active Directory-objekter (inklusiv nonempty-containere) fra et domæne til et andet i samme skov.
- Flyt domæne lokale og globale grupper mellem domæner. Disse grupper kan dog ikke indeholde medlemmer. Domænerne skal eksistere inden for samme skov.
- Flyt universelle grupper og deres medlemmer mellem domæner i samme skov.
MOVETREE kan flytte mest Active Directory-objekter. De, som det ikke kan bevæge sig, når du forsøger at flytte grupper af objekter, bliver forældreløse . Windows 2000 placerer disse forældreløse objekter i en særlig container kaldet LostAndFound. Du kan se denne beholder ved hjælp af funktionen Avanceret visning af Active Directory-brugere og -computere.
Du skal have de relevante administrative tilladelser til at bruge MOVETREE fra kommandoprompten. Denne kommando bruger følgende syntaks:
MOVETREE {/ start | / startnocheck | / fortsæt | / / d / sdn SrcDN / ddn DstDN [/ u [ Domæne ] Brugernavn / p Adgangskode ] [/ verbose] [{/? | / help}] De kursiverede poster i denne syntaks repræsenterer oplysninger, du skal angive. Tabel 1 beskriver de kontakter, du kan bruge med kommandoen MOVETREE. Tabel 1 MOVETREE kommandostater Switch
Hvad det gør
/ start
|
Starter bevægelsesoperationen. |
/ startnocheck |
|
Starter en MOVETREE-funktion med no / check. |
/ fortsæt |
|
Fortsætter udførelsen af en tidligere pause eller mislykket MOVETREE-funktion. |
/ check |
|
Udfører en testkørsel af MOVETREE-driften. |
/ s SrcDSA |
|
Angiver kildeserverens fuldt kvalificerede domænenavn (FQDN). |
/ d DstDSA |
|
Angiver destinationsserverens FQDN. |
/ sdn SrcDN |
|
Angiver det fremtrædende navn på objektet, du bevæger dig fra kilden. |
/ ddn DstDN |
|
Angiver det fornemme navn på objektet, du flytter til destinationen. |
/ u |
|
Kører MOVETREE under referencerne for brugernavnet og adgangskoden. |
/ verbose |
|
Forårsager MOVETREE for at vise flere detaljer, som den kører. |
/? |
|
Viser hjælp til MOVETREE. |
MOVETREE opretter logfiler, når operationer udføres. Du kan tjekke disse logfiler for at få oplysninger om succes eller fejl i MOVETREE-begivenheder: |
|
MOVETREE. ERR: Viser eventuelle fejl. |
MOVETREE. LOG: Viser statistiske resultater af operationen. |
MOVETREE. CHK: Viser eventuelle fejl, der er opdaget fra MOVETREE, der udføres i kontroltilstand.
- MOVETREE flytter computerobjekter fra et domæne til et andet for dig, men det kan ikke afbryde computeren fra kildedomenet og slutte det til måldomænet. Denne begrænsning gør NETDOM til et meget bedre værktøj til at flytte computere mellem domæner i en Windows 2000 Active Directory-indstilling.
- NETDOM bruger følgende syntaks til at flytte computerkonti:
- MOVETREE {/ NETDOM move / D:
domæne
[/ OU:
ou_path ] [/ Ud: Bruger / Pd: { Adgangskode | *}] [/ Uo: Bruger / Po: { Adgangskode | *}] [/ Reboot: time_in_seconds ]] Tabel 2 beskriver de kontakter, du bruger med NETDOM-kommandoen. Tabel 2 NETDOM Command Switches Switch
Hvad det betyder
/ domæne
|
Identificerer måldomænet. |
/ OU: ou_path |
|
Angiver mål OU. |
/ Ud: Bruger |
|
Angiver den brugerkonto, der blev brugt til at oprette forbindelse til måldomænet. |
Pd: {Password | *} |
|
Angiver adgangskoden til brugerkontoen, der blev brugt til at oprette forbindelse til destinationsdomænet; Hvis du bruger *, spørger NETDOM om adgangskoden. |
/ Uo: Bruger |
|
Identificerer den brugerkonto, der bruges til at oprette forbindelse til kildedomænet. |
/ Po: {Password | *} |
|
Angiver adgangskoden til brugerkontoen, der blev brugt til at oprette forbindelse til det oprindelige domæne; Hvis du bruger *, spørger NETDOM om adgangskoden. |
/ Genstart: [time_in_seconds] |
|
Angiver, at den computer, der flyttes, skal lukkes og genstartes automatisk i det givne antal sekunder efter flytningen. |
