活動目錄遷移須要的步驟

 一、在目標域上創建雙向信任關係。

　　二、在目標域上關閉SID篩選

　　源域: old.com

　　目標域:net.com

　　Netdom trust old.com /domain:net.com /quarantine:NO

　　/usero:old\administrator /password:*

　　三、在目標域上安排ADMT工具。

　　四、在目標域上運行命令行ADMT KEY生成.pes文件(口令不是源域管理員的口令，而是保護pes文件的口令)

　　admt key old.com c:\*

　　五、將目標域上的.pes文件複製到源域上。

　　六、在目標域上修改域控制器的安全策略，將審覈賬戶管理改爲「成功」和「失敗」。在源域上也是一樣如此。完成後運行策略刷新工具。

　　七、在目標域的「AD用戶和計算機」裏面修改一個組，在Bulitin容器下的「Pre-windows  2000 compatible access"，並將anonymous login;everyone兩種用戶加入到其組中。

　　八、在源域上安裝口令導出工具設置口令導出，在安裝過程當中找到複製過來的.pes文件便可。完成後要修改註冊表，不然沒法使用口令導出工具。

　　(1)開啓口令導出功能：HKEY Local_machine\system\currentcontrolset\control\LSA下面的"AllowpasswordExport"鍵值，將0改成1;

　　(2)容許ADMT工具訪問SAM數據庫：HKEY Local_machine\system\currentcontrolset\control\LSA下面的新建DWORD類型的鍵值，名稱爲"Tcpipclientsupport"將值設置爲1。並從新啓動計算機。

　　九、在目標域使用ADMT工具進行用戶和計算機的遷移，並使用LDP監視SIDHistory。