Flytte objekter i Active Directory - dummies

Flytte objekter rundt i Active Directory kan innebære å flytte objekter fra ett sted til et annet i et domene, eller du må kanskje flytte objekter fra ett domene til et annet. Du må vite detaljene knyttet til hver operasjon for MCSE Directory Services-eksamenen. Heldigvis behøver du bare å huske noen enkle regler.

Flytte objekter i et domene

Flytte objekter i et domene er en enkel prosess: Høyreklikk bare objektet og velg Flytt. Windows 2000 viser en dialogboks der du bare velger destinasjonsbeholderobjektet for flyttingen. (I nyere versjoner av Windows 2000 kan du dra og slippe Active Directory-objekter fra en OU til en annen.)

Et ekte eksempel på å flytte et objekt i et domene innebærer å flytte en brukerkonto fra en OU til en annen når brukeren overfører fra en avdeling til en annen i organisasjonen. Ved å flytte brukerens konto kan brukeren motta fordelene og begrensningene du har definert for den nye OU.

Hva er ikke så greit (og hva du trenger å vite for eksamenen) er effekten som bevegelige objekter har på tillatelser. Her er reglene du må vite:

• Tillatelser du tilordner direkte til et Active Directory-objekt forblir i objektet etter at du har flyttet objektet.
• Objektet arver tillatelsene tildelt den nye OU og mister eventuelle tidligere arvede tillatelser.

Du har kanskje allerede funnet ut dette: En utmerket strategi for å administrere Active Directory-objekter er å flytte objekter som trenger lignende tillatelsesinnstillinger til samme OU. Ved å gjøre det kan du enkelt administrere nettverket ditt, tildele tillatelser og delegere myndighet effektivt med bare noen få museklikk.

Flytte objekter mellom domener

I en skrog med flere domene i Windows 2000 må du kanskje flytte objekter (brukere, organisasjonsenheter, grupper) mellom disse flere domenene. Du bruker MOVETREE kommandolinjeverktøyet til å utføre mange av disse operasjonene.

Når du flytter brukere og grupper til et nytt domene, mottar de nye sikkerhetsidentifikatorer (SID). Heldigvis støtter Windows 2000 som kjører i innfødt modus et attribut som heter SIDHistory. Når du flytter en bruker fra domene til domene, fyller Windows 2000 SIDHistory, slik at du ikke trenger å tilbakestille tillatelser til objekter hver gang du utfører flyttingsoperasjonen.

MOVETREE hjelper deg med de fleste flytteoperasjoner mellom domener. Og i de tilfeller som MOVETREE ikke kan gjøre jobben, kan du slå til et annet verktøy som heter NETDOM.MOVETREE kan

• Flytt de fleste Active Directory-objekter (inkludert nonempty-beholdere) fra ett domene til et annet i samme skog.
• Flytt domenet lokale og globale grupper mellom domener. Disse gruppene kan imidlertid ikke inneholde medlemmer. Domenene må eksistere innenfor samme skog.
• Flytt universelle grupper og deres medlemmer mellom domener i samme skog.

MOVETREE kan flytte mest Active Directory-objekter. De som det ikke kan bevege seg når du prøver å flytte grupper av objekter, blir foreldreløse . Windows 2000 plasserer disse forældreløse objektene i en spesiell beholder kalt LostAndFound. Du kan se denne beholderen ved hjelp av funksjonen Avansert visning av Active Directory-brukere og datamaskiner.

Du må ha de riktige administrativillatelsene for å bruke MOVETREE fra ledeteksten. Denne kommandoen bruker følgende syntaks:

MOVETREE {/ start | / startnocheck | / fortsett | / /} SrcDN / d DstDSA / sdn SrcDN / ddn DstDN [/ u [ Domene ] Brukernavn / p Passord ] [/ verbose] [{/? | / help}]

De kursiverte oppføringene i denne syntaksen representerer informasjon du må angi. Tabell 1 beskriver bryterne du kan bruke med MOVETREE-kommandoen.

Tabell 1 MOVETREE kommandobrytere

Bryter	Hva den gjør
/ start	Starter flyttingsoperasjonen.
/ startnocheck	Starter en MOVETREE-operasjon uten / sjekk.
/ fortsett	Fortsetter utførelsen av en tidligere stoppet eller mislykket MOVETREE-operasjon.
/ sjekk	Utfører en testkjøring av MOVETREE-operasjonen.
/ s SrcDSA	Angir kildeserverens fullt kvalifiserte domenenavn (FQDN).
/ d DstDSA	Angir destinasjonsserverens FQDN.
/ sdn SrcDN	Angir det fremstående navnet på objektet du flytter fra kilden.
/ ddn DstDN	Angir det fremstående navnet på objektet du flytter til destinasjonen.
/ u	Kjører MOVETREE under legitimasjonene til brukernavnet og passordet som er oppgitt.
/ verbose	Forårsaker MOVETREE for å vise flere detaljer når den kjører.
/?	Viser hjelp om MOVETREE.

MOVETREE lager loggfiler når operasjoner utføres. Du kan sjekke disse loggfilene for informasjon om suksess eller feil i MOVETREE-hendelser:

• MOVETREE. ERR: Viser eventuelle feil.
• MOVETREE. LOG: Viser statistiske resultater av operasjonen.
• MOVETREE. CHK: Viser eventuelle feil oppdaget fra MOVETREE som utføres i sjekkmodus.

MOVETREE flytter datamaskinobjekter fra ett domene til et annet for deg, men det kan ikke kobles fra datamaskinen fra kildedomenet og bli med det til måldomenet. Denne begrensningen gjør NETDOM til et mye bedre verktøy for å flytte datamaskiner mellom domener i en Windows 2000 Active Directory-innstilling.

NETDOM bruker følgende syntaks for å flytte datakontoer:

MOVETREE {/ NETDOM move / D: domener [/ OU: ou_path ] [/ Ud: Bruker / Pd: { Passord | *}] [/ Uo: Bruker / Po: { Passord | *}] [/ Reboot: time_in_seconds ]]

Tabell 2 beskriver bryterne du bruker med NETDOM-kommandoen.

Tabell 2 NETDOM Command Switches

Switch	Hva det gjør
/ domain	Identifiserer måldomenet.
/ OU: ou_path	Angir målet OU.
/ Ud: Bruker	Angir brukerkontoen som ble brukt for å gjøre forbindelsen til måldomenet.
Pd: {Passord | *}	Angir passordet for brukerkontoen som brukes til å koble til måldomenet; Hvis du bruker *, ber vi om NETDOM for passordet.
/ Uo: Bruker	Identifiserer brukerkontoen som brukes til å opprette forbindelse til kildedomenet.
/ Po: {Passord | *}	Angir passordet for brukerkontoen som ble brukt til å koble til det opprinnelige domenet; Hvis du bruker *, ber vi om NETDOM for passordet.
/ Reboot: [time_in_seconds]	Angir at datamaskinen som skal flyttes, skal slås av og starte på nytt automatisk i det angitte antallet sekunder etter flytting.