Premier test avec des groupes

Maintenant que nous avons installons ADMT et PES nous allons faire un premier test en essayant de migrer des groupes.

Démarrons l’ « outil de migration Active Directory » :

Dans le menu nous sélectionnons « Assistant de migration des comptes de groupes » :

 

Au premier lancement il faut définir manuellement certains champs, qui seront repris automatiquement lors des étapes suivantes, tel que le domaine et le DC source et cible :

Il est possible de sélectionner manuellement les groupes concernés ou d’utiliser un fichier. Nous prenons la sélection manuelle 

 

 

Nous sélectionnons l’option « Effectuer la migration des identificateurs SID de groupe vers le domaine cible » :

La première fois vous risquez de rencontrer les messages d’avertissement suivants, car nous n’avons pas paramétré un des prérequis pour la migration. Pas de panique, le message nous propose de réaliser l’opération pour nous, il suffit de cocher « oui » :

Nous indiquons ci-dessous le compte de migration que nous avons créé précédemment : « adm-admt »

Il est possible d’exclure certains attributs de l’objet :

 

 

 

Une fois l’assistant terminé, la fenêtre suivante nous permet de suivre la progression :

 

En cliquant sur « afficher le journal » nous pouvons suivre le détail de l’opération :

Enfin nous constatons dans la console « utilisateur et ordinateurs Active Directory » la présence du groupe migré :

En activant les « fonctionnalités avancées » dans « affichage », cela nous permet de voir en détail les attributs de l’objet et de confirmer que le SIDHistory a bien été mis à jour avec le SID de l’objet du domaine source :

 

Commentaires

problème de migration de groupes

Bonjour et merci pour ces informations.
J'ai un peu de mal avec la configuration de la migration et j'aimerais votre avis sur la question.
Au sein de mon entreprise, j'ai deux domaines A et B qui se trouvent dans deux forêts distinctes. Le test à faire est de donner accès aux ressources du domaine A à des utilisateurs du domaine B. Me basant sur la méthode AGDLP, j'ai migré un groupe global A1 du domaine A vers le domaine B. Ensuite j'ai ajouté l'utilisateur C du domaine B dans le groupe migré A1. Sachant que le groupe A1 est membre du groupe local L dans le domaine A et que ce même L donne accès à une ressource partagée, je me dis que l'utilisateur C doit pouvoir accéder à cette ressource. Or quand je tente d'y accéder cela ne marche pas.Je n'ai pas de message d'erreur mais le répertoire auquel je suis censé accéder n'apparaît pas!
Avez-vous une idée ou est-ce moi qui est mal compris le concept? Si oui que dois-je faire?
Désolé d'avoir été long...
Merci d'avance

ré :problème de migration de groupes

Le premier point est lorsque vous ajouter une nouvelle personne au groupe A1 dans le domaine B, avez vous fermé et rouvert la session de L'utilisateur?
La liste des SId des groupes n'est chargé qu'à l'ouverture de session. "Who ami /groups" permet de les identifié.
Ensuite avez vous vérifier que le groupe A du domaine B dispose bien dans le champ sid history du sid du groupe A du domaine A. Vérifier que le domaine A approuve le domaine b et que le filtrage du sid history est désactivé ce qui est nécessaire avec admt. .

Bonjour,

Bonjour,

1- Oui j'ai bien fermé et rouvert la session. Par mesure de précaution j'ai même redémarré le PC.
2- Le groupe A1 du domaine B possède les deux SId : celui du champ Sid History du domaine A et celui de l'objectSId. Les deux domaines s'approuvent également.
3- Comment vérifier que le filtrage du sid history est désactivé?

Merci d'avance

Re : Bonjour,

Voir
http://pbarth.fr/node/108

Approbation externe :

Netdom trust source /domain:cible /quarantine:Non /usero:domainadministratorAcct /passwordo:domainadminpwd

Approbation de forêt :

netdom trust source /domain:trustedDomain /enableSIDhistory:yes /usero:domainadministratorAcct /passwordo:domainadminpwd

Erreur hr=0x80072012

Bonjour,
lorsque je tente de migrer un groupe ou un utilisateur, l'erreur " il n'a pas été possible de déplacer l'objet CN=... error hr=0x80072012" apparait et l'objet n'est effectivement pas copié.
env. WS 2008 R2, migration d'objet d'un domaine enfant vers un domaine parent...type de groupe global et universel...niveau fonctionnel 2008...Trust bi directionnelle activée...compte admin des 2 domaines... installation ADMT et PES impeccable, SQL aussi... aucune erreur DNS... je sèche .. :( Une idée ?

ERR2:7422 Impossible de

ERR2:7422 Impossible de déplacer l'objet source 'CN=GG MigrationAD CT'. hr=0x80072012 L’opération demandée n’a pas pu être effectuée car le service d’annuaire n’est pas le service directeur pour ce type d’opération.

même erreur avec un test. il y a un domaine parent toto.root et un domaine enfant titi.root. je souhaite consolider le domaine parent avec les objets du domaine enfant. Environnement Windows Server 2008 R2 SP1. 2 DC par domaine.
tous les prérequis sont respectés, relations d'approbation, compte, sid history,..
le groupe est un groupe global.
Je constate 2 éléments, les rôles fsmo sont tous sur un seul DC le primaire, et les services packs ne sont pas à jour, enfin dans l'outil ADMT 3.2 en lui même, certains champs sont grisés et cochés " effectuer la migration des sid..." par exemple.
je n'ai jamais eu cette erreur dans toutes mes migrations...besoin d'autres éléments ?

Erreur 7422

niveau fonctionnel 2008 partout. admt est bien dans le domaine cible. nous parlons d'une seul forêt et de 2 domaines dans cette forêt.

Eureka

j'ai trouvé ! le soucis venait d'un problème de DNS surtout de Zone mise en secondaire et du transfert de zone activé et d'un soucis de réplication suite à un DC éteint il y a 2 mois et non rallumé :)
merci de ton aide !

Re : Eureka

Donc tu as essayé de faire une migration sur un domaine qui n'est pas propre.
En général on fait un contrôle avant.
Dcdiag, repadmin, Active directory Repilication Tool sont des outils à consommer sans modération ....

On éteint pas un DC comme cela il faut le rétrograder .

plop

Je suis intervenu rapidement chez un client, mon collaborateur et prédécesseur m'a fourni une fiche "recette" nickel chrome...avec la totalité des tests et outils validés. Je te rassure des migrations AD j'en fait depuis 5 ans mais pas avec ADMT plutot en script ou avec QMMAD. Le DC éteint a été rallumé à l'arrache le jour où je suis intervenu imagine la merde... j'ai aussi passé cette KBKB2775511 pour info.
bref, j'ai tout remis d'équerre :)