- PR -

ADMTによる移行途中のユーザー追加について

1
投稿者投稿内容
tack41
会議室デビュー日: 2005/10/23
投稿数: 8
投稿日時: 2005-10-23 14:45
Windows 2000 Server(SP4)で構成されたドメインから
Windows Server 2003(SP1)で構成されるドメインへの
移行を行っております。

旧環境ではドメインコントローラがファイルサーバを
兼ねております。クライアントはワークグループ環境にあり
ローカルアカウントのユーザ名、パスワードをドメインアカウントの
ものと合わせることでパススルーアクセスをしております。

新環境ではクライアントをドメイン参加させ、旧環境の
ドメインコントローラ兼ファイルサーバを純粋なファイルサーバとして
移行します。

従って、クライアントに関しては新規のドメイン参加、ファイルサーバ
に関してはAD降格とドメイン移行が必要となります。

クライアントの数が多く、時間がかかります。そこで、
クライアントの移行期間中は

・旧ドメインと新ドメインの間に信頼関係を作成
・ADMTでユーザー、グループアカウントをSIDの履歴を付加してコピー

ということを行い、新旧どちらのアカウントでもファイルサーバにアクセス
可能となるよう設定しました。
全クライアント移行完了後にファイルサーバ兼ドメインコントローラを
降格して新ドメインに移行し、セキュリティの変換ウィザードで
アクセス権限の変換を行うことを考えています。

この移行期間中にユーザーアカウントを新規に追加してファイルサーバに
権限を与えたいという要望があり、どうすべきか悩んでおります。

・旧ドメイン側にアカウントを追加して権限を付与する。同時に
 該当アカウントの移行を再実行する
・新ドメイン側にアカウントを追加して権限を付与する。

の2案を考えておりますが、どちらがよろしいでしょうか。あるいは
他によりよい案があればご教授いただけませんでしょうか。

よろしくお願い致します。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-10-23 17:16
こんばんわ.

旧環境の Domain Controller を引き続き
file server として利用したいのですよね?
であれば,旧 Domain Controller で構成される Active Directory に
Windows Server 2003 を導入して,
これを追加 Domain Controller へ昇格したほうが良いのでは?
ADMT で移行しなければならない条件があるのでしょうか?
そうれば file server としての機能は手を付けずに
そのまま移行できると思いますけど.
tack41
会議室デビュー日: 2005/10/23
投稿数: 8
投稿日時: 2005-10-23 18:11
こんばんわ、kazさん。
御回答いただき、ありがとうございます。

条件を書き漏らしておりました、申し訳ありません。
実は今回の移行はDCの2000→2003への単純なDCの
アップグレードだけではなく新旧で異なるドメイン間の
移行となります。(新ドメインもすでに作成済みです)

旧環境は部署単位で作成したドメイン(a.local)、
新環境は全社的に導入するドメイン(b.com)という
位置付けとなっています。
全社の方針として旧環境は廃止し、新環境に移行して
統一すると方針であるため、今回の状況が発生して
います。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-10-23 19:50
とすると
引用:

tack41さんの書き込み (2005-10-23 14:45) より:

クライアントの数が多く、時間がかかります。そこで、
クライアントの移行期間中は

・旧ドメインと新ドメインの間に信頼関係を作成
・ADMTでユーザー、グループアカウントをSIDの履歴を付加してコピー

ということを行い、新旧どちらのアカウントでもファイルサーバにアクセス
可能となるよう設定しました。
全クライアント移行完了後にファイルサーバ兼ドメインコントローラを
降格して新ドメインに移行し、セキュリティの変換ウィザードで
アクセス権限の変換を行うことを考えています。

この移行期間がどのくらい必要か?によるのではないかと.
長いのであれば,旧環境ににも新規 user account を
登録しないと利用できないでしょうし,
短くて済むのであれば新環境だけに user account を追加して
新環境から利用してもらえばよいのではないかと.
引用:

この移行期間中にユーザーアカウントを新規に追加してファイルサーバに
権限を与えたいという要望があり、どうすべきか悩んでおります。

・旧ドメイン側にアカウントを追加して権限を付与する。同時に
 該当アカウントの移行を再実行する
・新ドメイン側にアカウントを追加して権限を付与する。

の2案を考えておりますが、どちらがよろしいでしょうか。あるいは
他によりよい案があればご教授いただけませんでしょうか。

個人的には「何度かやり直す必要がある」前者の案より
「一度移行したら移行先の環境から旧環境を利用する」後者の案のほうが
合理的と思われます.

ご存知だと思いますが念のため.
Windows Server 2003 based な Active Directory であれば,
DNS zone の変更も可能です.
※一応ここでも過去にやり取りがありました.

以上,ご参考までに.
tack41
会議室デビュー日: 2005/10/23
投稿数: 8
投稿日時: 2005-10-23 20:09
kazさん、返信ありがとうございます。

引用:

この移行期間がどのくらい必要か?によるのではないかと.
長いのであれば,旧環境ににも新規 user account を
登録しないと利用できないでしょうし,
短くて済むのであれば新環境だけに user account を追加して
新環境から利用してもらえばよいのではないかと.


期間としては長くない(1週間程度)であるため、問題は
ありません。
「新規ユーザーは最初から新環境に参加してください」
というアナウンスは可能です。ただ、その場合
新環境だけに存在するアカウントができることになります。
そのことで後で行うサーバ及びアクセス権限の移行の際に
問題が発生しないかということが気になっていますが、
問題はないのでしょうか。


引用:

ご存知だと思いますが念のため.
Windows Server 2003 based な Active Directory であれば,
DNS zone の変更も可能です.
※一応ここでも過去にやり取りがありました.


これは、ドメイン名の変更が可能ということでしょうか。
よろしければ、ソースを教えていただけると助かります。
(検索では見つけられませんでした)
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-10-23 20:14
引用:

tack41さんの書き込み (2005-10-23 20:09) より:

「新規ユーザーは最初から新環境に参加してください」
というアナウンスは可能です。ただ、その場合
新環境だけに存在するアカウントができることになります。
そのことで後で行うサーバ及びアクセス権限の移行の際に
問題が発生しないかということが気になっていますが、
問題はないのでしょうか。

そのために信頼関係を結ぶのですから.
[quote]
引用:

これは、ドメイン名の変更が可能ということでしょうか。
よろしければ、ソースを教えていただけると助かります。
(検索では見つけられませんでした)

「ActiveDirectory」と「ドメイン名の変更」で検索するだけでも
多くの情報が hit すると思います.
IDG からも Windows Server World の特別編集号で
結構丁寧に解説されていました.

以上,ご参考までに.
tack41
会議室デビュー日: 2005/10/23
投稿数: 8
投稿日時: 2005-10-23 20:51
kazさん、返信ありがとうございます。

特に問題はないということですね。
了解いたしました。

ユーザーアカウントとグループアカウントが新環境に
コピーされていますので、新環境に新規にユーザーアカウントを
作成し、コピーされたグループのメンバに加えることで
権限を与えようと思います。

ご回答、ありがとうございました。
1

スキルアップ/キャリアアップ(JOB@IT)