You are on page 1of 12

Migration dobjets avec ADMT 3.

2
Article rdig par Jeremy Lemay (MVP 2009 Directory Services) et Kevin Phelippo.

Jrmy et Kvin sont consultants spcialiss dans les solutions de gestion daccs et didentit au sein dune socit Gold Partner Microsoft (www.nelite.com ). Ils animent le blog de lquipe Identity and Access Management (IAM) de Nelite (http://blogs.nelite.com/blogs/identitysolutions ). Spcialistes des solutions IAM de Microsoft, ils ralisent des projets darchitecture, de migrations, de scurisation des accs et de consolidations dannuaires au sein de moyens et grands comptes.

Lobjectif de cet article est de prsenter les tapes ncessaires la migration dobjets Active Directory avec ADMT 3.2 (Active Directory Migration Tool). Loutil ADMT peut tre utilis dans diffrents scnarios associs la restructuration dannuaires Active Directory notamment dans le cas de consolidation, fusion/acquisition ou dsinvestissement. La restructuration impliquant une migration de ressources (comptes utilisateurs, groupes, ) entre plusieurs annuaires Active Directory ou sein dune mme fort ou de fort diffrente Les tches de migration ralises avec ADMT peuvent tre dclenches par la console ADMT, en ligne de commande ou par script. Dans lexemple qui suit, 2 domaines ont t crs : un domaine, adatum.com, dont la fort et le domaine sont au niveau fonctionnel Windows Server 2003. un domaine, contoso.com, dont la fort et le domaine sont au niveau fonctionnel Windows Server 2008 R2.

Le but tant de migrer les objets (utilisateurs et groupes) du domaine adatum.com (2003) vers le domaine contoso.com (2008 R2). ADMT 3.2 a t install sur un serveur membre du domaine contoso.com, serveur fonctionnant sous Windows Server 2008 R2. Pour une vue densemble de larchitecture de dmonstration :
Domaine source
Relation dapprobation bidirectionnelle

Domaine cible

Password Export Server

DCAdatum
Comptes Groupes

DCContoso

Serveur membre ADMT 3.2

Comptes Groupes

Adatum.com
Migration des comptes et Groupes avec ADMT

Contoso.com

1. Bonnes pratiques
Voici quelques bonnes pratiques associes la migration de comptes : Raliser des sauvegardes rgulires des contrleurs de domaine source et cible durant le processus de migration Raliser un test de migration en crant un compte de test, et en lajoutant un groupe puis en vrifiant laccs aux ressources associes avant et aprs la migration Mettre en place un environnement de tests pour valider les diffrentes tapes et les scnarios de migration Implmenter un plan de restauration et sassurer de son bon fonctionnement Migrer les utilisateurs par lot pour maitriser la migration

2. Pr-requis
2.1 Mise en place
Afin de pourvoir effectuer la migration de comptes entre les 2 domaines, certains pr-requis sont ncessaires: Chaque domaine doit pouvoir rsoudre les noms DNS de lautre domaine. Pour cela, vous pouvez par exemple crer des redirecteurs conditionnels dans chaque domaine :

Crer un compte spcifique la migration. Ce compte doit pouvoir rcuprer les objets du domaine source (adatum.com) et crer des objets dans le domaine cible (contoso.com). Pour cela, utiliser lassistant de dlgation.

Password Export Server (PES) (Installer Password Export Server) doit tre install sur le contrleur de domaine source. Cet outil va permettre la migration des mots de passe pendant la phase de migration des comptes Active Directory. Une relation dapprobation entre les domaines doit avoir t mise en place (Bidirectionnelle de type Externe dans notre cas) :

2.2 Installation dADMT 3.2


ADMT sappuie sur une base de donnes qui va permettre de stocker la configuration et les lments migrer. Installer SQL Server 2005 Express Edition SP3 (ou version ultrieure) ou SQL Server 2008 Express Edition SP1 (ou version ultrieure) et crer une nouvelle instance.

Lancer ensuite linstallation dADMT 3.2 et accepter le contrat de licence.

Renseigner le nom du serveur ainsi que linstance SQL cre prcdemment puis terminer linstallation.

3. Migration des groupes et comptes


Avant de pouvoir migrer les comptes utilisateurs, la premire opration effectuer est de migrer les groupes. En effet, effectuer cette tape en premier permet, lors de la migration des comptes utilisateurs, de conserver lappartenance des comptes leurs groupes respectifs.

3.1 Migration des groupes


Une bonne pratique associe la migration des groupes est de ne pas effectuer sur les priodes de production pour viter de surcharger les contrleurs de domaine. Il est galement possible de conserver le SID du groupe du domaine source (SID history) afin de conserver laccs aux ressources du domaine source. Les tapes de la migration des groupes sont les suivantes : 1. Un administrateur choisit les groupes du domaine source migrer 2. Les objets associs aux groupes migrer sont crs dans le domaine cible et un nouveau SID est gnr pour chaque objet groupe du domaine cible 3. Afin de prserver laccs aux ressources, ADMT ajoute le SID du groupe dans le domaine source dans lattribut SID history du groupe cr dans le domaine cible Les 3 groupes suivants, du domaine adatum.com, vont tre migrs :

Ouvrir une session avec le compte cr pour la migration sur le serveur membre du domaine contoso.com sur lequel ADMT 3.2 a t install puis lancer ADMT. Dans la console, faire un clic droit sur Outil de migration Active Directory, et slectionner Assistant de Migration des comptes de groupes.

Renseigner les informations (domaines source et cible).

Choisir Slectionner les groupes dans le domaine puis Ajouter migrer et dfinir ensuite lUnit dOrganisation cible :

les

groupes

Cocher les diffrentes cases en fonction de votre stratgie de migration. La dernire case permet de migrer les SID et donc de raffecter les utilisateurs appartenant ces groupes. Ne pas choisir de migrer les membres des groupes. En effet, Si un utilisateur est migr alors que tous les groupes auxquels il appartient ne sont pas migrs, ladhrence aux groupes non migrs ne sera pas conserve. La migration des comptes utilisateur sera effectue aprs celle des groupes. Renseigner ensuite le compte associ la migration.

Exclure, si vous le souhaitez, certains attributs ne pas inclure au processus de migration.

Slectionner ensuite laction effectuer en cas de conflit lors de la migration. Pour terminer lopration, lancer enfin la migration. Le rsultat du processus est visible dans la fentre de progression.

La commande suivante peut tre utilise pour raliser la mme opration :


ADMT GROUP /N "G_NIC_DAF" "G_NIC_DG" "G_NIC_DSP" /SD:"adatum.com" /TD:"contoso.com" /TO:" Contoso.com/NICE/GROUPE" /MSS:YES

Vrification: Dans le domaine cible contoso.com, les groupes apparaissent bien dans lOU dfinie.

3.2 Migration des comptes utilisateurs


Aprs avoir termin la migration des groupes, nous pouvons dmarrer la migration des comptes utilisateurs. Lutilisateur John.Doe, qui fait partie de 2 des 3 groupes ci-dessus, va ensuite tre migr. Lutilisateur fait partie de 2 des 3 groupes migrs prcdemment :

Le SID de lutilisateur, dans le domaine cible, est le suivant:

Effectuer les mmes oprations que celles effectues lors de la migration des groupes, Slectionner lutilisateur migrer.

Choisir, si vous le souhaitez, de migrer les mots de passe des comptes utilisateurs. Cette opration sera possible via le serveur PES.

Slectionner les actions effectuer sur les comptes sources et cibles. Les comptes migrs peuvent tre activs ou dsactivs la fois dans le domaine source et le domaine cible. Laisser la dernire case coche afin de migrer les SID des comptes utilisateurs.

Il est galement possible de traduire les profils itinrants. Une nouvelle fois, ne pas migrer les groupes et les comptes utilisateurs en mme temps. La migration se termine

En ligne de commande, il est galement possible dutiliser des fichiers qui contiennent la liste des utilisateurs migrer. Cela permet de maitriser les diffrentes populations dutilisateurs migrer. Afin de gnrer les fichiers contenant la liste des utilisateurs migrer (prsents sous lOU FR\Utilisateurs), nous pouvons utiliser la commande ldifde :
ldifde -f listusers_admt.csv -m -d "OU=Utilisateurs,OU=FR,dc=adatum,dc=com" -p subtree -r "(&(objectcategory=person)(objectclass=user))" -l "samaccountname"

Une fois le fichier gnr, nous pouvons utiliser la commande ADMT User ou lassistant de migration de compte utilisateur. La syntaxe de la commande ADMT User permettant de dclencher la migration des comptes issus de lexport (listusers_admt.csv ) prcdent est la suivante :
ADMT USER /F:listusers_admt.csv /SD:Adatum.com /TD:Contoso.com /TO:"<target_OU>" /IF:YES /MSS:YES /UUR:NO

Vrifier que lobjet utilisateur apparait bien dans lOU slectionne et a conserv son adhsion aux groupes dont il faisait partie. On peut galement voir que, aprs avoir cr un nouvel SID dans le domaine cible, la migration a conserv le SID de lutilisateur dans le domaine source (SID History).

4. Rapports
Il est possible de gnrer des rapports avant et aprs les diffrentes tapes de migration. Ouvrir la console ADMT, puis faire un clic droit sur Outil de migration Active Directory et slectionner Assistant Cration de rapports.

Cliquer sur Suivant et slectionner les domaines source et cible :

Renseigner le dossier de stockage des rapports puis slectionner le(s) type(s) de rapport(s) crer, puis terminer la cration :

Une fois le rapport gnr, il apparait dans la console :

5. Conclusion
A travers cet article, nous avons pu voir les diffrentes tapes et lments associs la migration de comptes et de groupes entre domaines Active Directory avec ADMT. Cette migration doit tre planifie attentivement afin didentifier les comptes et groupes qui feront lobjet de la migration. Pour finir, ADMT est relativement simple mettre en place et exploiter.