FAQ по Microsoft Windows Server 2003

       

о паролях на контроллере домена




Этап первый: Настройка домена назначения

Для миграции журнала SID и сведений о паролях на контроллере домена должно быть установлено средство «Миграция в Active Directory». Для этого выполните следующие действия: 1. Включите в политике по умолчанию для контроллеров домена аудит успешных и неудачных операций «Аудит управления учетными записями». Для этого выполните следующие действия.

a. Запустите оснастку «Active Directory — пользователи и компьютеры».

b. Разверните домен, щелкните правой кнопкой мыши раздел Контроллеры домена и выберите пункт Свойства.

c. На вкладке Групповая политика выберите объект Политика контроллеров домена по умолчанию и нажмите кнопку Изменить.

d. Последовательно разверните узлы Конфигурация компьютера, Конфигурация Windows, Параметры безопасности, Локальные политики, а затем Политика аудита.

e. В правой части окна дважды щелкните Аудит управления учетными записями.

f. Установите флажок Определить следующие параметры политики, а также флажки:

Успех

Отказ

g. Нажмите кнопку ОК, закройте редактор объектов групповой политики и снова нажмите кнопку ОК.

h. Дождитесь, пока изменения групповой политики распространятся на домен.

2. Войдите от имени администратора на контроллер домена с установленным средством «Миграция в Active Directory».

3. Введите следующую команду, чтобы создать файл ключа экспорта паролей (PES)

admt key исходный_доменпутьпароль

где исходный_домен — это сетевое имя исходного домена Windows NT 4.0, путь — это путь к файлу экспорта паролей, а пароль — это необязательный пароль или символ звездочки (*), помогающие защитить файлы PES.

Примечание. Необходимо указывать локальный путь для файлов PES. Путь может указывать на сменный носитель, например на дисковод гибких дисков, дисковод ZIP или дисковод для дисков CD-R или CD-RW. Кроме того, если указать пароль, средство «Миграция в Active Directory» сможет защитить файл. Если ввести звездочку (*), то средство «Миграция в Active Directory» предложит ввести и подтвердить пароль. При вводе пароль скрывается операционной системой.



4. Переместите созданный файл PES на сервер экспорта паролей в исходном домене. Этим сервером может быть любой контроллер домена в домене Windows NT 4.0, имеющий быстрое и надежное соединение с компьютером под управлением Windows Server 2003, на котором установлено средство «Миграция в Active Directory».

Этап второй: Настройка исходного домена

Чтобы настроить исходный домен Windows NT 4.0 для миграции паролей, выполните следующие действия.

1. Создайте новую локальную группу с именем исходный_домен$$$, где исходный_домен — это NetBIOS-имя исходного домена Windows NT 4.0. Данная группа должна быть пустой.

2. На основном контроллере домена необходимо включить аудит успешных и неудачных операций управления пользователями и группами. Для этого выполните следующие действия.

a. Запустите диспетчер пользователей в домене.

b. В меню Политики выберите пункт Аудит.

c. Выберите пункт Аудит следующих событий и установите следующие флажки для пункта Управление пользователями и группами:

Успех

Отказ

d. Нажмите кнопку ОК.

3. Разрешите на исходном домене доступ к базе данных диспетчера учетных записей безопасности с помощью удаленного вызова процедур, изменив значение параметра реестра TcpipClientSupport на 1. Для этого выполните следующие действия. Внимание! Неправильное использование редактора реестра может привести к возникновению серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.

a. На основном контроллере домена нажмите кнопку Пуск, выберите пункт Выполнить, в поле Открыть введите команду regedit и нажмите кнопку ОК.

b. Найдите и выделите следующий раздел реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

c. В меню Правка выберите пункт Создать, а затем — Параметр DWORD.

d. Введите имя нового параметра TcpipClientSupport.

e. Щелкните правой кнопкой мыши параметр TcpipClientSupport и выберите команду Изменить.


f. В поле Значение введите 1 и нажмите кнопку ОК.

g. Закройте редактор реестра.

Примечание: Необходимо перезапустить компьютер, чтобы изменения вступили в силу. Тем не менее нет необходимости перезагружать компьютер до установки компонента DLL миграции паролей средства «Миграция в Active Directory».

4. Установите компонент DLL миграции паролей средства «Миграция в Active Directory» на основном контроллере домена. Для этого запустите программу Pwdmig.exe из папки I386\ADMT\Pwdmig на компакт-диске Windows Server 2003 или из папки, в которую было загружено средство «Миграция в Active Directory».

После запуска мастера установки компонента DLL миграции паролей средства «Миграция в Active Directory» необходимо указать путь к файлу PES, перенесенному из домена Windows NT 4.0. Для этого файла необходимо указывать локальный путь. Кроме того, будет предложено ввести пароль, заданный при создании этого файла.

5. После успешного завершения установки компонента DLL миграции паролей средства «Миграция в Active Directory» нажмите кнопку Да, когда появится приглашение перезагрузить компьютер.

6. Перед началом миграции паролей из домена Windows NT 4.0 измените значение параметра реестра AllowPasswordExport на 1. Для этого выполните следующие действия. Внимание! Неправильное использование редактора реестра может привести к возникновению серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.

a. На основном контроллере домена нажмите кнопку Пуск, выберите пункт Выполнить, в поле Открыть введите команду regedit и нажмите кнопку ОК.

b. Найдите и выделите следующий раздел реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

c. На правой панели щелкните правой кнопкой мыши параметр AllowPasswordExport и выберите команду Изменить.

d. В поле Значение введите 1 и нажмите кнопку ОК.

e. Закройте редактор реестра.

За более подробной информацией по данному вопросу вы можете обратиться к этой статье MS KB

Если решений предложенных в статье оказалось недостаточно для решения проблемы, то вы можете обратиться в эту тему на форуме OSzone.net

Содержание раздела