2 - Compte de migration

Pour l’opération de migration nous avons besoin au moins d’un compte de migration ayant des droits sur l’ancien domaine et le nouveau. Si vous avez créé une approbation unidirectionnelle ou le domaine source approuve le domaine cible, votre compte de migration est forcément dans le domaine cible et il faut lui configurer des autorisations dans le domaine source. Si vous avez une approbation bidirectionnelle il peut s’avérer plus simple de créer un compte dans le domaine source qui dispose également des droits d’administrations sur les postes devant être migré. Vous pouvez également affecter les autorisations à un groupe si votre migration est effectuée par une équipe de plusieurs personnes utilisant chacun son compte de migration.

Pour notre exemple nous allons utiliser un compte du domaine cible.

Commençons par créer le compte :

 

Au niveau du domaine cible, nous allons simplifier la gestion des droits en le rajoutant dans le groupe « admins du domaine ».

Quoique le compte soit administrateur du domaine, il lui manque une autorisation à rajouter manuellement. Cette autorisation permet de migrer le SID de l’objet source dans l’attribut « SID History » de l’objet dans le domaine de destination. Pour accéder aux onglets de sécurité dans la console « Utilisateur et Ordinateur Active Directory » il faut d’abord sélectionner l’affichage des fonctionnalités avancées :

 

Nous allons définir l’autorisation « migrer le SID » sur l’ensemble du domaine, néanmoins il est possible de se limiter à une OU spécifique utilisée pour la migration.

Ajoutons notre compte de migration « adm-admt » :

 

Maintenant que nous avons mis en place les autorisations sur le domaine cible, nous allons rajouter ceux du domaine source.

 Pour cela nous ajoutons le compte de migration « adm-admt » du domaine cible dans le groupe « Builtin\administrateurs » du contrôleur de domaine source.

 

Attention si vous n’utilisez pas un compte mais un groupe il faut tenir compte de la portée des groupes.

De plus le compte de migration devra être administrateur des ordinateurs qui vont être migrés. Pour cela vous pouvez utiliser les paramètres de groupe restreint par GPO. Vous trouverez plus d’élément sur le lien suivant : http://pbarth.fr/node/78.

 

 

Commentaires

Probléme de comprehension

Super tuto, mais j'ai un peu galéré sur une phare. La phare suivante : Pour cela nous ajoutons le compte de migration « adm-admt » dans le groupe « Builtin\administrateurs » du contrôleur de domaine cible. pourrait être modifiée de cette façon : Pour cela nous ajoutons le compte de migration « adm-admt » du domaine cible dans le groupe « Builtin\administrateurs » du contrôleur de domaine source. Voila ...

Re : Probléme de comprehension

Merci pour votre retour. En fait l'information était dans la phrase précédente "Maintenant que nous avons mis en place les autorisations sur le domaine cible, nous allons rajouter ceux du domaine source. Mais elle n'est effectivement pas très bien écrite, ce qui crée un doute Je corrige ...