Gli oggetti in Active Directory in movimento

Spostare oggetti in Active Directory può coinvolgere gli oggetti in movimento da un luogo ad un altro all'interno di un dominio, o potrebbe essere necessario spostare gli oggetti da un dominio all'altro. È necessario conoscere i dettagli associati sia con il funzionamento per l'MCSE esame Directory Services. Fortunatamente, è sufficiente ricordare alcune semplici regole.

Spostamento di oggetti all'interno di un dominio

Spostamento di oggetti all'interno di un dominio è un processo semplice: basta fare clic destro sull'oggetto e scegliere Sposta. Windows 2000 viene visualizzata una finestra di dialogo nella quale è sufficiente scegliere l'oggetto contenitore di destinazione per il trasloco. (Nelle versioni più recenti di Windows 2000, è possibile trascinare e rilasciare oggetti di Active Directory da un UO all'altro.)

Un esempio reale di spostamento di un oggetto all'interno di un dominio comporta lo spostamento di un account utente da un OU all'altro quando l'utente cede da un reparto ad un altro nella vostra organizzazione. Spostando l'account utente consente all'utente di ricevere i benefici e le restrizioni che sono stati definiti per la nuova unità organizzativa.

Ciò che non è così semplice (e ciò che è necessario conoscere per l'esame) è l'effetto che gli oggetti in movimento ha sulle autorizzazioni. Ecco le regole che dovete sapere:

  • Le autorizzazioni assegnate direttamente a un oggetto di Active Directory rimangono con l'oggetto dopo aver spostato l'oggetto.
  • L'oggetto eredita le autorizzazioni assegnate alla nuova unità organizzativa e perde tutte le autorizzazioni precedentemente ereditate.

Forse avete già capito questo fuori: un'ottima strategia per la gestione di oggetti di Active Directory è di spostare gli oggetti che hanno bisogno di impostazioni di autorizzazione simili nella stessa unità organizzativa. In questo modo, è possibile gestire facilmente la rete, l'assegnazione delle autorizzazioni e delle deleghe in modo efficace con pochi clic del mouse.

Oggetti tra domini in movimento

In un multiplo-dominio Windows foresta 2000 potrebbe essere necessario spostare gli oggetti (utenti, unità organizzative, gruppi) tra questi domini multipli. Si utilizza l'utilità della riga di comando per eseguire MoveTree molte di queste operazioni.

Quando si sposta utenti e gruppi per un nuovo dominio, ricevono nuovi identificatori di protezione (SID). Fortunatamente, Windows 2000 in esecuzione in modalità nativa supporta un attributo denominato SIDHistory. Mentre ci si sposta un utente di dominio a dominio, Windows 2000 popola SIDHistory in modo da non dover reimpostare le autorizzazioni per gli oggetti ogni volta che si esegue l'operazione di spostamento.

MoveTree si assiste con la maggior parte delle operazioni di spostamento tra domini. E in quei casi per i quali MoveTree non può fare il lavoro, è possibile rivolgersi a un altro programma chiamato NETDOM. MoveTree può

  • Spostare gli oggetti Directory più attivi (inclusi i contenitori non vuoti) da un dominio ad un altro nella stessa foresta.
  • Sposta dominio gruppi locali e globali tra domini. Questi gruppi non possono contenere membri, però. Devono esistere I domini all'interno della stessa foresta.
  • Spostare i gruppi universali e loro membri tra i domini della stessa foresta.

MoveTree può spostare gli oggetti più di Active Directory. Quelli che non può muoversi quando si tenta di spostare gruppi di oggetti diventati orfani. Windows 2000 posti questi oggetti orfani in un contenitore speciale chiamato lostandfound. È possibile visualizzare questo contenitore utilizzando la funzione Visualizzazione avanzata di Utenti e computer di Active Directory.

È necessario disporre delle autorizzazioni amministrative appropriate per usare MoveTree dal prompt dei comandi. Questo comando utilizza la seguente sintassi:

MoveTree {/ Inizio | / startnocheck | / continua | / controllo} / s SrcDSA / d DstDSA / SDN SrcDN / DDN DstDN [/ u [Dominio] Username / p password] [/ verbose] [{/? | / Help}]

Le voci in corsivo in questa sintassi rappresentano informazioni è necessario fornire. La tabella 1 descrive le opzioni che è possibile utilizzare con il comando MoveTree.

Interruttori Tabella 1 MoveTree Command


Interruttore

Che cosa fa

/ Inizio

Avvia l'operazione di spostamento.

/ Startnocheck

Avvia un'operazione MoveTree senza / controllo.

/ Continua

Continua l'esecuzione di un'operazione di MoveTree precedentemente sospeso o non.

/ Controllo

Esegue un test di funzionamento MoveTree.

/ S SrcDSA

Specifica nome di dominio completo del server di origine (FQDN).

/ D DstDSA

Specifica nome di dominio completo del server di destinazione.

/ Sdn SrcDN

Specifica il nome distinto dell'oggetto che si sta spostando dalla sorgente.

/ DDN DstDN

Specifica il nome distinto dell'oggetto che si sta spostando verso la destinazione.

/ U

Corre MoveTree con le credenziali del nome utente e la password forniti.

/ Verbose

Cause MoveTree per visualizzare più dettagli come funziona.

/?

Visualizza la Guida su MoveTree.

MoveTree crea file di registro quando vengono eseguite operazioni. È possibile controllare i file di registro per le informazioni riguardanti il ​​successo o il fallimento di eventi MoveTree:

  • MoveTree.err: elenca tutti gli errori riscontrati.
  • MOVETREE.LOG: Elenca i risultati statistici dell'operazione.
  • MOVETREE.CHK: elenca tutti gli errori rilevati dal MoveTree in esecuzione in modalità di controllo.

MoveTree muove oggetti computer da un dominio ad un altro per voi, ma non può separare il computer dal dominio di origine e unisciti al dominio di destinazione. Questa limitazione rende NETDOM una utility molto migliore per spostare i computer tra domini in un ambiente Active Directory di Windows 2000.

NETDOM utilizza la seguente sintassi per spostare gli account computer:

MoveTree {/ NETDOM spostare / D: domain [/ OU: ou_path] [/ Ud: User / Pd: {Password | *}] [/ Uo: User / Po: {Password | *}] [/ Reboot: [time_in_seconds] ]

La tabella 2 vengono descritte le opzioni che si utilizzano con il comando NETDOM.

Interruttori Tabella 2 NETDOM Command


Interruttore

Che cosa fa

/ Dominio

Identifica il dominio di destinazione.

/ OU: ou_path

Specifica il target UO.

/ Ud: User

Indica l'account utente utilizzato per effettuare la connessione con il dominio di destinazione.

Pd: {Password | *}

Immette la password per l'account utente utilizzato per connettersi al dominio di destinazione; se si utilizza *, NETDOM richiede la password.

/ Uo: User

Identifica l'account utente utilizzato per effettuare la connessione al dominio di origine.

/ Po: {Password | *}

Immette la password per l'account utente utilizzato per connettersi al dominio originale; se si utilizza *, NETDOM richiede la password.

/ Reboot: [time_in_seconds]

Specifica che il computer viene spostata deve spegnere e riavviare automaticamente il numero di secondi dopo l'operazione di spostamento.