アカウント移行

Windows Server 2008/2008 R2 Active Directory 移行の手引き

Windows Server 2008/2008 R2 Active Directory 移行の手引き

(1)ユーザアカウントの移行

ユーザアカウントを SID の履歴を含めて移行します。SID の履歴を含めて移行することで、

移行前にアクセス可能だった既存ドメインのリソースへ引き続きアクセスできます。本書では ユーザアカウント「User-2003File」「User-Win2000」「User-WinXP」の移行を行います。

・ユーザがグループに所属している場合は、事前に ADMT の「グループアカウントの移行 ウィザード」を使用してグループアカウントを新規ドメインに移行します。ユーザアカウント 移行時にユーザアカウントが所属するグループアカウントのメンバーシップを自動更新す ることで、新規ドメインでもユーザアカウントの所属グループが保持されます。

・ユーザアカウント移行時にユーザアカウントのパスワードも併せて移行する場合は、既存 ドメインの DC(2000DC-1)で「パスワード エクスポート サーバー サービス」を手動で起動 する必要があります。

 本手順は、2008ADMT で行います。

1 既存ドメインで作成した移行用アカウントで、新規ドメインにログオンします。

2 「スタート」→「管理ツール」→「Active Directory 移行ツール」をクリックしま す。

3 「ユーザー アカウント制御」が表示され ます。「続行」をクリックします。

※UAC(User Access Control)が無効に なっている場合は表示されません。

POINT!

Windows Server 2008/2008 R2 Active Directory 移行の手引き 4 「Active Directory 移行ツール」が表示

されます。左ペインの「Active Directory 移行ツール」を右クリックし、「ユーザー アカウントの移行ウィザード」をクリック します。

5 「ユーザー アカントの移行ウィザードの 開始」が表示されます。「次へ」をクリッ クします。

6 「ドメインの選択」が表示されます。「移 行元」では既存ドメインのドメイン名を入 力し、既存ドメインの DC をプルダウンメ ニューから選択します。「移行先」では 新規ドメインのドメイン名を入力し、新規 ドメインの DC をプルダウンメニューから 選択します。「次へ」をクリックします。

7 「ユーザーの選択オプション」が表示さ れます。「ユーザーをドメインから選択」

を選択します。「次へ」をクリックします。

8 「ユーザーの選択」が表示されます。

「追加」をクリックします。

Windows Server 2008/2008 R2 Active Directory 移行の手引き 9 「ユーザー の選択」が表示されます。

移行対象のユーザアカウントを入力し ます。「OK」をクリックします。

10 「ユーザーの選択」で「次へ」をクリックし ます。

11 「組織単位の選択」が表示されます。

「参照」をクリックします。

12 「コンテナの参照」が表示されます。

ユーザアカウントの移行先を選択しま す。「OK」をクリックします。

※本書では「Users」コンテナに移行しま す。

13 「組織単位の選択」で「次へ」をクリック します。

Windows Server 2008/2008 R2 Active Directory 移行の手引き 14 「パスワード オプション」が表示されま

す。移行後のパスワードの指定を行い ます。「次へ」をクリックします。

※本書では、移行先のユーザパスワー ドを変更しない設定を行います。パス ワードを移行する場合は、PES サービス が起動している必要があります。

15 「アカウントの切り替えオプション」が表 示されます。ユーザアカウントの移行 ウィザード実行後の、既存/新規ドメイン のアカウントの状態を選択します。

「ユーザー SID を新規ドメインへ移行」

にチェックを入れます。「次へ」をクリック します。

※本書では既存ドメインのユーザアカ ウントを無効に、新規ドメインのユーザ アカウントを有効にする設定を行いま す。また、ユーザアカウントの SID も移 行します。

16 「ユーザー アカウント」が表示されま す。移行用アカウントのユーザ名、パス ワード、ドメイン名を入力します。「次へ」

をクリックします。

17 「ユーザー オプション」が表示されま す。移行するオプションにチェックを入 れます。「次へ」をクリックします。

※本書では「ユーザー権利を更新」に チェックを入れます。

Windows Server 2008/2008 R2 Active Directory 移行の手引き 18 「オブジェクトのプロパティの除外」が表

示されます。「次へ」をクリックします。

19 「競合の管理」が表示されます。「移行 先ドメインで競合が検出された場合、移 行元オブジェクトを移行しない」を選択し ます。「次へ」をクリックします。

20 「ユーザー アカウントの移行ウィザード の完了」が表示されます。「完了」をク リックします。

21 「移行の進行状況」が表示されます。

ユーザアカウントの移行が完了すると、

「状態」のステータスが「完了」になりま す。「エラー」で、エラー数が”0”であるこ とを確認します。「閉じる」をクリックしま す。

ファイルサーバ(2003File)で使用しているユーザアカウント「User-2003File」は移行後も既存ド メインで使用するため、上記の手順 15 の「移行元アカウントの無効化」のチェックを外して移行し

Windows Server 2008/2008 R2 Active Directory 移行の手引き

(2)コンピュータアカウントの移行

本書ではコンピュータアカウント「2003File」「Win2000」「WinXP」の移行を行います。

コンピュータアカウントの移行を正常に終了するためには、移行対象のコンピュータがロ グオフした状態で起動している必要があります。コンピュータアカウント移行完了後、ADMT のエージェントにより移行対象のコンピュータは自動で再起動されます。

■「Windows NT 互換の暗号化アルゴリズム」の有効化

Windows Server 2008 は、既定で「Windows NT 互換の暗号化アルゴリズム」をサポートし ていません。このため、コンピュータアカウントの移行が失敗することがあります。ADMT で Windows Server 2008/Windows Vista より前のバージョンのコンピュータアカウントを移行す る場合は以下の手順に従って「Windows NT 互換の暗号化アルゴリズム」を有効にする必要 があります。コンピュータアカウント移行完了後は「Windows NT 互換の暗号化アルゴリズ ム」を無効にしてください。

※本書では既定のポリシー(Default Domain Controllers Policy)を直接編集する手順で記載し ています。

既定のポリシーオブジェクトには手を加えない管理ポリシーの場合は、ドメインコントローラ コンテナにリンクされた適切なポリシーオブジェクトに読み換えてください。

 本手順は、2008DC-1 で行います。

1 既存ドメインで作成した移行用アカウントで、新規ドメインにログオンします。

2 「スタート」→「管理ツール」→「グループ ポリシーの管理」をクリックします。

POINT!

Windows Server 2008/2008 R2 Active Directory 移行の手引き 3 「ユーザー アカウント制御」が表示され

ます。「続行」をクリックします。

※UAC(User Access Control)が無効に なっている場合は表示されません。

4 「グループ ポリシーの管理」が表示さ れます。左ペインの「グループ ポリシー の管理」-「フォレスト: (新規フォレスト 名)」-「ドメイン」-「(ドメイン名)」-「グルー プ ポリシー オブジェクト」-「Default Domain Controllers Policy」を右クリック し、「編集」をクリックします。

5 「グループ ポリシー管理エディタ」が表 示されます。左ペインの「Default Domain Controllers Policy ［(DC の FQDN)］ポリシー」-「コンピュータの構 成」-「ポリシー」-「管理用テンプレート:

ローカルコンピュータから取得したポリ シー定義(ADMX)ファイルです。」-「シス テム」-「ネット ログオン」をクリックしま す。右ペインの「Windows NT 4.0 と互換 性のある暗号化アルゴリズムを許可す る」をダブルクリックします。

6 「Windows NT 4.0 と互換性のある暗号 化アルゴリズムを許可するのプロパ ティ」が表示されます。「設定」タブを選 択します。「有効」を選択します。「OK」を クリックします。

Windows Server 2008/2008 R2 Active Directory 移行の手引き 7 グループポリシーの変更を反映させる

ため、コマンドプロンプトで以下を実行し ます。「gpupdate /target:computer」

実行すると、右のメッセージが表示され ます。

ポリシーを最新の情報に更新していま す．．．

コンピュータ ポリシーの更新が正常に完了 しました。

【補足】

レジストリの編集することでも「Windows NT 互換の暗号化アルゴリズム」を有効化できます。

グループポリシーの変更が行えない場合は、新規ドメインの DC(2008DC-1)で以下のレジスト リを追加してください。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters 値 :AllowNT4Crypto

型 :REG_DWORD データ : 1

※レジストリ変更後はサーバを再起動してください。

■移行対象コンピュータの DNS の変更

 本手順は、Win2000、XP で行います。

「インターネット プロトコル (TCP/IP)の プロパティ」を表示します。「代替 DNS サーバー」に、新規ドメインの DNS サー バの IP アドレスを入力します。

Windows Server 2008/2008 R2 Active Directory 移行の手引き

■コンピュータアカウントの移行

 本手順は、2008ADMT で行います。

1 既存ドメインで作成した移行用アカウントで、新規ドメインにログオンします。

2 「スタート」→「管理ツール」→「Active Directory 移行ツール」をクリックしま す。

3 「Active Directory 移行ツール」が表示 されます。左ペインの「Active Directory 移行ツール」を右クリックし、「コンピュー タの移行ウィザード」をクリックします。

4 「コンピュータの移行ウィザードの開始」

が表示されます。「次へ」をクリックしま す。

5 「ドメインの選択」が表示されます。「移 行元」では既存ドメインのドメイン名を入 力し、既存ドメインの DC をプルダウンメ

Windows Server 2008/2008 R2 Active Directory 移行の手引き 6 「コンピュータの選択オプション」が表示

されます。「コンピュータをドメインから 選択」を選択します。「次へ」をクリックし ます。

7 「コンピュータの選択」が表示されます。

「追加」をクリックします。

8 「コンピュータ の選択」が表示されま す。移行対象のコンピュータアカウント を入力します。「OK」をクリックします。

9 「コンピュータの選択」で「次へ」をクリッ クします。

10 「組織単位の選択」が表示されます。

「参照」をクリックします。