Movendo objetos no Active Directory
Movendo-se em torno de objetos no Active Directory pode envolver mover objetos de um local para outro dentro de um domínio, ou você pode ter que mover objetos de um domínio para outro. Você precisa saber os detalhes associados a qualquer operação para o MCSE exame Directory Services. Felizmente, você só precisa se lembrar de algumas regras simples.
Movendo objetos dentro de um domínio
Movendo objetos dentro de um domínio é um processo simples: Apenas para a direita; clique no objeto e escolha Mover. Windows 2000 exibe uma caixa de diálogo na qual você simplesmente escolher o objeto de recipiente de destino para o movimento. (Em versões mais recentes do Windows 2000, você pode arrastar e soltar objetos do Active Directory de uma OU para outra.)
Um exemplo real de mover um objeto dentro de um domínio envolve mover uma conta de usuário de uma OU para outra quando o usuário transferências de um departamento para outro em sua organização. Movendo-se a conta do usuário permite que o usuário receba os benefícios e restrições definidas para a nova OU.
O que não é tão simples (e que você precisa saber para o exame) é o efeito que objetos em movimento tem sobre permissões. Aqui estão as regras que você deve saber:
- Permissões atribuídas diretamente a um objeto Active Directory permanecem com o objeto depois que você mover o objeto.
- O objeto herda as permissões atribuídas à nova OU e perde todas as permissões previamente herdadas.
Você já pode ter figurado este para fora: Uma excelente estratégia para administrar objetos do Active Directory é mover objetos que precisam configurações de permissão semelhantes na mesma UO. Ao fazer isso, você pode facilmente gerenciar sua rede, atribuir permissões e delegar autoridade de forma eficaz com apenas alguns cliques do mouse.
Mover objetos entre domínios
Em um de vários domínios do Windows floresta 2000, você pode precisar de mover objetos (usuários, unidades organizacionais, grupos) entre estes vários domínios. Você usar o utilitário de linha de comando MoveTree para executar muitas dessas operações.
Quando você mover usuários e grupos para um novo domínio, eles recebem novos identificadores de segurança (SIDs). Felizmente, o Windows 2000 em execução no modo nativo suporta um atributo chamado SIDHistory. Como você mover um usuário de domínio para domínio, Windows 2000 preenche SIDHistory para que você não tem que repor as permissões para objetos cada vez que você executar a operação de movimentação.
MoveTree auxilia-lo com a maioria das operações de movimentação entre domínios. E naqueles casos em que MoveTree não pode fazer o trabalho, você pode ligar para outro utilitário chamado NETDOM. MoveTree pode
- Mover objetos Diretório mais ativos (incluindo recipientes não vazios) de um domínio para outro na mesma floresta.
- domínio movimento grupos locais e globais entre domínios. Estes grupos podem não conter membros, no entanto. Os domínios devem existir dentro da mesma floresta.
- Mova os grupos universais e os seus membros entre domínios da mesma floresta.
MoveTree pode mover a maioria objetos do Active Directory. Aqueles que não podem se mover quando você tenta mudar grupos de objetos se tornam órfão. Windows 2000 lugares esses objetos órfãos em um recipiente especial chamado LostAndFound. Você pode exibir este contêiner usando o recurso Exibição Avançada de Usuários e Computadores do Active Directory.
Você deve ter as permissões administrativas apropriadas para usar MoveTree do prompt de comando. Este comando utiliza a seguinte sintaxe:
MoveTree / start / s SrcDSA / d DstDSA / SDN SrcDN / DDN DstDN [/você [Domínio]Nome de usuário / p Senha] [/ Verbose] [/? ]
As entradas em itálico nesta sintaxe representam informações que você deve fornecer. A Tabela 1 descreve as opções que você pode usar com o comando MoveTree.
Tabela 1 MoveTree de Comandos
Interruptor | O que faz |
/começar | Inicia a operação de movimentação. |
/ startnocheck | Inicia uma operação MoveTree sem / cheque. |
/continuar | Continua a execução de uma operação de MoveTree anteriormente em pausa ou falhado. |
/Verifica | Executa um teste da operação MoveTree. |
/ S SrcDSA | Especifica o nome de domínio totalmente qualificado do servidor de origem (FQDN). |
/ D DstDSA | Especifica o FQDN do servidor de destino. |
/ SDN SrcDN | Especifica o nome distinto do objeto que você está se movendo a partir da fonte. |
/ DDN DstDN | Especifica o nome distinto do objeto que você está se movendo para o destino. |
/você | Executa MoveTree sob as credenciais do nome de usuário e senha fornecidos. |
/ verbose | Causas MoveTree para exibir mais detalhes como ele é executado. |
/? | Exibe ajuda sobre MoveTree. |
MoveTree cria arquivos de log quando as operações são executadas. Você pode verificar esses arquivos de log para obter informações sobre o sucesso ou fracasso de eventos MoveTree:
- MoveTree.err: lista todos os erros encontrados.
- MoveTree.log: Lista resultados estatísticos da operação.
- MOVETREE.CHK: lista todos os erros detectados a partir MoveTree sendo executado no modo de verificação.
MoveTree move objetos de computador de um domínio para outro para você, mas não pode desunir o computador a partir do domínio de origem e uni-lo ao domínio de destino. Esta limitação faz NETDOM uma melhor utilidade para mover computadores entre domínios em um ambiente Active Directory do Windows 2000.
NETDOM usa a seguinte sintaxe para mover contas de computador:
MoveTree {/ NETDOM mover / D:domínio [/ OU:ou_path] [/ Ud:Do utilizador / Pd: *] [/ Uo:Do utilizador / Po:Senha] [/ Reinicialização: [time_in_seconds]]
A Tabela 2 descreve as opções que você usa com o comando NETDOM.
Tabela 2 NETDOM de Comandos
Interruptor | O que faz |
/domínio | Identifica o domínio de destino. |
/ OU: ou_path | Especifica a UO de destino. |
/ Ud: User | Indica a conta de usuário utilizada para fazer a conexão com o domínio de destino. |
Pd: Password | Digita a senha para a conta de usuário utilizada para conectar ao domínio- destino, se você usar *, NETDOM solicita a senha. |
/ Uo: User | Identifica a conta de usuário usado para fazer a conexão com o domínio de origem. |
/ Po: * | Digita a senha para a conta de usuário utilizada para conectar ao domínio- original, se você usar *, NETDOM solicita a senha. |
/ reboot: [time_in_seconds] | Especifica que o computador que está sendo movida deve desligar e reiniciar automaticamente em um dado número de segundos após a operação de movimentação. |