Embed Size (px)
Citation preview
Migration d’objets avec ADMT 3.2
Article rédigé par Jeremy Lemay (MVP 2009 Directory Services) et Kevin Phelippo.
Jérémy et Kévin sont consultants spécialisés dans les solutions de gestion d’accès et d’identité au sein
d’une société Gold Partner Microsoft (www.nelite.com ). Ils animent le blog de l’équipe Identity and
Access Management (IAM) de Nelite (http://blogs.nelite.com/blogs/identitysolutions ).
Spécialistes des solutions IAM de Microsoft, ils réalisent des projets d’architecture, de migrations, de
sécurisation des accès et de consolidations d’annuaires au sein de moyens et grands comptes.
L’objectif de cet article est de présenter les étapes nécessaires à la migration d’objets Active Directory avec ADMT 3.2 (Active Directory Migration Tool). L’outil ADMT peut être utilisé dans différents scénarios associés à la restructuration d’annuaires Active Directory notamment dans le cas de consolidation, fusion/acquisition ou désinvestissement.
La restructuration impliquant une migration de ressources (comptes utilisateurs, groupes, …) entre plusieurs annuaires Active Directory ou sein d’une même forêt ou de forêt différente
Les tâches de migration réalisées avec ADMT peuvent être déclenchées par la console ADMT, en
ligne de commande ou par script.
Dans l’exemple qui suit, 2 domaines ont été créés :
un domaine, adatum.com, dont la forêt et le domaine sont au niveau fonctionnel Windows Server 2003.
un domaine, contoso.com, dont la forêt et le domaine sont au niveau fonctionnel Windows Server 2008 R2.
Le but étant de migrer les objets (utilisateurs et groupes) du domaine adatum.com (2003) vers le domaine contoso.com (2008 R2).
ADMT 3.2 a été installé sur un serveur membre du domaine contoso.com, serveur fonctionnant sous Windows Server 2008 R2.
Pour une vue d’ensemble de l’architecture de démonstration :
Contoso.comAdatum.com
Domaine source Domaine cible
Serveur membreADMT 3.2
Password Export Server
Relation d’approbationbidirectionnelle
DCAdatum DCContoso
GroupesComptes GroupesComptes
Migration des comptes et Groupesavec ADMT
1. Bonnes pratiques
Voici quelques bonnes pratiques associées à la migration de comptes :
Réaliser des sauvegardes régulières des contrôleurs de domaine source et cible durant le processus de migration
Réaliser un test de migration en créant un compte de test, et en l’ajoutant à un groupe puis en vérifiant l’accès aux ressources associées avant et après la migration
Mettre en place un environnement de tests pour valider les différentes étapes et les scénarios de migration
Implémenter un plan de restauration et s’assurer de son bon fonctionnement
Migrer les utilisateurs par lot pour maitriser la migration
2. Pré-requis
2.1 Mise en place Afin de pourvoir effectuer la migration de comptes entre les 2 domaines, certains pré-requis sont nécessaires:
Chaque domaine doit pouvoir résoudre les noms DNS de l’autre domaine. Pour cela, vous pouvez par exemple créer des redirecteurs conditionnels dans chaque domaine :
Créer un compte spécifique à la migration. Ce compte doit pouvoir récupérer les objets du domaine source (adatum.com) et créer des objets dans le domaine cible (contoso.com). Pour cela, utiliser l’assistant de délégation.
Password Export Server (PES) (Installer Password Export Server) doit être installé sur le contrôleur de domaine source. Cet outil va permettre la migration des mots de passe pendant la phase de migration des comptes Active Directory.
Une relation d’approbation entre les domaines doit avoir été mise en place (Bidirectionnelle de type Externe dans notre cas) :
2.2 Installation d’ADMT 3.2 ADMT s’appuie sur une base de données qui va permettre de stocker la configuration et les éléments à migrer. Installer SQL Server 2005 Express Edition SP3 (ou version ultérieure) ou SQL Server 2008 Express Edition SP1 (ou version ultérieure) et créer une nouvelle instance.
Lancer ensuite l’installation d’ADMT 3.2 et accepter le contrat de licence.
Renseigner le nom du serveur ainsi que l’instance SQL créée précédemment puis terminer l’installation.
3. Migration des groupes et comptes
Avant de pouvoir migrer les comptes utilisateurs, la première opération à effectuer est de migrer les groupes. En effet, effectuer cette étape en premier permet, lors de la migration des comptes utilisateurs, de conserver l’appartenance des comptes à leurs groupes respectifs.
3.1 Migration des groupes
Une bonne pratique associée à la migration des groupes est de ne pas effectuer sur les périodes de
production pour éviter de surcharger les contrôleurs de domaine. Il est également possible de
conserver le SID du groupe du domaine source (SID history) afin de conserver l’accès aux ressources
du domaine source. Les étapes de la migration des groupes sont les suivantes :
1. Un administrateur choisit les groupes du domaine source à migrer
2. Les objets associés aux groupes à migrer sont créés dans le domaine cible et un nouveau SID
est généré pour chaque objet groupe du domaine cible
3. Afin de préserver l’accès aux ressources, ADMT ajoute le SID du groupe dans le domaine
source dans l’attribut SID history du groupe créé dans le domaine cible
Les 3 groupes suivants, du domaine adatum.com, vont être migrés :
Ouvrir une session avec le compte créé pour la migration sur le serveur membre du domaine contoso.com sur lequel ADMT 3.2 a été installé puis lancer ADMT.
Dans la console, faire un clic droit sur “Outil de migration Active Directory”, et sélectionner Assistant de Migration des comptes de groupes.
Renseigner les informations (domaines source et cible).
Choisir « Sélectionner les groupes dans le domaine » puis « Ajouter les groupes à migrer » et définir ensuite l’Unité d’Organisation cible :
Cocher les différentes cases en fonction de votre stratégie de migration. La dernière case permet de migrer les SID et donc de réaffecter les utilisateurs appartenant à ces groupes. Ne pas choisir de migrer les membres des groupes. En effet, Si un utilisateur est migré alors que tous les groupes auxquels il appartient ne sont pas migrés, l’adhérence aux groupes non migrés ne sera pas conservée. La migration des comptes utilisateur sera effectuée après celle des groupes. Renseigner ensuite le compte associé à la migration.
Exclure, si vous le souhaitez, certains attributs à ne pas inclure au processus de migration.
Sélectionner ensuite l’action à effectuer en cas de conflit lors de la migration. Pour terminer l’opération, lancer enfin la migration. Le résultat du processus est visible dans la fenêtre de progression.
La commande suivante peut être utilisée pour réaliser la même opération :
ADMT GROUP /N "G_NIC_DAF" "G_NIC_DG" "G_NIC_DSP" /SD:"adatum.com" /TD:"contoso.com" /TO:"
Contoso.com/NICE/GROUPE" /MSS:YES
Vérification:
Dans le domaine cible contoso.com, les groupes apparaissent bien dans l’OU définie.
3.2 Migration des comptes utilisateurs
Après avoir terminé la migration des groupes, nous pouvons démarrer la migration des comptes utilisateurs. L’utilisateur John.Doe, qui fait partie de 2 des 3 groupes ci-dessus, va ensuite être migré.
L’utilisateur fait partie de 2 des 3 groupes migrés précédemment :
Le SID de l’utilisateur, dans le domaine cible, est le suivant:
Effectuer les mêmes opérations que celles effectuées lors de la migration des groupes,
Sélectionner l’utilisateur à migrer.
Choisir, si vous le souhaitez, de migrer les mots de passe des comptes utilisateurs. Cette opération sera possible via le serveur PES.
Sélectionner les actions à effectuer sur les comptes sources et cibles. Les comptes migrés peuvent être activés ou désactivés à la fois dans le domaine source et le domaine cible. Laisser la dernière case cochée afin de migrer les SID des comptes utilisateurs.
Il est également possible de traduire les profils itinérants. Une nouvelle fois, ne pas migrer les groupes et les comptes utilisateurs en même temps. La migration se termine
En ligne de commande, il est également possible d’utiliser des fichiers qui contiennent la liste des utilisateurs à migrer. Cela permet de maitriser les différentes populations d’utilisateurs à migrer.
Afin de générer les fichiers contenant la liste des utilisateurs à migrer (présents sous l’OU FR\Utilisateurs), nous pouvons utiliser la commande ldifde :
ldifde -f listusers_admt.csv -m -d "OU=Utilisateurs,OU=FR,dc=adatum,dc=com" -p subtree -r
"(&(objectcategory=person)(objectclass=user))" -l "samaccountname"
Une fois le fichier généré, nous pouvons utiliser la commande ADMT User ou l’assistant de migration
de compte utilisateur. La syntaxe de la commande ADMT User permettant de déclencher la
migration des comptes issus de l’export (listusers_admt.csv ) précédent est la suivante :
ADMT USER /F:listusers_admt.csv /SD:Adatum.com /TD:Contoso.com /TO:"<target_OU>" /IF:YES
/MSS:YES /UUR:NO
Vérifier que l’objet utilisateur apparait bien dans l’OU sélectionnée et a conservé son adhésion aux groupes dont il faisait partie. On peut également voir que, après avoir créé un nouvel SID dans le domaine cible, la migration a conservé le SID de l’utilisateur dans le domaine source (SID History).
4. Rapports
Il est possible de générer des rapports avant et après les différentes étapes de migration. Ouvrir la console ADMT, puis faire un clic droit sur Outil de migration Active Directory et sélectionner Assistant Création de rapports.
Cliquer sur Suivant et sélectionner les domaines source et cible :
Renseigner le dossier de stockage des rapports puis sélectionner le(s) type(s) de rapport(s) à créer, puis terminer la création :
Une fois le rapport généré, il apparait dans la console :
5. Conclusion
A travers cet article, nous avons pu voir les différentes étapes et éléments associés à la migration de
comptes et de groupes entre domaines Active Directory avec ADMT. Cette migration doit être
planifiée attentivement afin d’identifier les comptes et groupes qui feront l’objet de la migration.
Pour finir, ADMT est relativement simple à mettre en place et à exploiter.
