Le scénario de la Earth Satellite Company

1 et Earth-2. Les Tableaux 1 et 2 définissent
les utilisateurs et les groupes du domaine Earth.
La compagnie veut migrer les utilisateurs et les groupes du domaine Earth (c’est-à -dire
le domaine source) vers le nouvel environnement Windows 2000 parallèle qu’elle
a créé. Le domaine cible est le domaine moon.base.com (ou le domaine Moon, pour
les clients de bas niveau). ADMT exige une approbation bidirectionnelle entre
les domaines source et cible.

Préparation d’un environnement de test. L’administrateur systèmes
de la Earth Satellite Company, doit établir un environnement de test convenable
reflétant précisément l’environnement de production en cours de la compagnie,
avant de migrer les domaines. Une bonne pratique consiste à  cloner le PDC de production
et à  déplacer le clone vers un environnement de test physiquement séparé. (La
même procédure peut s’utiliser également pour les BDC, afin de créer une copie
exacte du domaine de production pour tester la migration).
Il faut également créer des serveurs clones pour obtenir un exemple capable de
représenter raisonnablement les serveurs d’applications ou les serveurs membres
utilisés dans l’environnement de production réel. Je recommande fortement de tester
complètement les procédures de migration dans un environnement de test distinct
de l’environnement de production avant de les mettre en oeuvre.

Assurez-vous que le domaine cible est en mode natif. Le domaine
cible doit être en mode natif Windows 2000 pour le processus de migration. Pour
passer le domaine cible en mode natif, suivez les trois étapes suivantes :

1. Ouvrez le composant enfichable Domaines et approbations Active Directory de
la MMC, puis cliquez-droit sur le domaine moon.base.com dans la sous-fenêtre Arborescence.
2. Choisissez Propriétés dans le menu contextuel, puis cliquez sur Changer de
mode sur l’onglet Général.
3. Cliquez sur Oui pour confirmer le passage au mode natif et fermez la boîte
de dialogue Propriétés.

Le fait de basculer en mode natif Windows 2000 est un processus manuel : Windows
2000 ne lance pas automatiquement le changement. Une fois le mode natif activé,
on ne peut pas revenir en arrière. Le support des contrôleurs de duplication et
de domaines de bas niveau cesse et on ne peut pas ajouter de nouveaux BDC au domaine
cible. A cette étape de la migration, le serveur PDC Earth, qui était le PDC pendant
la migration n’est plus le domaine maître. En mode natif, tous les contrôleurs
de domaines sont à  égalité.

Le fait de basculer en mode natif Windows 2000 est un processus manuel
: Windows 2000 ne lance pas automatiquement le changement

Assurez-vous que l’audit est activé sur les domaines source et cible.
ADMT exige que l’audit soit activé pour la gestion des comptes (c’est-à -dire les
événements de succès et d’échec) dans les domaines source et cible. (N’oublions
pas que dans Windows NT 4.0, la gestion des comptes s’appelle Gestion des utilisateurs
et des comptes).

Pour activer l’audit dans le domaine source, suivez les étapes que voici :

1. Assurez-vous que vous vous êtes connecté avec des privilèges d’administrateur.
2. Sélectionnez Démarrer, Programmes, Outils d’administration et ouvrez le Gestionnaire
des utilisateurs pour les domaines.
3. Sélectionnez le menu Stratégies et cliquez sur Audit.
4. Cliquez sur Auditer ces événements.
5. Sélectionnez les deux événements de Gestion des utilisateurs et des groupes
Succès et Echec.

Pour activer l’audit dans le domaine cible, suivez les huit étapes suivantes :

1. Connectez-vous au domaine avec les droits d’administrateur.
2. Dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory
de la MMC, double-cliquez sur moon.base.com.
3. Dans la sous-fenêtre de gauche, cliquez à  droite sur l’unité organisationnelle
Contrôleurs de domaines et sélectionnez Propriétés dans le menu déroulant.
4. Dans la fenêtre Propriétés, sélectionnez l’onglet Stratégie de groupe.
5. Sélectionnez Stratégie de contrôleurs de domaines par défaut, puis sélectionnez
Edition pour lancer le composant enfichable Stratégie de groupe de la MMC.
6. La fenêtre Stratégie de groupe apparaît sur votre écran. Dans Stratégie de
contrôleurs de domaine par défaut, choisissez Configuration des ordinateurs, Paramètres
Windows, Paramètres de sécurité, Stratégies locales et Stratégie d’audit.
7. Sélectionnez Gestion des comptes d’audit, puis Définir ces paramètres de stratégie.
8. Sélectionnez Succès et Echec, puis cliquez sur OK. Fermez toutes les fenêtres
ouvertes.

Configurer des approbations entre les domaines source et cible.
L’approbation bi-directionnelle entre les domaines source et cible établit les
droits d’accès exigés par ADMT pour migrer les responsables de sécurité entre
les domaines.

Pour configurer cette approbation, respectez la procédure suivante :

1. Dans le domaine cible, sélectionnez le composant enfichable Domaines et approbations
Active Directory.
2. Dans la fenêtre du composant logiciel enfichable Domaines et approbations Active
Directory sélectionnez le domaine cible et cliquez à  droite sur l’objet domaine.
3. Sélectionnez Propriétés, puis l’onglet Approbations. Cliquez sur Ajouter pour
effectuer vos sélections de Domaines approuvés par ce domaine et de Domaines approuvant
ce domaine, afin de configurer l’approbation du domaine source.
4. Dans le domaine source, ouvrez le Gestionnaire des utilisateurs pour les domaines.
5. Sélectionnez Stratégies, puis Relations d’approbation. Cliquez sur Ajouter
pour configurer l’approbation vers le domaine cible.

Après avoir établi les approbations de domaines, veillez à  disposer des droits
d’administrateur pour les domaines sources et cibles. Vous aurez besoin de disposer
des droits d’administrateurs sur chaque ordinateur qui sera migré, ainsi que sur
chaque ordinateur sur lequel vous voulez migrer la sécurité. Pour effectuer la
migration, vous devez également posséder les droits d’administrateur sur tout
ordinateur sur lequel ADMT installe un agent. ADMT peut installer et supprimer
des agents sur des machines séparées, il suppose donc toujours la présence de
partages administratifs par défaut sur ces machines.

Vous aurez besoin de disposer des droits d’administrateurs sur chaque
ordinateur qui sera migré, ainsi que sur chaque ordinateur sur lequel vous voulez
migrer la sécurité

Configurer les conteneurs de destination sur le domaine cible.
Avant de migrer les utilisateurs et les groupes du domaine source, il faut créer
un conteneur de destination dans le domaine cible. Les conteneurs de destination
sont les unités organisationnelles se trouvant dans Active Directory. Si vous
ne créez pas de nouveau conteneur, ADMT placera tous les utilisateurs et les groupes
migrés dans le conteneur des utilisateurs par défaut du domaine cible.

Pour créer l’unité organisationnelle Utilisateurs et groupes Moon (c’est-à -dire
le conteneur de destination) dans le domaine moon.base.com, effectuez les trois
étapes suivantes :

1. Ouvrez le composant enfichable Utilisateurs et ordinateurs Active Directory.
2. Sélectionnez et cliquez à  droite sur le domaine moon.base.com, puis sélectionnez
Nouvelle unité organisationnelle.
3. Entrez Groupes et utilisateurs Moon dans la zone de texte, puis cliquez sur
OK.

La figure 5 montre l’unité organisationnelle Utilisateurs et groupes Moon créée
dans le domaine moon.base.com. Le même processus permet de créer tous les groupements
d’unité organisationnelle de votre choix, par exemple des unités organisationnelles
séparées pour les utilisateurs, les groupes et les ordinateurs.