Migration des mots de passe

que le domaine cible fournit au
domaine source, pour coder et décoder
l’information de mot de passe. En
séparant la configuration de migration
des mots de passe de la configuration
de migration des comptes utilisateur,
on réduit le nombre de problèmes. Et
on peut aussi isoler ces problèmes
beaucoup plus rapidement.
La configuration de migration des
mots de passe démarre sur le DC cible.
La première étape consiste à  étendre
les permissions associées au groupe
Everyone du domaine cible pour inclure
des utilisateurs anonymes. Pour
cela, ouvrez le snap-in MMC Domain
Security Policy. Etendez Local Policies
and Security Options pour obtenir la
liste des options de sécurité disponibles.
Activez l’option Network access
: Let Everyone permissions apply
to anonymous users, comme le
montre la figure 6.
L’étape suivante consiste à  générer
un fichier de clés de mot de passe sur
le DC cible (IKDOM02, dans notre scénario
exemple). ADMT offre un utilitaire
ligne de commande pour générer
cette clé ; comme exemple de commande
ou de génération de clé, prenons

admt key ikdom01 C:\test *

dans laquelle key spécifie que vous
voulez générer une clé, ikdom01 spécifie
le domaine source, C :\test spécifie
le dossier dans lequel sera créé le fichier
de clés et * déclenche une invite
à  entrer un mot de passe pour le fichier
de clés pendant le processus de génération
de clés. La figure 7 montre que la
commande exemple a créé le fichier de
clés C :\test\4A662TSJ.pes. Egalement,
sur la ligne de commande du DC cible,
tapez sur une ligne

net localgroup « Pre-Windows 2000 Compatible Access » Everyone /Add

puis redémarrez le DC cible.

Intéressons-nous maintenant au
domaine source. Bien que nous ayons
utilisé le PDC domaine IKDOM01
comme machine source pendant la migration
des comptes utilisateur,
Microsoft recommande d’utiliser un
BDC de production comme le serveur
d’exportation de mots de passe. Vous
serez moins exposés en cas d’erreur, le
BDC a en principe des cycles inutilisés
et la configuration demande une réinitialisation,
que vous ferez plutôt sur le
BDC que sur le PDC. Cependant, il
n’est pas obligatoire d’utiliser un BDC :
vous pouvez installer le logiciel nécessaire
sur un PDC. Vous trouverez le
logiciel dans un sous-dossier pwdmig
ou dans le dossier que le fichier
admt2.exe a créé quand vous avez exécuté
le fichier sur le DC cible. Copiez le
dossier pwdmig et le fichier de clés
que vous avez généré sur le dossier
cible, sur le DC source puis exécutez le
fichier d’installation du serveur d’exportation
de mots de passe sur le DC
source. Sur un système NT 4.0, vous
devez exécuter le fichier \pwdmigpwdmig.exe pour installer le serveur
d’exportation des mots de passe (sur
un système Windows 2003 ou Win2K, il
vous faudra exécuter le fichier \pwdmigpwdmig.msi).
L’installation du serveur d’exportation
des mots de passe vous demandera
le chemin vers le fichier de clés
*.pas. Elle vous demandera aussi le
mot de passe (éventuel) que vous avez
spécifié pour ce fichier. Une fois le serveur
d’exportation des mots de passe
installé, il vous faudra réinitialiser le
système, mais d’abord modifier le registre
sur le DC source afin qu’une
seule réinitialisation soit nécessaire.
Mettez à  1 la valeur DWORD Allow-
PasswordExport sous la sous-clé de registre
HKEY_LOCAL_MACHINE\ SYSTEMCurrentControlSet\Control\Lsa
pour valider l’exportation des mots de
passe. Après avoir changé ce paramètre,
réinitialisez le DC source.
Après la réinitialisation, vous pouvez
utiliser le User Account Migration
Wizard sur le DC cible pour faire migrer
les mots de passe en même temps
que les comptes utilisateur. J’ai
constaté que l’opération de migration
des mots de passe était source d’erreurs,
donc je recommande de lire l’article
Microsoft « How to Troubleshoot
Inter-Forest Password Migration with
ADMTv2 » (http://support.microsoft.
com/?kbid=322981) pour y trouver
des conseils de dépannage.