> Tech > Pré requis de l’ADMT Version 2.0

Pré requis de l’ADMT Version 2.0

Tech - Par iTPro - Publié le 24 juin 2010
email

Sur les deux domaines :

  • Configurer les DNS pour que leurs « forwarders » pointent vers les domaines inverses. Ainsi, le « forwarder » du domaine source pointe sur le domaine cible et réciproque.
  • Vérifier que la stratégie de mot de passe des comptes utilisateurs du domaine source

Pré requis de l’ADMT Version 2.0

corresponde avec la
stratégie des mots de passe du domaine
cible.

  • Activer l’audit (succès et échec) pour
    la gestion des comptes sur les deux
    domaines.

    • Activer l’Audit en succès et échec
      sur l’objet « Utilisateur et groupe
      Management » sur le domaine
      source (figure 3).

    • Activer l’audit en échec et succès
      sur l’objet « Audit account management
      » sur le domaine cible dans la
      « Default Domain Controllers policy
      » (figure 4).
  • Créer une relation d’approbation bidirectionnelle
    entre les domaines (figure
    5a
    & 5b).
  • Sur le domaine cible :

    • Pour que le SID history puisse fonctionner
      lors de la migration, passer le
      domaine cible au minimum en mode
      natif (Figure 6).

    • S’assurer que le pack 128-bit highencryption
      est installé sur le contrôleur
      de domaine (celui-ci est installé
      par défaut sur Windows 2000 et
      2003).

    • Si le domaine cible est Windows
      2003, changer la GPO par défaut des
      contrôleurs de domaine. Pour cela,
      ouvrir la MMC Users and computers,
      cliquer sur « Domain Controller » et
      éditer la GPO « Default Domain
      Controllers Policy ». Activer l’option :
      Network access: Let Everyone permissions
      apply to anonymous users
      comme l’indique la figure 7.

    • Sur l’un des contrôleurs de domaine
      du domaine cible, le groupe Tout le
      monde doit être ajouté dans le
      groupe Pre-Windows 2000 Compatibility
      Access du domaine cible
      afin que la migration des mots de
      passe se réalise correctement. Si
      cette opération n’est pas faite, ADMT
      affichera un message d’erreur d’accès
      refusé dans le fichier journal.
      Cette commande n’étant pas possible
      de la console « Users and
      Computers Active Directory », il faut
      taper la commande Ms-Dos suivante
      et rebooter ensuite.

      net localgroup « 
      Pre-Windows 2000 Compatible Access » Everyone
      /Add

    • Installer et configurer l’ADMT sur le
      domaine cible (l’outil se trouve sur le
      CD d’installation de Windows 2003
      ou sur le site web de Microsoft).
      L’installation se fait très simplement
      via un assistant.

    • Se déplacer dans le répertoire d’installation
      d’ADMT (par défaut : c:Program Files\Active Directory
      Migration Tool) et créer le « password
      key » sur le domaine cible. Pour
      cela, taper : ADMT key
    • Cette opération vous créera le fichier
      PES dont nous avons parlé précédemment
      sur votre disquette. Il faudra
      alors installer ce fichier sur le
      domaine source dans l’une des
      étapes détaillées ci-dessous.

    Sur le domaine source :

    • Ajouter le groupe « Domain admins »
      du domaine cible dans le groupe
      « Administrators » du domaine source
      (figure 8).

    • Créer un nouveau groupe local
      appelé Domaine_Source$$$ (Domaine_
      Source étant à  remplacer par
      le nom netbios du domaine source)
      (figure 9).

    • Installer l’application « ADMT
      Password Migration DLL » sur un
      contrôleur secondaire de domaine
      du domaine source dédié à  cet effet
      en tant que « Password Export
      Server » si vous êtes en environnement
      NT sinon utilisez un contrôleur
      de domaine pour des domaines
      Windows 2000 ou 2003. Assurezvous
      qu’il réponde aux pré-requis
      minima logiciels à  savoir Windows
      NT4 SP5 ou Windows 2000 avec le
      pack d’encryption 128-bit high encryption
      (si votre domaine source
      est un domaine Windows 2000).
      Cette application se trouve sur
      Cd_Drive:\I386\ADMT\PWDMIG et
      s’appelle PWDMIG.MSI. Il est possible
      qu’il soit nécessaire d’exécuter
      l’installeur de Windows Installer s’il
      n’est pas déjà  installé en lançant le fichier Instmsiw.exe qui se trouve
      dans le même répertoire. Lors de
      l’installation se lance, elle vous demande
      le chemin de votre fichier
      .PES (figure 10).

    • A la fin de l’installation, l’application
      vous invite à  redémarrer l’ordinateur.
      Avant de redémarrer, passez la
      valeur de l’entrée AllowPassword-
      Export REG_DWORD de 0 à  1 sur la
      clé HKEY_LOCAL_MACHINE\System
      \CurrentControlSet\Control\LSA.

    • Toujours sur le contrôleur de domaine
      du domaine source, créer la
      valeur de l’entrée TcpipClientSupport
      REG_DWORD à  1 sur la clé de
      registre HKEY_LOCAL_MACHINESystem\CurrentControlSet\Contr
      ol\LSA.

    • Rebooter le serveur.

    La préparation de la migration
    étant “enfin” achevée, la migration des
    comptes de groupes, d’utilisateurs, de
    services, d’ordinateurs peut se faire
    comme indiqué sur la figure 11 qui indique
    un exemple de migration des
    comptes utilisateurs et d’ordinateurs.
    Il ne faudra pas oublier, une fois la
    migration terminée et le domaine
    source supprimé, tant en terme de
    comptes que d’applications migrés, de
    supprimer le SID History. En effet, ces
    SID peuvent, lorsqu’il y a beaucoup
    d’utilisateurs, représenter une augmentation
    conséquente de la base
    Active Directory et de plus poser des
    problèmes d’authentification dû notamment
    au fait qu’un paquet
    Kerberos va supporter un nombre limité
    d’enregistrements dans le jeton
    de sécurité d’un utilisateur. Cela dit,
    ceci n’est réellement problématique
    que sur de très gros environnements
    de plusieurs dizaines de milliers de
    comptes.

    Téléchargez gratuitement cette ressource

    Les 7 étapes d’un projet de dématérialisation RH

    Les 7 étapes d’un projet de dématérialisation RH

    Dans ce livre blanc, nous vous donnons les clés pour concevoir votre projet de dématérialisation RH. Vous découvrirez chacune des étapes qui vous permettront d’apporter de nouveaux services aux collaborateurs, de vous adapter aux nouvelles pratiques et de renforcer la marque employeur.

    Tech - Par iTPro - Publié le 24 juin 2010