Pré requis de l’ADMT Version 2.0

corresponde avec la
stratégie des mots de passe du domaine
cible.

Sur le domaine cible :

• Pour que le SID history puisse fonctionner
  lors de la migration, passer le
  domaine cible au minimum en mode
  natif (Figure 6).

• S’assurer que le pack 128-bit highencryption
  est installé sur le contrôleur
  de domaine (celui-ci est installé
  par défaut sur Windows 2000 et
  2003).

• Si le domaine cible est Windows
  2003, changer la GPO par défaut des
  contrôleurs de domaine. Pour cela,
  ouvrir la MMC Users and computers,
  cliquer sur « Domain Controller » et
  éditer la GPO « Default Domain
  Controllers Policy ». Activer l’option :
  Network access: Let Everyone permissions
  apply to anonymous users
  comme l’indique la figure 7.

• Sur l’un des contrôleurs de domaine
  du domaine cible, le groupe Tout le
  monde doit être ajouté dans le
  groupe Pre-Windows 2000 Compatibility
  Access du domaine cible
  afin que la migration des mots de
  passe se réalise correctement. Si
  cette opération n’est pas faite, ADMT
  affichera un message d’erreur d’accès
  refusé dans le fichier journal.
  Cette commande n’étant pas possible
  de la console « Users and
  Computers Active Directory », il faut
  taper la commande Ms-Dos suivante
  et rebooter ensuite.

  net localgroup « 
  Pre-Windows 2000 Compatible Access » Everyone
  /Add

• Installer et configurer l’ADMT sur le
  domaine cible (l’outil se trouve sur le
  CD d’installation de Windows 2003
  ou sur le site web de Microsoft).
  L’installation se fait très simplement
  via un assistant.

• Se déplacer dans le répertoire d’installation
  d’ADMT (par défaut : c:Program Files\Active Directory
  Migration Tool) et créer le « password
  key » sur le domaine cible. Pour
  cela, taper : ADMT key .
  Pour des raisons de sécurité, il est
  conseillé d’utiliser une disquette.
  Exemple sur notre domaine source
  « NICK-NT4 », vous taperez donc :
  ADMT key NICK-NT4 A:

• Cette opération vous créera le fichier
  PES dont nous avons parlé précédemment
  sur votre disquette. Il faudra
  alors installer ce fichier sur le
  domaine source dans l’une des
  étapes détaillées ci-dessous.

Sur le domaine source :

• Ajouter le groupe « Domain admins »
  du domaine cible dans le groupe
  « Administrators » du domaine source
  (figure 8).

• Créer un nouveau groupe local
  appelé Domaine_Source$$$ (Domaine_
  Source étant à  remplacer par
  le nom netbios du domaine source)
  (figure 9).

• Installer l’application « ADMT
  Password Migration DLL » sur un
  contrôleur secondaire de domaine
  du domaine source dédié à  cet effet
  en tant que « Password Export
  Server » si vous êtes en environnement
  NT sinon utilisez un contrôleur
  de domaine pour des domaines
  Windows 2000 ou 2003. Assurezvous
  qu’il réponde aux pré-requis
  minima logiciels à  savoir Windows
  NT4 SP5 ou Windows 2000 avec le
  pack d’encryption 128-bit high encryption
  (si votre domaine source
  est un domaine Windows 2000).
  Cette application se trouve sur
  Cd_Drive:\I386\ADMT\PWDMIG et
  s’appelle PWDMIG.MSI. Il est possible
  qu’il soit nécessaire d’exécuter
  l’installeur de Windows Installer s’il
  n’est pas déjà  installé en lançant le fichier Instmsiw.exe qui se trouve
  dans le même répertoire. Lors de
  l’installation se lance, elle vous demande
  le chemin de votre fichier
  .PES (figure 10).

• A la fin de l’installation, l’application
  vous invite à  redémarrer l’ordinateur.
  Avant de redémarrer, passez la
  valeur de l’entrée AllowPassword-
  Export REG_DWORD de 0 à  1 sur la
  clé HKEY_LOCAL_MACHINE\System
  \CurrentControlSet\Control\LSA.

• Toujours sur le contrôleur de domaine
  du domaine source, créer la
  valeur de l’entrée TcpipClientSupport
  REG_DWORD à  1 sur la clé de
  registre HKEY_LOCAL_MACHINESystem\CurrentControlSet\Contr
  ol\LSA.

• Rebooter le serveur.

La préparation de la migration
étant “enfin” achevée, la migration des
comptes de groupes, d’utilisateurs, de
services, d’ordinateurs peut se faire
comme indiqué sur la figure 11 qui indique
un exemple de migration des
comptes utilisateurs et d’ordinateurs.
Il ne faudra pas oublier, une fois la
migration terminée et le domaine
source supprimé, tant en terme de
comptes que d’applications migrés, de
supprimer le SID History. En effet, ces
SID peuvent, lorsqu’il y a beaucoup
d’utilisateurs, représenter une augmentation
conséquente de la base
Active Directory et de plus poser des
problèmes d’authentification dû notamment
au fait qu’un paquet
Kerberos va supporter un nombre limité
d’enregistrements dans le jeton
de sécurité d’un utilisateur. Cela dit,
ceci n’est réellement problématique
que sur de très gros environnements
de plusieurs dizaines de milliers de
comptes.