Préparer la migration

plus sûr mais pas compatible
avec les DC antérieurs. Le mode mixte ou compatibilité
permet aux administrateurs d’utiliser les serveurs AD et NT
4.0 dans un environnement à  sécurité partagée mais rend indisponible
bon nombre des améliorations de sécurité du
mode natif. ADMT exige que le nouveau domaine fonctionne
en mode natif. Si vous ne savez pas avec certitude si le nouveau
domaine utilise le mode natif, ouvrez un snap-in
Microsoft Management Console (MMC) AD administration
tel que Active Directory Users and Computers et faites un clic
droit sur l’objet domaine. Dans le menu de contexte, sélectionnez
Raise Functional Level si cette option existe ; sinon,
sélectionnez All Tasks, Raise Functional Level. La boîte de dialogue
résultante montre le niveau fonctionnel actuel du domaine
et vous permet d’élever le niveau du mode compatibilité
au mode natif. Pour plus d’informations sur les niveaux
fonctionnels des domaines, voir http://www.microsoft.com/
technet/prodtechnol/windowsserver2003/proddocs/standard/
sag_levels.asp et l’article Microsoft « HOW TO : Raise
Domain and Forest Functional Levels in Windows Server
2003 » (http://support.microsoft.com/?kbid=322692).
Sachez qu’après avoir élevé le niveau, vous ne pourrez plus
l’abaisser.
Ensuite, vous devez créer une approbation bidirectionnelle
entre les domaines cible et source. Sur le système
Windows 2003, ouvrez la console MMC Active Directory
Domains and Trusts et faites un clic droit sur l’objet du domaine
cible (IKDOM2.ORG). Sélectionnez Properties dans le
menu de contexte pour ouvrir la boîte de dialogue
Properties. Sur l’onglet Trusts, cliquez sur New Trust pour
ouvrir le New Trust Wizard, qui vous guide vers les étapes
destinées à  établir la première moitié de votre confiance bidirectionnelle
avec le domaine NT 4.0 IKDOM01.
Pour installer la seconde moitié de l’approbation (du domaine
source vers le domaine cible), sur le PDC NT 4.0 pour
le domaine IKDOM01, ouvrez User Manager for Domains
dans le menu Administrative Tools. Dans le menu Policies, sélectionnez
l’option Relations d’approbation, puis définissez
une relation d’aaprobation bidirectionnelle avec le domaine
cible. Après avoir modifié les deux domaines, fermez la
console Active Directory Domains and Trusts sur le PDC
Windows 2003, mais laissez User Manager for Domains ouvert
sur IKDOM01.
L’étape suivante consiste à  s’assurer que les comptes
utilisateur administratifs que l’opération de migration utilisera
ont des droits dans les deux domaines. Dans User
Manager for Domains, double-cliquez sur l’objet
Administrators sous l’objet IKDOM01, puis ajoutez les administrateurs
pour le domaine cible (IKDOM2.ORG\Domain
Admins) pour leur octroyer une permission sur le domaine
source. L’opération de configuration du domaine source
possède une option permettant de créer un groupe associé
à  la migration SID, mais ADMT créera automatiquement ce
groupe sur le domaine source et le nommera d’après le domaine
(dans mon scénario exemple, le nom serait IKDOM01$$$).
Fermez User Manager for Domains.
Il faut maintenant établir les privilèges d’administration
sur le domaine Windows 2003. Ouvrez le snap-in Active
Directory Users and Computers sur le système Windows
2003, et étendez le noeud Builtin (qui contient les groupes locaux
du serveur) sous IKDOM02.ORG. Dans le groupe
Administrators local, ajoutez les administrateurs de domaine
provenant du domaine source (IKDOM01\Domain Admins).
L’étape suivante de préparation à  la migration consiste à 
éditer le registre pour le support client TCP/IP sur le PDC
IKDOM01. Ouvrez un éditeur de registre, allez à  la sous-clé
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contr
ol\Lsa, et ajoutez TcpipClientSupport comme une nouvelle
entrée DWORD. Assurez-vous que la valeur de la nouvelle
entrée est mise à  1, puis redémarrez le PDC IKDOM01.
Vous êtes prêt à  commencer la migration des informations
des comptes utilisateur. Sur le PDC Windows 2003, ouvrez le snap-in MMC Active
Directory Migration Tool. Quand la
console MMC de l’outil est affichée,
elle contient peu de choses. On y voit
un noeud Active Directory Migration
Tool, un noeud réceptacle pour les rapports
et pas grand chose d’autre.
ADMT est un outil animé par wizard :
on utilise l’un des 11 wizards pour initier
chaque action que ADMT effectue.
Faites un clic droit sur le noeud ADMT
pour voir la liste des wizards disponibles,
comme le montre la figure 1.
Les wizards sont les suivants :

• User Account Migration Wizard
• Group Account Migration Wizard
• Computer Migration Wizard
• Security Translation Wizard
• Reporting Wizard
• Service Account Migration Wizard
• Exchange Directory Migration
  Wizard

• Undo Last Migration Wizard
• Retry Task Wizard
• Trust Migration Wizard
• Group Mapping and Merging Wizard

Certains des wizards, comme le
Trust Migration Wizard, permettent de
sélectionner le domaine source puis affichent
un écran qui tient lieu de boîte
de dialogue. D’autres wizards, comme
le User Account Migration Wizard, sont
plus compliqués mais tous utilisent le
même processus de base.