none
Trasladar Usuarios Equipos y GPO RRS feed

  • Pregunta

  • Una consulta tengo un Servidor con Windows 2000 Server con 1000 usuarios con sus respectivos Equipos y Permisos de Seguridad en un File Server con el nombre de dominio:  "empresaABC.com.pe",  en mi misma red he creado un Dominio Nuevo en Windows 2003 Server R2 con el nombre de Dominio "empresa.com.pe". como hago para trasladar todos mis usuarios, Equipos y Politicas de Grupo al nuevo dominio, para no perder el SID.

     

    en todo caso como puedo hacer para que mis usuarios a la hora que se loguen en Windows XP o Windows 2000 Profesional le liste los Dominios: empresaABC y EMPRESA , entonces ellos puedes escoguer en que dominio ingresar. sin perder su perfil ??

     

    Alguna idea, lo que pasa es que tengo que migrar a Windows 2003 y tengo que cambiar el nombre de mi Dominio, pero al parecer tengo problemas con mi GPO en WIndows 2000 que me deja meter mi servidor con windows 2003 pero cuando uso el DC promo para subirlo como controlador secundario, sale un error de credenciales :

     

    The Active Directory Installation Wizard was unable to convert the computer
    account <servername>$ to a domain controller account. "Access is denied."

     

    es como si la cuenta del Administrador no tengo permisos

     

    espero me ayuden con este tema

     

    gracias

    sábado, 24 de mayo de 2008 13:50

Respuestas

  • Revisa estos 3 links:
    http://support.microsoft.com/?id=887303
    http://support.microsoft.com/kb/290647/
    http://technet2.microsoft.com/windowsserver/en/library/48872034-1907-4149-b6aa-9788d38209d21033.mspx?mfr=true
    domingo, 25 de mayo de 2008 14:47

Todas las respuestas

  • Hola,

     

    hay proceduras y herramientas muy precisas para hacer lo que quieres...

     

    Para empezar la migracion, tienes que crear aprobaciones entre los 2 dominios.

    Esto permite tambien tener los 2 dominios durante la pantalla de conexion.

     

    Despues, podras utilizar la herramienta ADMT (AD Migration Tool) para moveer los usuarios con sus SID y los equipos con los perfiles.

     

    La herramienta GPMC permite respaldar las GPOs y integrarlas en el nuevo dominio.

     

    Saludos.
    sábado, 24 de mayo de 2008 19:49
  •  

    Gracias por tu respuesta.

     

    Pero me puedes explicar un poco mas, ya que no entiendo cuando dices Aprobar entre los 2 dominios

    y la herramienta ADMT te permite llevar los usuario de un 2000 a 2003 ???

     

    saludos

    sábado, 24 de mayo de 2008 20:00
  • Respecto al error que comentas, revisate este documento: http://support.microsoft.com/kb/232070

    Respecto a ADMT, con el mismo programa viene un documentación fantástica, pero básicamente, estableces una relación de confianza entre dominios, y te permite traspasar usuarios, SID, Grupos (dependencias de usuarios/grupos), y equipos (esta es la parte un tanto más laboriosa y te requiere tener las máquinas que migras encendidas) y también las password de los usuarios.

    Vamos, que hay múltiples fórmulas, te lo puedes planificar en un fin de semana el traspaso para tratar de hacerlo todo de golpe (procura tenerlo todo bien atado), o bien mediante la relación de confianza mantener ambos dominios e ir traspasando usuarios/máquinas paulatinamente y no estar atado a un tiempo concrecto, puedes tener login script para que los usuarios apunten al mismo servidor de ficheros y tener dados de alta los permisos correctos para los distintos servicios (BBDD SQL, Ficheros, etc). Digamos que dependería un poco, yo de todas formas, trataría de agregar un controlador de dominio al dominio que ya tienes a no ser que el directorio activo que tienes actualmente este en un estado lamentable, te ahorrarás muchísimo trabajo que hacer un traspaso del DA completo y te quitarás preocupaciones.

    Un ejemplo que te puede valer es este documento, sobre como migrar un SBS 2000 a un SBS 2003, no sigas los pasos al pie de la letra, pero te puede servir como plan de acción: http://go.microsoft.com/fwlink/?LinkId=16414

    Saludos
    sábado, 24 de mayo de 2008 21:24
  •  

    Si lei el documento documento: http://support.microsoft.com/kb/232070 que me comentas, pero lamentablemente el error persiste , encontre un Link http://forums.techarena.in/showthread.php?t=65323

     

    pero la verdad no lo entiendo bien, me habla sobre que tengo que resetear el Default Domain Policy

     

    pero en el servidor no encuentro esas rutas que mencionan

     

    GUIDs
    {6AC1786C-016F-11D2-945F-00C04fB984F9}

     

    {31B2F340-016D-11D2-945F-00C04FB984F9}  This is GUID for Default Domain GPO
    (DDGPO)

    Alguien me puede explicar ???

     

    --------------------------------------------------------------------------------------------------------

    Solution to Win2003 Server domain controller promotion in a Win2000 domain.

    First off let me say, that my solution may not be part of your situation, so
    I am not expressing any guarantees that this will work for you. I spent a
    great amount of time reading all of the KB articles and posts in the
    newsgroups about the issues below, and by piecing together information from
    all that I read, I was able to resolve my issue.

    I was attempting to bring a new domain controller online, a Win2003 Server
    to eventually replace my aging Win2000 DC.
    I was receiving the error during DCPROMO:
    The Active Directory Installation Wizard was unable to convert the computer
    account <servername>$ to a domain controller account. "Access is denied."
    A bit of background information: My network only has one Win2000 DC. In my
    scenario, over the course of the past year, I have done a few restores of my
    AD due to server crashes. Somewhere in this process, I lost part of my
    SYSVOL…\policies infrastructure. I could not access Default Domain Policy or
    Default Domain Controller Policy thru the MMC. So I assumed this may have
    been the cause of the DCPROMO error…. I was correct. I had to rebuild in a
    manual way.

    THIS PROCESS CAN AND DID render my DC (primary server) inoperable for a
    period of time. Do NOT perform this in a live or production environment. I
    felt very lucky to resolve it. And make sure you have full system and
    SYSTEM STATE backups.

    I will try to explain the steps I performed:

    1. The directories below %systemroot%\sysvol\sysvol\<domain.name>\policies
    either didn’t exist or didn’t have all of the necessary subfolders and
    files. So I felt it was necessary to get this straight.
    BTW, after the ..\policies folder at least to folders should exist in the
    form of GUIDs
    {6AC1786C-016F-11D2-945F-00C04fB984F9} – This is GUID for Default Domain
    Controller GPO (DDCGPO)
    See MSKB: http://support.microsoft.com/default...b;en-us;267553

    See MSKB: http://support.microsoft.com/default...b;en-us;226243
    2. In each of the folders above, I created the subfolders that didn’t exist,
    ...\Machine, ..\User
    3. I then placed a GPT.INI file in each, one at the GUID level, one in
    ...\Machine, and one in ..\User
    If you don’t have this file, create it in notepad: The file should look like
    this:

    [General]
    version=nn

    Where nn = any number, such as 10, or 53. The KB articles above describe
    this.
    4. Then I downloaded GPOTOOL.EXE
    http://www.microsoft.com/windows2000.../gpotool-o.asp
    5. After installing I ran it according to instructions. The tool stated
    that I had version number mismatches between DS and SYSVOL. So I made the
    version numbers match, by changing the version numbers in the GPT.INI files
    in the .\Machnine and ..\User what was reported for the DS versions in
    GPOTOOL.
    6. I then ran these commands:
    Secedit /refreshpolicy machine_policy /enforce
    Secedit /refreshpolicy user_policy /enforce
    7. MIRACULOUSLY, I could now access these GPO thru the MMC…..But I still had
    issues to resolve.
    8. In my Default Domain Controller GPO, I did not have all the subkeys under
    the ..\Computer Configuration \Windows Settings\Security Settings node. I
    first attempted to create an ..\Adm folder under the DDCGPO GUID, and copy
    the .adm templates (conf.adm, inetres.adm, system.adm) from %systemroot%\inf
    folder as outlined in
    MSKB: http://support.microsoft.com/default...b;en-us;228460
    but this did not seem to have any affect. I then right clicked the Security
    Settings node and selected ‘Import Policy’. The folder that displayed was
    %systemroot%\security\templates. I then selected ‘setup security.inf’. Now
    I am able to access all of the Security Settings subkeys. This was getting
    better…I THOUGHT!. Well of course here comes another issue to resolve.
    9. I then ran these commands again:
    Secedit /refreshpolicy machine_policy /enforce
    Secedit /refreshpolicy user_policy /enforce

    And after a bit, my AD went away. I could not access anything thru Active
    Directory Users and Computers, I could not access the SYSVOL share either!.
    I decided to logoff. BIG MISTAKE. Attempting to logon would display ‘Group
    policy does not allow you to logon locally’. I tried accessing the server
    through a workstation, I would receive ‘Group policy does not allow you to
    logon through the network (may not be exact wording). Somehow the default
    GPO settings did not have ‘Log On Locally’, or ‘Access this computer from the
    network’ policies set with the correct accounts or groups. I was completely
    locked out of my server.
    10. After trying some things, I then decided I was going to have to boot
    into DSRM and do an Authoritative Restore. Will I proceeded to boot to DSRM,
    where I was then able to access my SYSVOL directory. I then went to the
    ...\Machine folder under each GUID. In there is a subtree of
    ...\Microsoft\Windows NT\SecEdit. In this folder is a file named GPTTMPL.INF.
    I made a copy of it and then edited it. In these keys:
    SetInterActiveLogonRight and SetNetworkLogonRight, I added the following
    accounts:
    *S-1-5-32-550,*S-1-5-32-549,*S-1-5-32-548,*S-1-5-32-551,*S-1-5-32-544 (See
    the MSKB 267553 link above).
    11. I then ran these commands again:
    Secedit /refreshpolicy machine_policy /enforce
    Secedit /refreshpolicy user_policy /enforce
    12. I then exited DSRM and rebooted normally. I could now log back into my
    server both locally and thru the network. BIG SMILE. There was some
    service entries that would not start due to logon issues. I had to correct
    (Reset password for the accounts I was using on the these - Backup Exec was
    one for example). But my server was now fully operational again.
    13. I then went into my Default Domain Controllers Policy, accessed the
    ...\Computer Configuration\Windows Settings\Security Settings\Local
    Policies\User Rights Assignment and change the poicy: ‘Enable computer and
    user accounts to be trusted for delegation’ to include Administrators, Domain
    Admins, and Administrator.
    MSKB: http://support.microsoft.com/default...b;en-us;232070
    14. Now for the finally. I cranked up my Win2003 server, and started
    DCPROMO, and in a few minutes I had a new Domain Controller in my domain.

    All of these steps may not apply to your situation, but in my case it was
    due to my inability to access all of my GPOs, because of my past crashes and
    loss of SYSVOL info. I now ensure that my System State backups (and
    restores, if necessary) always include my SYSVOL information. (There is a KB
    article on this somewhere.

    I hope this information is of use to you. Good luck.
    lthibx

     

    sábado, 24 de mayo de 2008 21:54
  • Vamos por partes:

    Esa solución que comentas, es la que ha empleado esa persona, pero en su caso el comenta que ha hecho varias restauraciones del AD y que le faltaban datos en los directórios de las GPOs, que podría ser tu caso o no podría serlo.

    Así que si nos vamos a centrar en el problema del error:
    - ¿Cuantos DCs tienes en la red?
    - ¿Has hecho al servidor con w2003 miembro del dominio antes de ejecutar dcpromo?
    - Si el w2003 está dentro del dominio, el grupo de administradores contiene al grupo del dominio Domains admins y a los Enterprise Admins.

    Saludos.
    domingo, 25 de mayo de 2008 10:14
  •  

    Haber...

     

    - Tenia 2 DC con Windows 2000,pero lamentablemente el DC secundario se malogro el Disco, al final me quede con el DC Principal, y tuve que borrar el DC huerfano manualmente.

     

    - Antes de ejecutar el DC promo hice miembro al W2003, y antes de ponerlo como DC , parche el directorio activo del Windows 2000 Server con el ADprep y el Parche del Exchange 2000 tambien

     

    - El usuario Administrador si pertenece al Grupo de Domains Admins y Enterprise Admins, y tambien le di permiso en la politica de grupo como indica el link ( http://support.microsoft.com/kb/232070  Habilitar confianza con el equipo y las cuentas de usuario para delegación )

     

    Solo para comentar que clone mi Servidor DC y estoy haciendo pruebas con 4 equipos en una red aislada, y revisando el SYSVOL no tengo esas carpetas:

     

    {6AC1786C-016F-11D2-945F-00C04fB984F9}

    {31B2F340-016D-11D2-945F-00C04FB984F9} 

     

    Ahora es posible, si creo un DC exactamente igual a mi DC W2000, puedo Copiar esas carpetas y colocarlas en el SYSVOL ?

     

    Saluos

    domingo, 25 de mayo de 2008 11:45
  • Al morir el otro dc transferiste los roles al servidor y los 5 roles están corriendo en tu servidor actual, una vez que eliminaste el DC, ¿¿Tienes algún error significante en el visor de eventos??

    Si te faltan las carpetas que comentas podrías probar a aplicar el procedimiento que comentas en tu entorno de prueba y luego probar a pasarlo a producción haciendo los backups correspondientes antes de hacer nada.
    domingo, 25 de mayo de 2008 13:12
  •  

    Si, el DC principal tiene los 5 Roles., el visor de Aplications LOG siempre me arroja estos 2 tipos de errores :

     

    Event Type: Error
    Event Source: Userenv
    Event Category: None
    Event ID: 1000
    Date:  25/05/2008
    Time:  08:50:24 a.m.
    User:  NT AUTHORITY\SYSTEM
    Computer: 2000DOMAIN
    Description:
    Windows cannot query for the list of Group Policy objects . A message that describes the reason for this was previously logged by this policy engine.

    Event Type: Error
    Event Source: Userenv
    Event Category: None
    Event ID: 1000
    Date:  25/05/2008
    Time:  08:45:24 a.m.
    User:  NT AUTHORITY\SYSTEM
    Computer: 2000DOMAIN
    Description:
    Windows cannot access the file gpt.ini for GPO  The file must be present at the location <>. (). Group Policy processing aborted.

    Ahora, cuando haga estos cambios en produccion, mi pregunta es, no debe estar ni un usuario logueado ???

     

    domingo, 25 de mayo de 2008 14:02
  • Revisa estos 3 links:
    http://support.microsoft.com/?id=887303
    http://support.microsoft.com/kb/290647/
    http://technet2.microsoft.com/windowsserver/en/library/48872034-1907-4149-b6aa-9788d38209d21033.mspx?mfr=true
    domingo, 25 de mayo de 2008 14:47