none
Миграция из леса 2003 в лес 2003. проблема RRS feed

  • Вопрос

  • При миграции пользователей с паролями возникает ошибка
    enable to establish a session with the password export server. Everyone is not a member of pre-windoes 2000 compatible access group in target domain.

    Admt 2.0
    на целевом сервере сделал экспорт информации ключа пароля с исходного домена. Скопировал полученный PES. Далее на контроллах (сразу на обоих) исходного домена поднял сервера экспорта паролей. перезагрузил, сделал ключ реестра
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1
     на контроллерах исходного домена, перезагрузил.
    Проверил ключ
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0
     также модифицировал политики безопасности домена и контроллеров в целевом домене
    Network access: Let everyone permissions apply to anonymous users. Политики применились.
    На всякий случай добавил в группу администраторов целевого домена админа из исходного - получили что админы могут менять пароли у пользователей доверенных доменов.
    (нарыл тут http://www.experts-exchange.com/OS/Microsoft_Operating_Systems/Server/Windows_2000_Active_Directory/Q_22989182.html).
    Подскажите что не так.
    24 марта 2009 г. 13:41

Ответы

  • Да, все именно так банально:

  • The Everyone group should be a member of the Pre-Windows 2000 Compatible Access group in the target domain during the migration. This action is blocked by Active Directory Users and Computers. To add the Everyone group, run the following command:
    NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" EVERYONE /ADD  (http://support.microsoft.com/kb/322981)

  • By design, что тут скажешь...
  • Предложено в качестве ответа Vinokurov YuriyModerator 24 марта 2009 г. 14:24
  • Помечено в качестве ответа Илья Г_ 25 марта 2009 г. 5:55
24 марта 2009 г. 14:23
Модератор

Все ответы

  • Неужели банально в группу Builtin\Pre-Windows 2000 Compatible Access добавить everyone? И где об этом вообще написано и зачем?
    24 марта 2009 г. 13:44
  • Да, все именно так банально:

  • The Everyone group should be a member of the Pre-Windows 2000 Compatible Access group in the target domain during the migration. This action is blocked by Active Directory Users and Computers. To add the Everyone group, run the following command:
    NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" EVERYONE /ADD  (http://support.microsoft.com/kb/322981)

  • By design, что тут скажешь...
  • Предложено в качестве ответа Vinokurov YuriyModerator 24 марта 2009 г. 14:24
  • Помечено в качестве ответа Илья Г_ 25 марта 2009 г. 5:55
24 марта 2009 г. 14:23
Модератор