我有一个场景,其中有一个根域 (RD) 和两个子域 (CD1 和 CD2)。用户在 CD1 和 CD2 上都有帐户,具有相同的 samAccountName、名称等,并且各种应用程序都使用 CD1 或 CD2 帐户对资源进行身份验证。
我需要将 CD2 合并到 CD1 中,所以我想将帐户合并在一起。但是 ADMT 不允许我使用此选项(合并选项呈灰色),我想是因为它不支持林内帐户合并(尽管文档中没有明确说明这一点)。
我的问题是 - 合并这些帐户最简单的方法是什么?最终我真正需要的(我认为)是将 CD2\user1 的 SID 添加到 CD1\user1 的 SIDHistory - 有没有支持此功能的工具?
对于此场景,计算机帐户和配置文件不是问题。组迁移也不太可能成为问题 - CD2\user1 通常通过 CD1 上的组成员身份获得资源访问权限。
答案1
查看 ADMT 3.1 迁移指南:
当您在 Windows Server 2008 林中重组 Windows Server 2008 域时,您可以整合域结构并降低管理复杂性和开销。与在林之间重组 Windows Server 2008 域的过程不同,当您在林中重组域时,迁移的帐户不再存在于源域中。因此,只有当您以相反的顺序再次执行从上一个目标域到上一个源域的迁移过程时,迁移才会回滚。
重要提示:所有目标域都必须在 Windows 2000 本机功能级别、Windows Server 2003 功能级别或 Windows Server 2008 功能级别上运行。下表列出了林间域重组和林内域重组之间的区别。
可能是你的子域不是处于本机模式?
答案2
这个问题的简单答案是,您无法进行林内合并。我们最终通过创建一个临时的外部林,使用 ADMT 将帐户从 CD1 迁移到该林,然后将其迁移回 CD2 来解决了这个问题。
虽然笨重,但是却能起作用。