如何将所有 OU、用户和计算机帐户从 Windows Server 2008 R2 转移到 Windows Server 2012 Standard

这是一个非常复杂的过程，具体取决于与当前 AD 交互的用户、计算机、服务器和服务的数量。您需要考虑并查看 -

• 旧域中存在的组策略
• 登录脚本（如果已使用）
• 迁移期间两个域之间的信任
• 已集成 AD 或使用 FQDN 的服务已被访问，因为当您移动域时这些服务将发生变化
• 将组迁移到新域，然后在旧域中的服务器上运行安全转换，以将这些组 (NewDomain\Group) 添加到服务器。因此，当您关闭旧域时，这些组仍然有效。

这只是我脑海中想到的，我确信你还需要做更多。

对于您最初的问题，您可以创建一个脚本来复制旧域中的 OU 结构（如果您认为该结构不正确，这也是改进该结构的好机会）。对于用户和计算机对象，您需要使用 ADMT 来迁移其帐户。AD 使用 SID 来标识每个对象并将权限和配置文件等与该对象关联。通过使用 ADMT，您将能够将用户和计算机迁移到新域并保留原始 SID 以及新域提供的新 SID。这样，当他们移动到新域时，他们不会失去对旧世界中的文件共享和服务的访问权限。当您使用 ADMT 时，计算机将需要在网络上，因为它将连接到它们，将其安全性从旧域转换到新域，然后移动计算机。您需要在两个域之间建立信任才能使其正常工作。

如果您要处理大量用户、计算机和服务，我会聘请承包商为您完成这项工作。这不是一个快速的过程，而且非常复杂。

首先你需要配置 DNS 服务器在每个域中，以实现域之间的网络连接。

下一步是建立信任关系在域之间，

创建信任关系后，您需要使用ADMT 迁移用户、计算机域之间等等。

要将 AD 用户帐户的密码从一个域导出到另一个域，您需要安装密码导出服务器（PES）在源域上。

请查看以下关于创建信任关系、配置 ADMT 和 PES 安装的链接， http://social.technet.microsoft.com/wiki/contents/articles/16208.interforest-migration-with-admt-3-2-part-2.aspx

请查看以下有关 SID 历史记录迁移和使用、组、计算机迁移的配置的链接， http://social.technet.microsoft.com/wiki/contents/articles/16621.interforest-migration-with-admt-3-2-part-3.aspx

要禁用 SID 过滤，请按照以下步骤操作

• 登录目标域并使用 runas 管理员启动命令提示符
• 执行以下命令禁用目标域上的 SID 过滤

例如，如果您的源域名是 green.com 而目标域名是 blue.com，

Netdom trust green green.com  /domain:blue /quarantine:No /usero:administrator /passwordo:Password1

其中 usero、passwordo 表示源域的管理员凭据。

一旦执行了上述命令，您将收到此信任未启用 SID 过滤。