Eu tenho um cenário onde há um domínio raiz (RD) e dois domínios filho (CD1 e CD2). Os usuários têm contas em CD1 e CD2, com samAccountNames, nomes, etc, e vários aplicativos usam a conta CD1 ou CD2 para autenticação de recursos.
Eu preciso recolher o CD2 no CD1, então quero mesclar as contas juntas. No entanto, o ADMT não me permite essa opção (as opções de mesclagem estão em cinza), acho que ele não suporta mesclagem de contas intraflorestais (embora isso não seja explicitamente declarado em qualquer parte da documentação).
Minha pergunta é: qual é a maneira mais fácil de mesclar essas contas? Em última análise, tudo o que eu realmente preciso (eu acho) é que o SID de CD2 \ user1 seja adicionado à SIDHistory de CD1 \ user1 - existe uma ferramenta que suporte isso?
Contas e perfis de computador não são uma preocupação para esse cenário. É improvável que a migração de grupo seja um problema - o CD2 \ user1 geralmente recebe acesso a recursos por meio da associação de um grupo no CD1.
A resposta simples para essa pergunta é que você não pode fazer uma mesclagem entre florestas. Em última análise, resolvemos o problema criando uma floresta externa temporária, usando a ADMT para migrar uma conta do CD1 para essa floresta e, em seguida, migrando-a de volta para o CD2.
Clunky, mas funcionou.
Veja o guia de migração do ADMT 3.1:
When you restructure Windows Server 2008 domains in a Windows Server 2008 forest, you can consolidate your domain structure and reduce administrative complexity and overhead. Unlike the process for restructuring Windows Server 2008 domains between forests, when you restructure domains in a forest, the migrated accounts no longer exist in the source domain. Therefore, rollback of the migration can only occur when you carry out the migration process again in reverse order from the previous target domain to the previous source domain.
Important : All target domains must be operating at either the Windows 2000 native functional level, the Windows Server 2003 functional level, or the Windows Server 2008 functional level. The following table lists the differences between an interforest domain restructure and an intraforest domain restructure.
Poderia ser que seus domínios filhos não estejam no modo nativo?