如何从一个域迁移到了新的域,帐户权限不变

本文介绍如何使用 Microsoft Windows NT 4.0 Resource Kit Supplement 中提供的工具从一个域向另一个域中复制域对象。

备注： 建议您先将本文介绍的步骤在测试环境中做一个测试，然后再将它们用于生产环境。

Resource Kit 工具包括：

Addusers.exe 工具可用于在一个域和另一个域之间导入导出用户和组帐户。

Rmtshare.exe 工具可用于远程创建或删除共享。

Scopy.exe 工具可用来从一个共享向另一个共享复制 NTFS 文件和文件夹权限。 （不过，此工具不复制共享权限。）

Permcopy.exe 工具可用来从一个共享向另一个共享复制共享权限。

Subinacl.exe 工具可用来获取文件、注册表项和服务的安全信息，和将此信息在用户和用户，组和组，以及域和域之间传输。

有关 Resource Kit 工具的其他信息，请单击下面的文章编号以查看 Microsoft 知识库中的文章：

158388Useful Resource Kit Utilities for Domain Administrators（域管理员资源包实用工具概述）

向另一个域迁移用户和组

您可以使用 Addusers.exe 工具向另一个域中迁移用户和组。 如要将现有用户和组帐户传输到一个文件中，请使用“addusers \\computer_name|domain_name/d filename”命令，其中“computer_name|domain_name”是包含指定域的用户和组信息的主域控制器 (PDC) 计算机的名称，“filename”是包含用户和组帐户信息的新文件的名称。

用户和组信息传输到一个文件中后，此信息将保存为用逗号分隔的格式。

这样的用户帐户信息传输并不将用户帐户密码或任何安全信息保存到此文件中。 当您使用此传输文件将用户迁移到另一个域时，所有新创建的用户帐户的密码都是空的，而且，默认情况下，会要求所有新创建的用户在下一次建立登录会话时更改他们的密码。

如要将用户和组添加到新域中，请使用“addusers \\computer_name|domain_name/c filename”命令，其中“computer_name|domain_name”是 PDC 计算机和创建用户帐户时所在的域的名称，“filename”是包含用户和组信息的逗号分隔格式的传输文件的名称。

备注： Addusers.exe 工具和其他文档资料都包括在 Windows NT 4.0 Resource Kit 的 Supplement 3 中。如想查看此工具可以使用的其他参数，请在命令提示符下键入： “addusers /? ”，然后按 ENTER 键。

有关其他信息，请单击下列文章编号以查看 Microsoft 知识库中的文章：

199878Addusers Automates Creation of a Large Number of Users（Addusers 使创建大批量用户的工作实现自动化）

245009Batch Add Accounts Without Forcing a Password Change at Next Logon（批量添加帐户而不强制在下次登录时执行密码更改）

远程创建共享

如要使用 Rmtshare.exe 工具在远程服务器上创建或删除共享，请按照下面的语法来使用命令：

rmtshare \\server[\sharename[=path [/printer]]] [/grant [user[:perms ]]] [/remove user][/users:number] [/unlimited] [/remark:"text"] /delete

对上述命令语法的解释如下：

“\\server\sharename”是指服务器和您可以创建、检查、修改或删除的共享。

“/grant user:perms”语法的作用是在服务器上添加有权限的有效用户或有效组的名称，或在访问控制列表中更改用户的权限。 有效的权限包括： r=读，c=更改（写），f=完全，n=无。 您可以键入“read”，但只使用第一个字符。

“/remove user”语法的作用是删除某一用户的特定项。 此后，此用户将继承权限（与之形成对比的是“/grant user:none”，它取消用户的所有访问权限）。

“/users:number”语法是对服务器和共享有特权的用户的数目。

“/delete”语法的作用是删除“\\server\sharename”语法指定的共享。

备注： 如果共享名或路径包含空格，请将该共享名或路径用引号引起，例如： \\server\"空格"="c:\空格"。

有关其他信息，请单击下面的文章编号以查看 Microsoft 知识库中的文章：

155449Batch Process to Create and Grant Access to Home Directories（以批处理方式创建和授予对主目录的访问权限）

复制文件和共享权限

复制 NTFS 和共享权限需要两个工具： Scopy.exe 工具用来复制 NTFS 文件和文件夹权限，Permcopy.exe 工具用来复制共享权限。

如要复制文件和文件夹并保留它们的 NTFS 文件和文件夹权限，请使用 Scopy.exe 工具和“scopy source destination/o /a /s”命令，其中“source”是到源文件夹的路径，“destination”是到目标文件夹的路径。 /o选项可复制所有者安全信息，/a 可复制审核信息，/s可包括子文件夹中的所有文件。

Scopy.exe 工具不能将文件复制到文件分配表 (FAT) 文件系统和高性能文件系统 (HPFS) 等不使用安全功能的文件系统，也不能从中进行复制。 Scopy.exe 工具只复制 NTFS 文件系统安全信息。 此工具不能用来复制共享权限。

如要使用 Permcopy.exe 工具将共享权限从一个共享复制到另一共享，请使用“permcopy \\source_server\share_name \\destination_server\share_name”命令，其中“source_server\share_name”和“destination_server\share_name”是到源和目标共享的通用命名约定 (UNC) 路径。

备注： 不能使用 Permcopy.exe 工具来复制一个管理共享（共享名$，如 C$ 或 IPC$）的权限。 如果将权限复制到位于 x86 计算机的管理共享，则 Services.exe 程序可能会停止响应。

迁移注册表项、服务和其他对象

Subinacl.exe 工具可用来获取文件、目录、注册表项和服务的安全信息，和将此信息在用户和用户、组和组，以及域和域之间进行传输。

如想使用 Subinacl.exe 工具迁移其他域对象，请按照下面的语法来使用命令：

subinacl /object_type object_name /action=parameter /action=parameter

可由 Subinacl.exe 工具操作的对象类型包括：

注册表项和子项文件目录共享服务内核对象

可对上述对象执行的操作包括：

显示

更改所属权

更换对象中的所有访问控制项

更改对象的域名

将对象从一个域迁移到另一个域

示例

如要将所有包含“Domain1\Sales”的访问控制项的安全标识符替换为“Domain2\Sales”，请使用 Subinacl.exe 工具和下面的命令：

subinacl /replace=domain1\sales=domain2\sales

有关这些工具的语法和使用方面的其他信息，请参考 Windows NT Server 4.0 Resource Kit Supplement 3 中的 Rktools.hlp 文件。

回到顶端

属性

文章编号: 301940 - 最后修改: 2001年11月2日 - 修订: 1.0

这篇文章中的信息适用于:

Microsoft Windows NT Server 4.0 Standard Edition

Microsoft Windows NT Workstation 4.0 开发员版

关键字： kbhowto kbhowtomaster KB301940

Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性，不作任何声明。 所有该等文件及有关图形均"依样"提供，而不带任何性质的保证。Microsoft和/或其各供应商特此声明，对所有与该等信息有关的保证和条件不负任何责任，该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下，在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中，Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

域控制器。

打开ActiveDirectoryUsersandComputers控制台，在指定OU中，找到要移动的对象，这里以移动域用户为例进行操作演示，要移动的对象右击，右击菜单自动弹出，点击右击菜单中的move选项，Move对话框自动弹出，选择目标OU后，点击OK，域用户自动移动到指定的OU中，请注意原存放域用户的OU，和移动后的新OU。

主域与子域创建好后，它们就自动有了双向的信任关系。你注销一下应该可以看到，在区域选择时可用看到两个，一个是主域的域名、一个是子域的域名，你在主域上创建一个用户zhangsan，zhangsan可以在子域登录，但区域选择要选主域的域名。同样，在子域创建的用户lisi，也可以在主域上登录，选子域域名。懂我意思吗？如果是DC，注意设置一下安全策略，允许登录，ok？

---