Tabla de contenido:
Video: mover objetos en active directory 2024
Mover objetos en Active Directory puede implicar mover objetos de una ubicación a otra dentro de un dominio, o puede tener que mover objetos de un dominio a otro. Debe conocer los detalles asociados con cualquiera de las operaciones para el examen MCSE Directory Services. Afortunadamente, solo necesitas recordar algunas reglas simples.
Mover objetos dentro de un dominio
Mover objetos dentro de un dominio es un proceso simple: simplemente haga clic derecho en el objeto y elija Mover. Windows 2000 muestra un cuadro de diálogo en el que simplemente elige el objeto contenedor de destino para el movimiento. (En las versiones más recientes de Windows 2000, puede arrastrar y soltar objetos de Active Directory de una unidad organizativa a otra).
Un ejemplo del mundo real de mover un objeto dentro de un dominio implica mover una cuenta de usuario de una unidad organizativa a otra cuando el usuario se transfiere de un departamento a otro en su organización. Mover la cuenta del usuario permite al usuario recibir los beneficios y las restricciones que ha definido para la nueva OU.
Lo que no es tan sencillo (y lo que necesita saber para el examen) es el efecto que tienen los objetos en movimiento sobre los permisos. Estas son las reglas que debe conocer:
- Los permisos que asigna directamente a un objeto de Active Directory permanecen con el objeto después de mover el objeto.
- El objeto hereda los permisos asignados a la nueva unidad organizativa y pierde todos los permisos heredados previamente.
Es posible que ya haya deducido esto: una excelente estrategia para administrar objetos de Active Directory es mover objetos que necesitan configuraciones de permisos similares en la misma unidad organizativa. Al hacerlo, puede administrar fácilmente su red, asignar permisos y delegar autoridad con solo unos pocos clics del mouse.
Mover objetos entre dominios
En un bosque de Windows 2000 de varios dominios, puede necesitar mover objetos (usuarios, unidades organizativas, grupos) entre estos múltiples dominios. Utiliza la utilidad de línea de comandos MOVETREE para realizar muchas de estas operaciones.
Cuando mueve usuarios y grupos a un nuevo dominio, reciben nuevos identificadores de seguridad (SID). Afortunadamente, Windows 2000 que se ejecuta en modo nativo admite un atributo llamado SIDHistory. A medida que mueve un usuario de dominio a dominio, Windows 2000 rellena SIDHistory para que no tenga que restablecer los permisos a los objetos cada vez que realiza la operación de movimiento.
MOVETREE te ayuda con la mayoría de las operaciones de movimiento entre dominios. Y en aquellos casos en los que MOVETREE no puede hacer el trabajo, puede recurrir a otra utilidad llamada NETDOM.MOVETREE puede
- Mover la mayoría de los objetos de Active Directory (incluidos los contenedores no vacíos) de un dominio a otro en el mismo bosque.
- Mover grupos locales y globales de dominio entre dominios. Sin embargo, estos grupos no pueden contener miembros. Los dominios deben existir dentro del mismo bosque.
- Mueva los grupos universales y sus miembros entre dominios del mismo bosque.
MOVETREE puede mover la mayoría de los objetos de Active Directory. Aquellos que no pueden moverse cuando intentas reubicar grupos de objetos se vuelven huérfanos . Windows 2000 coloca estos objetos huérfanos en un contenedor especial llamado LostAndFound. Puede ver este contenedor utilizando la función Vista avanzada de Usuarios y equipos de Active Directory.
Debe tener los permisos administrativos apropiados para usar MOVETREE desde el símbolo del sistema. Este comando usa la siguiente sintaxis:
MOVETREE {/ start | / startnocheck | / continuar | / check} / s SrcDSA / d DstDSA / sdn SrcDN / ddn DstDN [/ u [ Dominio ] Nombre de usuario / p Contraseña ] [/ verbose] [{/? | / help}]
Las entradas en cursiva en esta sintaxis representan la información que debe proporcionar. La Tabla 1 describe los modificadores que puede usar con el comando MOVETREE.
Tabla 1 Conmutadores de comando MOVETREE
Conmutar |
Qué hace |
/ iniciar |
Inicia la operación de movimiento. |
/ startnocheck |
Inicia una operación MOVETREE sin / check. |
/ continue |
Continúa la ejecución de una operación MOVETREE previamente pausada o fallida. |
/ check |
Realiza una ejecución de prueba de la operación MOVETREE. |
/ s SrcDSA |
Especifica el nombre de dominio completo (FQDN) del servidor de origen. |
/ d DstDSA |
Especifica el FQDN del servidor de destino. |
/ sdn SrcDN |
Especifica el nombre completo del objeto que se mueve desde la fuente. |
/ ddn DstDN |
Especifica el nombre completo del objeto que se está moviendo al destino. |
/ u |
Ejecuta MOVETREE con las credenciales del nombre de usuario y la contraseña provistos. |
/ verbose |
Hace que MOVETREE muestre más detalles a medida que se ejecuta. |
/? |
Muestra ayuda sobre MOVETREE. |
MOVETREE crea archivos de registro cuando se realizan operaciones. Puede consultar estos archivos de registro para obtener información sobre el éxito o el fracaso de los eventos de MOVETREE:
- MOVETREE. ERR: enumera los errores encontrados.
- MOVETREE. REGISTRO: enumera los resultados estadísticos de la operación.
- MOVETREE. CHK: enumera los errores detectados de MOVETREE que se ejecuta en modo de verificación.
MOVETREE mueve los objetos de la computadora de un dominio a otro por usted, pero no puede separar la computadora del dominio de origen y unirla al dominio de destino. Esta limitación hace que NETDOM sea una herramienta mucho mejor para mover computadoras entre dominios en una configuración de Active Directory de Windows 2000.
NETDOM usa la siguiente sintaxis para mover cuentas de computadora:
MOVETREE {/ NETDOM move / D: dominio [/ OU: ou_path ] [/ Ud: Usuario / Pd: { Contraseña | *}] [/ Uo: Usuario / Po: { Contraseña | *}] [/ Reiniciar: [ time_in_seconds ]]
La Tabla 2 describe los switches que usa con el comando NETDOM.
Tabla 2 Conmutadores de comando NETDOM
Cambiar |
Qué hace |
/ dominio |
Identifica el dominio de destino. |
/ OU: ou_path |
Especifica la unidad organizativa objetivo. |
/ Ud: Usuario |
Indica la cuenta de usuario utilizada para establecer la conexión con el dominio de destino. |
Pd: {Contraseña | *} |
Introduce la contraseña para la cuenta de usuario utilizada para conectarse al dominio de destino; si usa *, NETDOM solicita la contraseña. |
/ Uo: Usuario |
Identifica la cuenta de usuario utilizada para establecer la conexión con el dominio de origen. |
/ Po: {Contraseña | *} |
Introduce la contraseña para la cuenta de usuario utilizada para conectarse al dominio original; si usa *, NETDOM solicita la contraseña. |
/ Reiniciar: [time_in_seconds] |
Especifica que la computadora que se está moviendo debe apagarse y reiniciarse automáticamente en el número de segundos especificado después de la operación de movimiento. |