域服务器迁移，梦幻西游转服务器

云服务器测评

2025-1-11

服务器

如何从一个域迁移到了新的域,帐户权限不变

本文介绍如何使用 Microsoft Windows NT 4.0 Resource Kit Supplement中提供的工具从一个域向另一个域中复制域对象。

备注：建议您先将本文介绍的步骤在测试环境中做一个测试，然后再将它们用于生产环境。

Resource Kit工具包括：

Addusers.exe工具可用于在一个域和另一个域之间导入导出用户和组帐户。

Rmtshare.exe工具可用于远程创建或删除共享。

Scopy.exe工具可用来从一个共享向另一个共享复制 NTFS文件和文件夹权限。（不过，此工具不复制共享权限。）

Permcopy.exe工具可用来从一个共享向另一个共享复制共享权限。

Subinacl.exe工具可用来获取文件、注册表项和服务的安全信息，和将此信息在用户和用户，组和组，以及域和域之间传输。

有关 Resource Kit工具的其他信息，请单击下面的文章编号以查看 Microsoft知识库中的文章：

158388Useful Resource Kit Utilities for Domain Administrators（域管理员资源包实用工具概述）

向另一个域迁移用户和组

您可以使用 Addusers.exe工具向另一个域中迁移用户和组。如要将现有用户和组帐户传输到一个文件中，请使用“addusers\\computer_name|domain_name/d filename”命令，其中“computer_name|domain_name”是包含指定域的用户和组信息的主域控制器(PDC)计算机的名称，“filename”是包含用户和组帐户信息的新文件的名称。

用户和组信息传输到一个文件中后，此信息将保存为用逗号分隔的格式。

这样的用户帐户信息传输并不将用户帐户密码或任何安全信息保存到此文件中。当您使用此传输文件将用户迁移到另一个域时，所有新创建的用户帐户的密码都是空的，而且，默认情况下，会要求所有新创建的用户在下一次建立登录会话时更改他们的密码。

如要将用户和组添加到新域中，请使用“addusers\\computer_name|domain_name/c filename”命令，其中“computer_name|domain_name”是 PDC计算机和创建用户帐户时所在的域的名称，“filename”是包含用户和组信息的逗号分隔格式的传输文件的名称。

备注： Addusers.exe工具和其他文档资料都包括在 Windows NT 4.0 Resource Kit的 Supplement 3中。如想查看此工具可以使用的其他参数，请在命令提示符下键入：“addusers/?”，然后按 ENTER键。

有关其他信息，请单击下列文章编号以查看 Microsoft知识库中的文章：

199878Addusers Automates Creation of a Large Number of Users（Addusers使创建大批量用户的工作实现自动化）

245009Batch Add Accounts Without Forcing a Password Change at Next Logon（批量添加帐户而不强制在下次登录时执行密码更改）

远程创建共享

如要使用 Rmtshare.exe工具在远程服务器上创建或删除共享，请按照下面的语法来使用命令：

rmtshare\\server[\sharename[=path [/printer]]] [/grant [user[:perms ]]] [/remove user][/users:number] [/unlimited] [/remark:"text"]/delete

对上述命令语法的解释如下：

“\\server\sharename”是指服务器和您可以创建、检查、修改或删除的共享。

“/grant user:perms”语法的作用是在服务器上添加有权限的有效用户或有效组的名称，或在访问控制列表中更改用户的权限。有效的权限包括： r=读，c=更改（写），f=完全，n=无。您可以键入“read”，但只使用第一个字符。

“/remove user”语法的作用是删除某一用户的特定项。此后，此用户将继承权限（与之形成对比的是“/grant user:none”，它取消用户的所有访问权限）。

“/users:number”语法是对服务器和共享有特权的用户的数目。

“/delete”语法的作用是删除“\\server\sharename”语法指定的共享。

备注：如果共享名或路径包含空格，请将该共享名或路径用引号引起，例如：\\server\"空格"="c:\空格"。

有关其他信息，请单击下面的文章编号以查看 Microsoft知识库中的文章：

155449Batch Process to Create and Grant Access to Home Directories（以批处理方式创建和授予对主目录的访问权限）

复制文件和共享权限

复制 NTFS和共享权限需要两个工具： Scopy.exe工具用来复制 NTFS文件和文件夹权限，Permcopy.exe工具用来复制共享权限。

如要复制文件和文件夹并保留它们的 NTFS文件和文件夹权限，请使用 Scopy.exe工具和“scopy source destination/o/a/s”命令，其中“source”是到源文件夹的路径，“destination”是到目标文件夹的路径。/o选项可复制所有者安全信息，/a可复制审核信息，/s可包括子文件夹中的所有文件。

Scopy.exe工具不能将文件复制到文件分配表(FAT)文件系统和高性能文件系统(HPFS)等不使用安全功能的文件系统，也不能从中进行复制。 Scopy.exe工具只复制 NTFS文件系统安全信息。此工具不能用来复制共享权限。

如要使用 Permcopy.exe工具将共享权限从一个共享复制到另一共享，请使用“permcopy\\source_server\share_name\\destination_server\share_name”命令，其中“source_server\share_name”和“destination_server\share_name”是到源和目标共享的通用命名约定(UNC)路径。

备注：不能使用 Permcopy.exe工具来复制一个管理共享（共享名$，如 C$或 IPC$）的权限。如果将权限复制到位于 x86计算机的管理共享，则 Services.exe程序可能会停止响应。

迁移注册表项、服务和其他对象

Subinacl.exe工具可用来获取文件、目录、注册表项和服务的安全信息，和将此信息在用户和用户、组和组，以及域和域之间进行传输。

如想使用 Subinacl.exe工具迁移其他域对象，请按照下面的语法来使用命令：

subinacl/object_type object_name/action=parameter/action=parameter

可由 Subinacl.exe工具操作的对象类型包括：

注册表项和子项文件目录共享服务内核对象

可对上述对象执行的操作包括：

显示

更改所属权

更换对象中的所有访问控制项

更改对象的域名

将对象从一个域迁移到另一个域

示例

如要将所有包含“Domain1\Sales”的访问控制项的安全标识符替换为“Domain2\Sales”，请使用 Subinacl.exe工具和下面的命令：

subinacl/replace=domain1\sales=domain2\sales

有关这些工具的语法和使用方面的其他信息，请参考 Windows NT Server 4.0 Resource Kit Supplement 3中的 Rktools.hlp文件。

回到顶端

属性

文章编号: 301940-最后修改: 2001年11月2日-修订: 1.0

这篇文章中的信息适用于:

Microsoft Windows NT Server 4.0 Standard Edition

Microsoft Windows NT Workstation 4.0开发员版

关键字： kbhowto kbhowtomaster KB301940

Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性，不作任何声明。所有该等文件及有关图形均"依样"提供，而不带任何性质的保证。Microsoft和/或其各供应商特此声明，对所有与该等信息有关的保证和条件不负任何责任，该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下，在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中，Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

想升级公司原来的域服务器,如何迁移里面的AD和DNS啊

从Windows 2000域升级到Windows 2003域的问题，建议您参考以下步骤：

1．确认当前的Windows 2000域控制器工作正常，并且都打了Service Pack 4和最新的安全补丁。

2．确认Windows 2000活动目录中的5个FSMO角色都在第一台Windows 2000域控制器上（默认情况就是这样的），关于Windows 2000活动目录中FSMO角色的概念及查看方法，请参考下面两篇文档：

《Windows 2000 Active Directory FSMO角色》：

《在图形用户介面中查看和转移 FSMO角色》

3.在Windows 2000域控制器的光驱中插入Windows Server 2003安装光盘。在命令行方式下进入光盘上的\I386目录，运行以下命令：adprep/forestprep。该命令成功完成之后，再运行以下命令：adprep/domainprep。

4.完成这一步之后，我们便扩展了当前的Windows 2000活动目录林的架构，这样就可以将Windows Server 2003加入到活动目录林中作为其中的域控制器，或者将现有的Windows 2000域控制器升级为Windows Server 2003。

关于将Windows 2000域控制器升级到Windows Server 2003以及将Windows Server 2003域控制器加入到Windows 2000域的更多详细信息，请您参考下面这篇文档：

《如何将 Windows 2000域控制器升级到 Windows Server 2003》：

5.在新购买的计算机上安装Windows Server 2003，并打上最新的安全补丁。

6.确认这台Windows Server 2003网络连接正常，可以访问域控制器和DNS服务器。将其配置为使用固定IP地址，并指定DNS服务器地址。

7.在Windows Server 2003上运行dcpromo命令将其升级为域控制器，并在升级时选择使其成为现有Windows 2000域的额外的域控制器。

8.在Windows Server 2003上安装DNS服务，确认它已经和原来的Windows 2000 DNS服务器上的数据复制同步后，将它的DNS服务器地址指向自己。

9.将这台Windows Server 2003域控制器设为全局编录（Glocal Catalog）服务器，具体方法请参考下面这篇文档：

《How to promote a domain controller to a global catalog server》：

10.将原来的Windows 2000域控制器上的5个FSMO角色转移到这台Windows Server 2003域控制器上，具体方法请参考下面这篇文档：

《如何查看和转移 Windows Server 2003中的 FSMO角色》：

当最后一步转移结构主机角色时可能会提示“当前域控制器是全局编录服务器，不要将结构主机角色转移到该域控制器上”，由于是在单域环境中，直接确认忽略该提示即可。关于在Windows 2000/2003域控制器上放置FSMO的更多信息，请参考下面这篇文档：

《在 Windows 2000域控制器上放置和优化 FSMO》：

11.完成以上操作之后，新的Windows Server 2003域控制器便替代了原来的第一台Windows 2000域控制器的角色，但我们需要等待一段时间使原来的Windows 2000域控制器上的和全局编录及FSMO角色相关的活动目录信息完全复制到Windows Server 2003域控制器上。建议您观察一两天时间，并确认新的Windows Server 2003域控制器/DNS服务器一切工作正常后，再将原来的Windows 2000域控制器降级。

12.当所有的Windows 2000域控制器都成功降级，当前域中只剩下Windows Server 2003域控制器后，我们便可以提升当前域/活动目录林的功能级别，以便应用Windows 2003活动目录中的一些新特性，具体方法和注意事项请参考下面这篇文档：

《如何在 Windows Server 2003中提升域和目录林功能级别》：

如何将旧域服务器迁移新域服务器

关于更换或者迁移域服务器:关于域服务器迁移的请教我通过部署一个简单的域管理公司40台左右的机器。域的作用主要是通过域用户来管理客户端，回收大部分的权限，使客户端系统非常稳定！整个域系统已经用了快4年了。另外域服务器还兼任文件服务器，授权和设置了共享文件目录，让客户端可以通过这些共享目录交流和保存信息。现在公司购置了新的机器，需要将现在旧的域服务器迁移到这台新机上，旧的机器另有用途，我在考虑如何做才能让客户端受到的影响最小！先讲一下我现在的网络系统架构：

ip段：192.168.76.0 255.255.255.0

DNS：192.168.76.21

DC(old)：192.168.76.21我想的迁移办法是：

1.先在新机上装好dc(new)：192.168.76.31

2.在dc(new)上设置dns指向192.168.76.21，然后作为DC(old)的额外域建立域，将dc(new)的域信息复制过来，然后配置dc(new）的dns中的ad zone，将dc(old)的dns资料也

复制过来，使dc(new)完全成为dc(old)的冗余备份！

3.将dc(old)的域正常卸载，让dc(new)承担起域的管理以上只是我以现有知识的设计方案，还没有实际实践，所以想请教几个问题：

1.dc(old)正常卸载后，dc(new)是否会自动管理起整个域？还需要什么后续的步骤吗？

2.另一个头痛的问题是如何使原客户端的dns指向新的dns，我想将dc(old)从网络下线后

，直接修改dc(new)的ip为dc(old)的ip，但是觉得会有问题，不知道是否可行，或者有其他更好的办法。否则我还是要修改40多台客户端的dns指向新的dc(new）！

回答： 1.这里要澄清一个问题，所有dc如果获得了完全复制，那么它们上面的数据库是完全同步的，这个通过过程是后台自动完成的，不需要人为干预。如果您的dns选择了与ad同步，那么dns的同步也是自动的。那么在新的dc作为additional dc添加进来并获得完全同步后，您所需要做的动作是，将原有primary dc所承担的角色转移过来，比如5个om，gc，如果有多站点，还有istg。注意是transfer，而不是seize。等待dc的状态稳定后，降级原来的primary dc就好了。