Migración De Grupos, Usuarios Y Equipos A Un Nuevo Bosque Usando ADMT 3.0

1.    Introducción

El presente documento explica el proceso de migración de cuentas de grupos, usuarios y equipos de un dominio de Windows 20003 a otro dominio de Windows 2003, ambos dominios situados en diferente bosque.

El fin es conseguir que el usuario y el equipo en el que trabaja pertenezcan al nuevo dominio y pueda seguir accediendo a los recursos de red y aplicaciones  del dominio antiguo, sin que este proceso suponga una parada de negocio en el puesto cliente. De esa manera pueden coexistir ambos dominios mientras se completa la migración.

Para los propósitos de este documento, nos referiremos al dominio de origen como ORIGEN.LOCAL y al destino como DESTINO.LOCAL, suponiendo que tienen como nombre NetBios ORIGEN y DESTINO, respectivamente.

2.    Requisitos para realizar la migración

En este capítulo se detallan y enumeran los requisitos necesarios para realizar de manera correcta y sin que esto suponga una parada de negocio, los grupos de usuarios, cuentas de usuario y maquinas cliente del dominio ORIGEN.LOCAL al dominio DESTINO.LOCAL.

2.1    Requisitos de Software

Para la migración de cuentas de usuario se utilizará la herramienta ADMT v3.0 (Active Directory Migration Tool v3.0), que nos permitirá crear las cuentas de equipo, grupos y cuentas de usuario en el dominio de destino. Esta herramienta se  tiene que instalar en un controlador de dominio del dominio de destino. En el caso de DESTINO.LOCAL, dominio en el que se han realizado las pruebas, se instala en SRV1.DESTINO.LOCAL. Se dejará que instale MSDE, que es requerido para ADMT, para alojar y almacenar toda la información necesaria sobre él proceso de migración..

Para que los usuarios migrados conserven la contraseña, es necesario que en un controlador de dominio del dominio de origen (ORIGEN.LOCAL) se instale el servicio de exportación de contraseñas (PES). Este servicio será instalado en SRV1.ORIGEN.LOCAL.

2.2    Requisitos de Seguridad

Para poder realizar la migración usando ADMT 3.0, es necesario cumplir con los siguientes requisitos de seguridad:

·         Crear una relación de confianza bidireccional entre los dominios ORIGEN.LOCAL y DESTINO.LOCAL

·         Deshabilitar el filtrado de SIDs en la parte de la relación de confianza del dominio de origen, lo que se lleva a cabo ejecutando el comando:

netdom trust <dominio_origen> /domain:<dominio_destino> /userd:<administrador_origen> /passwordd:<contraseña_administrador_origen> /quarantine:no

En nuestro ejemplo (suponemos que la contraseña es contraseña):

netdom trust ORIGEN /domain:DESTINO /userd:ORIGEN\Administrador /passwordd:contraseña /quarantine:no

·         Hacer miembro del grupo Administradores del dominio de origen (ORIGEN.LOCAL) al usuario Administrador del dominio de destino (DESTINO.LOCAL) y al usuario Administrador del dominio de origen (ORIGEN.LOCAL) hacerle miembro del grupo Administradores del dominio de destino (DESTINO.LOCAL). Esta configuración no es estrictamente necesaria, se puede hacer de manera más restrictiva, pero dará problemas que deberán ser subsanados que son evitados con esta configuración menos restrictiva.

·         Incluir al usuario Administrador del dominio de destino, en el grupo local Administradores de los equipos a migrar. Esto se puede hacer por medio de una GPO de grupos restringidos.

·         Tanto el dominio de origen como el dominio de destino deben estar operando a nivel nativo 2003.

Para poder usar el servicio de exportación de contraseñas (PES) es necesario cumplir el siguiente requisito:

·         Hacer que el usuario que lance el servicio de migración de contraseñas del equipo en el que se instala PES sea el usuario Administrador del dominio de destino.

·         Iniciar sesión en el controlador de dominio del dominio de destino en el que se ha instalado ADMT con el usuario Administrador del dominio de origen, lo que evitará problemas en la migración, sobre todo a la hora de migrar cuentas de equipo; de no hacerlo así, sería necesario aplicar una GPO de grupos restringidos que agregara al administrador del dominio de destino al grupo de administradores locales de las máquinas del dominio de origen.

Para que el usuario del dominio de destino pueda seguir utilizando la cuenta de Exchange que tenía en el dominio de origen, es necesario, en el Exchange de origen, establecer la siguiente configuración de seguridad, pues de no hacerlo, el usuario puede recibir y leer correo, pero no enviarlo, debido a que no tiene permisos para acceder a la GAL (Global Access List):

·         Añadir al grupo Domain Users del dominio de destino en la ACL de la GAL con los permisos:

o   Leer

o   Ejecutar

o   Permisos de lectura

o   Mostrar contenido

o   Propiedades de lectura

o   Mostrar objeto

o   Open Address List

3.    Instalación

Veremos ahora el proceso de instalación de ADMT 3.0.

3.1    Instalación de ADMT

Una vez cumplidos los requisitos de seguridad para el uso de ADMT, vistos en el punto 2.2, podemos instalar esta herramienta en un controlador de dominio del dominio de destino. Para instalarla se ejecutan los siguientes pasos:

1.    Ejecutar el archivo de instalación admtsetup.exe.

2.    En el cuadro de diálogo de bienvenida, pulsar Siguiente.

3.    En el cuadro de diálogo de selección de base de datos marcar la opción de MSDE y pulsar Siguiente.

4.    En el cuadro de diálogo de importación de bases de datos de ADMT v2.0 no importar y pulsar Siguiente.

5.    En el cuadro de diálogo de sumario pulsar Finalizar.

3.2    Instalación de PES (Password Export Service)

Requisito previo a la instalación de PES en un controlador de dominio del dominio origen, es que creemos un fichero con una clave de encriptación. Este fichero tiene que ser creado en el equipo en el que hemos instalado ADMT. Para su creación, desde una ventana de comandos ejecutamos:

admt key /option:create /sourcedomain:<FQDN del dominio origen> /keyfile:<ruta+nombre de fichero> /keypassword:<contraseña>

En nuestro ejemplo sería (suponemos que establecemos contraseña como password):

admt key /option:create /sourcedomain:origen.local /keyfile:\\srv1.origen.local\migracion\origen.pes /keypassword:contraseña

Para instalar el servicio de exportación de contraseñas, del equipo en el que hemos instalado ADMT copiamos la carpeta %WinDir%\ADMT\PES al controlador de dominio del dominio de origen en el que queramos instalar PES (no se puede realizar la instalación desde la red, falla). Una vez copiada esta carpeta, ejecutamos el fichero Pwdmig.msi, seleccionamos el fichero generado en el paso anterior, entramos la contraseña con la que lo protegimos y concluimos la instalación del servicio. Una vez hecho esto abrimos la consola de administración de servicios y cambiamos al usuario que lanza PES por el administrador del dominio del destino. Una vez hecho esto iniciamos el servicio (por motivos de seguridad, el servicio debe estar iniciado sólo cuando se estén migrando cuentas).

4.    Migración

Para realizar la migración haremos los siguientes pasos:

1.    Migración de grupos. Migraremos los grupos a los que pertenece el usuario, excluyendo los Built-in.

2.    Migración de usuarios.

3.    Migración de cuentas de equipo clientes.

4.1    Migración de grupos

Para migrar los grupos, ejecutamos ADMT, en la raíz de la consola hacemos clic derecho y ejecutamos el asistente para migración de cuentas de grupo:

Seleccionamos los dominios y controladores de origen y destino:

Pulsamos Next y pasamos al cuadro de diálogo de opción de selección de grupo, que especifica el modo en que se seleccionan los grupos para la migración:

·         Seleccionar grupos desde dominio: Permite seleccionar grupos en una lista generada.

·         Leer objeto de un archivo de inclusión: Permite facilitar la ubicación de un archivo de texto creado manualmente donde figuran los grupos que se desean migrar.

Seleccionamos la opción Seleccionar grupos desde dominio y pulsamos Next: Esto no lleva al cuadro de diálogo de selección de grupo, que permite especificar los grupos del dominio de origen que va a migrar la Herramienta de migración para Active Directory (ADMT).

Pulsamos el botón agregar y escribimos el nombre de los grupos a migrar:

Pulsamos el botón Ok:

Pulsamos Next: Aparece ahora el cuadro de diálogo de selección de unidad organizativa, que sirve para especificar la unidad organizativa de destino del dominio de destino.

Para seleccionar la Unidad Organizativa donde queremos que se ubiquen los grupos migrados pulsamos el botón Examinar:

Seleccionamos la OU de destino y pulsamos OK:

Pulsamos Next: Llegamos ahora al cuadro de diálogo de opciones de grupo, que sirve para establecer la forma en que la Herramienta de migración para Active Directory (ADMT) gestiona la migración de grupos.

Las opciones posibles son:

·         Actualizar derechos de usuario: Copia los derechos de usuario asignados en el dominio de origen al dominio de destino.

·         Copiar miembros de grupo: Copia el grupo, junto con sus miembros, al dominio de destino. Si esta casilla de verificación no se activa, ADMT crea el grupo en el dominio de destino, pero dicho grupo no contiene ningún miembro.

·         Actualizar objetos previamente migrados: Compara grupos migrados anteriormente entre el dominio de origen y el de destino. Actualiza los cambios que se han realizado desde la última migración desde el dominio de origen al de destino. Esta opción sólo está disponible si está activada la casilla de verificación Copiar miembros de grupo. Esta opción admite migraciones de larga duración.

·         Revisar la pertenencia al grupo: Agrega cuentas de usuario migradas a los grupos de dominios de destino si dichas cuentas de usuario eran miembros de esos grupos en el dominio de origen.

·         Migrar los identificadores de seguridad (SID) hacia el dominio de destino: Agrega el identificador de seguridad (SID) de las cuentas de grupo migradas en el dominio de origen al historial SID de las nuevas cuentas de grupo del dominio de destino. Esta característica usa una conexión segura al controlador de dominio de origen.

No nos traeremos los usuarios, pero es muy importante que sí traigamos los SIDs, pues eso permitirá que los grupos del dominio de destino puedan seguir accediendo a los recursos del dominio de origen a los que tenían acceso. Pulsamos Next: Ahora estamos en el cuadro de diálogo de cuenta de usuario, que especifica las credenciales que utiliza la Herramienta de migración para Active Directory (ADMT) para actualizar el historial SID de las cuentas migradas al dominio de destino.

Ponemos las credenciales del administrador del dominio de origen y pulsamos Next: Aparece el cuadro de diálogo de exclusión de propiedades de objetos, que permite excluir propiedades concretas de una tarea de migración basándose en el tipo de objeto. Se pueden seleccionar las propiedades que se van a excluir y agregarlas a la lista Propiedades excluidas:

Las opciones posibles son:

·         Excluir propiedades de objeto específicas de la migración: Activar esta casilla de verificación permite especificar las propiedades individuales que van a excluir.

·         Tipo de objeto: Para generar una lista precisa de propiedades de un objeto que se está migrando, se selecciona el tipo de objeto en la lista desplegable (grupo, usuario, etc.).

·         Propiedades incluidas: Enumera las propiedades del objeto que se van a migrar.

·         Propiedades excluidas: Enumera las propiedades del objeto que se va a excluir de la migración.

No excluiremos nada; pulsamos Next: Ahora aparece el cuadro de diálogo de gestión de conflictos, que sirve para especificar la forma en que la Herramienta de migración para Active Directory (ADMT) maneja los nombres de cuenta y los Ids de seguridad (SID) duplicados cuando se migran cuentas desde el dominio de origen al dominio de destino:

Las opciones que presenta este cuadro de diálogo son:

No migrar el objeto de origen si se detecta un conflicto en el dominio de destino: Mantiene intacta la cuenta del dominio de destino y no migra la cuenta duplicada desde el dominio de origen.

Migrar y combinar objetos en conflicto: Cambia las propiedades de las cuentas existentes en el dominio de destino para que coincidan con las propiedades de las cuentas del mismo nombre del dominio de origen. Si hace clic en Migrar y combinar objetos en conflicto, aparecerán las siguientes tres opciones:

Migramos y combinamos, sin marcar ninguna de las opciones de combinación, pues en este momento no es necesaria, ya que no nos estamos trayendo los miembros de los grupos que estamos migrando; pulsamos Next, con lo que se nos presenta un resumen de lo que se va a migrar;

Pulsamos Finish y esperamos a que termine el proceso:

Pulsamos Cerrar. Comprobamos en Usuarios y Equipos de Active Directory que se hayan migrado correctamente los grupos seleccionados.

4.2    Migración de usuarios

Para migrar los usuarios, hacemos clic derecho en la raíz de la consola de ADMT y ejecutamos el asistente para migración de usuarios:

En el cuadro de diálogo de bienvenida pulsamos Next. Esto nos lleva al cuadro de diálogo de selección de dominio:

Una vez seleccionados los dominios y controladores de origen y destino pulsamos Next. Esto nos lleva al cuadro de diálogo de selección de usuario, homóloga a la de selección de grupos que vimos antes, pudiendo escoger entre seleccionar los usuarios o suministrar un fichero de valores separados por comas:

Pulsamos Agregar y escribimos los nombres de los usuarios a migrar:

Pulsamos Ok y Next:

Esto nos lleva al cuadro de diálogo de selección de unidad organizativa de destino, donde operaremos de la misma forma que hicimos en el caso de la migración de grupos:

Una vez seleccionada la OU de destino pulsamos Next, lo que nos lleva al cuadro de diálogo de opciones de contraseña, en el que se especifica cómo se asignan contraseñas a las cuentas de usuario migradas con la Herramienta de migración para Active Directory (ADMT):

Este cuadro de diálogo presenta las siguientes opciones:

·         Generar contraseñas complejas: Genera automáticamente una contraseña compleja para cada cuenta de usuario migrada. Las contraseñas complejas incluyen una combinación de letras en mayúscula y minúscula, además de números y signos de puntuación. ADMT registra las nuevas contraseñas en un archivo de contraseñas. Si se hace clic en Generar contraseñas complejas, hay que suministrar la ubicación en la que se va a almacenar el archivo de contraseñas en Ubicación para almacenar el archivo de la contraseña.

·         Migrar contraseñas: Permite migrar las contraseñas originales del dominio de origen al dominio de destino. Si hace selecciona esta opción, hay que especifique el controlador de dominio de origen que aloja el servidor de exportación de contraseñas (PES).

·         No actualizar contraseñas de usuarios existentes: Las contraseñas de los objetos de usuario que ya existen en el dominio de destino no se actualizan. Si se activa esta casilla de verificación sólo se igualan las contraseñas de los objetos de usuario del dominio de destino con sus correspondientes del de origen si no existen ya en el dominio de destino. Si no se activa, ADMT actualiza las contraseñas de todos los objetos de usuario, a menos que no se haya cambiado la contraseña del objeto de usuario desde la última vez que se migró dicha contraseña.

Como queremos migrar a los usuarios y que conserven su contraseña, seleccionamos Migrar contraseñas; debido a que estamos migrando usuarios que todavía no existían en el dominio de destino, da igual que marquemos o no la casilla de verificación No actualizar contraseñas de usuarios existentes. Pulsamos Next: Esto nos lleva al cuadro de diálogo de Opciones de transición de cuenta, donde se especifica el estado de las cuentas de origen y destino una vez que se realiza la migración de las cuentas de usuario y los identificadores de seguridad (SID) con la Herramienta de migración para Active Directory (ADMT):

Este cuadro de diálogo presenta las siguientes opciones:

·         Estado de la cuenta de destino

·         Habilitar cuentas de destino: Habilita la cuenta de usuario recién creada en el dominio de destino. Esta opción permite a un usuario iniciar sesión en el dominio de destino mediante la nueva cuenta.

·         Deshabilitar cuentas de destino: Deshabilita la cuenta de usuario recién creada en el dominio de destino. Esta opción impide que cualquiera use la cuenta de dominio de destino para iniciar sesión en el dominio de destino.

·         Destino igual al origen: Establece en el destino el mismo estado que tiene la cuenta de origen. Hace coincidir la cuenta recién creada en el dominio de destino con el estado de la cuenta que se copia desde el dominio de origen, esté habilitada o deshabilitada.

·         Opciones para deshabilitar la cuenta de origen

·         Deshabilitar cuentas de origen: Deshabilita la cuenta de usuario original en el dominio de origen. Esta opción impide que cualquiera use la cuenta de dominio de origen para iniciar sesión en el dominio de origen.

·         Días hasta que caduquen las cuentas de origen: Establece el número de días tras el que la cuenta de origen deja de estar habilitada. Esta configuración impide a cualquiera que use la cuenta de origen iniciar una sesión en el dominio cuando haya pasado el número de días especificado. La cuenta caduca a medianoche el último día.

·         Migrar SID de usuario para el dominio de destino: Agrega el SID de la cuenta migrada del dominio de origen al atributo SIDHistory de la nueva cuenta de usuario del dominio de destino

Dejamos las cuentas de destino iguales a las de origen y activamos la migración del SID. Pulsamos Next. Esto no lleva al cuadro de diálogo de cuenta de usuario:

Entramos las credenciales de la cuenta del administrador del dominio de origen y pulsamos Next. Esto nos lleva al cuadro de diálogo de opciones de usuario, donde se especifica la forma en que la Herramienta de migración para Active Directory (ADMT) gestiona la migración de cuentas de usuario.:

Este cuadro de diálogo presenta las siguientes opciones:

·         Convertir perfiles móviles: Copia los perfiles móviles desde el dominio de origen al dominio de destino para las cuentas de usuario seleccionadas. Este proceso relaciona el perfil de usuario móvil con la nueva cuenta de usuario del dominio de destino.

·         Actualizar derechos de usuario: Establece los derechos de usuario asignados a la nueva cuenta de usuario en el dominio de destino para que coincidan con los derechos de usuario asignados a la cuenta de usuario del dominio de origen.

·         Migrar grupos de usuario asociados: Migra los grupos de los que son miembros las cuentas de usuario migradas.

·         Actualizar objetos previamente migrados: Actualiza los grupos a los que pertenecen las cuentas de usuario migradas, incluso aunque esos grupos hubieran migrado previamente. Esta opción sólo está disponible si está activada la casilla de verificación Migrar grupos de usuario asociados.

·         Revisar la pertenencia a grupos de los usuarios: Agrega cuentas de usuario migradas a los grupos de dominios de destino si eran miembros de los grupos en el dominio de origen.

En este caso, sólo marcamos la casilla de verificación Revisar la pertenencia a grupos de los usuarios. Pulsamos Next, lo que nos lleva al cuadro de diálogo de exclusión de propiedades de objeto, que ya vimos en la migración de grupos. Como no vamos a excluir nada, pulsamos Next, lo que nos sitúa en el cuadro de diálogo de gestión de conflictos:

Marcamos la opción de Migrar y combinar objetos y la casilla de verificación Mover objetos combinados a la Unidad organizativa de destino especificada. Pulsamos Next, lo que nos lleva al cuadro de finalización de resumen, donde se nos presenta un resumen de las selecciones realizadas para el proceso de migración de usuarios:

Pulsamos Finish y esperamos a termine el proceso:

Pulsamos Cerrar y comprobamos en Usuarios y Equipos de Active Directory que se haya migrado el usuario y sus membresías de grupo, para verificar que todo se ha realizado correctamente.

4.3    Migración de estación de trabajo

Esta es la última parte de la migración de un usuario, en la que cambiaremos la pertenencia al dominio de origen de la estación de trabajo y lo situaremos en el de destino, migrando también los perfiles del usuario. Es ,muy importante haber migrado antes al usuario para que la migración del perfil sea efectiva.

Para iniciar el proceso, en la consola de ADMT, hacemos clic derecho en el nodo raíz y ejecutamos el asistente para migración de equipos:

Pulsamos Next en la pantalla de bienvenida; esto no lleva al cuadro de diálogo de selección de dominio, igual a las que ya vimos en las migraciones de grupos y de usuarios, y en la que pondremos la misma información que en los casos anteriores:

Pulsamos el botón Next, lo que nos lleva al cuadro de diálogo de opción de selección de equipos, homólogo a los de opción de selección de grupos y de usuarios que vimos previamente, y en el que seleccionaremos Seleccionar equipos desde dominio y pulsaremos Next, lo que nos situará en el cuadro de diálogo de selección de equipos, también homólogo a lo de selección de grupos y de usuarios que vimos anteriormente, y en el que operaremos de igual manera para seleccionar el equipo a migrar:

Pulsamos el botón Agregar…, lo que abre el cuadro de diálogo Select Computers:

Escribimos el nombre del equipo y pulsamos OK, lo que nos devuelve al cuadro de diálogo de selección de equipos:

Pulsamos Next, lo que nos sitúa en el cuadro de diálogo de selección de unidad organizativa, en el que operaremos de la misma manera que en los casos anteriores para seleccionar la OU en la que se situará la cuenta de equipo migrada:

Pulsamos el botón Examinar…, lo que abre el cuadro de diálogo de búsqueda de contenedor:

Seleccionamos la OU de destino y pulsamos Ok, lo que nos devuelve al cuadro de diálogo de selección de OU, con la unidad de destino ya seleccionada:

Pulsamos Next, lo que nos lleva al cuadro de diálogo de conversión de objetos, que especifica los tipos de objetos para los que se desea que la Herramienta de migración para Active Directory (ADMT) convierta la seguridad:

Se pueden activar las casillas de verificación de cualquiera de los siguientes tipos de objetos para que ADMT los procese:

·         Archivos y carpetas: Convierte la seguridad de los archivos y carpetas del equipo que se está migrando.

·         Grupos locales: Convierte la seguridad de los grupos locales del equipo que se está migrando.

·         Impresoras: Convierte la seguridad de las impresoras locales configuradas en el equipo que se está migrando.

·         Registro: Convierte la seguridad de la configuración del Registro del equipo que se está migrando.

·         Recursos compartidos: Convierte la seguridad de los recursos compartidos del equipo que se está migrando.

·         Perfiles de usuario: Convierte la seguridad de los perfiles de usuario local del equipo que se está migrando.

·         Derechos de usuario: Convierte la seguridad de los derechos de usuario del equipo que se está migrando.

Activamos todas las casillas y pulsamos Next, lo que nos sitúa en el cuadro de diálogo de opciones de conversión de seguridad, que especifica la forma en que la Herramienta de migración para Active Directory (ADMT) trata el proceso de conversión de seguridad:

Las opciones que presenta este cuadro de diálogo son:

·         Reemplazar: Reemplaza el identificador de seguridad (SID) de la cuenta del dominio de origen por el SID de la cuenta del dominio de destino en las listas de control de acceso (ACL) y en las listas de control de acceso al sistema (SACL). Esta opción da a la cuenta del dominio de destino los mismos permisos sobre los objetos seleccionados que tenía la cuenta de dominio de origen. Esta opción también quita estos permisos de la cuenta del dominio de origen.

·         Agregar: Agrega el Id. de seguridad de la cuenta del dominio de destino a las listas de control de acceso (ACL) y listas de control de acceso al sistema (SACL) en los descriptores de seguridad de los objetos seleccionados que contienen el Id. de seguridad de la cuenta del dominio de origen. Esta opción da a la cuenta del dominio de destino los mismos permisos a los objetos seleccionados que tenía la cuenta de dominio de origen.

·         Quitar: Quita los Id. de seguridad (SID) de la cuenta del dominio de origen desde las listas de control de acceso y las listas de control de acceso al sistema en los descriptores de seguridad de los objetos seleccionados. Esta opción quita los permisos a los objetos seleccionados de la cuenta del dominio de origen.

Como queremos que puedan convivir los dos dominio por un tiempo, seleccionamos Agregar y pulsamos Next, lo que nos lleva al cuadro de diálogo de opciones de equipo, que especifica la forma en que la Herramienta de migración para Active Directory (ADMT) trata los reinicios de los equipos después de haber migrado los equipos al dominio de destino:

Este cuadro de diálogo presenta una sola opción:

·         Minutos que habrán de transcurrir para que se reinicien los equipos tras la finalización del asistente: Especifica la cantidad de tiempo (en minutos) que transcurre antes de que los equipos se reinicien automáticamente una vez finalizado el asistente. Al usuario se le presentará un mensaje con la cuenta atrás hasta el reinicio del equipo.

Establecemos 10 minutos, para dar al usuario tiempo a que guarde todos aquellos documentos en los que esté trabajando, y pulsamos Next. Esto nos sitúa en el cuadro de diálogo de exclusión de propiedades de objeto, idéntico a los que ya vimos en el caso de la migración de grupos y de usuarios:

No excluiremos nada, por lo que dejamos sin marcar la casilla de verificación Excluir propiedades de objeto específicas de la migración y pulsamos Next. Esto nos lleva al cuadro de diálogo gestión de conflictos, homólogo a los que ya vimos en la migración de grupos y de usuarios:

Seleccionamos la opción de migrar y combinar y la casilla de verificación de mover objetos a la OU especificada, para asegurarnos de que la cuenta de equipo se sitúa en la OU que queremos, y pulsamos Next. Esto nos sitúa en la pantalla de finalización del asistente, que nos presenta un resumen de la migración de equipo que se va a efectuar:

Pulsamos Finish. Esto abre el cuadro de diálogo de progreso de la migración, en el que esperamos a que se termine el mismo:

Pulsamos el Cerrar. Esto abre el cuadro de diálogo Diálogo de agente del Asistente para migración de equipos, que muestra todos los equipos seleccionados para las operaciones del agente y proporciona información sobre el estado y el progreso de cada una de las fases de la operación del agente:

Este cuadro de diálogo permite las siguientes acciones:

·         Ver registro de migración: abre el registro de migración de la tarea actual de migración.

·         Detalle de agente: muestra muchos más detalles relativos al estado de la operación de agente. En el cuadro de diálogo Detalles de agente, si se hace clic en Ver registro se obtiene más información sobre las advertencias o los errores:

·         Configuración de reintentos: Permite especificar el número de veces que se trata de llevar a cabo una comprobación previa o posterior así como el intervalo que transcurre entre los reintentos. En cada cuadro aparece el valor predeterminado correspondiente, el cual se puede modificar antes de iniciar una acción del agente. La fase de comprobación posterior sólo es aplicable a la migración de equipos y ADMT efectúa dicha operación de manera automática. Esta comprobación verifica que el equipo cliente se haya agregado correctamente al dominio de destino.

·         Acciones de agente permite elegir una de las opciones siguientes:

o   Ejecutar comprobación previa: se intenta distribuir el agente al equipo remoto sin que ADMT realice las subsiguientes operaciones basadas en el agente.

o   Ejecutar comprobación previa y operación de agente: se provoca que ADMT realice la operación de comprobación previa y, si es correcta, ADMT prosigue con las operaciones basadas en agente y, a continuación, con la comprobación posterior (si procede). En caso de que la operación de comprobación previa tenga como resultado un error, ADMT la intenta de nuevo según la configuración de reintento especificada. Los botones Iniciar y Detener de la sección Acciones de agente sirven para iniciar y detener, respectivamente, las operaciones basadas en el agente en todos los equipos. También cabe la posibilidad de detener una sola operación basada en agente desde el cuadro de diálogo Detalles de agente.

En acciones de agente seleccionamos la opción Ejecutar comprobación previa y operación de agente  y pulsamos el botón Iniciar. Esperamos a ver si se ha podido hacer la comprobación previa. Si es efectuada de manera exitosa, comienza su trabajo el agente de migración:

Esperamos a que termine y que se produzca la comprobación posterior. Si todo ha ido bien, se verá en la comprobación posterior que está pendiente de reinicio, pues al usuario se le ha presentado un aviso en pantalla de que el equipo se reiniciará pasados los minutos que se especificaron en el cuadro de diálogo Opciones de equipo:

Una vez finalizado el proceso se muestra el resultado:

Como la operación de agente muestra errores, revisamos el registro de migración y vemos que se ha producido un error al intentar migrar el atributo LasLogonTimeStamp, lo cual es, por otra parte, lógico, dado que este atributo almacena la fecha y hora del último inicio de sesión, y al estar dando de alta un objeto en el dominio, no tiene sentido migrar este atributo. Por tanto, se puede evitar este error excluyendo este atributo de la migración (esto se hace en la pantalla de exclusiones que vimos anteriormente), o sencillamente ignorarlo.

4.4    Migraciones no soportadas por ADMT

Estas migraciones no las soporta ADMT:

·         Buzones de Exchange

·         Contraseñas de páginas Web: Se trata de las contraseña de que se almacenan en Internet Explorer y que permiten iniciar sesión de forma automática en determinadas páginas, o que, al menos, permiten por autocompletar acelerar el acceso a las mismas.

·         Credenciales de compartición de archivos: Se trata de acceso a recursos de red en los cuales no se tienen permisos establecidos por medio de entradas en las ACLs directamente (ya sea la ACL de Compartir o la de Seguridad) si no que se establecieron en su día por medio de suministrar usuario y contraseña con la que conectar y se marcó la casilla de verificación Recordar contraseña.

·         Datos de programa protegidos por la función CryptProtectData.

·         Claves privadas de EFS, S/MIME y otros certificados: EFS (Encripted File System) cifra carpetas y archivos del usuario (el usuario las cifra haciendo clic derecho sobre la carpeta, Propiedades, ficha General, pulsando el botón Opciones avanzadas y marcando la casilla de verificación Cifrar contenido para proteger datos). El cifrado se realiza utilizando el certificado de usuario; si el usuario no tiene un certificado, el sistema crea uno automáticamente.  S/MIME (Extensiones seguras multipropósito de correo Internet), que es un sistema conocido y estándar para transferir archivos binarios adjuntos en Internet, privacidad y seguridad de datos mediante la codificación, autenticación y la integridad de mensajes Para realizar esto, utiliza  certificados X.509 codificado base 64 (un método de codificación desarrollado para ser utilizado con S/MIME).                                          

Como los certificados pierden la clave privada al ser migrados por ADMT, es necesario que se exporten primero los certificados que utiliza el usuario, para poder importarlos después. Usaremos la herramienta de administración de certificados, que nos permitirá exportar certificados PKCS nº 12, PKCS nº 7 y X.509 codificados en binario. Para exportar un certificado con la clave privada

o   Estando logado en el equipo como el usuario, se abre una consola MMC (botón Inicio, Ejecutar, escribir mmc en la caja de texto y pulsar Aceptar).

o   En el árbol de la consola, hacemos clic en Certificados: usuario actual / Almacén lógico / Certificados.

o   En el panel de detalles, hacemos clic en el certificado que deseamos exportar.

o   En el menú Acción, seleccionamos Todas las tareas y, a continuación, hacemos clic en Exportar.

o   En el Asistente para exportación de certificados, hacemos clic en Exportar la clave privada. (Esta opción sólo aparecerá si la clave privada está marcada como exportable y se acceso a ella).

o   En Exportar formato de archivo, realizamos alguna de las siguientes acciones (o todas) y, a continuación, hacemos clic en Siguiente.

§  Para incluir todos los certificados en la ruta de certificación, activamos la casilla de verificación Si es posible, incluir todos los certificados en la ruta de acceso de certificación.

§  Para habilitar la protección de alto nivel, activamos la casilla de verificación Permitir protección segura (requiere IE 5.0, Windows NT 4.0 con SP4 o posterior).

§  Para eliminar la clave privada si la exportación es correcta, activamos la casilla de verificación Eliminar la clave privada si la exportación es satisfactoria.

o   En Contraseña, escribimos una contraseña para cifrar la clave privada que vamos a exportar. En Confirmar contraseña, escriba la contraseña otra vez y, a continuación, hacemos clic en Siguiente.

o   En Nombre del archivo, escribimos el nombre y la ruta de acceso del archivo que almacenará el certificado exportado y la clave privada, hacemos clic en Siguiente y, a continuación, en Finalizar.

5.    Resultados de la migración

En este punto detallamos y enumeramos los resultados obtenidos después de las pruebas realizadas durante el proceso de migración de un número determinado de maquinas (nunca superior a 50) y sus correspondientes usuarios así como los grupos de pertenencia de cada uno de estos usuarios.

5.1    Acceso a los recursos de red del dominio de origen

Se comprueba, una vez logado el usuario en el dominio de destino,  que tiene acceso a los recursos de red (tanto impresoras como carpetas) del dominio de origen con los mismos permisos que tenía en el dominio de origen.

5.2    Derechos en el equipo

Se comprueba que el usuario ha conservado los mismos derechos, como, por ejemplo, ser administrador local del equipo.

5.3    Perfil de usuario

Se comprueba que el usuario mantiene las configuraciones de su perfil. No obstante, también se comprueba que el usuario del dominio de origen no puede acceder al perfil, a pesar de tener control total sobre las carpetas del mismo, pues ha cambiado el propietario del perfil del usuario del dominio de origen al del usuario del dominio de destino.

5.4    Outlook y Exchange

Se comprueba que tanto Outlook como Exchange siguen funcionando en el perfil del usuario.

6.    recomendaciones finales

En este punto se hacen un par de recomendaciones a la hora de afrontar una migración.

6.1    Migraciones Batch

Se deberían crear scripts que generaran los ficheros de valores separados por comas que permiten migrar varios grupos, usuarios y equipos (dependiendo del proceso que esté lanzado), de una sola vez.

Esto es además deseable en el caso de los usuarios, pues si no se suministran los datos de migración de esta manera, si no que se hace seleccionando los usuarios desde el interfaz gráfico, los usuarios creados en el dominio de destino tienen como sufijo de su UPN el nombre del bosque, no el del dominio; esto implica que en el caso de que el usuario se migre a un dominio que es subdominio de un bosque, (por ejemplo usuario@destino.local en lugar de usuario@subdestino.destino.local). Este UPN “bueno” puede ser especificado en el fichero de valores separados por comas, con lo que se elude el problema.

ADMT permite realizar las migraciones desde la línea de comandos, lo que permitiría programar la migración de grupos y usuarios en horas valle.

Nota: Microsoft recomienda que los procesos de migración automatizados no superen la cantidad máxima de 100 usuarios por bloque. De esta manera evitamos conflictos en los procesos de migración, que las horas de migración se extiendan mas allá de las necesarias y que la migración se realice de manera secuencial, permitiendo previamente avisar a los usuarios de los cambios que se van a implantar en sus maquinas.

6.2    Migración de cuentas de Exchange

ADMT no migra cuentas de Exchange, en su lugar habrá que realizar un proceso de migración de los buzones de los usuarios posterior a su migración al dominio destino. Si la migración es de Exchange 2003 a Exchange 2003, se puede usar la herramienta de migración de buzones propia de Exchange 2003. Si el Exchange de destino es Exchange 2007, no se puede usar esta herramienta, debiendose usar la consola PowerShell de administración de Exchange 2007, con el cmdlet Move-MailBox.