Déplacer des objets autour de dans Active Directory peut impliquer de déplacer des objets d'un endroit à un autre dans un domaine, ou vous pourriez avoir à déplacer des objets d'un domaine à l'autre. Vous avez besoin de connaître les détails associés soit en fonctionnement pour le MCSE examen des services d'annuaire. Heureusement, vous avez juste besoin de se rappeler quelques règles simples.

Déplacer des objets dans un domaine

Déplacer des objets dans un domaine est un processus simple: Juste à droite; cliquez sur l'objet et choisissez Déplacer. Windows 2000 affiche une boîte de dialogue dans laquelle vous choisissez simplement l'objet de conteneur de destination pour le déménagement. (Dans les nouvelles versions de Windows 2000, vous pouvez glisser et déposer des objets Active Directory d'une unité d'organisation à l'autre.)

Un exemple concret de déplacement d'un objet dans un domaine consiste à déplacer un compte d'utilisateur d'une unité d'organisation à l'autre lorsque l'utilisateur transferts d'un département à l'autre dans votre organisation. Déménagement du compte de l'utilisateur permet à l'utilisateur de recevoir les avantages et les restrictions que vous avez définis pour la nouvelle unité.

Qu'est-ce pas aussi simple (et ce que vous devez savoir pour l'examen) est l'effet que les objets en mouvement a sur les permissions. Voici les règles que vous devez savoir:

• Permission vous affectez directement à un objet Active Directory restent avec l'objet après avoir déplacé l'objet.

• L'objet hérite des autorisations attribuées à la nouvelle unité et perd toutes les autorisations précédemment héritées.

Vous avez peut-être déjà compris celui-ci dehors: Une excellente stratégie pour administrer les objets Active Directory est de déplacer des objets qui ont besoin de paramètres d'autorisation similaires dans la même OU. En faisant cela, vous pouvez facilement gérer votre réseau, l'attribution des autorisations et de déléguer efficacement autorité avec seulement quelques clics de souris.

Objets entre domaines Déménagement

Dans un domaine multiple forêt Windows 2000, vous pouvez avoir besoin de déplacer des objets (utilisateurs, unités organisationnelles, groupes) entre ces multiples domaines. Vous utilisez l'utilitaire de ligne de commande MoveTree pour exécuter nombre de ces opérations.

Lorsque vous déplacez utilisateurs et des groupes à un nouveau domaine, ils reçoivent de nouveaux identifiants de sécurité (SID). Heureusement, Windows 2000 en cours d'exécution en mode natif prend en charge un attribut appelé SIDHistory. Comme vous déplacez un utilisateur d'un domaine à, Windows 2000 remplit SIDHistory de sorte que vous ne disposez pas de rétablir les autorisations des objets chaque fois que vous effectuez l'opération de déplacement.

MoveTree vous assiste avec la plupart des opérations de déplacement entre domaines. Et dans ces cas pour lesquels MoveTree ne peut pas faire le travail, vous pouvez vous tourner vers un autre utilitaire appelé NETDOM. MoveTree peut

• Déplacer des objets de l'annuaire le plus actifs (y compris les conteneurs non vides) d'un domaine à un autre dans la même forêt.

• Domaine Déplacer des groupes locaux et globaux entre les domaines. Ces groupes ne peuvent pas contenir des membres, cependant. Les domaines doivent exister au sein de la même forêt.

• Déplacez les groupes universels et leurs membres entre les domaines de la même forêt.

MoveTree peut se déplacer les plus Objets Active Directory. Ceux qu'il ne peut pas bouger lorsque vous essayez de déplacer des groupes d'objets devenus orphelin. Windows 2000 endroits ces objets orphelins dans un conteneur spécial appelé LostAndFound. Vous pouvez voir ce récipient en utilisant la fonctionnalité avancée Vue de Utilisateurs et ordinateurs Active Directory.

Vous devez disposer des autorisations administratives appropriées pour utiliser MoveTree partir de l'invite de commande. Cette commande utilise la syntaxe suivante:

MoveTree / continuer / s SrcDSA /ré DstDSA / SDN SrcDN / DDN DstDN [/ u [Domaine]Nom d'utilisateur / p Mot de passe] [/ Verbose] [/? ]

Les entrées en italique dans cette syntaxe représentent informations que vous devez fournir. Le tableau 1 décrit les commutateurs que vous pouvez utiliser avec la commande MoveTree.

Tableau 1 MoveTree commande Commutateurs

MoveTree crée des fichiers journaux lorsque les opérations sont effectuées. Vous pouvez vérifier ces fichiers journaux pour obtenir des informations concernant le succès ou l'échec d'événements de MoveTree:

• MoveTree.err: répertorie toutes les erreurs rencontrées.

• MOVETREE.LOG: Liste des résultats statistiques de l'opération.

• MOVETREE.CHK: répertorie toutes les erreurs détectées à partir MoveTree exécuté en mode de contrôle.

MoveTree déplace des objets ordinateur d'un domaine à un autre pour vous, mais il ne peut pas disjoindre l'ordinateur à partir du domaine source et le joindre au domaine cible. Cette limitation rend NETDOM un bien meilleur utilitaire pour déplacer des ordinateurs entre les domaines dans un cadre Active Directory Windows 2000.

NETDOM utilise la syntaxe suivante pour déplacer les comptes d'ordinateur:

MoveTree {/ NETDOM déplacer / D:domaine [/ OU:ou_path] [/ Ud:Utilisateur / Pd:Mot de passe] [/ Uo:Utilisateur / Po:Mot de passe] [/ Reboot: [time_in_seconds]]

Tableau 2 décrit les commutateurs que vous utilisez avec la commande NETDOM.

Tableau 2 NETDOM commande Commutateurs