2016-12-30 109 views
0

我有ONETIME業務需求移動約。 10,000個AD帳戶從各個OU到另一個域。由於此舉在鎖定的本地數據中心到雲中的AD之間進行。因此我無法獲得兩個域之間的連接。一個應用程序正在從數據中心遷移到雲端以緩解安全限制,並且我們希望避免在所有帳戶中更改密碼。Active Directory帳戶移動/無連接

我對AD沒有多少經驗,因爲我更像一個應用程序開發人員,而不是安全基礎設施夥伴 - 所以這裏出現我可能不知道的問題。

我已經使用DSInternals.com轉儲域使用Get-ADReplaccount(Windows Server 2008 R2),並將數據保存到一個文件,但我不知道該點後做什麼。

我希望現在可以使用這些數據將帳戶導入另一個域下的不同OU,並將它們全部(包括密碼散列)「導入」另一臺服務器上的新域。

如果使用Get-ADReplAccount來提取,SET cmdlet是什麼使用該數據?

+0

免責聲明:我沒有使用Get-ADReplaccount工具。我可以告訴你的是,將AD用戶從一個域遷移到另一個域的首選工具,而_retaining_他們的密碼是ADMT(https://www.microsoft.com/en-us/download/details.aspx? ID = 19188)。 ADMT是一個相對易於使用的實用程序,並有一個嚮導界面來引導您完成要遷移的帳戶。由於您的業務客戶在許多不同的OU中都有帳戶,因此您可以一次將帳戶遷移到一個OU域。 –

回答

-1

您可以使用DSInternals模塊中的Set-SamAccountPasswordHash cmdlet將NTLM哈希導入到AD中。示例:

Set-SamAccountPasswordHash -SamAccountName john -Domain ADATUM -NTHash 92937945b518814341de3f726500d4ff -Server dc1.adatum.com 

可以使用Get-ADReplAccount在線或使用Get-ADDBAccount從同一模塊中檢索散列。

儘管強制更改密碼,但由於這些帳戶會缺少Kerberos AES密鑰,所以在對以這種方式遷移的帳戶進行身份驗證時,只會使用Kerberos RC4。

+0

爲什麼這個答案被標記下來 - 請爲什麼表達意見 – codeputer