[Admintech.jp|http://itpro.admintech.jp] > [[ADMIN TIPS|Administration TIPS]] > [[Windows Knowledge]] > [[ADMT v3.1]] [Migrating Accounts While Using SID History|http://technet.microsoft.com/en-us/library/cc974384.aspx] 2008/8/29 版をもとに翻訳しています !!!SID 履歴を利用した場合のアカウントの移行 セキュリティ識別子 (SID) 履歴を利用した場合のアカウントの移行では、最初に対象となるユーザー アカウントを移行しますが、それらをターゲット ドメインで有効にはせず、事前にターゲット ドメインにおいておき、ユーザー プロファイルの移行を許可します。その後、対象となるすべてのユーザー アカウントが移行に成功したら、バッチに移行中のユーザーを含め、最初にユーザー プロファイル、次に業務用端末、最後にユーザー アカウントを移行してください。対象となるユーザー アカウントを移行する前に、事前に作成したテスト アカウントをそれぞれのバッチに含め、バッチによる移行が成功していることを確認してください。 ユーザー アカウントの移行では、すべてのユーザー属性は移行できません。たとえば、"Encripting File System (EFS)" のプライベート キーを含む、Windows NT 4.0 が動作する業務用端末の "Protected Storage (Pstore)" の情報は、Active Directory Migration Tool (ADMT) のユーザー アカウントの移行を使用しては移行できません。Pstore 情報を移行するには、移行プロセスと同時に、キーのエクスポートとインポートが必要です。 Windows 2000 Server 以降を実行するクライアントの、Data Protection API (DPAPI) で保護されたデータは移行できません。DPAPI は以下の項目を保護しています。 **Web ページの認証情報 (パスワードなど) **ファイル共有の認証情報 **EFS に関連付けされた秘密鍵、"Secure/Multipurpose Internet Mail Extensions (S/MIME)"、その他の認証情報 **CryptProtectData() 関数を使用して保護されたプログラム情報 次の理由により、ユーザー移行をテストすることは重要です。テスト移行アカウントを使用して、いくつかの移行できない情報を識別し、それに応じてターゲット ドメインのユーザー設定を更新します。 ターゲット ドメインへユーザー アカウントを移行するには、次の項目を完了します。 ++ソース ドメインにあるユーザー アカウントを、ソース ドメインではアカウントを有効に、ターゲット ドメインでは無効に、複雑なパスワード (Complex passwords) を選択し、属性は移行せずに移行します。 ++移行したユーザーのローカル ユーザー プロファイルを一括で変換します。 ++ユーザー アカウントのバッチ処理と一致するように、業務用端末を一括で移行します。 ++ユーザー アカウントを一括で移行する前に、バッチ処理対象のユーザー用の、移行が成功したローカル プロファイルと業務用端末を確認します。プロファイルや業務用端末の移行に失敗したユーザー アカウントは移行しないでください。ユーザーがターゲット ドメインにログオンしたときに、既存のプロファイルを上書きする結果をもたらします。 ++一括処理対象のユーザー アカウントを、7 日後にソース ドメインでアカウントが無効にし、ターゲット上のアカウントを有効にし、パスワードの移行を選択し、すべての属性を移行するよう選択し移行します。 ++一括処理後、変更されたグループ メンバーシップを更新するため、すべてのグローバル グループを再移行します。 ++ターゲット ドメインにログオンするよう、一括処理されたユーザーに通知します。 ++すべてのユーザーを移行し終えたら、変更されたグループ メンバーシップを更新するため、最後のグローバル グループの移行を実施します。 ユーザー アカウントの一括処理による移行は、移行の完了した後のアカウントを追跡し、各移行ステップが成功したことの確認を容易にします。ターゲット ドメインの組織単位 (OU) 構造がソース ドメインの OU 構造と一致する場合、ユーザーの移行単位は OU に基づかせます。OU 構造が同一ではない場合、組織構造に基づきユーザーをグループ化するための代替方法を選択します。たとえば、ヘルプデスクのリソースの統合を有効にするために、業務単位・フロア単位でユーザー移行を行うべきかもしれません。 ソース ドメインの OU 構造を保持することを計画しているのなら、ユーザーが含まれる OU を一緒に移行します。たとえば、ソースドメインが Windows Server 2003 Active Directory 環境が機能的な OU 構造を保持しており、ターゲット ドメインは OU 構造を保持していないのなら、ソース ドメインの OU をそのまま移行します。 ターゲット ドメインで新しい OU 構造を作成するなら、OU を除いてユーザーを一括移行します。たとえば、ソース環境が Windows NT 4.0 ドメインからアップグレードした Windows Server 2003 ドメインなら、ソース ドメインは OU 構造を保持していないかもしれません。その場合、OU を移行しないでユーザーを移行できます。 OU 構造を作成するために追加の情報が必要であれば、[Designing Organizational Units for Delegation of Administration|http://go.microsoft.com/fwlink/?LinkId=76628] をご確認ください。 すべてのユーザー アカウントとグループ アカウントを移行するまで、ソース ドメイン内でグローバル グループ メンバーシップを管理し続けてください。ロールバック戦略をサポートするために、ターゲット ドメイン内のユーザーへ実施するあらゆる更新をソース ドメイン内に存在するユーザー アカウントへ手動同期します。フォレスト間の再構築プロセス中にユーザーとグループを管理するための追加の情報が必要であれば、[Managing Users, Groups, and User Profiles|http://technet.microsoft.com/en-us/library/0fc322c0-6d12-40d6-9abf-e139cd131b1f] をご確認ください。 ユーザー アカウントの移行時に OU を移行するなら、ユーザー アカウントの移行プロセス中にそれらの OU に所属するグループをターゲット ドメインの OU に移行してください。グローバル グループの移行プロセス (おそらく [Migrating Global Groups|http://technet.microsoft.com/en-us/library/cc974366.aspx] を示している) を使用したグローバル グループの移行時は、それらはターゲット ドメイン内のターゲット OU に配置されています。ソース ドメインからターゲット ドメインへ OU を移行するなら、同時にグローバル グループをターゲット ドメインへ移動することを選択します。この場合、グループはターゲット OU からそれらが所属する OU へ最初のグローバル グループの移行中に移されます。 ADMT を使用したユーザー アカウントの移行はグループ メンバーシップを保持します。グローバル グループはグループが配置されたドメインからのメンバーだけを包含でき、ユーザーが新しいドメインに移行したときに、ターゲット ドメイン内のユーザー アカウントはソース ドメイン内のグローバル グループのメンバーにできません。移行作業において、ADMT はユーザー アカウントが属するソース ドメインのグローバル グループを識別し、グローバル グループが移行されたかどうかを判断します。ADMT がソース ドメイン内のグローバル グループに所属していた移行済みユーザーをターゲット ドメイン内で識別すると、ADMT はターゲット ドメイン内の適切なグローバル グループにユーザーを追加します。 ADMT を使用したユーザー アカウントの移行はパスワードも保持します。移行し終えた後にターゲット ドメインでユーザー アカウントを有効にすることで、ユーザーは元のパスワードを使用してターゲット ドメインへログオンできます。ユーザーのログオン後は、パスワードの変更が促されます。 ユーザー アカウントの移行プロセスは成功したもののパスワードの移行に失敗したなら、ADMT は新しい複雑なパスワード (complex password) をターゲット ドメイン内の対象ユーザー アカウントに作成します。デフォルトでは、ADMT は新しい複雑なパスワードを "C:\Program Files\Active Directory Migration Tool\Logs\Password.txt" に保存します。 ターゲット ドメインのグループ ポリシーでブランク パスワードを許可しないよう設定している場合 ("Default Domain Policy/コンピュータの構成/セキュリティ設定/アカウント ポリシー/パスワードのポリシー/パスワードの長さ" に "0" 以外を設定している場合)、ユーザーがブランク パスワードを設定しているとパスワードの移行が失敗します。ADMT は複雑なパスワードを設定し、エラーをエラー ログに記録します。 新しいパスワードが設定されたことをユーザーに通知する方法を確立します。たとえば、ユーザーへ電子メールを送信するスクリプトを使用し新しいパスワードを通知します。 次の図はリソースへのアクセスのために SID 履歴を使用する場合のアカウント移行に関するステップを示します。 ""イラストは省略 !!!書いた人 2008 年 11 月 19 日 やまにょん作成