Windows Active Directory帐户移动/无连接
我有一个一次性业务需求,需要将大约10000个AD帐户从各种OU移动到另一个域。由于移动是在锁定的内部数据中心与云中的广告之间进行的。因此,我无法在这两个域之间建立连接。一个应用程序正在从DC迁移到云端,以减轻安全限制,我们希望避免所有帐户上的大规模密码更改 我没有太多的广告经验,因为我更像是一个应用程序开发人员,而不是一个安全基础设施的老手——所以这里是我可能无知的问题 我使用DSInternals.com使用Get-ADReplaccount(Windows Server 2008 R2)转储域,并将数据保存到文件中,但我不知道在这一点之后该怎么做 我希望现在可以使用这些数据将帐户导入到另一个域(位于不同的OU下),并将它们(包括密码散列)全部“导入”到另一台服务器上的新域中Windows Active Directory帐户移动/无连接,windows,encryption,active-directory,passwords,Windows,Encryption,Active Directory,Passwords,我有一个一次性业务需求,需要将大约10000个AD帐户从各种OU移动到另一个域。由于移动是在锁定的内部数据中心与云中的广告之间进行的。因此,我无法在这两个域之间建立连接。一个应用程序正在从DC迁移到云端,以减轻安全限制,我们希望避免所有帐户上的大规模密码更改 我没有太多的广告经验,因为我更像是一个应用程序开发人员,而不是一个安全基础设施的老手——所以这里是我可能无知的问题 我使用DSInternals.com使用Get-ADReplaccount(Windows Server 2008 R2)转
如果使用Get-AdreplaceCount进行提取,那么使用该数据的SET-cmdlet是什么?您可以从DSInternals模块使用SET-SamAccountPasswordHash cmdlet将NTLM哈希导入AD。例如:
Set-SamAccountPasswordHash -SamAccountName john -Domain ADATUM -NTHash 92937945b518814341de3f726500d4ff -Server dc1.adatum.com
尽管如此,还是鼓励强制更改密码,因为这样的帐户将丢失Kerberos AES密钥,因此在以这种方式迁移的帐户的身份验证过程中,只会使用Kerberos RC4。免责声明:我没有使用Get-AdreplaceCount工具。我可以告诉你的是,将AD用户从一个域迁移到另一个域,同时保留其密码的首选工具是ADMT()。ADMT是一个相对易于使用的实用工具,它有一个向导界面,可以引导您浏览要迁移的帐户。由于您的业务客户在许多不同的OU中拥有帐户,因此您可以一次将帐户迁移到云域中的一个OU。为什么会将此答案标记下来?请就原因发表意见