ADMT y PWDMIG – Migrar cuentas de usuarios de NT4 o W2K a W2K3

En este procedimiento se explica cómo migrar cuentas de usuario desde cualquier Windows a Windows 2003. Está detallado para hacerlo desde MS Windows NT 4 Server SP6a, se migrarán las cuentas de usuario & grupos al Directorio Activo de MS Windows 2003.

Lo primero es instalar en el Windows 2003 la utilidad ADMT (Active Directory Migration Tool), se puede descargar de AKI, ejecutamos y Siguiente.

Aceptamos la licencia > Next.

Seleccionamos el path, por defecto está bien, Siguiente,

Siguiente,

Esperamos a que instale la utilidad…

Ok, finalizamos.

Desde el mismo Windows 2003 tenemos que generar un certificado que nos permita extraer las contraseñas de los ususarios de NT, para ello. abrimos una ventana de MSDOS y escribimos: “admt key DOMINIOORIGEN C:path”. Cuando DOMINIORIGEN es el dominio que corre en NT, y el Path es la carpeta donde nos guardará el certificado. Importante, la carpeta debe de existir para que ese comando funcione bien. Guardamos el certificado por ejemplo en un disket, luego habrá que llevarlo hasta el Windows NT4.

Bien, ahora nos vamos al Windows NT4 (al PDC) e instalamos la herramienta de migración de contraseñas, llamada PWDMIG (descargable AKI). La instalamos, Siguiente…

Le debemos indicar el certificado que hemos generado anteriormente en el MS Windows 2003, después Siguiente,

Siguiente,

Y finalizó correctamente, hay que reiniciar OBLIGATORIAMENTE el NT4.

Sí.

Una vez reiniciado el NT4 modificamos la siguiente entrada en el registro del propio NT4:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
Y si no existe la entrada AllowPasswordExport la creamos, y si existe la modificamos y ponemos un 1 de valor.

Obligatorio volver a reiniciar. Una vez finalizado todo el proceso de exportación de usuarios habría que volver a dejarlo como estaba esta situación.

Nos vamos al servidor con Windows 2003, abrimos la consola de “Usuarios y Equipos del Directorio Activo”. Buscamos en la carpeta “Builtin” un grupo llamado “Acceso compatible con versiones anteriores de Windows 2000”, una vez encontrado, botón derecho > Propiedades. Nos situamos en la pestaña de “Miembros” y agregamos al grupo “Todos”. Una vez finalizado todo el proceso de exportación de usuarios habría que volver a dejarlo como estaba esta situación.

Entramos ahora en la consola de “Directiva de seguridad del controlador de dominio” (en las herramientas administrativas del MS Windows 2003). Vamos a “Configuración de seguridad” > “Directivas locales” > “Opciones de seguridad” > “Acceso de red: deja que los permisos de Todos se apliquen a los usuarios anonimos”, doble click > y la habilitamos. Una vez finalizado todo el proceso de exportación de usuarios habría que volver a dejarlo como estaba esta situación.

Para aplicar los cambios de arriba, en una ventana de MSDOS del Windows 2003, escribimos: gpupdate /force, para que se apliquen las políticas de forma inmediata.

Seguimos, cerramos la pantalla de MSDOS, vamos a Inicio > Ejecutar y escribimos “mmc” > Aceptar. (desde el Windows 2003).

“Archivo” > “Agregar o quitar complemento…”

Botón “Agregar…”

Seleccionamos “Active Directory Migration Tool” y “Agregar” & “Cerrar”.

Sobre “Active Directory Migration Tool” > botón derecho > “User Account Migration Wizard”.

Siguiente,

Migrar ahora… aunque siempre si queréis se pueden hacer pruebas.

Si los dos dominios están en red y se ven, los seleccionamos de las listas o los escribimos. Es importante que estén en la misma LAN y con el mismo rango IP, si no, no hacemos nada. Siguiente.

En esta pantalla debemos seleccionar las cuentas de usuario que queremos migrar, para ello > botón de “Add…”

“Avanzadas…”

Le damos a “Buscar ahora” y nos salen todos los usuarios del PDC, con Windows NT4, seleccionamos todas las que queramos traer al dominio basado en Windows 2003.

Siguiente,

Nos indica en que unidad organizativa les meteremos, podemos hacerlo a voleo y que lo guarde en la de Users, pero es más limpio crearse una UO en el Directorio Activo y meterles ahí. Browse…

La mia se llama “UO de ejemplo para los usuarios de NT”, Aceptar.

Ok, Siguiente,

Este paso es importante. Nos indica que contraseñas establecerá a los usuarios cuando los creé en el DA de Windows 2003, a mi me interesa que me migre las mismas contraseñas que tienen en NT4 (imprescindible hacer los pasos de ariba, sobre pwdmig), si indicamos “Complex passwords” nos creará unas aleatorias y nos las guarda en un fichero de texto. La opción del medio es lógica. Seleccionamos que las migre.

Que hara con las cuentas originales? deshabilitarlas? con las del destino? Bueno esto cada uno como quiera, importante decirle que migre el SID de cada usuario.

Si

Si

Si

Si

Si, nos reinicia el NT4, obligatorio

Esta pantalla saldría en el Windows NT4, con el reinicio obligatorio.

Esperamos hasta que reinicie el NT4, esta pantalla es del Windows 2003. Una vez reiniciado el NT pulsamos en “Aceptar”.

Vale, metemos usuario y contraseña con privilegios de administrador del dominio de NT, y Siguiente,

Seleccionamos las opciones que nos interesen migrar de los usuarios…

En caso de conflicto… ¿que? Pues que los renombre con NT_loquesea. Siguiente,

Finalizar para comenzar a migrar los usuarios de un dominio al directorio activo,

Esperamos un rato a que copie los usuarios… y una vez finalizado “Close” .

Comprobamos en el Directorio Activo del Windows 2003 y efectivamente las cuentas de usuario y los grupos relacionados a ellos..