Cómo exportar hashes y usuarios de dominio publicitario de 32 bits de Windows 2003
El método para implementar la migración de AD entre dos controladores de dominio es el siguiente: Pasos de migración de cuenta de usuario y contraseña de AD
Prólogo
Utilizando la herramienta de migración de Microsoft Active Directory, puede migrar AD entre dos controladores de dominio. Migrar cuentas de usuario, grupo, computadora y otras cuentas entre dominios AD independientes. La versión 2.0 puede migrar cuentas de usuario y contraseñas. Este documento describe cómo migrar cuentas de usuario y contraseñas de AD entre dos dominios AD Win2K independientes. .
Pasos de la operación
1. Establezca una relación de confianza bidireccional entre el dominio de destino y el dominio de origen.
2. Agregue la cuenta de administrador del sistema (Administrador) del dominio de destino al grupo de Administradores local (Administradores) en el controlador de dominio del dominio de origen.
3. Instale el paquete de cifrado de 128 bits de Win2K en los controladores de dominio del dominio de destino y del dominio de origen respectivamente. (No sé si esta parte es necesaria, pero instalé el paquete de cifrado en funcionamiento real. Y según la información de Microsoft, el cifrado de 128 bits ya está incluido en el producto estándar Win2K)
4. En el dominio de destino Instale ADMT versión 2.0 en el controlador de dominio.
5. Vea las propiedades del grupo integrado del sistema "Acceso compatible con versiones anteriores a Windows 2000" en el dominio de destino y verifique si "Miembros" incluye a Todos. De lo contrario, se deben agregar todos y reiniciar el servidor. (Este grupo ya incluye a Todos de forma predeterminada).
6. Compruebe si la política de seguridad entre el dominio de destino y el dominio de origen afectará la migración de contraseñas, como restricciones de longitud de contraseñas, etc. De ser así, es necesario realizar los ajustes correspondientes.
7. Introduzca el siguiente comando en el símbolo del sistema del controlador de dominio del dominio de destino para guardar el archivo de contraseña: admt key SourceDomainName DriveLetter [Contraseña].
Nota:
l Aunque este archivo de contraseña se puede guardar en cualquier disco (incluidos disquetes y discos duros), se recomienda guardarlo en un disquete por razones de seguridad.
l Si reemplaza la contraseña con un asterisco "*", se le pedirá que ingrese la contraseña.
l SourceDomainName debe ser el nombre NetBIOS del dominio de origen.
8. Se recomienda seleccionar un BDC en el dominio de origen como servidor de exportación de contraseñas.
9. Ejecute Pwdmig.exe en el servidor de exportación de contraseñas del dominio de origen y luego seleccione el archivo de contraseña generado en el paso 7 (como insertar un disquete) en el mensaje correspondiente si la contraseña es. ingresada en el paso 7, luego también se debe ingresar una contraseña.
10. En el servidor de exportación de contraseñas del dominio de origen, abra y modifique el registro en HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Lsa, cambie el valor de AllowPasswordExport: REG_DWORD de 0 a 1. Luego reinicie la computadora.
11. Ejecute ADMT versión 2.0 en el controlador de dominio del dominio de destino, seleccione migrar cuentas de usuario, seleccione migrar contraseñas en la opción de contraseña y siga las instrucciones para completar la migración de cuentas y contraseñas.