Guia ADMT

Guía de ADMT: Migración y reestructuración
de dominios de Active Directory

Microsoft Corporation
Publicado: Junio de 2010
Autor: Justin Hall
Editores: Jim Becker, Margery Spears
Resumen
En esta guía se explica cómo usar la Herramienta de migración para Active Directory® Migration
Tool versión 3.1 (ADMT v3.1) o ADMT v3.2 para migrar usuarios, grupos, cuentas de servicio
administradas y equipos entre dominios de Active Directory en bosques diferentes (migración
entre bosques) o entre dominios de Active Directory en el mismo bosque (migración interna del
bosque). También se muestra cómo usar ADMT para realizar la conversión de seguridad entre
distintos bosques de Active Directory.
La información contenida en este documento, incluidas las direcciones URL y las referencias a
otros sitios Web de Internet, está sujeta a cambios sin previo aviso. A menos que se indique lo
contrario, los nombres de las compañías, organizaciones, productos, nombre de dominio,
direcciones de correo electrónico, logotipos, personas, lugares y acontecimientos aquí
mencionados son ficticios y no representan de ningún modo a ninguna compañía, organización,
producto, nombre de dominio, dirección de correo electrónico, logotipo, persona, lugar o
acontecimiento real. Es responsabilidad del usuario el cumplimiento de todas las leyes de
derechos de autor aplicables. Sin limitación en los derechos de autor, ninguna parte de este
documento puede reproducirse o transmitirse de ninguna forma, ni por ningún medio, ya sea
electrónico, mecánico, fotocopiado, grabado o cualquier otro, con ningún propósito, sin la previa
autorización por escrito de Microsoft Corporation.
Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y
otros derechos de propiedad intelectual sobre el contenido de este documento. El suministro de
este documento no le otorga ninguna licencia sobre estas patentes, marcas, derechos de autor u
otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato por escrito
de licencia de Microsoft.
© 2010 Microsoft Corporation. Reservados todos los derechos.
Active Directory, Microsoft, Windows y Windows Server son marcas registradas o marcas
comerciales de Microsoft Corporation en EE.UU. y/o en otros países.
Los nombres de compañías reales y productos que se mencionan aquí pueden ser marcas
registradas de sus respectivos propietarios.
Contenido
Guía de ADMT: Migración y reestructuración de dominios de Active Directory.............................10
Reestructuración de dominios de Active Directory entre bosques.............................................11
Reestructuración de dominios de Active Directory dentro de un mismo bosque.......................11
Términos y definiciones............................................................................................................. 12
Herramienta de migración para Active Directory.......................................................................13
Uso de un archivo de inclusión..............................................................................................15
Campo SourceName.......................................................................................................... 16
Campo TargetName............................................................................................................ 16
Campos TargetRDN, TargetSAM y TargetUPN...................................................................17
Cambio de nombre de objetos............................................................................................17
Uso de un archivo de exclusión..........................................................................................18
Uso de secuencias de comandos..........................................................................................18
Herramienta de migración Active Directory: versiones y entornos admitidos................................20

Compatibilidad con características de Windows Server............................................................23
Prácticas recomendadas para la migración de Active Directory...................................................24
Prácticas recomendadas para el uso de la Herramienta de migración para Active Directory.......24
Prácticas recomendadas para la realización de migraciones de cuentas de grupo y usuario......25
Prácticas recomendadas para realizar migraciones de equipos...................................................27
Prácticas recomendadas para revertir una migración...................................................................27
Reestructuración de dominios de Active Directory entre distintos bosques..................................28
Lista de comprobación: Realización de una migración entre bosques.........................................29
Introducción a la reestructuración de dominios de Active Directory entre bosques......................32
Proceso para la reestructuración de Active Directory entre bosques............................................32
Información general básica para la reestructuración de dominios de Active Directory entre

bosques..................................................................................................................................... 33
Proceso de migración de cuenta............................................................................................... 34
Proceso de migración de recursos............................................................................................35
Planeamiento para la reestructuración de dominios de Active Directory entre bosques...............35
Determinación del proceso de migración de cuentas...................................................................36
Uso del historial de SID para conservar el acceso a recursos......................................................38

Uso de filtrado de SID al migrar cuentas de usuarios...................................................................39
Asignación de las funciones y ubicaciones de objetos.................................................................40
Desarrollo de un plan de prueba para la migración......................................................................42
Creación de un plan de reversión.................................................................................................44
Administración de usuarios, grupos y perfiles de usuario.............................................................45

Administración de cuentas de usuario.......................................................................................46
Atributos que el sistema excluye siempre..............................................................................47
Lista de exclusión de atributos del sistema............................................................................47
Lista de exclusión de atributos............................................................................................... 47
Administración de grupos globales............................................................................................ 47
Planeamiento para la migración de perfil de usuario.................................................................48
Preparación para la migración de perfiles móviles con equipos que ejecutan Windows Vista y
Windows 7.......................................................................................................................... 49
Creación de un plan de comunicación con los usuarios finales....................................................51

Información general................................................................................................................... 51
Impacto...................................................................................................................................... 52
Estado de inicio de sesión durante la migración.......................................................................52
Pasos de migración previa........................................................................................................ 52
Cambios esperados................................................................................................................... 52
Programación e información de soporte técnico.......................................................................52
Preparación de los dominios de origen y destino.........................................................................52
Instalación de software de cifrado alto de 128 bits.......................................................................53
Establecimiento de confianzas necesarias para la migración.......................................................54
Establecimiento de cuentas de migración para la migración........................................................54
Configuración de los dominios de origen y destino para la migración del historial de SID...........59
Configuración de la estructura de unidades organizativas del dominio de destino para la

administración........................................................................................................................... 61
Instalación de ADMT en el dominio de destino.............................................................................61

Instalación de ADMT v3.1.......................................................................................................... 62
Requisitos previos para la instalación de ADMT v3.1............................................................62
Instalación de ADMT v3.1 usando el almacén de la base de datos predeterminado.............62
Instalación de ADMT v3.2.......................................................................................................... 65
Requisitos previos para la instalación de ADMT v3.2............................................................65
Instalar ADMT v3.2................................................................................................................. 66
Separar un archivo de base de datos existente de una versión anterior de ADMT y de
SQL Server............................................................................................................................ 67
Reconfigurar la instalación de la base de datos con Admtdb.exe.............................................67
Reutilizar una base de datos de ADMT existente desde una instalación anterior.....................69
Habilitación de la migración de contraseñas.................................................................................70
Inicialización de ADMT ejecutando una migración de prueba.......................................................73
Identificación de cuentas de servicios para la migración..............................................................76

Identificación de las cuentas de servicio...................................................................................76
Migración de cuentas.................................................................................................................... 81
Transición de cuentas de servicio en su migración.......................................................................82
Migración de grupos globales....................................................................................................... 88
Migración de cuentas mientras utiliza el historial de SID..............................................................93
Migración de cuentas de servicio administradas..........................................................................96
Migración de todas las cuentas de usuario.................................................................................101
Repetición de la migración de las cuentas de usuario y migración de las estaciones de trabajo en

lotes......................................................................................................................................... 108
Conversión de perfiles de usuario local...................................................................................108
Migración de estaciones de trabajo en lotes............................................................................113
Repetición de la migración de las cuentas de usuarios en lotes..............................................119
Repetición de la migración de todos los grupos globales después de la migración de cuenta de
usuario................................................................................................................................. 125
Repetición de la migración de todos los grupos globales después de migrar todos los lotes.....125
Migración de cuentas sin utilizar el historial de SID....................................................................130
Migración de cuentas de servicio administradas........................................................................132
Migración de todas las cuentas de usuario.................................................................................137
Conversión de seguridad en modo Agregar................................................................................143
Repetición de la migración de las cuentas de usuario y migración de las estaciones de trabajo en

lotes......................................................................................................................................... 148
Conversión de perfiles de usuarios locales.............................................................................148
Migración de estaciones de trabajo en lotes...........................................................................153
Repetición de la migración de las cuentas de usuarios en lotes.............................................159
Repetición de la migración de todos los grupos globales después de la migración de cuenta de
usuario................................................................................................................................. 164
Repetición de la migración de todos los grupos globales después de migrar todos los lotes.....165
Conversión de seguridad en modo Quitar..................................................................................169
Migración de recursos................................................................................................................. 173
Migración de estaciones de trabajo y servidores miembro.........................................................174
Migrar grupos locales compartidos y de dominios......................................................................181
Migración de controladores de dominio......................................................................................184
Finalización de la migración........................................................................................................ 185
Conversión de seguridad en los servidores miembro.................................................................186
Cómo dar de baja el dominio de origen......................................................................................190
Reestructuración de dominios de Active Directory dentro de un mismo bosque........................190
Lista de comprobación: Realización de una migración dentro del mismo bosque......................191
Introducción a la reestructuración de dominios de Active Directory dentro de un bosque mediante

................................................................................................................................................ 194
Reestructuración de dominios de Active Directory dentro de un bosque mediante ADMT v3.1..194
Información general para la reestructuración de dominios de Active Directory dentro de un

bosque..................................................................................................................................... 195
Conjuntos cerrados y conjuntos abiertos.................................................................................195
Usuarios y grupos................................................................................................................ 196
Recursos y grupos locales................................................................................................... 197
Historial de SID........................................................................................................................ 198
Asignación de acceso de recursos a grupos...........................................................................198
Preparación para la reestructuración de dominios de Active Directory dentro de un bosque.....198
Evaluación de la nueva estructura de bosque de Active Directory.............................................199

Identificar los dominios de origen............................................................................................ 200
Identifique y evalúe la estructura de unidades organizativas del dominio de destino..............200
Asignación de las funciones y ubicaciones de objetos de dominio.............................................200
Plan para la migración de grupos............................................................................................... 202
Plan para migraciones de prueba...............................................................................................204
Crear un plan de reversión......................................................................................................... 206
Crear un plan de comunicación con los usuarios finales............................................................207

Información general................................................................................................................. 208
Impacto.................................................................................................................................... 208
Estado de inicio de sesión durante la migración.....................................................................208
Pasos de migración previa...................................................................................................... 208
Cambios esperados................................................................................................................. 208
Programación e información de soporte técnico.....................................................................209
Creación de grupos de cuentas de migración.............................................................................209
Instalación de ADMT en el dominio de destino...........................................................................211

Instalación de ADMT v3.1........................................................................................................ 212
Requisitos previos para la instalación de ADMT v3.1..........................................................212
Instalación de ADMT v3.1 usando el almacén de la base de datos predeterminado...........212
Instalación de ADMT v3.2........................................................................................................ 215
Requisitos previos para la instalación de ADMT v3.2..........................................................215
Instalar ADMT v3.2............................................................................................................... 216
Separar un archivo de base de datos existente de una versión anterior de ADMT y de
SQL Server.......................................................................................................................... 217
Reconfigurar la instalación de la base de datos con Admtdb.exe...........................................218
Reutilizar una base de datos de ADMT existente desde una instalación anterior...................220
Plan para transiciones de cuentas de servicios..........................................................................221
Ejemplo: Preparación para la reestructuración de dominios de Active Directory........................226
Migración de objetos de dominio entre dominios de Active Directory.........................................226
Migración de grupos................................................................................................................... 227
Migrar grupos universales........................................................................................................... 228
Migrar grupos globales............................................................................................................... 232
Migrar cuentas de sercivios........................................................................................................ 237
Migración de cuentas de servicio administradas........................................................................242
Migrar cuentas de usuario.......................................................................................................... 247
Migración de unidades organizativas y subárboles de unidades organizativas..........................248
Migración de cuentas.................................................................................................................. 248
Conversión de perfiles de usuarios locales.................................................................................254
Migración de estaciones de trabajo y servidores miembro.........................................................258
Migrar grupos locales de dominios.............................................................................................265
Ejemplo: Reestructuración de dominios de Active Directory.......................................................268
Finalización de las tareas posteriores a la migración.................................................................269
Examen de los registros de migración en busca de errores.......................................................270

Acceso a archivos de registro de ADMT..................................................................................270
Comprobar tipos de grupos........................................................................................................ 270
Conversión de seguridad en los servidores miembro.................................................................271
Conversión de seguridad mediante un archivo de asignación SID.............................................275
Baja del dominio de origen......................................................................................................... 276
Ejemplo: Finalización de las tareas posteriores a la migración...................................................276
Apéndice: Procedimientos avanzados........................................................................................276
Configurar un controlador de dominio preferido..........................................................................277
Cambiar los nombres de objetos durante la migración...............................................................279
Uso de un archivo de inclusión................................................................................................... 280

Especificación de un archivo de inclusión...............................................................................280
Uso de un archivo de opciones................................................................................................... 283
Solución de problemas de ADMT...............................................................................................284
Solución de problemas de instalación de ADMT.........................................................................285
Solución de problemas relativos a la migración de usuarios......................................................286
Solución de problemas relativos a la migración de grupos.........................................................288
Solución de problemas relativos a la migración de cuentas de servicios....................................288
Solución de problemas relativos a la migración de cuentas de servicios administradas............290
Solución de problemas relativos a la migración de equipos.......................................................292
Solución de problemas relativos a la migración de contraseñas................................................293
Solución de problemas relativos a la conversión de seguridad..................................................295
Solución de problemas relativos a la migración dentro de un mismo bosque.............................297
Solución de problemas relativos a los archivos de registro de ADMT........................................298
Solución de problemas relativos a la línea de comandos de ADMT...........................................300
Solución de problemas relativos a las operaciones de agentes.................................................300
Recursos adicionales.................................................................................................................. 302

Información relacionada.......................................................................................................... 302
Herramientas relacionadas...................................................................................................... 302
Ayudas para tareas relacionadas............................................................................................ 302
Guía de ADMT: Migración y reestructuración
de dominios de Active Directory
Afecta a: Herramienta de migración Active Directory 3.1 (ADMT 3.1) y ADMT 3.2
Si desea obtener una versión descargable de esta guía en formato .doc, consulte la Guía ADMT:
Migración y reestructuración de dominios de Active Directory (http://go.microsoft.com/fwlink/?
LinkId=191734) (en inglés).
Como parte de la implementación del servicio de directorio de Active Directory® o de Servicios
de dominio de Active Directory (AD DS), puede elegir reestructurar su entorno por los motivos
siguientes:
 Para optimizar la disposición de los elementos dentro de la estructura lógica de Active
Directory
 Para ayudar a finalizar una fusión, adquisición o desinversión empresarial
La reestructuración implica la migración de recursos entre los dominios de Active Directory bien
en el mismo bosque o en distintos bosques. Después de implementar Active Directory o AD DS,
podrá decidir si desea reducir aún más la complejidad de su entorno reestructurando dominios
entre bosques o reestructurando dominios dentro de un solo bosque.
Puede usar la Herramienta de migración Active Directory (ADMT) para realizar migraciones de
objetos y conversiones de seguridad, en caso necesario, con el fin de que los usuarios puedan
mantener el acceso a los recursos de red durante el proceso de migración. Para obtener más
información acerca de las diferentes versiones de ADMT que existen, de cuándo usar cada una y
de cómo obtenerlas, consulte Herramienta de migración Active Directory: versiones y entornos
admitidos.
En esta guía
 Prácticas recomendadas para la migración de Active Directory
 Reestructuración de dominios de Active Directory entre distintos bosques
 Reestructuración de dominios de Active Directory dentro de un mismo bosque
 Apéndice: Procedimientos avanzados
 Solución de problemas de ADMT
 Recursos adicionales
En las siguientes secciones se explican los principales escenarios de migración para el uso de
ADMT. Una vez que determine el escenario adecuado para su entorno, siga los pasos
correspondientes que se describen más adelante en esta guía.
10
Importante Importante
Reestructuración de dominios de Active Directory
entre bosques
Es posible que desee realizar una reestructuración entre distintos bosques por cambios
empresariales, como fusiones, adquisiciones o desinversiones, en los que las organizaciones
deben combinar o dividir recursos. Como parte del proceso de reestructuración, cuando migra
objetos entre bosques, tanto los entornos de dominio de origen como el de destino existen
simultáneamente. Esto hace posible que, si fuera necesario, se pueda revertir al entorno de
origen durante la migración.
No se admite la división o clonación de bosques, por ejemplo, para acomodar la desinversión de
una organización. Para obtener más información, consulte Limitaciones de la reestructuración
(http://go.microsoft.com/fwlink/?LinkId=121736).
Si utiliza ADMT v3.1, todos los dominios de destino deben estar al menos en el nivel
funcional nativo de Microsoft Windows® 2000. Si utiliza ADMT v3.2, todos los dominios
de origen y destino deben estar al menos en el nivel funcional de Windows
Server® 2003.
Reestructuración de dominios de Active Directory

dentro de un mismo bosque
Cuando reestructura los dominios de un bosque, puede consolidar su estructura de dominio y
reducir la complejidad y sobrecarga administrativa. A diferencia del proceso de reestructuración
de dominios entre bosques, cuando se reestructuran dominios de un bosque, las cuentas
migradas ya no existen en el dominio de origen. Por tanto, la reversión de la migración sólo
puede tener lugar cuando se realiza de nuevo el proceso de migración en orden inverso desde el
dominio de destino anterior al dominio de origen anterior.
Si utiliza ADMT v3.1, todos los dominios de destino deben estar al menos en el nivel
funcional nativo de Windows 2000. Si utiliza ADMT v3.2, todos los dominios de origen y
destino deben estar al menos en el nivel funcional de Windows Server 2003.
En la tabla siguiente se muestran las diferencias entre una reestructuración de dominios entre
distintos bosques y una reestructuración de dominios dentro del mismo bosque.
Consideración de Restructuración entre distintos bosques Restructuración dentro

migración del mismo bosque
Preservación de Los objetos se clonan más que migran. El Los objetos de grupo y
objetos objeto original permanece en la ubicación de de usuario se migran y
origen para mantener el acceso a los recursos ya no existen en la
para los usuarios. ubicación de origen.
Los objetos de la
cuenta de servicio
administrada y del
11
Consideración de Restructuración entre distintos bosques Restructuración dentro
migración del mismo bosque
equipo copiados y las

cuentas originales
permanecen habilitadas
en el dominio de origen.
Mantenimiento del El mantenimiento del historial de SID es El historial de SID es

historial de SID opcional necesario para el
usuario, el grupo y las
cuentas de equipo,
pero no para las
cuentas de servicio
administradas.
Conservación de La conservación de contraseña es opcional. Las contraseñas

contraseña siempre se conservan.
Migración de perfiles Debe usar herramientas como ADMT para Los perfiles locales se
locales migrar perfiles locales. migran
automáticamente dado
que se preserva el
identificador único
global (GUID) del
usuario.
Conjuntos cerrados No tiene que migrar cuentas en conjuntos Debe migrar las
cerrados. Para obtener más información, cuentas en conjuntos
consulte Información general para la cerrados.
reestructuración de dominios de Active
Directory dentro de un bosque
Términos y definiciones
Los términos siguientes se aplican al proceso de reestructuración de dominios de Active
Directory.
Migración Proceso de mover o copiar un objeto de un dominio de origen a un dominio de
destino, a la vez que se mantienen o modifican las características del objeto para hacerlo
accesible en el nuevo dominio.
Reestructuración de dominios Proceso de migración que implica el cambio de la estructura
de dominios de un bosque. Una reestructuración de dominios puede implicar la consolidación o
adición de dominios, y puede producirse entre bosques o dentro de un bosque.
12
Objetos de migración Objetos del dominio que se mueven desde el dominio de origen al
dominio de destino durante el proceso de migración. Los objetos de migración pueden ser
cuentas de usuario, cuentas de servicio, grupos o equipos.
Dominio de origen El dominio desde el que se mueven los objetos durante una migración. Al
reestructurar dominios de Active Directory entre bosques, el dominio de origen es un dominio de
Active Directory en un bosque diferente del dominio de destino.
Dominio de destino El dominio al que se mueven los objetos durante una migración.
Cuentas integradas Grupos de seguridad predeterminados con conjuntos comunes de
derechos y permisos. Puede usar cuentas integradas para conceder permisos a cuentas o
grupos que designe como miembro de dichos grupos. Los SID de cuentas integradas son
idénticos en todos los dominios. Por lo tanto, las cuentas integradas no pueden ser objetos de
migración.
Herramienta de migración para Active Directory

Puede usar ADMT para migrar objetos en los bosques de Active Directory. Esta herramienta
incluye asistentes que automatizan las tareas de migración, como la migración de usuarios,
grupos, cuentas de servicio, equipos y confianzas y la realización de conversión de seguridad.
Puede ejecutar tareas de ADMT usando la consola de ADMT, una línea de comandos o un script.
Cuando ejecuta ADMT en la línea de comandos, con frecuencia es más eficaz usar un archivo de
opciones para especificar las opciones de línea de comandos. Puede usar la referencia del
archivo de opciones de ADMT del ejemplo siguiente para ayudarle a crear archivos de opciones.
Se incluyen ejemplos de sintaxis de línea de comandos para cada tarea que debe realizar para
reestructurar los dominios dentro del bosque.
En la lista siguiente se muestran las opciones comunes que se aplican a varias tareas de
migración. Cada tipo de tarea de migración cuenta con una sección que muestra las opciones
específicas de dicha tarea. El nombre de la sección se corresponde con el nombre de la tarea
cuando ejecuta ADMT en la línea de comandos. Puede incluir comentarios de los elementos
agregando un punto y coma. En la lista siguiente, se incluyen comentarios de los valores
predeterminados.
[Migración]
;IntraForest=No
;SourceDomain="nombre_dominio_origen"
;SourceOu="ruta_acceso_unidad_organizativa_origen"
;TargetDomain="nombre_dominio_destino"
;TargetOu="ruta_acceso_unidad_organizativa_destino"
;PasswordOption=Complex
;PasswordServer=""
;PasswordFile=""
13
;ConflictOptions=Ignore
;UserPropertiesToExclude=""
;InetOrgPersonPropertiesToExclude=""
;GroupPropertiesToExclude=""
;ComputerPropertiesToExclude=""
[Usuario]
;DisableOption=EnableTarget
;SourceExpiration=None
;MigrateSIDs=Yes
;TranslateRoamingProfile=No
;UpdateUserRights=No
;MigrateGroups=No
;UpdatePreviouslyMigratedObjects=No
;FixGroupMembership=Yes
;MigrateServiceAccounts=No
;UpdateGroupRights=No
[Grupo]
;MigrateSIDs=Yes
;UpdatePreviouslyMigratedObjects=No
;FixGroupMembership=Yes
;UpdateGroupRights=No
;MigrateMembers=No
;DisableOption=EnableTarget
;SourceExpiration=None
;TranslateRoamingProfile=No
;MigrateServiceAccounts=No
[Seguridad]
;TranslationOption=Add
;TranslateFilesAndFolders=No
;TranslateLocalGroups=No
;TranslatePrinters=No
14
;TranslateRegistry=No
;TranslateShares=No
;TranslateUserProfiles=No
;TranslateUserRights=No
;SidMappingFile="SidMappingFile.txt"
Cuando ejecuta ADMT en la línea de comandos, no tiene que incluir una opción en el comando si
desea aceptar el valor predeterminado. Sin embargo, en esta guía, se incluyen como referencia
las tablas que muestran los posibles parámetros y valores. En las tablas se enumera el
equivalente en línea de comandos de cada opción que se muestra en el procedimiento
correspondiente de la consola de ADMT, incluyendo esas opciones para las que acepta el valor
predeterminado.
Puede copiar la referencia del archivo de opciones en el Bloc de notas y guardarla con una
extensión de nombre de archivo .txt.
Como ejemplo, para migrar un número pequeño de equipos, debería escribir el nombre de cada
equipo en la línea de comandos, usando la opción /N y, a continuación, enumerar otras opciones
de migración dentro de un archivo de opciones de la forma siguiente:
ADMT COMPUTER /N "<nombre_equipo1>" "<nombre_equipo2>" /O:"<archivo_opción>.txt"
Donde <nombre_equipo1> y <nombre_equipo2> son los nombres de equipos del dominio de

origen que va a migrar a este lote.
Uso de un archivo de inclusión

Cuando migre un gran número de usuarios, grupos o equipos, es más eficaz el uso de un archivo
de inclusión. Un archivo de inclusión es un archivo de texto en el que se incluyen los objetos de
usuario, grupo y equipo que desea migrar, con cada objeto en una línea separada. Debe usar un
archivo de inclusión si desea cambiar el nombre de los objetos durante la migración.
Puede incluir usuarios, grupos y equipos juntos en un archivo o puede crear un archivo
independiente para cada tipo de objeto. A continuación, especifique el nombre del archivo de
inclusión con la opción /F, de la forma siguiente:
ADMT COMPUTER /F "<nombre_archivo_inclusión>" /IF:YES /SD:"<dominio_origen>”
/TD:"<dominio_destino>" /TO:"<unidad_organizativa_destino>"
Para especificar los nombres de los usuarios, grupos o equipos, use una de las siguientes
convenciones:
 El nombre de cuenta del Administrador de cuentas de seguridad (SAM). Para especificar un
nombre de equipo en este formato, debe agregar un signo de dólar ($) al nombre del equipo.
Por ejemplo, para especificar un equipo con el nombre Workstation01, use Workstation01$.
 El nombre distintivo relativo (también conocido como RDN), por ejemplo, cn= Workstation01.
Si especifica la cuenta como un nombre distintivo relativo, debe especificar la unidad
organizativa de origen.
15
Nota
 El nombre canónico. Puede especificar el nombre canónico como nombre dominio

DNS/ruta_ou/nombre_objeto o ruta_ou/nombre_objeto, por ejemplo,
Asia.trccorp.treyresearch.net/Computers/Workstation01 o Computers/Workstation01.
En las secciones siguientes se describen los campos de un archivo de inclusión y se
proporcionan ejemplos de cada campo:
Campo SourceName
El campo SourceName especifica el nombre del objeto de origen. Puede especificar un nombre
de cuenta o un nombre distintitvo relativo. Si sólo especifica nombres de origen, es opcional
definir un encabezado en la primera línea del archivo.
En el ejemplo siguiente se muestra una línea de encabezado que especifica el campo
SourceName. En el ejemplo también se muestra un nombre de objeto de origen que se
especifica en varios formatos. La segunda línea especifica un nombre de cuenta. La tercera línea
especifica un nombre distintivo relativo.
SourceName
name
CN=name
Campo TargetName
Puede utilizar el campo TargetName para especificar un nombre base que se utilice para generar
un nombre distintivo relativo de destino, un nombre de cuenta del Administrador de cuentas de
seguridad (SAM) y un nombre principal de usuario de destino (UPN). El campo TargetName no
se puede combinar con otros campos de nombre de destino que se describen más adelante en
esta sección.
El UPN de destino se genera sólo para los objetos de usuario y sólo se genera un prefijo
de UPN. Se anexa un sufijo de UPN mediante un algoritmo que depende de si se define
un sufijo UPN para el OU de destino o para el bosque de destino. Si el objeto es un
equipo, el nombre de cuenta del SAM de destino incluye un sufijo "$".
En el ejemplo siguiente de entrada se genera un nombre distintivo relativo de destino, un nombre
de cuenta del SAM de destino y un UPN de destino como "CN=newname", "newname" y
"newname" respectivamente.
SourceName,TargetName
oldname, newname
Campos TargetRDN, TargetSAM y TargetUPN

Puede utilizar los campos TargetRDN, TargetSAM y TargetUPN para especificar los nombres de
destino diferentes para cada uno. Puede especificar una combinación de estos campos en
cualquier orden.
TargetRDN especifica el nombre distintivo relativo de destino del objeto.
16
Nota
TargetSAM especifica el nombre de cuenta del SAM de destino del objeto. En los equipos, el
nombre debe incluir un sufijo "$" para que sea un nombre de cuenta de SAM válido.
TargetUPN especifica el UPN de destino del objeto. Puede especificar sólo el prefijo de UPN o
un nombre completo de UPN (prefix@suffix). Si el nombre especificado contiene un espacio o
una coma, debe incluir el nombre entre comillas dobles (" ").
SourceName,TargetRDN
oldname, CN=newname
SourceName,TargetRDN,TargetSAM
oldname, "CN=New RDN", newsamname
SourceName,TargetRDN,TargetSAM,TargetUPN
oldname, "CN=last\, first", newsamname, newupnname
Una coma dentro del valor CN debe ir precedida de un carácter de escape ("\") o la
operación producirá un error y ADMT registrará un error de sintaxis no válida en el
archivo de registro.
SourceName,TargetSAM,TargetUPN,TargetRDN
oldname, newsamname, newupnname@targetdomain, "CN=New Name"
Cambio de nombre de objetos

Use el formato siguiente en un archivo de inclusión para cambiar el nombre del equipo, usuario u
objetos de grupo durante la migración:
 Use SourceName, TargetRDN, TargetSAM y TargetUPN como encabezados de columna
en la parte superior del archivo de inclusión. SourceName es el nombre de cuenta de origen
y se debe mostrar como el encabezado de la primera columna. Los encabezados de
columna TargetRDN, TargetSAM y TargetUPN son opcionales y pueden incluirlos en
cualquier orden.
 Debe especificar el nombre de cuenta como nombre de usuario, nombre distintivo relativo o
nombre canónico. Si especifica el nombre de cuenta como un nombre distintivo relativo,
también debe especificar la unidad organizativa (OU) de origen.
A continuación se incluyen ejemplos de archivos de inclusión válidos en los que se usa la opción
de cambio de nombre:
SourceName,TargetSAM
abc,def
Esta entrada del archivo de inclusión cambia el nombre de cuenta TargetSAM para el usuario
"abc" a "def". TargetRDN y TargetUPN, que no se han especificado en el archivo de inclusión,
no cambian como resultado de la migración.
SourceName,TargetRDN,TargetUPN
abc,CN=def,def@contoso.com
17
Importante
Esta entrada del archivo de inclusión cambia el TargetRDN para el usuario abc a CN=def y
TargetUPNo a def@contoso.com. TargetSAM para el usuario abc no cambia como resultado de
la migración.
Debe especificar CN= antes usando un valor RDN.
Uso de un archivo de exclusión

Puede excluir objetos de la migración utilizando un archivo de exclusión. Un archivo de exclusión
es un archivo de texto que enumera el atributo SAMAccountName de los objetos que desea
excluir. Por ejemplo, para excluir las siguientes cuentas de servicio administradas, cree un
archivo de texto:
MSA_USER5$
MSA_USER6$
A continuación, especifique el nombre del archivo de exclusión cuando ejecute el comando admt.
Por ejemplo:
admt managedserviceaccount /ef:”nombre de archivo de exclusión”
También puede excluir cuentas específicas con el parámetro /en:

admt managedserviceaccount /en:”cuenta de servicio administrada 1” “cuenta de servicio
administrada 2”
Uso de secuencias de comandos

Las secuencias de comandos de muestra que se incluyen en esta guía se refieren a las
constantes simbólicas que se definen en el archivo denominado AdmtConstants.vbs. La lista que
sigue a continuación muestra el archivo de constantes ADMT de Microsoft Visual Basic®
Scripting Edition (VBScript). Las constantes también se incluyen en la carpeta de instalación de
ADMT, en el archivo TemplateScript.vbs del directorio %systemroot%\WINDOWS\ADMT.
Para usar las secuencias de comandos de muestra de esta guía, copie el archivo VBScript de
constantes de ADMT en el Bloc de notas y guárdelo como AdmtConstants.vbs. Asegúrese de
guardarlo en la misma carpeta en la que piensa guardar las secuencias de comandos de
muestra que se incluyen en esta guía.
Option Explicit
'----------------------------------------------------------------------------
' Constantes de secuencia de comandos de ADMT
'----------------------------------------------------------------------------
' Constantes de PasswordOption
18
Const admtComplexPassword = &H0001
Const admtCopyPassword = &H0002
' Observe que la siguiente constante no se puede especificar por sí sola.
' Se debe especificar junto con admtComplexPassword o admtCopyPassword.
Const admtDoNotUpdatePasswordsForExisting = &H0010
' Constantes de ConflictOptions
Const admtIgnoreConflicting = &H0000
Const admtMergeConflicting = &H0001
Const admtRemoveExistingUserRights = &H0010
Const admtRemoveExistingMembers = &H0020
Const admtMoveMergedAccounts = &H0040
' Constantes de DisableOption
Const admtLeaveSource = &H0000
Const admtDisableSource = &H0001
Const admtTargetSameAsSource = &H0000
Const admtDisableTarget = &H0010
Const admtEnableTarget = &H0020
' Constante de SourceExpiration
Const admtNoExpiration = -1
' Opción de traducción
Const admtTranslateReplace = 0
Const admtTranslateAdd = 1
Const admtTranslateRemove = 2
' Tipo de informe
19
Const admtReportMigratedAccounts = 0
Const admtReportMigratedComputers = 1
Const admtReportExpiredComputers = 2
Const admtReportAccountReferences = 3
Const admtReportNameConflicts = 4
' Constantes de opciones
Const admtNone = 0
Const admtData = 1
Const admtFile = 2
Const admtDomain = 3
Const admtRecurse = &H0100
Const admtFlattenHierarchy = &H0000
Const admtMaintainHierarchy = &H0200
Herramienta de migración Active Directory:

versiones y entornos admitidos
En este tema se explican las diferentes versiones que están disponibles de la Herramienta de
migración Active Directory (ADMT). Se ofrecen vínculos para descargar cada versión y se
describen los requisitos para instalarlas, los entornos compatibles en los que se pueden utilizar y
el modo en que funcionan con determinadas características de Active Directory en Windows
Server.
Versión de ADMT Platafor Requisito Requisitos del dominio de Objetos de

ma de s del destino migración de
instalaci dominio equipo
ón de origen admitidos
ADMT v3.0 Window Los El nivel funcional mínimo del Migra los
(http://go.microsoft.com/fw s Server dominios dominio de destino es equipos que
link/?LinkID=68791) 2003 de Windows 2000 nativo. ejecutan
origen Windows
pueden 2000 Profes
contener sional,
controlad Windows XP,
20
ores de Windows NT
dominio 4,
que Windows 20
ejecuten 00 Server y
Windows Windows
NT, Server 2003.
Windows
2000
Server o
Windows
Server
2003, no
requiere
n un
nivel
funcional
mínimo
de
dominio.
ADMT v3.1 Window Los El nivel funcional mínimo del Migra los
(http://go.microsoft.com/fw s dominios dominio de destino es equipos que
link/?LinkId=121732) Server 2 de Windows 2000 nativo. ejecutan
008 origen Si el dominio de destino tiene Windows
pueden controladores de dominio que 2000 Profes
contener ejecutan Windows sional,
controlad Server 2008 R2, utilice Windows XP,
ores que ADMT v3.2. Windows
ejecuten Vista,
Windows Nota Windows 20
2000 Existen problemas 00 Server,
Server, conocidos cuando se Windows
Windows utiliza ADMT v3.1 para Server 2003
Server migrar objetos a un yWindows
2003 o dominio que tiene Server 2008.
Windows controladores de
Server 2 dominio de Windows
008. Server 2008 R2. Para
Aunque obtener más
un información, consulte
21
dominio el artículo 976659 de

de Microsoft Knowledge
origen Base
no (http://go.microsoft.com
requiere /fwlink/?
un nivel LinkId=182290).
funcional
mínimo
de
dominio,
ADMT
v3.1 no
se puede
utilizar
para
migrar
objetos
de
dominios
de
Windows
NT 4.
ADMT v3.2 Window El nivel El nivel funcional mínimo del Migra los
(http://go.microsoft.com/fw s funcional dominio de destino es equipos que
link/?LinkId=186197) Server 2 mínimo Windows Server 2003 nativo. ejecutan
008 R2 del Windows XP,
dominio Windows Vis
de ta,
origen es Windows 7,
Windows Windows
Server Server 2003,
2003 nati Windows
vo. Server 2008
y Windows
Server 2008
R2.
22
Compatibilidad con características de Windows
Server
No se puede instalar ninguna versión de ADMT en un controlador de dominio de sólo lectura
(RODC) o en una instalación de Server Core. Un RODC no se puede utilizar como controlador
de dominio de origen o de destino para la migración.
Además, ADMT v3.2 proporciona la siguiente compatibilidad con las nuevas características de
Active Directory en Windows Server 2008 R2.
Característica Efecto de uso de ADMT v3.2
Cuentas de servicio administradas Se pueden migrar mediante el Asistente para

migración de cuentas de servicio administradas
o el comando admt managedserviceaccount.
Seguridad del mecanismo de autenticación Las cuentas de usuario que están habilitadas
para la seguridad del mecanismo de
autenticación, se deben migrar mediante un
archivo de inclusión
Importante
El Nombre principal del usuario (UPN)
cambia cuando se migra un usuario, lo
que impide que funcione la seguridad
del mecanismo de autenticación. Para
solucionar este problema, debe
mantener un registro de los UPN de las
cuentas de usuario que están
habilitadas para la seguridad del
mecanismo de autenticación y
migrarlas mediante un archivo de
inclusión. En un archivo de inclusión,
puede especificar los UPN de destino
de estos usuarios que se van a migrar.
De esta manera, puede reemplazar los
nombres UPN de ese dominio de
destino con los UPN originales del
dominio de origen. Para obtener más
información acerca del uso de un
archivo de inclusión, consulte Uso de
un archivo de inclusión.
Unión a un dominio sin conexión Sin efecto
23
Característica Efecto de uso de ADMT v3.2
Papelera de reciclaje de Active Directory Sin efecto
Windows PowerShell No se incorpora a ADMT v3.2
Prácticas recomendadas para la migración

de Active Directory
Para garantizar que el proceso de migración sea todo lo perfecto posible, siga estas
recomendaciones de prácticas recomendadas:
 Prácticas recomendadas para el uso de la Herramienta de migración para Active Directory
 Prácticas recomendadas para la realización de migraciones de cuentas de grupo y usuario
 Prácticas recomendadas para realizar migraciones de equipos
 Prácticas recomendadas para revertir una migración
Prácticas recomendadas para el uso de la

Herramienta de migración para Active
Directory
 Realice copias de seguridad regulares de los controladores de dominio tanto en el dominio
de origen como en el de destino en todo el recorrido de las migraciones. Si migra equipos
que contienen recursos compartidos de archivo para realizar la conversión de seguridad,
recomendamos que también realice copias de seguridad de dichos equipos durante las
migraciones.
 Antes de comenzar una migración, realice una de prueba creando un usuario de prueba,
agregándolo a los grupos globales adecuados y, a continuación, verificando el acceso a los
recursos antes y después de la migración.
 Pruebe sus casos prácticos de migración en un entorno de prueba antes de migrar objetos
en el entorno de producción.
 Cuente con un plan de recuperación y asegúrese de que funcione durante la fase de prueba
de su migración.
 Descifre los archivos cifrados por medio del Sistema de cifrado de archivos (EFS). Si no se
descifran los archivos cifrados, se perderá el acceso a los archivos cifrados después de la
24
migración. Asegúrese de comunicar a los usuarios finales que deben descifrar cualquier
archivo cifrado o perderán el acceso a esos archivos.
 Asegúrese de que la hora del sistema está sincronizada en cada dominio del que se van a
migrar objetos. La autenticación Kerberos fallará si la hora no coincide.
Prácticas recomendadas para la realización

de migraciones de cuentas de grupo y
usuario
de origen como en el de destino en todo el recorrido de las migraciones. Si migra equipos
que contienen recursos compartidos de archivo para realizar la conversión de seguridad,
recomendamos que también realice copias de seguridad de dichos equipos durante las
migraciones.
 Le recomendamos que migre usuarios en lotes. Un tamaño de lote de 100 usuarios permite
que el proceso de migración se pueda administrar.
 Administre siempre los cambios de las cuentas de usuario y cuentas de grupo en el dominio
de origen durante el proceso de migración.
 Use la opción Migrar y combinar objetos en conflicto en la página Gestión de conflictos
del Asistente para migración de cuentas de usuario y el Asistente para migración de cuentas
de grupo para repetir la migración de usuarios y grupos con la mayor frecuencia posible
durante la migración. La administración de cambios en el dominio de origen y el posterior uso
de la opción Migrar y combinar objetos en conflicto durante la migración le garantizan que
todos los cambios realizados en un objeto en el dominio de origen queden reflejados
después de su migración al dominio de destino.
 Para conservar el acceso a los recursos, asegúrese de que la pertenencia al grupo cumple
las siguientes reglas:
 Use grupos globales para los usuarios de grupos.
 Use grupos locales para proteger recursos.
 Coloque los grupos globales en grupos locales para otorgar a los miembros de los
grupos globales acceso a un recurso.
 Cumpla las reglas de la siguiente tabla cuando convierta perfiles de usuario.
25
Importante
Tipo de perfil Reglas de conversion
Perfiles móviles Seleccione la opción Convertir perfiles

móviles en la página Opciones de usuario
del Asistente para migración de cuentas de
usuario. A continuación, convierta los perfiles
de usuario locales de un lote de usuarios
inmediatamente después de la migración de
dichos usuarios.
Perfiles locales Convierta los perfiles locales como un paso

independiente del proceso de migración de
cuentas de usuario. Seleccione la opción
Perfiles de usuario en la página Convertir
objetos del Asistente para conversión de
seguridad. Convierta los perfiles de usuario
locales de un lote de usuarios
inmediatamente después de la migración de
dichos usuarios.
Perfiles no administrados Los usuarios pierden sus perfiles existentes

cuando se migran sus cuentas de usuario.
Es importante comprobar que la conversión de perfil local se ha producido correctamente

antes de que los usuarios intenten iniciar sesión en el dominio de destino. Si los usuarios
inician sesión en el dominio de destino mediante sus nuevas cuentas de destino y sus
perfiles no se han convertido correctamente, dichos usuarios se deberán volver a migrar
del dominio de origen al de destino. Para obtener más información sobre los pasos que
debe seguir si se produce un error en la conversión de perfiles locales, consulte Solución
de problemas relativos a la conversión de seguridad.
Prácticas recomendadas para realizar

migraciones de equipos
de origen como en el de destino en todo el recorrido de las migraciones. Si está migrando
equipos que contienen recursos compartidos de archivo para realizar la conversión de
seguridad, recomendamos que también realice una copia de seguridad de esos equipos
durante la migración.
 Compruebe que las estaciones de trabajo y los servidores miembro han reiniciado
inmediatamente después de unirlos en el dominio de destino. La Herramienta de migración
26
Nota Nota
para Active Directory (ADMT) automatiza el reinicio de las estaciones de trabajo y los
servidores miembro, pero utilice la opción Minutos que habrán de transcurrir para que se
reinicien los equipos tras la finalización del asistente en el Asistente para migración de
equipos para seleccionar la cantidad de tiempo que transcurre antes de que se reinicie el
equipo. Los equipos que no reinician después de la migración están en un estado
indeterminado.
 Comunique a los usuarios finales que sus equipos deben conectarse a la red cuando su
equipo esté programado para la migración.
Prácticas recomendadas para revertir una

migración
 Revierta cuentas de grupo y usuario que se han migrado entre los bosques habilitando las
cuentas en el dominio de origen (si se deshabilita durante la migración), compruebe que las
cuentas tienen acceso a los recursos del dominio de origen y, a continuación, compruebe
que las secuencias de comandos y los perfiles de usuario funcionan según se configuraron
 Revierta los recursos que se han migrado entre bosques cambiando la pertenencia a los
dominios de servidores y estaciones de trabajo y, a continuación, reinícielos. Inicie sesión en
los recursos del dominio de origen para garantizar que los recursos estén accesibles.
 Revierta las cuentas y recursos que se han migrado dentro de un bosque volviendo a migrar
los objetos del dominio de destino al de origen. Las cuentas y los recursos que se han
migrado dentro de un bosque se mueven y no se copian. Por consiguiente, dejan de existir
Para garantizar una correcta reversión de una migración en el mismo bosque, no
intente eliminar los objetos en el dominio de destino y restaurarlos en el dominio de
origen. No podrá recuperar los objetos en el dominio de origen porque se eliminan
automáticamente por el proxy de movimiento entre dominios si se intenta restaurar.
Cuando realiza una migración en el mismo bosque con ADTM v3.1, si el nivel
funcional del dominio de origen es Windows 2000 mixto, no podrá volver a migrar los
objetos del dominio de destino al de origen para deshacer los cambios de la
migración. Una repetición de la migración requiere que el dominio de origen sea el
dominio de destino, y con ADMT v3.1 el nivel funcional del dominio de destino debe
ser al menos Windows 2000 nativo.
27
Reestructuración de dominios de Active
Directory entre distintos bosques
La reestructuración de dominios de Active Directory entre bosques implica la reubicación de
objetos desde dominios de origen en un bosque a dominios de destino en otro bosque. Puede
que tenga que reestructurar los dominios de Active Directory entre bosques para:
 Migrar un dominio piloto al entorno de producción.
 Combinar usuarios y recursos con otra organización debido a una fusión corporativa y a la
necesidad de consolidar las dos infraestructuras de tecnología de la información (TI).
 Reubicar usuarios y recursos de forma regular debido a una implantación en varios bosques
planificada.
 Quitar objetos de su bosque debido a una desinversión a otra organización o para
combinarlos más adelante en un bosque nuevo o existente para esa organización.
En esta sección
 Lista de comprobación: Realización de una migración entre bosques
 Introducción a la reestructuración de dominios de Active Directory entre bosques
 Limitaciones de la reestructuración
 Planeamiento para la reestructuración de dominios de Active Directory entre bosques
 Preparación de los dominios de origen y destino
 Migración de cuentas
 Migración de recursos
 Finalización de la migración
Lista de comprobación: Realización de una

migración entre bosques
La migración de dominios de Active Directory entre bosques (migración entre distintos bosques)
implica la reubicación de objetos desde dominios de origen en un bosque a dominios de destino
en otro bosque. Es posible que tenga que reestructurar los dominios de Active Directory entre
bosques por los siguientes motivos:
 Para migrar un dominio piloto al entorno de producción
 Para combinar su bosque de Active Directory con el bosque de otra organización y
consolidar las dos infraestructuras de tecnología de la información (TI)
28
Tarea Referencia
Revise las instrucciones de preinstalación de la Instalación de ADMT en el dominio de

Herramienta de migración Active Directory (ADMT). destino
Para migrar equipos que ejecuten Windows Para obtener más información acerca
Server 2008, Windows Server 2003, Windows Vista (sin de cómo realizar cambios mediante la
Service Pack 1), Windows XP y Microsoft directiva de grupo, consulte Problemas
Windows 2000 (utilizando ADMT 3.1) a un dominio de conocidos de instalación y eliminación
destino con controladores de dominio que ejecuten de AD DS
Windows Server 2008 R2 o Windows Server 2008, (http://go.microsoft.com/fwlink/?
debe configurar primero la siguiente clave del Registro LinkId=119321) (en inglés).
en los controladores de dominio de destino:
Nota
No es necesario configurar esta clave para
migrar los equipos que ejecuten Windows
Server 2008 R2, Windows 7 o
Windows Vista SP1.
Ruta de Registro:
HKLM\System\CurrentControlSet\Services\Netlogon
\Parameters
Valor del Registro: AllowNT4Crypto
Tipo: REG_DWORD
Datos: 1
Nota
Esta configuración de registro corresponde a la
configuración Permitir algoritmos de cifrado
con Windows NT 4.0 en la directiva de grupo.
Para cualquier tarea de migración que use la Para obtener más información acerca
implementación de agente y el Firewall de Windows, de cómo realizar cambios en el
habilite la excepción Compartir impresoras y archivos. Firewall de Windows, consulte Habilitar
Esto puede incluir la migración en las siguientes o deshabilitar la regla de excepción de
situaciones: uso compartido de archivos e
 Migración de equipos de estación de trabajo y impresoras
servidores miembro que ejecuten Windows (http://go.microsoft.com/fwlink/?
Server 2008 R2, Windows Server 2008, Windows LinkID=119315) (en inglés).
Server 2003, Windows 7, Windows Vista o
Windows XP.
 Migración de configuración de seguridad o
conversión de seguridad
Prepárese para la reestructuración de los dominios de Instalación de ADMT en el dominio de
29
Tarea Referencia
Active Directory dentro de un bosque. Esta tarea destino

contiene las siguientes subtareas: Planeamiento para la reestructuración
 Determine su proceso de migración de cuentas. de dominios de Active Directory entre
 Asigne funciones y ubicaciones de objetos. bosques
 Desarrolle un plan de prueba para la migración.

 Cree un plan de reversión.
 Administre usuarios, grupos y perfiles de usuario.
 Cree un plan de comunicación con los usuarios.
Prepare los dominios de origen y destino. Esta tarea Instalación de ADMT en el dominio de
contiene las siguientes subtareas: destino
 Instale software de cifrado de 128 bits. Planeamiento para la reestructuración
 Establezca las confianzas necesarias para la de dominios de Active Directory entre
migración. bosques
 Establezca cuentas de migración para la migración.

 Configure los dominios de origen y destino para la
migración del historial de identificadores de
seguridad (SID).
 Configure la estructura de la unidad organizativa
(OU) del dominio de destino.
 Instale ADMT en el dominio de destino.
 Especifique cuentas de servicio para la migración.
Especifique y realice la transición de las cuentas de Transición de cuentas de servicio en

servicio usando el Asistente para migración de cuentas su migración
de servicios o herramientas de línea de comandos de
ADMT. Puede usar la herramienta de línea de
comandos admt service para especificar cuentas de
servicio en el dominio de origen. Puede usar la
herramienta de línea de comandos admt user para
realizar la transición de las cuentas de servicio que
especifique.
Migre los grupos globales usando el Asistente para Migración de grupos globales
migración de cuentas de servicios o la herramienta de
línea de comandos admt group.
Migre las cuentas de servicio administradas, las Migración de cuentas mientras utiliza el
cuentas de usuario y las cuentas de estación de trabajo historial de SID
con sus historiales de SID en lotes. Puede usar el Migración de cuentas de servicio
Asistente para migración de cuentas de grupo o la administradas
herramienta de línea de comandos admt user para
30
Tarea Referencia
migrar cuentas de usuario. Puede usar el Asistente para Migración de todas las cuentas de
migración de cuentas de servicio administradas o la usuario
herramienta de línea de comandos admt
managedserviceaccount para migrar cuentas de
servicio administradas.
Migre los recursos, como servidores miembro y grupos Repetición de la migración de las
locales de dominios. Puede usar el Asistente para cuentas de usuario y migración de las
migración de cuentas de equipo o la herramienta de estaciones de trabajo en lotes
línea de comandos admt computer para migrar
cuentas de equipo. Puede usar el Asistente para
migración de cuentas de grupo o la herramienta de
línea de comandos admt group para migrar grupos.
Convierta la seguridad en servidores para agregar los Conversión de seguridad en modo

SID de las cuentas de usuario y grupo en el dominio de Agregar
destino a las listas de control de acceso (ACL) de los
recursos. Puede usar el Asistente para conversión de
seguridad o la herramienta de línea de comandos admt
security.
Repita una migración de cuentas de usuario, equipos Repetición de la migración de las

de estaciones de trabajo y servidores miembro, incluida cuentas de usuario y migración de las
la conversión de perfiles de usuarios locales a objetos estaciones de trabajo en lotes
de usuario y equipo que haya migrado previamente.
Migre los grupos locales de dominios usando el Migrar grupos locales compartidos y de
Asistente para migración de cuentas de grupo o la dominios
herramienta de línea de comandos admt group.
Migre controladores de dominio. Migración de controladores de dominio
Complete las tareas posteriores a la migración. Esta Conversión de seguridad en los

tarea contiene las siguientes subtareas: servidores miembro
 Convierta la seguridad de los servidores miembro. Cómo dar de baja el dominio de origen
 Retire los dominios de origen.
Introducción a la reestructuración de
dominios de Active Directory entre
bosques
31
Cuando reestructura dominios entre bosques, puede reducir el número de dominios en la
organización, lo que ayudará a reducir la complejidad administrativa y los costos de sobrecarga
asociados de su entorno de Active Directory. La reestructuración de los dominios supone copiar
las cuentas y los recursos de un dominio de origen a un dominio de destino en un bosque
diferente de Active Directory. Si utiliza la versión 3.1 de la Herramienta de migración
Active Directory (ADMT), el dominio de destino debe estar al menos en el nivel funcional nativo
de Windows 2000. Si utiliza la versión 3.2 de ADMT, los dominios de origen y de destino deben
estar al menos en el nivel funcional de Windows Server 2003.
Si su organización se ha fusionado recientemente con otra organización o infraestructura de
tecnología de la información (TI), puede reestructurar dominios o consolidar cuentas y recursos
entre dos infraestructuras.
En esta sección
 Proceso para la reestructuración de Active Directory entre bosques
 Información general básica para la reestructuración de dominios de Active Directory entre
bosques
Proceso para la reestructuración de Active

Directory entre bosques
La reestructuración de los dominios de Active Directory entre bosques implica el planeamiento y
preparación de la reestructura del dominio en la organización. También conlleva la migración
satisfactoria de cuentas y recursos a un dominio de Active Directory en otro bosque. En la figura
siguiente se muestra el proceso de la reestructuración de dominios de Active Directory entre
bosques.
32
Información general básica para la
Directory entre bosques
El proceso de migración entre bosques no se considera destructivo, ya que los objetos de
migración continúan existiendo en el dominio de origen hasta que el dominio de origen se dé de
baja. Dado que los entornos de dominio de origen y destino existen simultáneamente durante la
migración, tiene la opción de retroceder al entorno de origen si se produce un error en la
migración por cualquier motivo, por ejemplo, si un objeto particular no migra o el acceso no se
mantiene o conserva en el dominio de destino una vez realizada la migración. Puede utilizar la
Herramienta de migración para Active Directory (ADMT) para migrar cuentas y recursos entre
dominios al mismo tiempo que conserva los permisos de objeto y usuario. Durante el proceso de
reestructuración entre distintos bosques, los usuarios tienen acceso continuo a los recursos
necesarios. Además, puede mover usuarios, grupos y recursos de forma independiente unos de
otros.
En el resto de secciones de este tema se explica el proceso de migración de las cuentas y los
recursos.
33
Proceso de migración de cuenta
La reestructuración de cuentas entre los bosques de Active Directory implica la copia de
usuarios, grupos y perfiles locales desde el dominio de origen al dominio de destino, al mismo
tiempo que conserva los derechos de acceso y atributos de dichos objetos.
Cuando las cuentas de usuarios migran entre dominios de Active Directory de diferentes
bosques, la cuenta original permanece en el lugar del dominio de origen y se crea una nueva
cuenta en el dominio de destino. Dado que el identificador de seguridad (SID) de un principal de
seguridad (usuario o grupo) siempre contiene un identificador para el dominio en el que se sitúa
el principal de seguridad, se crea un nuevo SID para el usuario en el dominio de destino. Ya que
la ADMT puede migrar la SID del principal de seguridad inicial al principal de seguridad del
dominio de destino, no tiene que realizar tareas adicionales para garantizar el acceso a los
recursos, a menos que utilice el filtrado de la SID entre los bosques.
Si utiliza ADMT v3.1 y Microsoft Exchange Server versión 5.5, use el Asistente para migración de
Exchange Server de ADMT para convertir la seguridad de los buzones de correo de los usuarios
migrados. Si utiliza los servidores Exchange 2000, la ADMT no proporciona herramientas de
migración de buzones de correo. En este caso, piense en migrar primero los buzones de correo
utilizando la herramienta de migración de buzones de correo de Exchange 2000 y, a
continuación, migrar las cuentas de usuarios.
Si utiliza la directiva de grupo para administrar la redirección de la carpeta o la distribución de
software, asegúrese de que estas directivas continuarán aplicándose cuando migre cuentas de
usuarios a un nuevo bosque. Asimismo, si utiliza un objeto de directiva de grupo para conceder o
denegar acceso remoto al dominio de origen y no al dominio de destino, la ADMT no puede
determinar qué acceso remoto desea asignar al usuario.
Si utiliza directivas de grupo para administrar la redirección de carpetas, los archivos sin
conexión no funcionarán después de que la cuenta del usuario se migre a un nuevo bosque. Los
archivos sin conexión almacenan el SID del usuario como propietario; el SID cambia cuando la
cuenta de usuario se migra. Para restaurar la propiedad de los archivos sin conexión, utilice el
Asistente de conversión de seguridad de la ADMT para reemplazar los permisos de los archivos
y carpetas del equipo cliente que contiene la caché de los archivos sin conexión.
Para asegurarse de que los usuarios continúan teniendo acceso a los archivos sin conexión
después de haber migrado las cuentas de usuarios al dominio de destino, puede realizar las
siguientes acciones:
1. Convertir la seguridad de los equipos cliente para actualizar los archivos sin conexión.
2. Si el historial de SID de la cuenta de usuario no se ha migrado al dominio de destino,
convierta la seguridad del servidor que alberga carpetas redirigidas.
Si utiliza la redirección de carpetas, se dará una de las siguientes situaciones:
 Si la ruta de redirección de carpetas es diferente en el nuevo entorno, los usuarios pueden
tener acceso a la carpeta si el historial de SID de la cuenta del usuario se migró al dominio
de destino. La extensión de redirección de carpetas copia los archivos de la ubicación
original del dominio de origen en la nueva ubicación del dominio de destino. El historial de
SID permite a la cuenta de usuario tener acceso a las carpetas de origen.
34
 Si la ruta de redirección de carpetas es la misma en el nuevo entorno, los usuarios no
pueden tener acceso a la carpeta redireccionada dado que la redirección de carpetas
comprobará la propiedad de la carpeta redireccionada y se produce un error. A continuación,
debe convertir la seguridad en la carpeta redirigida en el servidor.
Si utiliza la directiva de grupo para administrar la instalación de software y el paquete de
Windows Installer requiere el acceso al origen inicial de las operaciones como reparar y quitar,
debe convertir la seguridad en el punto de distribución de software después de migrar usuarios
para garantizar que la instalación de software continúa funcionando correctamente en el dominio
de destino.
Proceso de migración de recursos

Los dominios de Active Directory incluyen tres tipos de recursos:
 Cuentas de estación de trabajo
 Cuentas de servidor miembro
 Recursos de los servidores miembro
La migración de las estaciones de trabajo y los servidores de miembros son un proceso sencillo.
Los grupos locales que crea para asignar permisos de usuarios se ubican en la base de datos
local del Administrador de cuentas de seguridad (SAM) y, a continuación, se mueven cuando
mueve el servidor. No tiene que volver a configurar las listas de control de acceso (ACL), de
manera que los usuarios pueden tener acceso a los recursos después de la migración.
Para migrar controladores de dominio entre dominios, elimine los Servicios de dominio de
Active Directory (AD DS) del controlador de dominio, mígrelo como un servidor miembro al
dominio de destino y, a continuación, vuelva a instalar AD DS.
Planeamiento para la reestructuración de

dominios de Active Directory entre
bosques
La finalización de las tareas de planeación necesarias antes de comenzar la migración garantiza
a los usuarios que pueden continuar conectándose a la red y tener acceso a los recursos durante
la migración. La planeación de la reestructuración de dominio implica lo siguiente:
 Determinación del proceso de migración de cuentas
 Asignación de funciones y ubicaciones de objetos
 Desarrollo de un plan de prueba
 Creación de un plan de reversión para su uso si la migración produce un error
 Administración de usuarios, grupos y perfiles de usuario
 Creación de un plan de comunicación con los usuarios finales
35
Para preparar el proceso de reestructuración, el equipo de implementación de Active Directory
debe obtener la información de diseño necesaria del equipo de diseño de Active Directory.
En la ilustración siguiente se muestran los pasos implicados en la planeación de la
reestructuración de dominios de Active Directory entre bosques.
Determinación del proceso de migración de

cuentas
Con la Herramienta de migración para Active Directory (ADMT), puede utilizar el historial de
identificadores de seguridad (SID) para conservar los permisos de los recursos al migrar
cuentas. No obstante, si el filtrado de SID se habilita entre sus dominios de origen y de destino y
no confía en los administradores del dominio de origen, no puede deshabilitar el filtrado de SID.
Tampoco podrá utilizar el historial de SID para habilitar el acceso a los recursos en el dominio de
origen. En este caso, debe utilizar un proceso de migración diferente.
Puede seleccionar uno de los tres métodos siguientes para migrar las cuentas entre bosques
mientras conserva los derechos de usuario para tener acceso a los recursos en el dominio de
origen:
36
 Migre las cuentas de usuario mientras utiliza el historial de SID para el acceso a los recursos.
Con este método, quita el filtrado de SID en las confianzas entre los dominios para permitir a
los usuarios tener acceso a los recursos del dominio de origen por medio de sus
credenciales del historial de SID.
 Si ha establecido una confianza de bosque, quite el filtrado de SID en la confianza de
bosque. (También puede invalidar la confianza del bosque creando una confianza
externa de manera que el dominio que guarda los recursos confíe en el dominio de
destino y, a continuación, quitar el filtrado de SID de la confianza externa).
 Si no ha establecido una confianza de bosque, establezca confianzas externas entre los
dominios de origen y de destino. A continuación, debe eliminar el filtrado por SID de las
confianzas externas si en el controlador de dominio que se utiliza para crear la confianza
se ejecuta Windows Server 2008 R2, Windows Server 2008 o Windows Server 2003. Si
va a utilizar ADMT v3.1, en el controlador de dominio que se use para crear la confianza
se puede estar ejecutando Windows 2000 Service Pack 4 (SP4) o posterior.
Para obtener más información sobre este proceso, consulte Migración de cuentas mientras
utiliza el historial de SID, más adelante en esta guía.
 Migre todos los usuarios, grupos y recursos al dominio de destino en un paso. Para obtener
más información sobre este proceso, consulte Migración de cuentas mientras utiliza el
historial de SID, más adelante en esta guía.
 Migre cuentas de usuario sin utilizar el historial de SID para obtener acceso a los recursos,
pero convierta la seguridad de todos los recursos antes del proceso de migración para
garantizar el acceso a los recursos. Para obtener más información sobre la migración de
cuentas sin utilizar el historial de SID, consulte Migración de cuentas sin utilizar el historial de
SID, más adelante en esta guía.
Para determinar qué proceso de migración de cuentas es mejor para su organización, primero
debe determinar si puede deshabilitar el filtrado de SID y migrar cuentas mientras utiliza el
historial de SID para tener acceso a los recursos. Puede realizarlo de forma segura si los
administradores del dominio de origen confían plenamente en los administradores del dominio de
destino. Es posible que deshabilite el filtrado de SID si se aplica una de las siguientes
condiciones:
 Los administradores del dominio que confía son administradores del dominio de confianza.
 Los administradores del dominio que confía confían en los administradores del dominio de
confianza y están seguros de que han asegurado el dominio correctamente.
Si deshabilita el filtrado de SID, quita el límite de seguridad entre los bosques, que de lo contrario
proporcionaría aislamiento de servicios y datos entre los bosques. Por ejemplo, un administrador
del dominio de destino que tenga derechos de administrador de servicios o un individuo que
tenga acceso físico a un controlador de dominio puede modificar el historial de SID de una
cuenta para incluir el SID de un administrador de dominio en el dominio de origen. Cuando la
cuenta de usuario para la que se ha modificado el historial de SID inicia sesión en el dominio de
destino, se presentan credenciales de administrador de dominio válidos para los recursos del
dominio de origen, a los que puede obtener acceso.
37
Por este motivo, si no confía en los administradores del dominio de destino o no cree que los
controladores de dominio del dominio de destino sean físicamente seguros, habilite el filtrado de
SID entre sus dominios de origen y de destino y migre cuentas de usuario sin utilizar el filtrado de
SID para tener acceso a los recursos.
La siguiente ilustración muestra el proceso de decisión implicado en la determinación del
proceso de migración adecuado para su organización.
Uso del historial de SID para conservar el

acceso a recursos
La mejor forma de otorgar acceso a los recursos es usar los grupos globales para organizar
usuarios y los grupos locales de dominios para proteger recursos. Coloque los grupos globales
en un grupo local de dominio para otorgar a los miembros del grupo global acceso al recurso. Un
grupo global sólo puede contener miembros de su propio dominio. Cuando un usuario se migra
38
entre dominios, cualquier grupo global al que pertenezca el usuario también se debe migrar. Así
se garantiza que los usuarios puedan continuar teniendo acceso a los recursos protegidos por
las listas de control de acceso discrecional (DACL) en relación a los grupos globales. Tras la
migración de una cuenta y el mantenimiento del historial de identificadores de seguridad (SID) de
la cuenta del dominio de origen, cuando un usuario inicia sesión en el dominio de destino, tanto
el SID nuevo como el SID original del atributo del historial de SID se agregan al token de acceso
del usuario. Estos SID determinan la pertenencia del usuario al grupo local. Los SID de los
grupos a los que pertenece el usuario se agregan a continuación para el token de acceso, junto
con el historial de SID de dichos grupos.
Los recursos dentro de los dominios de origen y de destino resuelven sus listas de control de
acceso (ACL) a los SID y, a continuación, comprueban las coincidencias entre las listas ACL y el
token de acceso cuando otorga o deniega acceso. Si el SID o el historial de SID coincide, el
acceso al recurso se otorga o deniega, según el acceso especificado en la lista ACL. Si el
recurso está en el dominio de origen y no ha ejecutado una conversión de seguridad, utiliza el
historial de SID de la cuenta de usuario para otorgar acceso.
También puede conservar el SID original para los grupos globales y los grupos universales en el
historial de SID del grupo global o el grupo universal en el dominio de destino. Dado que la
pertenencia al grupo local se basa en los SID, cuando migra el SID al historial de SID del grupo
global o grupo universal del dominio de destino, la pertenencia al grupo local del grupo global o
grupo universal se conservan automáticamente.
El historial de SID se utiliza para las siguientes tareas:
 Acceso al perfil de usuario móvil
 Acceso de autoridad de certificación
 Acceso de instalación de software
 Acceso a recursos
Si no utiliza el historial de SID para el acceso a los recursos, tendrá que migrar el historial de SID
para facilitar el acceso a dichos elementos.
Uso de filtrado de SID al migrar cuentas de

usuarios
En una confianza de dominio a dominio, el filtrado por identificadores de seguridad (SID) no
permite el uso de SID que no pertenezcan al dominio de confianza con el fin de permitir el
acceso a cualquier recurso del dominio que confía. En una confianza de bosque a bosque, el
filtrado por identificadores de seguridad (SID) no permite el uso de SID que provengan de
dominios que no pertenezcan al bosque de confianza con el fin de permitir el acceso a cualquier
dominio del bosque que confía.
39
Puede habilitar el SID de un usuario en un bosque diferente para tener acceso a un recurso
dentro de un bosque que tiene el filtrado de SID habilitado por la conversión de seguridad en el
recurso para incluir el SID del usuario en la lista de permisos.
El filtrado de SID se aplica de forma predeterminada cuando se establece una confianza de
bosque entre dos dominios raíz de bosque. Además, el filtrado por SID se habilita de forma
predeterminada cuando se establecen confianzas externas entre controladores de dominio que
ejecutan Windows 2000 Service Pack 4 (SP4) o posterior. De este modo, se evitan los posibles
ataques a la seguridad por parte de un administrador de un bosque diferente.
Puesto que el filtrado de SID no se aplica a la autenticación dentro de un dominio, también es
posible permitir el acceso a recursos mediante el historial de SID, si el recurso y la cuenta están
en el mismo dominio. Para permitir que los usuarios o grupos accedan a un recurso mediante el
historial de SID, el bosque en el que el recurso está ubicado debe confiar en el bosque en el se
encuentra la cuenta.
Para obtener más información acerca de los ataques basados en el historial de SID y el filtrado
de SID, consulte "Configuring SID Filtering Settings" (Configuración de los valores del filtrado de
SID) (http://go.microsoft.com/fwlink/?LinkId=73446).
Asignación de las funciones y ubicaciones

de objetos
Cree una tabla de asignación de objetos que enumere las funciones y ubicaciones de todos los
objetos que está migrando. Cree una tabla para objetos de cuenta, como usuarios, grupos y
cuentas de servicios, así como una tabla para los objetos de recursos, como estaciones de
trabajo, perfiles y controladores de dominio. En sus tablas, enumere las ubicaciones de origen y
de destino para todos los objetos que se van a migrar.
Antes de crear su tabla de asignación de objetos de cuentas, determine si las estructuras de
unidades organizativas (OU) del dominio para los dominios de origen y destino son las mismas.
Si no son las mismas, debe identificar las unidades organizativas de origen y destino en sus
tablas de asignación de objetos.
Para obtener una hoja de cálculo para ayudarle a crear una tabla de asignación de objetos de
cuenta, consulte "User and Group Object Assignment Table" (Tabla de asignación de objetos de
grupo y usuario) (DSSREER_1.doc) en la descarga
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services de Job Aids for
Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink?LinkId=14384).
La siguiente ilustración muestra un ejemplo de una tabla de asignación de objetos para usuarios
y grupos.
40
Para crear una tabla de asignación de objetos de recursos, identifique las unidades organizativas
de origen y destino para cada objeto y observe la ubicación física y la función en el dominio de
destino. Para obtener una hoja de cálculo para ayudarle a crear una tabla de asignación de
objetos de recursos, consulte "Resource Object Assignment Table" (Tabla de asignación de
objetos de recursos) (DSSREER_2.doc) en la descarga
La siguiente ilustración muestra un ejemplo de una tabla de asignación de objetos de recursos.
41
Desarrollo de un plan de prueba para la
migración
La Herramienta de migración Active Directory no incluye una opción de migración de prueba. Sin
embargo, puede desarrollar un plan de prueba para probar sistemáticamente cada objeto
después de que haya migrado al nuevo entorno y para identificar y solucionar cualquier problema
que pueda ocurrir. La comprobación de que la migración se ha realizado correctamente le ayuda
a asegurar que los usuarios que se migran del dominio de origen al de destino puedan iniciar
sesión, tener acceso a los recursos en base a la pertenencia a un grupo y tener acceso a los
recursos en base a sus credenciales de usuario. La comprobación también le ayuda a asegurar
que los usuarios puedan obtener acceso a los recursos que migre.
Una vez completada la comprobación, puede seguir con la migración de pequeños grupos piloto
y, a continuación, ir aumentando gradualmente el tamaño de cada lote de objetos de migración
en su entorno de producción.
42
Utilice el siguiente proceso para comprobar la migración de su objeto de cuenta y objetos de
recursos:
1. Cree un usuario de prueba en el dominio de origen. Incluya este usuario de prueba en sus
migraciones.
2. Agregue dicho usuario a los grupos globales apropiados para habilitar el acceso a los
recursos.
3. Inicie sesión en el dominio de origen como usuario de prueba y compruebe que puede
obtener acceso a los recursos correspondientes.
4. Tras migrar la cuenta de usuario, convierta el perfil de usuario y migre la estación de trabajo
del usuario, inicie sesión en el dominio de destino como el usuario de prueba y compruebe
que el usuario conserva todos los accesos y funciones necesarios. Por ejemplo, podrá
comprobar que:
 El usuario puede iniciar sesión correctamente.
 El usuario tiene acceso a todos los recursos apropiados, como usos compartidos de
impresiones y archivos; acceso a los servicios como mensajería, así como acceso a las
aplicaciones de línea de negocio (LOB). Es especialmente importante comprobar el
acceso a aplicaciones desarrolladas internamente que tienen acceso a servidores de
bases de datos.
 El perfil de usuario se ha convertido correctamente y el usuario conservar la
configuración de escritorio, apariencia de escritorio, accesos directos y acceso a la
carpeta Mis documentos. Asimismo, compruebe que las aplicaciones aparecen y se
inician desde el menú Inicio.
No puede migrar cada propiedad de usuario al migrar cuentas de usuario. Para obtener
más información sobre las propiedades de usuario que no se pueden migrar, consulte
Migrar cuentas de usuario, más adelante en esta guía.
Una vez migrados los recursos, inicie sesión como el usuario de prueba en el dominio de destino
y compruebe que puede obtener acceso a los recursos correspondientes.
Si cualquier paso del proceso de prueba da error, identifique el origen del problema y determine
si puede corregir el problema antes de que se deba tener acceso al objeto en el dominio de
destino. Si no puede corregir el problema antes de obtener acceso al objeto necesario, revierta a
la configuración original para asegurar el acceso al objeto de recurso o usuario. Para obtener
más información sobre la creación de un plan de reversión, consulte Creación de un plan de
reversión, más adelante en esta guía.
Como parte de su plan de prueba, cree una matriz de prueba de migración. Complete una matriz
de prueba para cada paso que complete en el proceso de migración. Por ejemplo, si migra 10
lotes de usuarios, complete 10 veces la matriz de prueba, una para cada lote que migre. Si migra
10 servidores miembro, complete la matriz de prueba para cada uno de los 10 servidores.
Para obtener una hoja de cálculo para ayudarle a crear una matriz de prueba, consulte Migration
Test Matrix (DSSREER_3.doc) en la descarga
43
La siguiente ilustración muestra un ejemplo de una matriz de prueba de migración completada.
Creación de un plan de reversión

Reduzca el riesgo de interrupción de usuarios finales en su organización estableciendo un plan
de reversión. En general, es posible aislar o resolver cualquier problema que se produzca
durante cada fase de migración. Sin embargo, es importante analizar los riesgos potenciales e
identificar los niveles de impacto de usuario y el tiempo de inactividad que puede llevar la
44
Nota
reversión de la migración. Es posible que tenga que revertir su migración si se presenta

cualquiera de las condiciones siguientes:
 Los usuarios no pueden iniciar sesión en sus cuentas tras la migración.
 Los usuarios no pueden tener acceso a los recursos tras la migración.
 La migración de usuarios no está completa; por ejemplo, las contraseñas no se han migrado.
 La migración de usuarios se ha realizado correctamente, pero se ha producido un error en la
migración de estaciones de trabajo de los usuarios o la conversión de los perfiles locales.
Si el impacto de usuario o el tiempo de inactividad alcanza un nivel que ha definido como
inaceptable en su organización, puede implementar su plan de reversión y continuar el
funcionamiento en un entorno de migración previa. Dado que el dominio de origen se conserva
intacto durante la reestructura, puede restaurar el entorno original completando unos pasos
clave.
Para revertir el entorno de migración previa después de la migración de objetos de cuenta:
1. Habilite las cuentas de usuario en el dominio de origen (si deshabilita las cuentas durante el
proceso de migración).
2. Notifique a los usuarios que cierren sesión en el dominio de destino.
3. Notifique a los usuarios que inicien sesión en el dominio de origen.
4. Compruebe que los usuarios pueden tener acceso a los recursos.
5. Compruebe que las secuencias de comandos de inicio de sesión y los perfiles de usuario
funcionan conforme a la configuración en el dominio de origen.
El proceso de reversión de objetos de recursos es similar al de los objetos de cuenta. Para
revertir el entorno de migración previa después de la migración de objetos de recurso:
1. Cambie la pertenencia a un dominio del servidor o la estación de trabajo al dominio de
origen.
2. Reinicie el servidor o la estación de trabajo.
3. Inicie sesión como usuario y compruebe que puede tener acceso al recurso.
Si tiene que modificar objetos, como servidores miembro o controladores de dominio,
para migrarlos al dominio de destino, realice una copia de seguridad de todos los
datos antes de aplicar modificaciones y realizar la migración.
Administración de usuarios, grupos y

perfiles de usuario
Debe definir cómo se van a administrar los objetos que está migrando durante el proceso de
reestructuración entre distintos bosques. Al establecer procedimientos administrativos para los
objetos de migración, puede conservar los objetos tanto en el dominio de origen como en el
45
dominio de destino. En consecuencia, puede volver al entorno previo a la migración si el proceso
de reestructuración no es correcto.
Plan para la administración de los tipos siguientes de objetos de migración de cuentas:
 Cuentas de usuario, incluyendo identificadores de seguridad (SID)
 Pertenencia a grupos globales
 Perfiles de usuario
Administración de cuentas de usuario

Durante el proceso de migración, las cuentas de usuario existen tanto en los dominios de origen
como de destino. Administre los cambios de las cuentas de usuario en el dominio en el que está
activo el objeto de usuario. Continúe administrando los cambios en las pertenencias al grupo en
el dominio de origen mientras la migración tiene lugar. Utilice la opción Migrar y combinar
objetos en conflicto en la Herramienta de migración para Active Directory (ADMT) para volver a
migrar las cuentas de usuario con la frecuencia que se necesite durante el proceso de migración.
Esto asegura que los cambios realizados en la cuenta del dominio de origen se propagan a la
cuenta del dominio de destino. Esta operación combina la cuenta existente con la nueva cuenta
para que la administración del objeto pueda continuar en el dominio de origen durante el proceso
de migración.
La opción Migrar y combinar objetos en conflicto aplica las pautas siguientes cuando se migra
una cuenta:
 Si cambia un atributo en el dominio de destino y no se usa en el dominio de origen, no se
sobrescribe con el valor NULL desde el dominio de origen.
 Si cambia un atributo en el dominio de destino y se usa en el dominio de origen, se
sobrescribe con el valor desde el dominio de origen.
 Si el usuario tiene pertenencia a grupos, los miembros se fusionan desde la pertenencia de
origen y la pertenencia de destino.
Si éste no es el comportamiento deseado, puede configurar ADMT para que excluya la migración
de determinados atributos, de tal forma que se conserven los atributos del dominio de destino.
Por ejemplo, suponga que después de la migración de un usuario establece atributos en el
nuevo objeto de usuario en el dominio de destino, como un número de teléfono o número de
oficina. Tiene que volver a migrar al usuario usando la opción Migrar y combinar objetos en
conflicto en ADMT, y la nueva información se conserva en el dominio de destino. Si ha
cambiado la pertenencia al grupo para el usuario del dominio de origen, los cambios se propagan
al dominio de destino cuando ejecute la nueva migración.
Algunos atributos se excluyen de la migración. Estos atributos incluyen lo siguiente:
 Atributos que el sistema excluye siempre
 Atributos que están en la lista de exclusión de atributos del sistema
 Atributos que están configurados para su exclusión por el administrador
46
Atributos que el sistema excluye siempre
ADMT siempre excluye de la migración algunos atributos y no se pueden configurar para su
migración. De este modo se protegen los atributos que pertenecen al sistema. Estos atributos
incluyen lo siguiente:
 Identificador único global del objeto (GUID)
 SID (aunque los SID se pueden agregar al SID History del objeto del dominio de destino).
 LegacyExchangeDN
Lista de exclusión de atributos del sistema

La primera vez que ejecuta una migración de usuarios ADMT, esta herramienta genera una lista
de exclusión de atributos del sistema, que almacena en su base de datos. La lista de exclusión
de atributos del sistema contiene de manera predeterminada dos atributos: mail y
proxyAddresses. ADMT también lee el esquema del dominio de destino y agrega a la lista los
atributos que no forman parte del esquema de base. Los atributos de esta lista se excluyen de
las migraciones aunque no estén especificados en la lista de exclusión de atributos. Un
administrador puede cambiar la lista de exclusión de atributos del sistema usando únicamente
una secuencia de comandos. De este modo se protegen los atributos que son importantes para
que funcionen las aplicaciones basadas en servidor, como Microsoft Exchange. Si el esquema de
dominio objetivo se amplía aún más después de que ADMT haya generado la lista, los
administradores deben agregar manualmente los nuevos atributos a la lista, a no ser que estén
seguros de que la copia de los valores de estos atributos del dominio de origen no interferirá con
las aplicaciones basadas en servidor.
Lista de exclusión de atributos

Los administradores pueden definir una lista de atributos que se excluyen de cada migración.
Esto se denomina una lista de exclusión de atributos. De manera predeterminada, al usar la
consola de ADMT, la información de estado de los atributos que se configuran para su exclusión
se almacenan en la interfaz de usuario (IU) y se incluyen en la lista de exclusión en la siguiente
migración. Las secuencias de comandos y los atributos de la línea de comandos no conservan
información de estado. Por tanto, no se almacenan en la IU. Estos atributos deben agregarse a
la lista de exclusión de atributos para cada operación de migración, ya sea por medio del nombre
de atributo o por medio de un archivo de opciones.
Administración de grupos globales

Continúe administrando los grupos en el dominio de origen durante el proceso de migración.
Vuelva a migrar los grupos con tanta frecuencia como sea necesario usando la opción Migrar y
combinar objetos en conflicto en ADMT. Esto asegura que los cambios realizados en la
pertenencia al grupo del dominio de origen se propagan a los grupos del dominio de destino.
47
Importante
Planeamiento para la migración de perfil de
usuario
Los perfiles de usuario almacenan los datos e información sobre la configuración del escritorio
del usuario. Los perfiles de usuario pueden ser móvil o local. El proceso de migración es
diferente para los perfiles locales o móviles.
La conversión del perfil es un tipo de conversión de seguridad, y los perfiles se convierten
durante el proceso de migración. Si realiza la conversión de seguridad en modo Agregar, los SID
en los dominios de origen y destino deben tener ambos acceso al perfil. Por tanto, si tiene que
revertir al entorno de origen, el SID del dominio de origen puede usar el perfil. Si realiza la
conversión de seguridad en el modo de reemplazar, debe volver a convertir el perfil usando un
archivo de asignación SID (deshaciendo la conversión de seguridad) para revertir al entorno de
origen.
Si tiene que revertir a la configuración original, notifique a los usuarios que los cambios
de perfil realizados en el dominio de destino no se reflejan en el dominio de origen.
Algunas organizaciones pueden optar por no migrar los perfiles de usuario. Otras organizaciones
podrían elegir reemplazar las estaciones de trabajo de los usuarios durante el proceso de
migración de cuentas de usuario, y utilizan una herramienta como la Herramienta de migración
de estado de usuario (USMT) para migrar los datos de usuario y la configuración a los nuevos
equipos de los usuarios. En la tabla siguiente se resumen los requisitos de migración para los
perfiles de usuario.
Tipo Descripción Requisitos de la migración
Perfiles móviles Los perfiles de usuario se Si está migrando perfiles

almacenan centralmente en móviles que se utilizan en
los servidores. Los perfiles Windows Vista o posterior,
están disponibles para el prepárelos para la migración.
usuario, con independencia de Para obtener más información,
la estación de trabajo en uso. consulte Preparación para la
migración de perfiles móviles
con equipos que ejecutan
Windows Vista y Windows 7.
Durante la migración de
cuentas de usuario, seleccione
Convertir perfiles móviles en
la página Opciones de usuario
en el Asistente para migración
de cuentas de usuario. A
continuación, convierta los
perfiles de usuario locales para
un lote de usuarios
inmediatamente después de la
48
Tipo Descripción Requisitos de la migración
migración de dichos usuarios.
Perfiles locales Los perfiles de usuario se Convierta los perfiles locales

almacenan de forma local en como un paso independiente
la estación de trabajo. Cuando del proceso de migración de
el usuario inicia sesión en otra cuentas de usuario. Seleccione
estación de trabajo, se crea un la opción Perfiles de usuario
perfil de usuario local único. en la página Convertir objetos
del Asistente para conversión
de seguridad. Convierta los
perfiles de usuario locales de
un lote de usuarios
inmediatamente después de la
migración de dichos usuarios.
Perfiles no administrados Igual para los perfiles locales. Los usuarios pierden sus
perfiles existentes cuando se
migran sus cuentas de usuario.
Actualización de hardware La información de estado del Migre como un paso separado

usuario se almacena desde la migración de cuentas
localmente en la estación de de usuario. Migre los perfiles al
trabajo. nuevo equipo del usuario
mediante una herramienta
como USMT.
Preparación para la migración de perfiles móviles con equipos

que ejecutan Windows Vista y Windows 7
La ubicación de un perfil móvil se configura para una cuenta de usuario del dominio y se
especifica de la siguiente manera:
\\host.name.fqdn\ProfileShare\<nombredeperfil>
<nombredeperfil> suele remplazarse por el %nombredeusuario%. Por tanto, la ubicación real de
un perfil móvil para el usuario RoamUserX es:
\\host.name.fqdn\ProfileShare\RoamUserX
La carpeta del perfil móvil (en este ejemplo, RoamUserX) se crea en el momento de iniciar
sesión por primera vez como RoamUserX, y los datos reales del perfil se almacenan en esa
carpeta.
En Windows Vista se ha realizado un cambio en los perfiles que provocaban incompatibilidad
con versiones anteriores de Windows. Para diferenciar los nuevos perfiles, se ha añadido una
extensión .V2 a todos los perfiles móviles de los usuarios de equipos que ejecutan
Windows Vista y versiones posteriores.
49
La ubicación del perfil móvil del mismo usuario RoamUserX en un equipo que ejecute
Windows Vista o Windows 7 es:
\\host.name.fqdn\ProfileShare\RoamUserX.V2
Esta versión puede coexistir con un perfil móvil de una versión anterior de Windows.
Únicamente ADMT v3.2 distingue entre los dos nombres de carpeta de perfil diferentes. Las
versiones anteriores de ADMT sólo buscan la carpeta llamada <nombredeperfil> y no intentan
encontrar un perfil V2 en caso de que existiera. Por tanto, las versiones anteriores de ADMT no
migran los perfiles móviles de equipos que ejecuten Windows Vista y Windows 7.
Para migrar una carpeta de perfil móvil mediante ADMT v3.2, es necesario modificar la lista de
control de acceso predeterminada de la carpeta. De manera predeterminada, cuando un usuario
inicia sesión y se crean los contenidos y la carpeta del perfil móvil, las carpetas <nombredeperfil>
o <nombredeperfil>.V2 reciben las siguientes listas de control de acceso:
 SYSTEM – Control total
 nombre_de_usuario - Control total
 Propietario = nombre_de_usuario
Por tanto, el propietario del perfil y el sistema local donde reside el uso compartido son los únicos
que tienen acceso a la carpeta <nombredeperfil> o <nombredeperfil>.V2. Cuando se asignen
estos permisos predeterminados a la carpeta, ADMT no podrá acceder a la carpeta para realizar
la conversión de seguridad.
Si desea configurar los permisos de carpeta para permitir que ADMT v3.2 migre el perfil móvil,
puede habilitar una configuración de directiva de grupo para el dominio. En Windows
Server 2008 R2, la configuración es:
Configuración del equipo\Directivas\Plantillas administrativas\Sistema\Perfiles de
usuario\Agregar el grupo de seguridad Administradores a los perfiles de usuario móviles
Si esta configuración se habilita y propaga antes del primer inicio de sesión del usuario (antes de
la creación del perfil móvil), el directorio de perfil móvil tendrá un permiso agregado que concede
Control total a los miembros del grupo Administradores del host compartido (host.name.fqdn en
este ejemplo).
Cuando se haya habilitado esta configuración, las migraciones pueden realizarse si el usuario
que ejecuta ADMT v3.2 se encuentra en el grupo Administradores de uso compartido.
El usuario que ejecuta ADMT necesita acceso de Control total a las carpetas de perfiles móviles.
Para conseguirlo, puede probar una de las siguientes opciones:
1.
2. Cree un script (utilizando, por ejemplo, Windows PowerShell) que realice lo siguiente:
a. Se ejecuta como SYSTEM en el equipo compartido (host.name.fqdn en el ejemplo)
b. Agrega el grupo de seguridad Administradores al conjunto de ACL de las carpetas de
perfil, propagándose a todas las subcarpetas y archivos
c. Agrega el grupo de seguridad Administradores con Control total al conjunto de ACL de
las carpetas de perfil y obtiene permisos heredados a todas las subcarpetas y archivos
3. Cree un script (utilizando, por ejemplo, Windows PowerShell) que realice lo siguiente:
50
a. Se ejecuta en el contexto de cada usuario móvil (por ejemplo, como una tarea de inicio
de sesión).
b. Agrega el grupo de seguridad Administradores con Control total al conjunto de ACL de
las carpetas de perfil y obtiene permisos heredados a todas las subcarpetas y archivos.
Creación de un plan de comunicación con

los usuarios finales
Desarrolle un plan para informar a todos los usuarios afectados sobre la próxima migración de
cuentas, para asegurarse de que saben cuáles son sus responsabilidades, el impacto de la
migración y con quién tienen que ponerse en contacto para obtener ayuda y soporte técnico.
Antes de comenzar el proceso de migración de usuarios, envíe un aviso a todos los usuarios
programados para la migración. Dado que normalmente migra usuarios en lotes de
aproximadamente 100 usuarios de una vez, también es útil enviar un aviso final a los usuarios de
cada lote dos o tres días antes de la programación de su lote. Si su organización dispone de una
intranet, publique la programación de la migración de cuentas y la información contenida en el
correo de usuario en una página web fácilmente accesible.
Incluya la siguiente información en su comunicación al usuario final.
Información general
Avise a los usuarios de que sus cuentas de usuario están programadas para la migración a un
nuevo dominio. Remita a los usuarios a una página web o recurso interno donde puedan
encontrar información adicional y ver una programación de migración.
Informe a los usuarios del nuevo nombre de dominio. Asegúrese de informarles de que sus
contraseñas de cuentas no cambiarán. Informe a los usuarios de que la cuenta de dominio
original se deshabilitará inmediatamente después de la migración y la cuenta deshabilitada se
eliminará transcurrido un período de tiempo específico. No es necesario si los usuarios inician
sesión con nombres principales de usuario (UPN).
Impacto
Asegúrese de que los usuarios comprenden que cuando sus cuentas se migran, es posible que
no puedan tener acceso a algunos recursos, como sitios web, carpetas compartidas o recursos
que los usuarios de su grupo o división no utilizan de forma habitual.
Proporcione información a los usuarios sobre con quién tienen que ponerse en contacto para
obtener asistencia para tener acceso a los recursos necesarios.
51
Estado de inicio de sesión durante la migración
Asegúrese de que los usuarios comprenden que durante el proceso de migración no podrán
iniciar sesión en el dominio o tener acceso al correo electrónico u otros recursos. Asegúrese de
que especifica el período de tiempo durante el que no podrán iniciar sesión.
Pasos de migración previa

Avise a los usuarios de cualquier paso que deban completar antes de comenzar el proceso de
migración. Por ejemplo, deben descifrar los archivos cifrados por medio del Sistema de cifrado
de archivos (EFS). Si se produce un error al descifrar archivos cifrados, se perderá el acceso a
los archivos cifrados después de la migración.
Los usuarios también deben asegurarse de que sus equipos están conectados a la red cuando la
migración de su cuenta está programada.
Cambios esperados
Describa otros cambios que los usuarios puedan experimentar después de la migración, como
cambios en el uso de tarjetas inteligentes, correo electrónico seguro o mensajería instantánea, si
procede.
Programación e información de soporte técnico

Proporcione información sobre dónde se pueden dirigir los usuarios para obtener más
información. Por ejemplo, pueden visitar un sitio web interno donde publique información sobre la
migración. Asimismo, proporcione información sobre con quién debe ponerse en contacto si la
fecha programada para la migración presenta un conflicto para un usuario.
Preparación de los dominios de origen y

destino
Antes de comenzar con la migración de las cuentas del dominio de origen al dominio de destino,
debe preparar los dominios de origen y de destino para la migración. La siguiente ilustración
muestra las tareas necesarias para preparar los dominios para el proceso de reestructuración de
dominios dentro de un mismo bosque.
52
Instalación de software de cifrado alto de 128
bits
El equipo en el que esté instalada la Herramienta de migración para Active Directory (ADMT)
necesita cifrado alto de 128 bits. Este cifrado es estándar en los equipos que ejecutan
Windows 2000 Server Service Pack 3 (SP3) o Service Pack 4 (SP4), Windows Server 2003,
Windows Server 2008 o Windows Server 2008 R2. Si planea instalar ADMT en un equipo que no
admite de forma predeterminada el cifrado de nivel superior de 128 bits, debe instalar el paquete
de cifrado de nivel superior de 128 bits.
Puede descargar el paquete de cifrado desde Windows 2000 High Encryption Pack (Paquete de
cifrado elevado de Windows 2000) (http://go.microsoft.com/fwlink/?LinkId=76037).
53
Establecimiento de confianzas necesarias
para la migración
Antes de poder migrar cuentas y recursos desde un dominio de origen a un dominio de destino
en otro bosque de Active Directory, debe asegurarse de que existen las confianzas apropiadas
entre los bosques. Las relaciones de confianza entre los bosques que está reestructurando
permiten que la Herramienta de migración para Active Directory (ADMT) migre usuarios y
cuentas de servicio y convierta perfiles de usuarios locales de los dominios de origen a los
dominios de destino. Además, dependiendo de cómo estén configuradas las relaciones de
confianza, los usuarios del dominio de origen pueden tener acceso a recursos del dominio de
destino. Es más, los usuarios de los dominios de destino pueden tener acceso a los recursos del
dominio de origen que todavía no se han migrado.
Para migrar usuarios y grupos globales, debe establecer una confianza unidireccional entre el
dominio de origen y el dominio de destino, de forma que el dominio de origen confíe en el
dominio de destino.
Para migrar recursos o convertir perfiles locales, debe realizar uno de los siguientes
procedimientos:
 Crear una confianza unidireccional entre el dominio de origen y el dominio de destino.
 Crear una confianza bidireccional entre los dominios de origen y destino.
Para obtener más información acerca de la creación de confianzas, consulte Creating Domain
and Forest Trust (http://go.microsoft.com/fwlink/?LinkId=77381).
Establecimiento de cuentas de migración

para la migración
Para migrar las cuentas y los recursos entre bosques, debe establecer cuentas de migración y
asignar los credenciales apropiados a dichas cuentas. La Herramienta de migración para
Active Directory (ADMT) utiliza las cuentas de migración para migrar objetos que identifique.
Dado que ADMT requiere sólo un conjunto limitado de credenciales, la creación de cuentas de
migración independientes le ayuda a simplificar la administración. Si las tareas de migración de
su organización se distribuyen a más de un grupo, es útil crear una cuenta de migración para
cada grupo implicado en la realización de la migración.
Para simplificar la administración, cree una cuenta única en el dominio de origen y una cuenta
única en el dominio de destino para todos los objetos, con las credenciales necesarias para
modificar los objetos, como usuarios, cuentas de servicio administradas, grupos globales y
perfiles locales que desea migrar a esa cuenta. Por ejemplo, una cuenta de migración que utiliza
para migrar cuentas de usuario junto con el historial de identificadores de seguridad (SID),
54
grupos globales junto con el historial de SID, equipos y perfiles de usuario tiene credenciales de
administrador local o administrador de dominio en el dominio de origen. La cuenta de migración
también ha delegado permiso en el usuario, cuenta de servicio administrada, grupo y las
unidades organizativas del equipo (OU) en el dominio de destino, con el derecho extendido para
migrar el SID History en la unidad organizativa de usuario. El usuario debe ser un administrador
local en el equipo del dominio de destino en el que esté instalada ADMT. Una cuenta de
migración que utilice para migrar estaciones de trabajo y controladores de dominio debe tener
credenciales de administrador local o administrador de dominio de origen en las estaciones de
trabajo, o la cuenta debe tener credenciales de administrador de dominio de origen en el
controlador de dominio o en ambos.
En el dominio de destino, es necesario utilizar una cuenta que tenga permisos delegados en la
unidad organizativa de equipo y la unidad organizativa de usuario. Es posible que desee utilizar
una cuenta independiente para la migración de estaciones de trabajo si este proceso de
migración se delega a los administradores de la misma ubicación que las estaciones de trabajo.
La siguiente tabla muestra los credenciales necesarios en los dominios de origen y de destino
para los objetos de migración diferentes.
Objeto de migración Credenciales necesarios en Credenciales necesarios en

dominio de origen dominio de destino
Usuario/cuenta de servicio Permiso delegado para Permiso delegado para Crear,

administrada/grupo sin SID Leer toda la información eliminar y administrar cuentas
History del usuario en la unidad de usuario, Crear, eliminar y
organizativa de usuario o administrar grupos y Modificar
unidad organizativa de la pertenencia de un grupo
grupo y credencial de para la unidad organizativa de
administrador de dominio usuario o la unidad organizativa
de grupo y administrador local del
equipo en el que está instalada
ADMT
Usuario/cuenta de servicio Permiso delegado para Permiso delegado en la unidad

administrada/grupo con SID Leer toda la información organizativa de usuario o la
History del usuario en la unidad unidad organizativa de grupo,
organizativa de usuario o permiso extendido para migrar
unidad organizativa de historial de SID y administrador
grupo y credencial de local en el equipo en el que esté
administrador de dominio instalada ADMT.
Equipo Administrador de dominio o Permiso delegado en la unidad

administrador en el dominio organizativa de equipo y
de origen y en cada equipo administrador local en el equipo
en el que está instalada ADMT
Nota
55
Objeto de migración Credenciales necesarios en Credenciales necesarios en
dominio de origen dominio de destino
Si el equipo tiene una

cuenta de servicio
administrada instalada,
deberá proporcionar
credenciales que tengan
permiso para actualizar
el descriptor de
seguridad de la cuenta
de servicio administrada
en el dominio de destino.
Perfil Administrador local o Permiso delegado en la unidad

administrador de dominio organizativa de usuario y
administrador local en el equipo
en el que está instalada ADMT.
Nota
Es posible que tenga que
seguir otros pasos
adicionales de
preparación si migra
perfiles móviles de
equipos que ejecutan
Windows Vista o
Windows 7. Para obtener
más información,
consulte Preparación
para la migración de
perfiles móviles con
Windows Vista y
Windows 7.
Los siguientes procedimientos proporcionan ejemplos para la creación de grupos o cuentas para
migrar cuentas y recursos. Los procedimientos varían en función de si existe una confianza
unidireccional o bidireccional. El procedimiento de creación de grupos de migración cuando
existe confianza unidireccional es más complejo que el procedimiento cuando existe confianza
bidireccional. Lo que se debe a que, con una confianza unidireccional, debe agregar el grupo de
migración al grupo local Administradores de las estaciones de trabajo.
El procedimiento de muestra para la creación de grupos de migración cuando existe una
confianza unidireccional implica la creación de grupos independientes para la migración de
56
Creación de una
un grupo
cuentadede
migración
migración
dede
cuenta
recursos
recursos
cuando
cuando
cuando
existe
existe
existe
una
una
una
confianza
confianza
confianza
unidireccionalentre
bidireccional en lalos
quedominios
el dominio
de de
origen
origen
y de
confía
destino.
en el dominio de
destino
cuentas y recursos. No obstante, puede combinar acct_migrators y res_migrators en un grupo, si

no tiene que separarlos para delegar diferentes conjuntos de permisos.
1. En el dominio de destino, cree un grupo global denominado acct_migrators.

2. En el dominio de destino, agregue el grupo acct_migrators al grupo Admins. del dominio
o delegue la administración de las unidades organizativas que son destino de la
migración de cuentas a este grupo.
3. Si migra el historial de SID y no coloca el grupo acct_migrators en el grupo Admins. del
dominio, conceda al grupo acct_migrators el permiso extendido Migrar historial SID en
el objeto de dominio de destino. Para ello, siga estos pasos:
a. Inicie Usuarios y equipos de Active Directory, haga clic con el botón secundario en el
objeto de dominio y, a continuación, haga clic en Propiedades.
b. Haga clic en la ficha Seguridad y en Agregar, a continuación, seleccione
acct_migrators.
Si la ficha Seguridad no aparece, en Usuarios y equipos de Active Directory, haga
clic en Ver y, a continuación, haga clic en Características avanzadas.
c. En Permissions for acct_migrators, haga clic en Permitir para el permiso Migrar
historial SID.
4. En el dominio de origen, agregue el grupo acct_migrators al grupo
Builtin\Administradores.
5. En cada equipo en el que desee convertir perfiles locales, agregue el grupo
acct_migrators al grupo local Administradores.
1. En el dominio de destino, cree un grupo global denominado res_migrators.

2. En el dominio de destino, agregue el grupo res_migrators al grupo Admins. del dominio o
delegue la administración de las unidades organizativas que son destino de la migración
de recursos a este grupo.
3. En el dominio de origen, agregue el grupo res_migrators al grupo Administradores.
4. En cada equipo que desee migrar o en el que desee realizar una conversión de
seguridad, agregue el grupo res_migrators al grupo local Administradores.
1. En el dominio de origen, cree una cuenta denominada res_migrator.

2. En el dominio de origen, agregue la cuenta res_migrator al grupo Admins. del dominio.
(El grupo Admins. del dominio es un miembro del grupo local Administradores en cada
equipo del dominio de forma predeterminada. Por consiguiente, no tiene que agregarlo al
grupo local Administradores en cada equipo).
57
3. En el dominio de destino, delegue los permisos en las unidades organizativas que sean
destino de la migración de recursos para la cuenta res_migrator.
ADMT también incluye funciones de administración de base de datos que puede utilizar para
asignar un subconjunto de permisos a los usuarios que realicen tareas de migración específicas.
Las funciones de administración de base de datos y las tareas de migración que pueden realizar
se enumeran en la siguiente tabla.
Función Tarea de migración
Migradores de cuentas Tareas de migraciones de cuentas, como

migración de usuarios y grupos.
Migradores de recursos Tareas de migración de recursos, como

migraciones de equipos y conversión de
seguridad. Los migradores de cuentas también
desempeñan la función de migradores de
recursos.
Lectores de datos Consultas en la base de datos. Los migradores

de cuentas y los migradores de recursos
también desempeñan la función de lectores de
datos.
Los usuarios que tienen la función de administrador del sistema de SQL Server asumen todas
las funciones de administración de base de datos de ADMT. Tienen los credenciales para realizar
lo siguiente:
 Mostrar funciones de base de datos y usuarios que asumen dichas funciones
 Agregar grupos o usuarios a funciones
 Quitar grupos o usuarios de funciones
De manera predeterminada, se asigna la función de administrador del sistema al grupo local
Administradores y puede realizar todas las funciones de la base de datos de ADMT.
Configuración de los dominios de origen y

destino para la migración del historial de
SID
Puede configurar de forma manual los dominios de origen y de destino para migrar el historial de
identificadores de seguridad (SID) antes de comenzar una migración entre distintos bosques, o
bien puede dejar que la Herramienta de migración para Active Directory (ADMT) configure los
dominios automáticamente la primera vez que se ejecute.
58
Nota
Para habilitar
Creación
Activación
dedeunla
lagrupo
auditoría
compatibilidad
local
enen
loselde
dominios
dominio
cliente de
de
TCP/IP
origen
Windows
enpara
el emulador
Server
admitir
2008
la
deauditoría
R2
PDCy del dominio de
origen
Windows Server 2008
Para configurar los dominios de origen y de destino de forma manual, complete los siguientes
procedimientos:
 Cree un grupo local en el dominio de origen para admitir la auditoría.
 Habilite la compatibilidad de cliente TCP/IP en el emulador del controlador principal de
dominio (PDC) del dominio de origen.
Si está migrando desde un dominio con controladores de dominio que ejecutan
Windows Server 2003 o posterior a otro dominio con controladores de dominio que
ejecutan Windows Server 2003 o posterior, la entrada del Registro
TcpipClientSupport no debe modificarse.
 Habilite la auditoría de la administración de cuentas en los dominios de origen y de destino.
Para Windows Server 2008 R2 y Windows Server 2008, deberá habilitar también la auditoría
del acceso al servicio de directorio con el fin de migrar los usuarios con el SID History entre
los bosques.
 En el dominio de origen, cree un grupo local denominado SourceDomain$$$, donde

SourceDomain es el nombre NetBIOS de su dominio de origen, por ejemplo, Boston$$$.
No agregue miembros a este grupo; de lo contrario, se producirá un error en la migración
del historial de SID.
1. En el controlador de dominio del dominio de origen que realiza el papel de servidor

principal de operaciones de emulador PDC (también conocidas como operaciones de
servidor principal único flexible o FSMO), haga clic en Inicio y, a continuación, en
Ejecutar.
2. En Abrir, escriba regedit y haga clic en Aceptar.
Precaución
La modificación incorrecta del Registro puede dañar gravemente el sistema.
Antes de realizar cambios en el Registro, debe hacer una copia de seguridad de
los datos valiosos que contenga el equipo. También puede utilizar la opción de
inicio Última configuración buena conocida si surgen problemas después de
realizar los cambios.
3. En el Editor del Registro, desplácese a la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
4. Modifique la entrada del registro TcpipClientSupport, del tipo de datos REG_DWORD,
estableciendo el valor a 1.
5. Cierre el Editor del Registro y reinicie el equipo.
1. Inicie sesión como administrador en cualquier controlador de dominio del dominio de
59
destino.
2. Haga clic en Inicio, seleccione Todos los programas, Herramientas administrativas y,
a continuación, haga clic en Administración de directivas de grupo.
3. Desplácese al siguiente nodo:
Bosque | Dominios | Dominio | Controladores de dominio | Directiva predeterminada de
controladores de dominio
4. Haga clic con el botón secundario en Directiva predeterminada de controladores de
dominio y haga clic en Modificar.
5. En el Editor de administración de directivas de grupo, en el árbol de la consola,
desplácese el siguiente nodo:
Configuración del equipo | Directivas | Configuración de Windows | Configuración de
seguridad | Directivas locales | Directiva de auditoría
6. En el panel de detalles, haga clic con el botón secundario en Auditar la administración
de cuentas y, a continuación, haga clic en Propiedades.
7. Haga clic en Definir esta configuración de directiva y, a continuación, haga clic en
Correcto y Erróneo.
8. Haga clic en Aplicar y, a continuación, haga clic Aceptar.
9. En el panel de detalles, haga clic con el botón secundario en Auditar el acceso del
servicio de directorio y, a continuación, haga clic en Propiedades.
10. Haga clic en Definir esta configuración de directiva y, a continuación, haga clic en
Correcto.
11. Haga clic en Aplicar y, a continuación, haga clic Aceptar.
12. Si es necesario que los cambios se reflejen de forma inmediata en el controlador de
dominio, abra un símbolo del sistema con privilegios elevados y escriba gpupdate
/force.
13. Repita los pasos del 1 al 12 en el dominio de origen.
Configuración de la estructura de unidades

organizativas del dominio de destino para
la administración
El equipo de diseño de Active Directory crea la estructura de unidades organizativas (OU) para el
dominio de destino. Este equipo también define los grupos que son responsables de la
administración de cada unidad organizativa y la pertenencia de cada grupo. Puede utilizar esa
información y el siguiente procedimiento para configurar el dominio de destino para la
administración.
60
Para configurar la estructura de unidades organizativas del dominio de destino para la
administración
1. Inicie sesión como administrador en cualquier controlador de dominio del dominio de

destino.
2. Inicie Usuarios y equipos de Active Directory y, a continuación, cree la estructura de
unidades organizativas que ha especificado su equipo de diseño.
3. Cree grupos administrativos y asigne usuarios a estos grupos.
4. Delegue la administración de la estructura de unidades organizativas a los grupos tal y
como lo haya definido el equipo de diseño.
Instalación de ADMT en el dominio de

destino
Siga una de las siguientes instrucciones para instalar la Herramienta de migración
Active Directory (ADMT), según la versión que vaya a instalar. La versión 3.1 de ADMT ofrece
una opción para instalar una instancia de base de datos de Microsoft SQL Server® Express
preconfigurada. La versión 3.2 de ADMT necesita una instancia de base de datos de SQL Server
para instalarse previamente. El resto de instrucciones para separar, reconfigurar y eliminar un
archivo de base de datos se aplican a cualquier versión de ADTM.
 Instalación de ADMT v3.1
 Separar un archivo de base de datos existente de una versión anterior de ADMT y de
SQL Server
 Reconfigurar la instalación de la base de datos con Admtdb.exe
 Reutilizar una base de datos de ADMT existente desde una instalación anterior
Instalación de ADMT v3.1

En esta sección se tratan los siguientes problemas de instalación de ADMT v3.1.
 Requisitos previos para la instalación de ADMT v3.1
 Instalación de ADMT v3.1 usando el almacén de la base de datos predeterminado
Requisitos previos para la instalación de ADMT v3.1

Cuando instala la Herramienta de migración para Active Directory 3.1 (ADMT v3.1), también
instala SQL Server 2005 Express Edition de forma predeterminada para usarlo como almacén de
datos. Como opción, puede configurar ADMT v3.1 para usar una base de datos SQL Server 2000
61
Para instalar ADMT usando el almacén de la base de datos predeterminado
con Service Pack 4 (SP4) Standard o Enterprise Edition o una instalación SQL Server 2005
Standard o Enterprise Edition anteriormente creada.
Antes de instalar ADMT v3.1, complete los siguientes requisitos previos:
 Instale Windows Server 2008.
 Quite todas las versiones anteriores de ADMT mediante Agregar o quitar programas del
Panel de control. Si intenta instalar ADMT v3.1 en un servidor con una versión anterior de
ADMT, recibirá un mensaje de error y la instalación se detendrá. Si es necesario, puede
importar la base de datos de la versión anterior de ADMT (como ADMT v2.0 o ADMT v3.0) en
ADMT v3.1 durante la instalación.
 Si no piensa usar la instalación de la base de datos local predeterminada, asegúrese de que
está configurada otra instalación de la base de datos SQL Server 2000 o SQL Server 2005
con una instancia de ADMT. Para obtener más información sobre cómo crear una instancia
de ADMT en una base de datos de SQL Server, consulte Instalación de ADMT usando una
base de datos de SQL Server preconfigurada.
Instalación de ADMT v3.1 usando el almacén de la base de datos

predeterminado
Para instalar ADMT, puede usar el almacén de la base de datos predeterminado basado en SQL
Server 2005 Express Edition o una base de datos SQL preconfigurada. El método de instalación
más común y recomendado es usar el almacén de la base de datos predeterminado, configurado
automáticamente por el Asistente para la instalación de Herramienta de migración para Active
Directory.
 Según su entorno, descargue ADMT v3.1 (http://go.microsoft.com/fwlink/?

LinkId=121732) o ADMT v3.2 (http://go.microsoft.com/fwlink/?LinkId=186197). Para
obtener más información acerca de qué versión de ADMT se debe utilizar, consulte
Herramienta de migración Active Directory: versiones y entornos admitidos. En la
ubicación de descarga, haga doble clic en admtsetup.exe para abrir el asistente de
instalación.
Página del asistente Acción
Ésta es la instalación de la Haga clic en Siguiente.

Herramienta de migración Active
Directory
Configuración de componentes La instancia de la base de datos de ADMT

(MS_ADMT) se crea en el equipo local.
Aunque SQL Server 2005 Express Edition
se instala localmente de manera
predeterminada lo use o no ADMT, ADMT
62
deshabilita SQL Server 2005 Express

Edition si especifica otra instancia de la
base de datos en la siguiente página del
Asistente.
Selección de base de datos Especifique la instancia de la base de

datos a la que desea conectarse. La
selección recomendada es Usar
Microsoft SQL Server Express Edition,
que configura ADMT v3.1 para usar la
instancia de la base de datos instalada
localmente.
Si está usando varias consolas de
ADMT v3.1 y tiene un servidor de base de
datos dedicado donde desea centralizar su
base de datos de ADMT, seleccione la
opción Utilizar Microsoft SQL Server
existente. Especifique el servidor al que
se va a conectar mediante el formato
Servidor\instancia.
Debería configurar la instancia de la base
de datos de SQL Server antes de
seleccionar esta opción. Aunque la
instalación de ADMT v3.1 continúe a pesar
de no poder ponerse en contacto con la
base de datos, no podrá usar ADMT para
migrar cuentas o recursos hasta que se
cree la instancia de la base de datos y esté
disponible.
Importación de la base de datos de la Aunque no puede actualizar una

Herramienta de migración para Active instalación de ADMT v3.0 a ADMT v3.1,
Directory v3 puede importar los datos a una base de
datos de ADMT v3.1 desde una base de
datos de ADMT v3.0.
Si no desea importar datos desde una
base de datos de ADMT v3.0, seleccione
No, no importar los datos desde una
base de datos existente
(predeterminado).
Si desea importar los datos de ADMT v3.0
a la nueva base de datos de ADMT v3.1,
63
seleccione Sí, importar datos desde una

base de datos ADMT v3.
Si ha elegido importar datos, especifique la
ruta de acceso al archivo de la base de
datos de ADMT v3.0.

datos de ADMT v2.0.
base de datos de ADMT v2.
datos de ADMT v2.0.
La base de datos de ADMT v2.0 tiene el
nombre de archivo protar.mdb y debería
estar ubicada en el directorio
anteriormente usado para su instalación
de ADMT v2.0.
Resumen En esta página se resumen las opciones

que ha seleccionado. Haga clic en
Finalizar para completar la instalación de
ADMT v3.1.

ADMT v3.2 requiere una instancia de SQL Server preconfigurada para su almacén de datos
subyacente. Debe utilizar SQL Server Express. Al utilizar una de las siguientes versiones de
SQL Server Express, la instalación de ADMT impone los siguientes requisitos de Service Pack:
SQL Server 2005 Express se debe instalar con Service Pack 3 (SP3) o posterior.
64
Nota
Si utiliza SQL Server Express, la consola de ADMT se debe instalar y ejecutar

localmente en el servidor que aloja la instancia de base de datos de SQL Server
Express.
Como opción, puede utilizar versiones completas de SQL Server 2005 o SQL Server 2008. En
este caso, puede instalar y ejecutar la consola de ADMT en un equipo remoto y puede ejecutar
varias consolas de ADMT en diferentes equipos remotos. Si utiliza una versión completa de
SQL Server, la instalación de ADMT no impondrá ningún requisito de Service Pack.
El resto de la sección abarca los siguientes problemas de instalación:
 Instalar ADMT v3.2

Antes de instalar ADMT v3.2, complete las siguientes tareas de requisitos previos:
 En el Panel de control, seleccione Agregar o quitar programas para quitar todas las
versiones de ADMT anteriores a ADMT v3.2.
Aunque ADMT v3.2 no admite actualizaciones de una versión anterior de ADMT, puede
reutilizar una base de datos existente de una instalación de ADMT anterior, a menos que sea
una base de datos de ADMT v2 o ADMT v1. Para obtener más información, consulte
Reutilizar una base de datos de ADMT existente desde una instalación anterior.
 Instale o actualice un equipo de servidor (preferiblemente un servidor miembro) en el entorno
de dominio de origen o de destino, si fuera necesario, para que se ejecute Windows
Server 2008 R2.
Aunque puede utilizar ADMT v3.2 para migrar cuentas y recursos desde entornos de
Active Directory que tienen el nivel funcional del dominio de Windows Server 2003 o
posterior, puede instalar ADMT v3.2 sólo en un servidor que esté ejecutando Windows
Server 2008 R2.
Además de ejecutar Windows Server 2008 R2, no debe instalarse el equipo de servidor
utilizado para instalar ADMT v3.2 con la opción de instalación de Server Core ni debe estar
ejecutándose como un controlador de dominio de sólo lectura (RODC).
 Configure una instalación de base de datos de SQL Server con una instancia de ADMT.
Puede descargar e instalar SQL Server Express localmente o crear una instancia de base de
datos para ADMT desde una base de datos existente de SQL Server.
Para obtener más información acerca de cómo instalar SQL Server Express, consulte
Instalar ADMT v3.2 . Para obtener más información sobre cómo crear una instancia de
ADMT en una base de datos existente de SQL Server, consulte Instalar ADMT
reconfigurando la instalación de la base de datos con Admtdb.exe.
65
Para instalar ADMT v3.2
Instalar ADMT v3.2
Descargue SQL Server 2005 Express (http://go.microsoft.com/fwlink/?LinkId=181159), o cree una
nueva instancia de base de datos en una instalación existente de SQL Server para utilizar con
ADMT v3.2. Durante el proceso de instalación de SQL Server, seleccioneModo de
autenticación de Windows. Después de instalar SQL Server, complete el siguiente
procedimiento para instalar ADMT v3.2.
Para llevar a cabo este procedimiento, se requiere como mínimo pertenecer a Administradores
o a un grupo equivalente. Consulte los detalles relativos al uso correcto de las cuentas y
pertenencias a grupos en Grupos predeterminados locales y de dominio
1. En el paquete de descarga de ADMT, haga doble clic en admtsetup32.exe.

2. En la página de bienvenida, asegúrese de que las recomendaciones se han cumplido y,
a continuación, haga clic en Siguiente.
3. En la página del Contrato de licencia, haga clic en Acepto y, a continuación, en
Siguiente.
4. En la página Selección de base de datos, escriba servidor\instancia.
El requisito de escribir el nombre del servidor se aplica también a la instancia de la base
de datos local. Puede escribir un punto (“.”) para indicar el servidor local. De forma
predeterminada, la instancia de SQL Server Express se denomina SQLEXPRESS.
Por ejemplo, para utilizar una instancia de SQL Server Express predeterminada en el
servidor local, escriba .\SQLEXPRESS.
5. Si elige instalar SQL Express y el archivo ADMT.mdf de la base de datos no se
encuentra en la ubicación de datos predeterminada %windir%\ADMT\Data, aparecerá la
página Importación de base de datos. De lo contrario, la configuración de ADMT se
asocia automáticamente a ese archivo de base de datos y aparece la página Resumen.
En la página de Importación de base de datos, si no necesita realizar una importación
de datos, haga clic en No, no importar los datos desde una base de datos existente
(Predeterminado). Si necesita importar datos de una instalación anterior de ADMT, haga
clic en Sí, importar datos de una base de datos existente de ADMT v3.0 o
ADMT v3.1 y, a continuación, para desplazarse a la ubicación del archivo de base de
datos existente haga clic en Examinar.
Antes de importar los datos desde una base de datos existente, debe separar el archivo
de base de datos del SQL Server utilizando los comandos de SQL Server. Para obtener
más información, consulte Separar un archivo de base de datos existente de una
versión anterior de ADMT y de SQL Server.
Cuando haya terminado, haga clic en Siguiente.
6. En la página Resumen, revise los resultados de la instalación y, a continuación, haga
clic en Finalizar.
66
Separar un archivo de base de datos existente de
una versión anterior de ADMT y de SQL Server
Si utiliza SQL Server Express, la base de datos se separa automáticamente al quitar ADMT. La
base de datos de SQL Server Express separada puede reutilizarse para una instalación de
ADMT posterior. En ese caso, ADMT se conecta automáticamente con la base de datos existente
que especifique durante la instalación.
Puede separar el archivo de base de datos de ADMT desde una instancia completa de
SQL Server si tiene otra aplicación que quiera conectar a la misma base de datos. Por ejemplo,
si tiene previsto moverlo desde una instalación completa de SQL Server a SQL Server Express,
o si tiene un archivo de base de datos de ADMT de una instalación previa que ha conectado a
las herramientas de administración de SQL Server, tendrá que separarlo de esa base de datos
para que ADMT pueda utilizarlo.
Para separar una base de datos, puede completar el procedimiento almacenado de SQL:
sp_detach_db [ @dbname = ] 'dbname'
Para obtener más información acerca de la llamada al procedimiento almacenado, consulte la

documentación de SQL Server. Para obtener más información acerca de cómo usar SQL Server
Management Studio para separar la base de datos, consulte Cómo: Separar una base de datos
(SQL Server Management Studio (http://go.microsoft.com/fwlink/?LinkId=183994).
Reconfigurar la instalación de la base de datos

con Admtdb.exe
Si durante la instalación tiene problemas con la configuración de la base de datos, o si especificó
SQL Server Express durante la instalación de ADMT v3.2 pero desea cambiar a SQL Server (o
viceversa) después del proceso de instalación, puede utilizar Admtdb.exe. La sintaxis de línea de
comandos para Admtdb.exe se encuentra en la tabla siguiente.
Puede ejecutar Admtdb.exe desde el símbolo del sistema con privilegios elevados en cualquier
servidor que se pueda dirigir al equipo de servidor que ejecute SQL Server para crear una
instancia de ADMT en dicho equipo de servidor.
Sintaxis Descripción
admtdb create /{s|server}: Instala una nueva base de datos de ADMT o

"Servidor\instancia" prepara una base de datos vacía.
El parámetro /server especifica el nombre del
servidor SQL Server y la instancia a la que se
va a conectar para crear la base de datos. Es
un parámetro obligatorio.
admtdb upgrade /s|server: Server\Instance Actualiza a una versión anterior de una base de
67
Para reutilizar la base de datos local después
Sintaxis de configurar una instancia remota de una
Descripción
base de datos de SQL Server
datos de ADMT v3.0 o ADMT v3.1.
El parámetro /server, que es obligatorio,
especifica el nombre del servidor SQL Server y
la instancia a la que se va a conectar para
actualizar la base de datos de ADMT v3.0 o
ADMT v3.1.
Nota
Antes de actualizar la base de datos de
ADMT, abra la consola de ADMT para
comprobar que es compatible con la
base de datos.
admtdb attach [/{a|attach}: "ruta de acceso a Conecta una base de datos existente de ADMT
la base de datos v3x" a la instancia de SQL Server Express 2005 o
SQL Server Express 2008 local.
El parámetro /attach, que es obligatorio,
especifica la ruta al archivo de base de datos
Admt.mdf separado.
Para ver la Ayuda de todas las opciones de la línea de comandos de Admtdb.exe, en el símbolo
del sistema, escriba admtdb /? .
Si ha empezado la migración mediante una base de datos local de SQL Server Express y luego
ha configurado la instancia remota de una base de datos de SQL Server, y necesita volver a
utilizar una base de datos local de SQL Server Express, complete el siguiente procedimiento. En
este caso, el archivo de base de datos de ADMT ya está conectado a la instancia de
SQL Express. Por lo tanto, no es necesario que se vuelva a conectar.
Si ha empezado la migración mediante SQL Server y desea cambiar a SQL Server Express,
consulte Reutilizar una base de datos de ADMT existente desde una instalación anterior.
1. En el equipo local, haga clic en Inicio, seleccione Herramientas administrativas y, a

continuación, haga clic en Servicios.
2. En el panel de Detalles, asegúrese de que el servicio que aloja la instancia de
SQL Server Express se esté ejecutando y que el Tipo de inicio se haya establecido en
Automático. Si va a utilizar ADMT v3.1 y tenía instalado ADMT con SQL Server Express,
el nombre del servicio es MSSQL$MS_ADMT.
Si el servicio no se inicia o si no está configurado para iniciarse automáticamente en el
68
Nota
inicioPara utilizar una
del sistema, hagabase de Iniciado,
clic en datos de haga
ADMT existente
clic (separada)
con el botón con en
secundario la instancia
el nombre de
SQL Server
del servicio local
y, a continuación, haga clic en Propiedades.
3. En la ficha General, de la lista Tipo de inicio, haga clic en Automático.
4. En Estado del servicio, haga clic en Inicio y, a continuación, haga clic en Aceptar.
5. Cierre Servicios.
6. En el símbolo del sistema, escriba los siguientes comandos:
Nota
El comando admtdb attach es necesario sólo si anteriormente ha ejecutado
comandos SQL para que separen la instancia local de SQL Server Express.
admtdb attach /{s | Server}:”Instancia de SQL Server Express local”
admt config setdatabase /s:Servidor\Instancia.
Ahora puede utilizar la base de datos local.
Reutilizar una base de datos de ADMT existente

desde una instalación anterior
Si desea utilizar una base de datos existente (separada) de una instalación de ADMT v3.0,
ADMT v3.1 o ADMT v3.2 anterior con la instancia de SQL Server local, puede completar el
siguiente procedimiento.
Para llevar a cabo este procedimiento, se requiere como mínimo pertenecer a
Administradores o a un grupo equivalente. Revise los detalles sobre cómo usar las
cuentas apropiadas y pertenencia a grupos en Grupos de dominio y locales
predeterminados (http://go.microsoft.com/fwlink/?LinkId=83477).

2. En el panel de detalles, asegúrese de que el servicio que aloja la instancia de
inicio del sistema, haga clic en Iniciado, haga clic con el botón secundario en el nombre
del servicio y, a continuación, haga clic en Propiedades.
admtdb attach /{s | Server}:”Instancia de SQL Server Express local” /{a |
Attach}:”Ruta de acceso al archivo de base de datos de ADMT v3.x que desea
69
Nota
asociar"
admt config setdatabase /s: servidor\instancia
Ahora puede utilizar la base de datos de ADMT existente con la instancia de SQL Server
local. No es necesario volver a ejecutar el asistente de instalación de ADMT. La
instalación de ADMT se puede ejecutar una sola vez. Puede realizar cualquier cambio
posterior en la configuración de la base de datos mediante los comandos admtdb.exe y
admt config setdatabase.
Habilitación de la migración de contraseñas

La Herramienta de migración Active Directory (ADMT) utiliza la versión 3.1 del servicio del
servidor de exportación de contraseñas (PES v3.1) para ayudar a migrar las contraseñas cuando
se realiza una migración entre bosques. Tanto ADMT v3.1 como ADMT v3.2 utilizan la
versión 3.1 del servidor de exportación de contraseñas (PES). Descargue PES v3.1 desde el
Centro de descarga de Microsoft. Para equipos basados en x86, consulte el servidor de
exportación de contraseñas versión 3.1 (x86) (http://go.microsoft.com/fwlink/?LinkId=147652).
Para equipos basados en 64 bits, consulte el servidor de exportación de contraseñas versión 3.1
(x64) (http://go.microsoft.com/fwlink/?LinkId=147653). El servicio PES se puede instalar en
cualquier controlador de dominio de escritura del dominio de origen que admita el cifrado de 128
bits.
El servicio PES no se puede instalar en controladores de dominio de sólo lectura
(RODC).
Como ADMT no comprueba todas las configuraciones de la directiva de contraseñas del dominio
de destino, los usuarios tienen que configurar expresamente su contraseña después de la
migración a menos que estén configurados los indicadores La contraseña nunca caduca o Se
requiere una tarjeta inteligente para el inicio de sesión interactivo.
La instalación del servicio PES en el dominio de origen requiere una clave de cifrado. Sin
embargo, debe crear la clave de cifrado en el equipo que ejecute ADMT en el dominio de
destino. Cuando cree la clave, guárdela en una carpeta compartida en su red o en un medio
extraíble para poder copiarla en la unidad local del controlador del dominio de origen donde está
instalado el servicio PES. Guárdela en una ubicación segura que pueda volver a formatear una
vez finalizada la migración.
El servicio PES se puede instalar después de ADMT. Los siguientes procedimientos explican
cómo instalar y utilizar el servicio PES en equipos que ejecutan Windows Server 2008 R2 o
Windows Server 2008.
70
Nota
Creación de una clave de cifrado Configuración del servicio PES en el dominio de origen
 En una línea de comandos, escriba el siguiente comando y, a continuación, presione

ENTRAR:
admt key /option:create /sourcedomain:<DominioOrigen>
/keyfile:<RutaAccesoArchivoClave> /keypassword:{<contraseña>|*}
Valor Descripción
<DominioOrigen> Especifica el nombre del dominio de

origen en el que se instala el servicio
PES. Se puede especificar como
Sistema de nombres de dominio (DNS) o
nombre NetBIOS.
<RutaAccesoArchivoClave> Especifica la ruta de acceso a la

ubicación en la que se almacena la clave
de cifrado.
{<contraseña>|*} Una contraseña, que proporcione cifrado

de claves, es opcional. Para proteger la
clave compartida, escriba la contraseña
o un asterisco (*) en la línea de
comandos. El asterisco hace que se le
solicite una contraseña que no aparece
en la pantalla.
Después de crear la clave de cifrado, configure el servicio PES en un controlador de dominio del
dominio de origen.
ADMT proporciona la opción para ejecutar el servicio PES en la cuenta del sistema local o
utilizando las credenciales de un usuario autenticado en el dominio de destino. Recomendamos
que ejecute el servicio PES como un usuario autenticado en el dominio de destino. De esta
forma, no tendrá que agregar el grupo Todos y el grupo Inicio de sesión anónimo al grupo Acceso
compatible con versiones anteriores de Windows 2000.
Si ejecuta el servicio PES en la cuenta del sistema local, asegúrese de que el grupo
Acceso compatible con versiones anteriores de Windows 2000 del dominio de destino
contiene el grupo Todos y el grupo Inicio de sesión anónimo.
1. En el controlador de dominio que ejecuta el servicio PES en el dominio de origen, inserte

el disco de la clave de cifrado.
2. Ejecute Pwdmig.msi. Si define una contraseña durante el proceso de generación de
clave en el controlador de dominio del dominio de destino, proporcione la contraseña
facilitada cuado se creó la clave y, a continuación, haga clic en Siguiente.
71
Éste es el Asistente de instalación Haga clic en Siguiente.

de DLL de migración de contraseñas
de ADMT
Archivo de cifrado Para instalar la biblioteca de vínculos

dinámicos (DLL) de migración de
contraseñas de ADMT, debe especificar un
archivo que contenga una clave de cifrado de
contraseña válida para este dominio de
origen. El archivo de clave debe estar
ubicado en una unidad local.
Utiliza el comando admt key para generar
los archivos de clave. Para obtener más
información, consulte el procedimiento
anterior "Creación de una clave de cifrado".
Ejecutar el servicio como Especifique la cuenta que desea ejecutar en

el servicio PES. Puede especificar una de las
siguientes cuentas:
 La cuenta del sistema local
 Una cuenta de usuario especificada
Nota
Si prevé ejecutar el servicio PES
como una cuenta de usuario
autenticado, especifique la
cuenta en el formato
domain\nombre_usuario.
Resumen Haga clic en Finalizar para completar la

instalación del servicio PES.
Nota
Para utilizar la migración de
contraseñas de ADMT, debe
reiniciar el servidor donde ha
instalado el servicio PES.
3. Tras completar la instalación, reinicie el controlador de dominio.

4. Una vez reiniciado el controlador de dominio, para iniciar el servicio PES, elija Inicio,
Todos los programas, Herramientas administrativas y, a continuación, en Servicios.
5. En el panel de detalles, haga clic con el botón secundario en Servicio de servidor de
exportación de contraseñas y, a continuación, haga clic en Inicio.
72
Advertencia
Para inicializar ADMT ejecutando una migración de prueba de un grupo global
Nota
Ejecute el servicio PES sólo cuando migre contraseñas. Detenga el servicio PES
después de completar la migración de contraseñas.
Inicialización de ADMT ejecutando una

migración de prueba
Inicie la Herramienta de migración para Active Directory (ADMT) ejecutando una migración de
prueba de un grupo global y seleccione la opción denominada Migrar los identificadores de
seguridad (SID) de grupos hacia el dominio de destino. Para migrar el historial de
identificadores de seguridad (SID), debe completar las tareas de preparación que se describen
en Configuración de los dominios de origen y destino para la migración del historial de SID. Si
anteriormente no configuró los dominios de origen y de destino para migrar el SID History, ADMT
se los pide y proporciona una opción para que las siguientes tareas se completen
automáticamente.
 Crea un grupo local, dominio_origen$$$, en el dominio de origen, que se utiliza para auditar
las operaciones del historial de SID. No agregue miembros a este grupo; de lo contrario, se
producirá un error en la migración del historial de SID.
 Si el dominio de origen es Windows 2000 y está utilizando ADMT 3.1, la compatibilidad con
clientes TCP/IP en el controlador de dominio principal (PDC) del dominio de origen se
habilita configurando el valor de la entrada del Registro TcpipClientSupport en 1. Esta
entrada se encuentra en la siguiente subclave:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
El establecimiento de TcpipClientSupport en 1 habilita las llamadas a procedimiento remoto
(RPC) sobre el transporte TCP, mientras se conserva la seguridad del sistema.
Esto no es necesario en los dominios que tengan controladores de dominio que ejecuten
Windows Server 2003 o posterior.
 Habilita las directivas de auditoria en los dominios de origen y de destino.
ADMT no habilita automáticamente la auditoría del acceso al servicio de directorio,
que es necesario para migrar el SID History a o desde un dominio que tiene
controladores de dominio que ejecutan Windows Server 2008 o Windows
Server 2008 R2.
Utilice el siguiente procedimiento para inicializar ADMT.
1. En la consola de ADMT, utilice el Asistente para migración de cuentas de grupo

completando los pasos de la tabla siguiente. Acepte la configuración predeterminada si
no se especifica información alguna.
73
Selección de dominio En la opción Origen de la lista

desplegable Dominio, escriba o
seleccione el nombre de DNS (Sistema de
nombres de dominio) o NetBIOS del
dominio de origen. En la lista desplegable
Controlador de dominio, escriba o
seleccione el nombre del controlador de
dominio o seleccione Cualquier
controlador de dominio.
En la opción Destino de la lista
seleccione el nombre de DNS o NetBIOS
del dominio de destino. En la lista
desplegable Controlador de dominio,
escriba o seleccione el nombre del
controlador de dominio o seleccione
Cualquier controlador de dominio y, a
continuación, haga clic en Siguiente.
Selección de grupo Haga clic en Seleccionar grupos desde

dominio y, a continuación, haga clic en
Siguiente. En la página Selección de
grupo, haga clic en Agregar para
seleccionar los grupos del dominio de
origen que desea migrar, haga clic en
Aceptar y, a continuación, haga clic en
Siguiente.
O bien
Haga clic en Leer objetos de un archivo
de inclusión y, a continuación, haga clic
en Siguiente. Especifique la ubicación del
archivo de inclusión y, a continuación,
haga clic en Siguiente.
Selección de Unidad organizativa Escriba el nombre de la unidad

organizativa o haga clic en Examinar.
En el cuadro de diálogo Buscar un
contenedor, busque el contenedor del
dominio de destino al que desea mover los
grupos globales y, a continuación, haga
clic en Aceptar.
74
Opciones de grupo Active la casilla de verificación Migrar SID

de grupo al dominio de destino.
Asegúrese de que no están seleccionadas
todas las opciones.
Cuenta de usuario Escriba el nombre de usuario, contraseña

y el dominio de una cuenta que tenga
derechos administrativos en el dominio de
origen.
Gestión de conflictos Haga clic en No migrar el objeto de

origen si se detecta un conflicto en el
dominio de destino.
2. Cuando el asistente haya terminado de ejecutarse, haga clic en Ver registro y, a

continuación, revise si hay errores en el registro de migración.
Identificación de cuentas de servicios para la

migración
En este tema se explica como identificar las cuentas de servicio que se migrarán con la
Herramienta de migración Active Directory (ADMT) al dominio de destino. Una cuenta de servicio
es una cuenta de usuario que proporciona un contexto de seguridad para las aplicaciones y que
otorga permiso para iniciar sesión como un servicio.
ADMT no migra servicios que se ejecutan en el contexto de la cuenta del sistema local, porque
se migran con el equipo. No obstante, los servicios que se ejecutan en el contexto de una cuenta
de usuario se deben actualizar en el equipo después de haber completado el proceso de
migración de cuentas. ADMT tampoco migra las cuentas de servicio local o servicio de red
porque son cuentas conocidas que siempre existen en los dominios.
Identificación de las cuentas de servicio

El proceso de identificación, migración y actualización de servicios que se ejecutan en el
contexto de las cuentas de usuario implica tres pasos. En primer lugar, el administrador inicia
ADMT desde el dominio de destino de Active Directory y ejecuta el Asistente para migración de
cuentas de servicio. En segundo lugar, el Asistente para migración de cuentas de servicios envía
un agente al equipo especificado e identifica (pero no migra) todos los servicios del equipo que
se ejecutan en el contexto de una cuenta de usuario. En tercer lugar, que puede producirse
75
Identificación de cuentas de servicio mediante el complemento de ADMT
posteriormente en el proceso de migración, las cuentas se migran cuando otras cuentas de

usuario se migran con el Asistente para migración de cuentas de usuario.
El Asistente para migración de cuentas de servicios busca servicios configurados para utilizar
una cuenta de dominio para la autenticación en una lista de servidores definida por el
administrador. Las cuentas se marcan entonces como cuentas de servicios en la base de datos
de ADMT. La contraseña nunca se migra al mismo tiempo que la cuenta de servicios. En su
lugar, ADMT utiliza una representación de texto no cifrado de la contraseña para configurar los
servicios tras la migración de las cuentas de servicios. A continuación, se almacena una versión
cifrada de la contraseña en el archivo password.txt de la carpeta de instalación de ADMT.
Un administrador de una estación de trabajo o servidor puede instalar cualquier servicio y
configurar el servicio con cualquier cuenta de dominio. Si un usuario malintencionado que posee
privilegios de administrador configura un servicio para autenticarse con una contraseña que no
es correcta (por ejemplo, una que no cumple los requisitos de complejidad), el servicio no se
inicia. Una vez migrada la cuenta de servicio, ADMT configura el servicio en la estación de
trabajo o el servidor para utilizar la nueva contraseña y así el servicio se inicia con la cuenta de
usuario del dominio de destino.
Por lo tanto, sólo debe incluir en el Asistente para migración de cuentas de servicio los
servidores que administren los administradores de confianza. No utilice el asistente para detectar
las cuentas de servicio en equipos que los administradores de confianza no administran, como
las estaciones de trabajo.
Distribuya agentes en todos los servidores que administren los administradores de confianza en
el dominio para garantizar que no olvida ninguna cuenta de servicio. Si pierde una cuenta de
servicio que comparte una cuenta con un servicio que ya se ha migrado, ADMT no puede
sincronizar las cuentas de servicio. Debe cambiar manualmente la contraseña de la cuenta de
servicio y, a continuación, restablecer la contraseña de la cuenta de servicio en cada servidor
que ejecute ese servicio.
Cuando las cuentas que el Asistente para migración de cuentas de servicios identifica en la base
de datos de ADMT como en ejecución en el contexto de una cuenta de usuario se migran al
dominio de destino, ADMT otorga a cada cuenta el derecho de iniciar sesión como servicio. Si a
la cuenta de servicio se asignan derechos por medio de su pertenencia a un grupo, el Asistente
para conversión de seguridad actualiza la cuenta para asignar dichos derechos. Para obtener
más información sobre la ejecución del Asistente para conversión de seguridad, consulte
Transición de cuentas de servicio en su migración, más adelante en esta guía.
Puede identificar las cuentas de servicio mediante el complemento de ADMT, la opción de línea
de comandos de ADMT o una secuencia de comandos.
1. En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
cuenta de migración de cuentas ADMT.
2. En el complemento de ADMT, haga clic en Acción y, a continuación, haga clic en
Asistente para migración de cuentas de servicios.
76
3. Complete el Asistente para migración de cuentas de servicios con la información que se
proporciona en la tabla siguiente.

Actualizar información Haga clic en Sí, actualizar la

información.
Opción de selección de equipos Haga clic en Seleccionar equipos desde

cuentas de servicio, haga clic en
Agregar para seleccionar las cuentas del
dominio de origen que desea migrar, haga
clic en Aceptar y, a continuación, en
Siguiente.
O bien
Haga clic en Leer objeto de un archivo
de inclusión y, a continuación, en
Siguiente. Escriba la ubicación del archivo
de inclusión y haga clic en Siguiente.
Diálogo de agente En Acciones de agente seleccione

Ejecutar comprobación previa y
operación de agente y, a continuación,
haga clic en Inicio. Aparecerá un mensaje
77
Identificación de cuentas de servicio mediante la opción de línea de comandos de
ADMT
en Resumen de agente cuando se

completen las operaciones de agente. Una
vez finalizadas las operaciones de agente,
haga clic en Cerrar.
Información de cuentas de servicios Seleccione cualquier cuenta de usuario

que no tenga que estar marcada como
cuenta de servicio en la base de datos de
ADMT y, a continuación, haga clic en
Omitir/Incluir para marcar las cuentas
como Omitir.
Finalización del Asistente para Revise sus selecciones y, a continuación,

migración de cuentas de servicios haga clic en Finalizar.
El asistente se conecta a los equipos seleccionados y, a continuación, envía un agente para

comprobar cada servicio en los equipos remotos. La página Información de cuentas de servicios
muestra los servicios que se ejecutan en el contexto de una cuenta de usuario y el nombre de
dicha cuenta de usuario. ADMT indica en su base de datos que estas cuentas de usuario se
tienen que migrar como cuentas de servicio. Si no desea migrar una cuenta de usuario como
cuenta de servicio, seleccione la cuenta y, a continuación, haga clic en Omitir/Incluir para
cambiar el estado de Incluir a Omitir.
Utiliza Actualizar SCM para actualizar el Administrador de control de servicios con la nueva
información. A menos que se produzca un error de acceso a un equipo para actualizar el servicio,
el botón Actualizar SCM no está disponible. Si tiene problemas al actualizar una cuenta de
servicio una vez identificada y migrada la cuenta, asegúrese de que el equipo al que intenta
tener acceso está disponible y, a continuación, reinicie el Asistente para migración de cuentas de
servicios.
En el asistente, haga clic en Actualizar SCM para intentar actualizar el servicio. Si ya ha
ejecutado el Asistente para migración de cuentas de servicios anteriormente y el botón
Actualizar SCM no está disponible, examine los archivos de registro de ADMT para determinar
la causa del problema. Una vez corregido el problema y cuando el agente se pueda conectar
correctamente, el botón Actualizar SCM estará disponible.
2. En la línea de comandos, escriba el siguiente comando y, a continuación, presione
ENTRAR:
ADMT SERVICE /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:" <dominio_origen>"
78
Identificación de cuentas de servicio mediante una secuencia de comandos
/TD:" <dominio_destino>"
Donde <nombre_equipo1> y <nombre_equipo2> son nombres de equipos del dominio de

origen que ejecutan cuentas de servicio.
Como alternativa, puede incluir parámetros en un archivo de opción que se especifique
en la línea de comandos como se muestra a continuación:
ADMT SERVICE /N "<nombre_equipo1>" "<nombre_equipo2>" /O:" <archivo_opción>.txt"
La siguiente tabla enumera los parámetros comunes que se utilizan para la identificación
de cuentas de servicio, junto con el parámetro de línea de comandos y los equivalentes
de archivo de opciones.
Valores Sintaxis de línea de Sintaxis del archivo de opciones

comandos
<Dominio de /SD:"dominio_origen" SourceDomain="dominio_origen"

origen>
<Dominio de /TD:"dominio_destino" TargetDomain="dominio_destino"

destino>
3. Revise si hay errores en los resultados que se muestran en la pantalla.
 Cree una secuencia de comandos que incorpore los comandos de ADMT y las opciones
para la identificación de cuentas de servicio utilizando la siguiente secuencia de
comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el
archivo con la extensión .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id="IdentifyingServiceAccounts" >
<Script language="VBScript" src="AdmtConstants.vbs" />
<Script language="VBScript" >
Option Explicit
Dim objMigration
Dim objServiceAccountEnumeration
'
'Crear instancia de objetos de migración de ADMT.
'
Set objMigration = CreateObject("ADMT.Migration" )
Set objServiceAccountEnumeration = _
79
objMigration.CreateServiceAccountEnumeration
'
'Especificar opciones de migración generales.
'
objMigration.SourceDomain = "dominio de origen"
'
'Enumerar cuentas de servicio en equipos especificados.
'
objServiceAccountEnumeration.Enumerate admtData, _
Array("nombre de equipo1" ,"nombre de equipo2" )
Set objServiceAccountEnumeration = Nothing
Set objMigration = Nothing
</Script>
</Job>
Migración de cuentas
El proceso de migración de objetos de cuenta de un dominio de origen a uno de destino en otro
bosque de Active Directory implica en primer lugar la migración de cuentas de servicio y, a
continuación, la migración de los grupos globales. Una vez que los grupos estén en su lugar en
el dominio de destino, puede migrar usuarios según el proceso que haya seleccionado, ya sea
usando el historial de identificadores de seguridad (SID) para el acceso a los recursos o sin usar
el historial de SID para el acceso a los recursos. Cuando el proceso de migración de objetos de
cuenta haya terminado, puede instruir a los usuarios del dominio de origen que inicien sesión en
el dominio de destino. La siguiente ilustración muestra el proceso de migración de cuentas entre
dominios en diferentes bosques.
80
Transición de cuentas de servicio en su
migración
Para comenzar el proceso de migración de objetos, migre las cuentas de servicio que se
ejecutan como controladores de dominio. Para obtener más información sobre la identificación
de cuentas de servicio para la migración, consulte Transición de cuentas de servicio en su
migración. Este tema no se aplica a las cuentas de servicio administradas. Las cuentas de
servicio administradas se pueden migrar con el Asistente para migración de cuentas de servicio
administradas y el Asistente para migración de equipos.
Para realizar la transición de cuentas de servicio, utilice la Herramienta de migración para
Active Directory (ADMT) para completar las tareas siguientes:
 Migre las cuentas de servicio desde el dominio de origen al dominio de destino.
 Modifique los servicios de cada servidor en el dominio de origen de manera que los servicios
utilicen la cuenta de servicio en el dominio de destino en lugar de en el dominio de origen.
Puede realizar la transición de cuentas de servicio mediante el complemento de ADMT, la opción
de línea de comandos de ADMT o una secuencia de comandos.
81
Transición de cuentas de servicio mediante el complemento de ADMT
2. En el complemento de ADMT, haga clic en Acción y, a continuación, haga clic en
Asistente para migración de cuentas de usuario.
3. Complete el Asistente para migración de cuentas de usuarios con la información que se
proporciona en la tabla siguiente.
Selección de dominio En la opción Origen de la lista desplegable

Dominio, escriba o seleccione el nombre de
DNS (Sistema de nombres de dominio) o
NetBIOS del dominio de origen. En la lista
Cualquier controlador de dominio.
En la opción Destino de la lista desplegable
Dominio, escriba o seleccione el nombre de
DNS o NetBIOS del dominio de destino. En
la lista desplegable Controlador de
dominio, escriba o seleccione el nombre del
Selección de usuario Haga clic en Seleccionar usuarios desde

usuario, haga clic en Agregar para
seleccionar las cuentas del dominio de
Aceptar y, a continuación, en Siguiente.
O bien
Haga clic en Leer objeto de un archivo de
inclusión y, a continuación, en Siguiente.
Escriba la ubicación del archivo de inclusión
y haga clic en Siguiente.
Selección de Unidad organizativa Haga clic en Examinar.

En Buscar un contenedor, busque el
dominio de origen, seleccione el contenedor
para las cuentas de servicio y, a
82
continuación, haga clic en Aceptar.
Opciones de contraseña Haga clic en Generar contraseñas

complejas.
Nota
Si realiza una transición de
cuentas de servicio mediante el
Asistente para migración de
cuentas de usuario, se generará
automáticamente una
contraseña compleja,
independientemente de la
opción seleccionada en la
página de este asistente.
Incluso si se ha seleccionado
No actualizar contraseñas de
usuarios existentes, se
generará una contraseña
compleja.
Opciones de transición de cuenta Haga clic en Habilitar cuentas de destino.

Active la casilla de verificación Migrar SID
de usuario para el dominio de destino.
Cuenta de usuario Escriba el nombre de usuario, la contraseña

y el dominio de una cuenta de usuario que
tenga credenciales administrativas.
Opciones de usuario Active la casilla de verificación Actualizar

derechos de usuario.
Asegúrese de que no ha seleccionado otra
configuración, incluida Migrar grupos de
usuario asociados.
Gestión de conflictos Haga clic en No migrar el objeto de origen

si se detecta un conflicto en el dominio
de destino.
Información de cuentas de servicios Haga clic en Migrar todas las cuentas de

servicio y actualizar SCM de los
elementos marcados para incluir. Si
también migra otras cuentas de usuario que
no son cuentas de servicio, esta página del
asistente le indica que ha seleccionado
83
Transición de cuentas de servicio mediante la opción de línea de comandos de ADMT
algunas cuentas marcadas como cuentas de

servicio en la base de datos de ADMT. De
forma predeterminada, las cuentas se
marcan como Incluir. Para cambiar el estado
de la cuenta, selecciónela y haga clic en
Omitir/Incluir.
Haga clic en Siguiente para migrar las
cuentas.
4. Cuando haya finalizado la ejecución del asistente, haga clic en Ver registro y revise si
hay errores en el registro de migración.
5. Inicie Usuarios y equipos de Active Directory, desplácese a la unidad organizativa que ha
creado para las cuentas de servicio y, a continuación, compruebe que las cuentas de
servicio existen en la unidad organizativa del dominio de destino.
6. Confirme que cada aplicación para la que la cuenta de servicio se reubicó continúa
funcionando correctamente.
ENTRAR:
ADMT USER /N "<nombre_servidor1>" "<nombre_servidor2>" /SD:" <dominio_origen>"
/TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /MSS:YES
Donde Nombre_servidor1 y Nombre_servidor2 son los nombres de servidores del

dominio de origen que ejecutan cuentas de servicio. Como alternativa, puede incluir
parámetros en un archivo de opción que se especifica en la línea de comandos, de la
manera siguiente:
ADMT USER /N "<nombre_servidor1>" "<nombre_servidor2>" /O: "<archivo_opción>.txt"
La siguiente tabla enumera los parámetros comunes que se utilizan para la transición de
cuentas de servicios, junto con el parámetro de línea de comandos y los equivalentes de
archivo de opciones.
Parámetros Sintaxis de línea de comandos Sintaxis del archivo de opciones
<Dominio /SD:"dominio_origen" SourceDomain="dominio_origen"

de origen>
<Dominio /TD:"dominio_destino" TargetDomain="dominio_destino"
84
Transición de cuentas de servicio mediante una secuencia de comandos
de destino>
Ubicación / TargetOU="unidad_organizativa_destin
de la TO:"unidad_organizativa_destin o"
<Unidad o"
organizativa
de destino>
Deshabilitar /DOT:ENABLETARGET (valor DisableOption=ENABLETARGET (valor

cuentas predeterminado) predeterminado)
Migrar /PO:COMPLEX(valor PasswordOption=COMPLEX

contraseña predeterminado)
Migrar los /MSS:YES MigrateSIDs=YES

SID de
usuario =
YES
Actualizar /UUR:YES UpdateUserRights=YES

derechos de
usuario=YE
S
Gestión de /CO:IGNORE (valor ConflictOptions=IGNORE (valor

conflictos predeterminado) predeterminado)

4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa de la cuenta
de servicio de destino. Compruebe que las cuentas de servicio existen en la unidad
organizativa del dominio de destino.
 Prepare una secuencia de comandos que incorpore los comandos de ADMT y las
opciones para la transición de cuentas de servicio utilizando la siguiente secuencia de
<Job id=" TransitioningServiceAccountsBetweenForests" >
<Script language=" VBScript" src="AdmtConstants.vbs" />
Option Explicit
85
Dim objMigration
Dim objUserMigration
'
'
Set objUserMigration = objMigration.CreateUserMigration
'
'
objMigration.SourceOu = "contenedor de origen"
objMigration.TargetDomain = "dominio de destino"
objMigration.TargetOu = "contenedor de destino"
objMigration.ConflictOptions = admtIgnoreConflicting
'
'Especificar opciones específicas de migración del usuario.
'
objUserMigration.MigrateSIDs = True
objUserMigration.UpdateUserRights = True
objUserMigration.MigrateServiceAccounts = True
'
'Migrar cuentas de servicio especificadas.
'
objUserMigration.Migrate admtData, _
Array("nombre de cuenta de servicio1", "nombre de cuenta de servicio2")
86
Nota Nota
Para migrar grupos globales usando el complemento de ADMT
Set objUserMigration = Nothing
</Script>
</Job>
Migración de grupos globales

Para conservar la pertenencia a los grupos globales, debe migrar los grupos globales antes de
migrar usuarios.
No migre grupos globales durante las horas punta de trabajo. El proceso de migración de
los grupos globales puede consumir una gran cantidad de recursos de red y de recursos
del controlador de dominio del dominio de destino.
La migración de los grupos globales implica la realización de los pasos siguientes:
1. El administrador selecciona los objetos de los grupos globales en el dominio de origen.
2. Se crea un nuevo objeto del grupo global en el dominio de destino y se crea un nuevo
identificador de seguridad (SID) principal para el objeto en el dominio de destino.
3. Para conservar el acceso a los recursos, la Herramienta de migración para Active Directory
(ADMT) agrega el SID al grupo global del dominio de origen al atributo del historial de SID
del nuevo grupo global del dominio de destino.
Después de la migración, los eventos se registran tanto en el dominio de origen como en el de
destino.
Si el proceso de migración de cuenta de usuario tiene lugar en un período de tiempo
prolongado, puede tener que repetir la migración de los grupos globales desde el
dominio de origen al de destino. El objetivo es propagar los cambios de la pertenencia
que se han realizado en el dominio de origen antes de que se complete el proceso de
migración. Para obtener más información sobre cómo repetir la migración de grupos
globales, consulte Repetición de la migración de todos los grupos globales después de
migrar todos los lotes, más adelante en esta guía.
Puede migrar grupos globales usando el complemento de ADMT, la opción de línea de
comandos ADMT o secuencia de comandos.
2. Utilice el Asistente para migración de cuentas de grupo realizando los pasos de la tabla
siguiente.
87


Siguiente.
O bien

clic en Aceptar.
Opciones de grupo Haga clic en Migrar SID de grupo al

dominio de destino.
88
Para migrar grupos globales usando la opción de línea de comandos de ADMT

todas las opciones.

origen.

dominio de destino.
4. Abra el complemento Usuarios y equipos de Active Directory y, a continuación, localice la
unidad organizativa del dominio de destino. Compruebe que los grupos globales existen
en la unidad organizativa del dominio de destino.
2. En la línea de comandos, escriba el comando ADMT GROUP con los parámetros
apropiados y, a continuación, presione ENTRAR:
ADMT GROUP /N "<nombre_grupo1>" "<nombre_grupo2>" /SD:" <dominio_origen>" /TD:"
<dominio de destino>" /TO:" <unidad organizativa de destino>" /MSS:YES
Como alternativa, puede incluir parámetros en un archivo de opción que se especifica en

la línea de comandos como se muestra a continuación:
ADMT GROUP /N "<nombre_grupo1>" "<nombre_grupo2>" /O: "<archivo_opción>.txt"
En la tabla siguiente se muestran los parámetros comunes que se utilizan para migrar
grupos globales, junto con los parámetros de línea de comandos y los equivalentes del

de origen>
Ubicación / SourceOU="unidad_organizativa_origen
de la SO:"unidad_organizativa_origen" "
<Unidad
organizativ
89
Para migrar grupos globales usando un script
a de
origen>

de
destino>
de la TO:"unidad_organizativa_destino o"
<Unidad "
organizativ
a de
destino>
Migrar SID /MSS:YES MigrateSIDs=YES

de GG
Gestión de /CO:IGNORE (valor ConflictOptions=IGNORE

conflictos predeterminado)

4. Abra el complemento Usuarios y equipos de Active Directory y, a continuación, localice la
unidad organizativa del dominio de destino. Compruebe que los grupos globales existen
en la unidad organizativa del dominio de destino.
 Prepare una secuencia de comandos que incorpore las opciones y comandos de ADMT
para migrar grupos globales utilizando la siguiente secuencia de comandos de muestra.
Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la
extensión .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" MigratingGlobalGroupsBetweenForests" >
Option Explicit
Dim objMigration
Dim objGroupMigration
'
90
'
Set objGroupMigration = objMigration.CreateGroupMigration
'
'
'
'Especificar opciones específicas de migración de grupo.
'
objGroupMigration.MigrateSIDs = True
'
'Migrar objetos de grupo especificados.
'
objGroupMigration.Migrate admtData, Array("nombre de grupo1" ,"nombre de

grupo2" )
Set objGroupMigration = Nothing
</Script>
</Job>
91
Migración de cuentas mientras utiliza el
historial de SID
Para migrar cuentas mientras utiliza el historial de identificadores de seguridad (SID), primero
migre todas las cuentas de usuario (pero no las active en el dominio de destino) para rellenar el
dominio de destino y permitir la migración de perfiles de usuario. Una vez se hayan migrado
todas las cuentas de usuario correctamente, inicie la migración de usuarios en lotes, empezando
por la migración del perfil de usuario, la estación de trabajo y, a continuación, la cuenta de
usuario. Antes de migrar todas las cuentas de usuarios, asegúrese de que ha creado cuentas de
prueba que pueda incluir en cada lote para comprobar el éxito de la migración para dicho lote.
No puede migrar cada propiedad de usuario al migrar cuentas de usuario. Por ejemplo, el
contenido de Almacenamiento protegido (Pstore) para las estaciones de trabajo de
Windows NT 4.0, incluidas las claves privadas de Sistema de cifrado de archivos (EFS), no se
migra con la Herramienta de migración para Active Directory (ADMT) al migrar cuentas de
usuarios. Para migrar el contenido de Pstore, debe exportar e importar claves durante el proceso
de migración.
Para clientes con Windows 2000 Server o posterior, los datos protegidos por la API de protección
de datos (DPAPI) tampoco se migran. DPAPI ayuda a proteger los siguientes elementos:
 Los credenciales de página Web (por ejemplo, contraseñas)
 Credenciales de recurso compartido de archivo
 Las claves privadas asociadas con EFS, Extensiones seguras multipropósito al correo de
Internet (S/MIME) y otros certificados
 Los datos de programa protegidos mediante la función CryptProtectData()
Por este motivo, es importante para comprobar las migraciones de usuarios. Utilice su cuenta de
migración de prueba para identificar cualquier propiedad que no se haya migrado y actualice las
configuraciones en el dominio de destino consecuentemente.
Complete los siguientes pasos para migrar las cuentas de usuario al dominio de destino:
1. Migre las cuentas de servicio administradas. Las cuentas de servicio administradas deben
migrarse antes de los equipos.
2. Migre todas las cuentas de usuario con la cuenta activada en el dominio de origen,
desactivada en el dominio de destino, con una contraseña compleja seleccionada y sin
atributos migrados.
3. Convierta los perfiles locales de usuario para un lote de usuarios
4. Migre las estaciones de trabajo en lotes que correspondan a los lotes de cuentas de usuario.
5. Antes de migrar el lote de cuentas de usuarios, compruebe que la migración de la estación
de trabajo y el perfil local se ha realizado correctamente para todos los usuarios del lote. No
migre cualquier cuenta de usuario cuya migración de estación de trabajo o perfil haya dado
error. Esto hará que los usuarios sobrescriban sus perfiles existentes cuando inicien sesión
92
6. Vuelva a migrar las cuentas de usuario de los lotes con la cuenta definida con un período de
caducidad de siete días en el dominio de origen, la cuenta de destino desactivada, con una
migración de contraseña seleccionada y con todos los atributos migrados.
7. Después de cada lote, vuelva a migrar todos los grupos para actualizar cualquier cambio de
pertenencia a grupos.
8. Notifique a los usuarios del lote para que inicien sesión en el nuevo dominio.
9. Una vez migrados todos los usuarios, ejecute una migración final de grupo global para
actualizar cualquier cambio de pertenencia a grupos.
La migración de cuentas de usuario en lotes le ayuda a realizar un seguimiento de las cuentas
que se hayan migrado y comprobar el éxito de cada paso de migración. Si la estructura de la
unidad organizativa para el dominio de destino es la misma que la estructura de unidad
organizativa para el dominio de origen, migre los grupos de usuarios basados en unidad
organizativa. Si las estructuras de unidad organizativa no son las mismas, seleccione una forma
alternativa para agrupar a los usuarios en base a la estructura de su organización. Por ejemplo,
puede migrar usuarios por unidades de negocio o por planta para permitirle consolidar los
recursos de servicio de asistencia.
Si planifica retener su estructura de unidad organizativa de dominio de origen, migre las
unidades organizativas junto con los usuarios que contenían. Por ejemplo, si su dominio de
origen es un entorno Active Directory de Windows Server 2003 que tiene una estructura de
unidad organizativa funcional y el dominio de destino no tiene una estructura de unidad
organizativa, migre las unidades organizativas del dominio de origen.
Si ha creado una nueva estructura de unidad organizativa en el dominio de destino, migre los
lotes de usuarios sin las unidades organizativas. Por ejemplo, si su entorno de origen era un
dominio de Windows NT 4.0 que actualizó a un dominio de Windows Server 2003, es posible que
el dominio de origen no tuviese una estructura de unidad organizativa existente; por
consiguiente, puede migrar los usuarios sin migrar las unidades organizativas.
Para obtener más información acerca de cómo crear una estructura de unidad organizativa,
consulte "Designing Organizational Units for Delegation of Administration"
Hasta que migre todos los usuarios y cuentas de grupos, continúe administrando la pertenencia
a grupos globales en el dominio de origen. Para admitir una estrategia de reversión, sincronice
de forma manual cualquier cambio que realice a los usuarios del dominio de destino con las
cuentas del usuario existente en el dominio de origen. Para obtener más información sobre la
administración de los usuarios y grupos durante el proceso de reestructuración entre distintos
bosques, consulte Administración de usuarios, grupos y perfiles de usuario, expuesto
anteriormente en esta guía.
Si migra unidades organizativas durante la migración de cuentas de usuario, se migran los
grupos que pertenecen a dichas unidades organizativas a la unidad organizativa del dominio de
destino durante el proceso de migración de cuentas de usuario. Cuando migre grupos globales
mediante el proceso de migración de grupos globales, estos se colocan en la unidad organizativa
de destino del dominio de destino. Si migra unidades organizativas desde el dominio de origen al
de destino, seleccione la opción para mover los grupos globales al dominio de destino al mismo
93
tiempo. De esta forma, los grupos se mueven de la unidad organizativa de destino en la que se
colocaron durante la migración inicial de grupos globales a la unidad organizativa a la que
pertenecen.
Al utilizar ADMT para migrar las cuentas de usuarios se conservan las pertenencias a los grupos.
Dado que los grupos globales pueden contener sólo miembros del dominio en el que se sitúe el
grupo, cuando los usuarios se migran a un nuevo dominio, las cuentas de usuario del dominio de
destino no pueden ser miembro de los grupos globales del dominio de origen. Como parte del
proceso de migración, ADMT identifica los grupos globales del dominio de origen al que
pertenecen las cuentas de usuario y, a continuación, determina si los grupos globales se han
migrado. Si ADMT identifica los grupos globales del dominio de destino al que pertenecían los
usuarios migrados del dominio de destino, la herramienta agrega los usuarios a los grupos
globales apropiados del dominio de destino.
Al utilizar ADMT para migrar las cuentas de usuarios también se conservan las contraseñas de
usuario. Una vez migradas las cuentas de usuario y activadas en el dominio de destino, los
usuarios pueden iniciar sesión en el dominio de destino utilizando las contraseñas originales.
Tras iniciar sesión, se pide a los usuarios que cambien la contraseña.
Si el proceso de migración de la cuenta de usuario se realiza correctamente, pero se produce un
error en el proceso de migración de la contraseña, ADMT crea una nueva contraseña compleja
para la cuenta de usuario en el dominio de destino. De forma predeterminada, ADMT almacena
las nuevas contraseñas complejas en el archivo C:\Archivos de programa\Herramienta de
migración para Active Directory\Registros\Password.txt.
Si tiene una configuración de directiva de grupo en el dominio de destino que no permite
contraseñas en blanco (la configuración Directiva predeterminada de dominio/Configuración
del equipo/Configuración de seguridad/Directivas de cuenta/Directiva de
contraseñas/Longitud mínima de contraseña se define como cualquier número distinto de
cero), la migración de contraseñas no se producirá para cualquier usuario que tenga una
contraseña en blanco. ADMT genera una contraseña compleja para ese usuario y escribe un
error en el registro de errores.
Establezca un método para notificar a los usuarios quién tiene contraseñas nuevas asignadas.
Por ejemplo, puede crear una secuencia de comandos para enviar un mensaje de correo
electrónico a los usuarios para notificarles las nuevas contraseñas.
La siguiente ilustración muestra los pasos que implica la migración de cuentas si utiliza el
historial de SID para el acceso a los recursos.
94
Migración de cuentas de servicio
administradas
Una cuenta de servicio administrada es un objeto de cuenta de dominio que está disponible en el
esquema de Active Directory Windows Server 2008 R2. Una cuenta de servicio administrada
puede instalarse en equipos que ejecutan Windows 7 o Windows Server 2008 R2. Las cuentas
de servicio administradas sólo se pueden migrar con ADMT v3.2.
El proceso para identificar y migrar cuentas de servicio administradas mediante ADMT v3.2
consta de dos pasos:
1. Utilice el Asistente para migración de cuentas de servicio administradas o la herramienta de
línea de comandos admt managedserviceaccount para migrar objetos de cuenta de
servicio administrada al dominio de destino como se explica en este tema.
2. Utilice el Asistente para migración de equipos o la herramienta de línea de comandos admt
computer para migrar los equipos que hospedan las cuentas de servicio administradas.
Para obtener más información acerca de la migración de los equipos como parte de una
migración entre bosques, consulte Repetición de la migración de las cuentas de usuario y
95
Importante
Migración de cuentas de servicio administradas con el complemento ADMT
migración de las estaciones de trabajo en lotes. Para obtener más información acerca de la
migración de los equipos como parte de una migración dentro del mismo bosque, consulte
Migración de estaciones de trabajo y servidores miembro.
Las cuentas de servicio administradas que se migraron en el paso anterior y que estaban
instaladas originalmente en los equipos migrados se identifican durante la migración del
equipo. Cuando la migración del equipo haya finalizado, las cuentas de servicio
administradas vuelven a instalarse en el equipo en el dominio de destino (a menos que
solicite ignorarlas). Si ha ejecutado la conversión de seguridad en los servidores miembro
que tienen recursos que conceden permisos a las cuentas de servicio administradas, las
cuentas tienen los mismos permisos para el acceso a los recursos en el dominio de destino
que los que tenían en el dominio de origen.
Si migra cuentas de servicio administradas entre dominios dentro del mismo bosque,
ejecute la conversión de seguridad en los servidores miembro del dominio de origen
que tengan recursos que concedan permisos a las cuentas de servicio
administradas. La conversión de seguridad no suele ser necesaria durante una
migración interna del bosque porque se ha movido un SID con una cuenta. No
obstante, las cuentas de servicio administradas que se migran entre dominios en el
mismo bosque se copian. Se crea una nueva cuenta en el dominio de destino y las
propiedades de la cuenta (excepto SID) se copian desde el dominio de origen. Por
tanto, será necesario ejecutar la conversión de seguridad.
Si los recursos del dominio de origen que conceden permisos a las cuentas de
servicio administradas se hospedan en el mismo equipo que la cuenta de servicio
administrada, debería seleccionar la conversión de seguridad en los recursos
adecuados (Archivos y carpetas, Grupos locales y así sucesivamente) en la página
Convertir objetos del Asistente para la migración de equipos. Si los recursos están
en otros equipos que no se están migrando, tendrá que ejecutar el Asistente para
conversión de seguridad en esos equipos y, en la página Opciones de conversión de
seguridad, seleccione Objetos previamente migrados o proporcione expresamente
las cuentas de servicio administradas en un archivo de asignación de SID. Para
obtener más información acerca de la conversión de seguridad, consulte Conversión
de seguridad en los servidores miembro.
2. En el complemento ADMT, haga clic en Acción y, a continuación, en Asistente para
migración de cuentas de servicio administradas.
3. Complete el Asistente para migración de cuentas de servicio administradas con la
información que se proporciona en la tabla siguiente.
96

Opción de selección de cuenta de Haga clic en Seleccionar cuentas de

servicio administrada servicio administradas del dominio para
migrar las cuentas de servicio
administradas del dominio mediante el
cuadro de diálogo de selección de objetos
o un archivo de inclusión. Esta es la mejor
opción si se desea migrar todas las
cuentas de servicio administradas desde
el dominio de origen.
O bien
Haga clic en Proporcionar equipos para
consultar las cuentas de servicio
administradas instaladas y, a
continuación, haga clic en Siguiente. En
la página Selección de cuentas de
servicio administradas, haga clic en
Agregar para seleccionar las cuentas de
equipo del dominio de origen que desea
consultar para conocer las cuentas de
Se prefiere esta opción si se desea migrar
sólo cuentas de servicio administradas
97
que se han instalado en equipos

específicos. Cada equipo que proporciona
puede tener varias cuentas de servicio
administradas instaladas.
Puede elegir una combinación de estas
opciones yendo y viniendo en el asistente.
Por ejemplo, puede proporcionar los
equipos que se van a consultar y agregar
las cuentas de servicio administradas que
están instaladas en esos equipos a la lista
de cuentas que se van a migrar. A
continuación, puede hacer clic en Atrás en
el asistente para volver a esta página y
seleccionar cuentas de servicio
administradas adicionales del dominio o
de un archivo de inclusión.

servicio administrada servicio administradas del dominio y, a
Esta página sólo aparece si las cuentas continuación, haga clic en Siguiente. En
de servicio administradas las selecciona la página Selección de cuentas de
del dominio. servicio administradas, haga clic en
Siguiente.
O bien
Selección de Unidad organizativa Haga clic en Examinar para especificar

una ubicación para las cuentas migradas
y, a continuación, haga clic en Siguiente.
Opciones de cuenta de servicio Active la casilla de verificación Actualizar

administrada derechos de cuenta.
Active la casilla de verificación Revisar la
pertenencia a grupos de cuentas.
Si la cuenta se está migrando a un bosque
diferente, seleccione la casilla Migrar SID
de cuenta al domino de destino. Esta
98
Migración de cuentas de servicio administradas mediante la opción de línea de
comandos de ADMT
opción no está disponible para una

migración interna del bosque.
Haga clic en Siguiente. Escriba el nombre
de usuario, la contraseña y el dominio de
una cuenta que tenga credenciales
administrativas en el dominio de origen, y
Finalización del Asistente de cuenta de Revise sus selecciones y, a continuación,

servicio administrada haga clic en Finalizar.

5. Inicie Usuarios y equipos de Active Directory y compruebe que las cuentas de servidor
administradas existen en la unidad organizativa apropiada del dominio de destino.
ENTRAR:
ADMT MANAGEDSERVICEACCOUNT /N "<nombre_cuenta de servicio administrada1>"
"<nombre_cuenta de servicio administrada2>" /IF:NO /SD:"<dominio_origen>"
/TD:"<dominio_destino>" /UUR:YES /FGM:YES /MSS:YES
Donde <nombre_cuenta de servicio administrada1> y <nombre_cuenta de servicio

administrada2> son los nombres de las cuentas de servicio administradas del dominio de
origen.
"<nombre_cuenta de servicio administrada2>" /O:"<archivo_opción>.txt"
En la siguiente tabla se enumeran los parámetros comunes que se utilizan para la

migración de cuentas de servicio administradas, junto con el parámetro de línea de
comandos y los equivalentes de archivo de opciones.
99
comandos
Migración entre distintos /IF:No Intraforest=No

bosques
<Dominio de origen> /SD:"dominio_origen" SourceDomain="dominio_origen"
<Dominio de destino> /TD:"dominio_destino" TargetDomain="dominio_destino"
Actualizar derechos de /UUR:Yes UpdateUserRights=Yes

cuenta
Actualizar la pertenencia a /FGM:Yes FixGroupMembership=Yes

grupos de cuentas
Migrar SID de cuentas /MSS:Yes MigrateSIDs=Yes
Nota
Sólo puede
migrar SID de
cuentas de
servicio
administradas
entre
bosques. Si
utiliza este
parámetro
durante una
migración
dentro del
mismo
bosque,
aparece un
error.
Si las cuentas de servicio administradas están hospedadas en equipos miembro del dominio de
origen, puede incluir el equipo miembro cuando realice la migración de los equipos y la cuenta de
servicio administrada se instalará en el equipo miembro del dominio de destino una vez migrado
el equipo.
Migración de todas las cuentas de usuario

100
Nota Importante
Migración del lote actual de usuarios mediante el complemento de ADMT
Comience el proceso de migración de cuentas de usuario migrando todos los usuarios. Esto le
ayudará a convertir los perfiles locales y garantizar que los usuarios continuarán teniendo acceso
a los recursos apropiados después de la migración.
Las cuentas integradas (como Administradores, Usuarios o Usuarios avanzados) no
pueden ser objetos de migración de la Herramienta de migración para Active Directory
(ADMT). Ya que los identificadores de seguridad (SID) de la cuenta integrada son
idénticos en todos los dominios, la migración de estas cuentas a un dominio de destino
provocará la duplicación de los SID en un dominio único. Cada SID de un dominio debe
ser exclusivo. Las cuentas conocidas (como Admins. del dominio y Usuarios del dominio)
tampoco pueden ser objetos de migración de ADMT.
El proceso de migración de cuentas de usuarios de ADMT incluye los siguientes pasos:
1. ADMT lee los atributos de los objetos de usuario de origen.
2. ADMT crea un nuevo objeto de usuario en el dominio de destino y un nuevo SID principal
para la nueva cuenta de usuario.
3. ADMT agrega el SID original de la cuenta de usuario al atributo del historial de SID de la
nueva cuenta de usuario.
4. ADMT migra la contraseña de la cuenta de usuario.
5. Si ADMT identifica los grupos globales del dominio de destino al que pertenecían los
Durante la migración, los eventos de auditoría inician sesión en los dominios de destino y de
origen.
Puede migrar cuentas de usuario mediante el complemento de ADMT, la opción de línea de
comandos de ADMT o una secuencia de comandos. Si va a migrar cuentas de usuario que
tienen habilitada la seguridad del mecanismo de autenticación, use un archivo de inclusión. En el
archivo de inclusión, especifique los nombres principales de usuario (UPN) originales del dominio
de origen como UPN de destino para poder mantener en funcionamiento la seguridad del
mecanismo de autenticación. Para obtener más información acerca del uso de un archivo de
inclusión, consulte Uso de un archivo de inclusión.
Cuando inicie una migración de usuarios con el historial SID desde la línea de comandos
o desde una secuencia comandos, debe realizarla en un controlador de dominio del
dominio de destino.
2. Utilice el Asistente para migración de cuentas de usuario realizando los pasos de la tabla
siguiente.
101


seleccionar los usuarios del dominio de
origen que desea migrar al lote actual,
haga clic en Aceptar y, a continuación, en
Siguiente.
O bien
Selección de Unidad organizativa Asegúrese de que ADMT muestra la

unidad organizativa de destino correcta. Si
no es correcta, escriba la unidad
organizativa correcta o haga clic en
Examinar.
contenedor, busque el dominio de destino
y la unidad organizativa y, a continuación,
haga clic en Aceptar.
102
Opciones de contraseña Haga clic en No actualizar contraseñas

de usuarios existentes.
Haga clic en Generar contraseñas
complejas.
Opciones de transición de cuenta En Estado de la cuenta de destino:,

haga clic en Deshabilitar cuentas de
destino.
En Opciones para deshabilitar la cuenta
de origen:, haga clic en Días hasta que
caduquen las cuentas de origen: y, a
continuación, escriba el número de días
que desee conservar la cuenta de origen.
Se utiliza comúnmente un valor de siete.
Cuenta de usuario Escriba el nombre de usuario, la

contraseña y el dominio de una cuenta de
usuario que tenga credenciales
administrativas en el dominio de origen.
Opciones de usuario Active la casilla de verificación Convertir

perfiles móviles.
Desactive la casilla de verificación
Actualizar derechos de usuario.
Desactive la casilla de verificación Migrar
grupos de usuario asociados.
pertenencia a grupos de los usuarios.
Exclusión de propiedad de objetos Desactive la casilla de verificación Excluir

propiedades de objeto específicas de la
migración.

dominio de destino.
Asegúrese de que las casillas de
verificación Antes de combinar, quitar
los derechos de usuario de las cuentas
de destino existentes y Mover objetos
combinados a la Unidad organizativa de
103
Migración de cuentas de usuario mediante la opción de línea de comandos de ADMT
destino especificada no están activadas.

4. Inicie Usuarios y equipos de Active Directory y compruebe que las cuentas de usuarios
existen en la unidad organizativa apropiada del dominio de destino.
1. En un controlador de dominio del dominio de destino en el que está instalado ADMT,

inicie sesión con la cuenta de migración de cuentas de ADMT.
Importante
Cuando inicie una migración de usuarios con el historial SID desde la línea de
comandos, debe realizarla en un controlador de dominio del dominio de destino.
2. En la línea de comandos, escriba el comando ADMT User con los parámetros apropiados
y, a continuación, presione ENTRAR.
ADMT USER /N "<nombre_usuario1>" "<nombre_usuario2>" /SD:" <dominio_origen>"
/TD:" <dominio_destino>" /TO:"<unidad_organizativa_destino>" /MSS:YES /TRP:YES
/UUR:NO

ADMT USER /N "<nombre_usuario1>" "<nombre_usuario2>" /O "<archivo_opción>.txt"
La siguiente tabla enumera los parámetros comunes que se utilizan para migrar cuentas
de usuarios, junto con el parámetro de línea de comandos y los equivalentes de archivo
de opciones.

de origen>

de
destino>
<Unidad "
organizativ
a de
destino>
104
Migración de cuentas de usuario mediante una secuencia de comandos
Deshabilita /DOT:DISABLETARGET DISABLEOPTION=DISABLETARGET

r opción
Caducidad /SEP:7 SOURCEEXPIRATION=7

de origen

Convertir /TRP:YES (valor predeterminado) TranslateRoamingProfile=YES

perfil móvil
Actualizar /UUR:NO UpdateUserRights=NO

derechos
de usuario
Opciones /PO:COMPLEX PasswordOption=COMPLEX

de
contraseña

4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa de destino.
Compruebe que los usuarios existen en la unidad organizativa de destino.
opciones para la migración de usuarios utilizando la siguiente secuencia de comandos
de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo
con la extensión .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
En su secuencia de comandos, especifique los nombres del contenedor de origen y de
destino en formato canónico relativo. Por ejemplo, si el contenedor es una unidad
organizativa secundaria denominada Ventas y su unidad organizativa principal se
denomina Oeste, especifique Oeste/Ventas como el nombre del contenedor. Para
obtener más información, consulte TemplateScripts.vbs en la carpeta de instalación de
ADMT.
<Job id=" MigratingAllUserAccountsBetweenForests" >
Option Explicit
105
Dim objMigration
'
'
'
'
objMigration.PasswordOption = admtComplexPassword
'
'
objUserMigration.TranslateRoamingProfile = True
objUserMigration.UpdateUserRights = False
objUserMigration.FixGroupMembership = True
objUserMigration.MigrateServiceAccounts = False
'
'Migrar objetos de usuario especificados.
106
'
objUserMigration.Migrate admtData, Array("nombre de usuario1" , "nombre

de usuario2" )
</Script>
</Job>
Repetición de la migración de las cuentas de

usuario y migración de las estaciones de
trabajo en lotes
La repetición de la migración de las cuentas de usuario y las estaciones de trabajo en lotes le
ayuda a realizar un registro del proceso de migración. Para cada lote de usuarios, primero
convierta los perfiles de usuario local y, a continuación, migre las estaciones de trabajo.
Compruebe que la migración de la estación de trabajo y el perfil se ha realizado correctamente y,
a continuación, migre las cuentas de usuario. Repita la migración de los grupos globales
después de cada lote. Para obtener más información, consulte Repetición de la migración de
todos los grupos globales después de migrar todos los lotes, más adelante en esta guía.
Conversión de perfiles de usuario local

La Herramienta de migración Active Directory (ADMT) convierte los perfiles para los objetos de
migración de equipo admitidos. Si desea obtener una lista de los sistemas operativos admitidos
para objetos de migración del equipo en las diferentes versiones de ADMT, consulte Herramienta
de migración Active Directory: versiones y entornos admitidos.
Los perfiles de usuario se almacenan de forma local en la estación de trabajo. Cuando un
usuario inicia sesión en otra estación de trabajo, debe crear un nuevo perfil de usuario local
único. Convierta los perfiles de usuario local del primer lote de usuarios inmediatamente después
de la migración de todas las cuentas de usuario.
Los perfiles locales se convierten en modo Reemplazar porque si realiza la conversión del perfil
en modo Agregar, es posible que determinados aspectos de la instalación del software que
utilizan la implementación del software de la directiva de grupo no funcionen. Es posible que
cualquier aplicación incluida con Windows Installer versión 2.0 (incluida en las estaciones de
107
Nota
Conversión de perfiles de usuarios locales mediante el complemento de ADMT
trabajo con Windows 2000 Server Service Pack 3 (SP3) o Service Pack 4 (SP4) y
Windows XP Service Pack 1 (SP1) o Service Pack 2 (SP2), así como en muchos paquetes de
software comunes) no funcione después de la conversión del perfil. Por ejemplo, puede que los
archivos ejecutables de la aplicación no se eliminen una vez que el último usuario quite la
aplicación. Cuando el Asistente para conversión de seguridad de ADMT convierta perfiles locales
en modo Reemplazar, volverá al modo Agregar si se bloquea un perfil. Puede resultar en una
conversión de perfil correcta. No obstante, es posible que las instalaciones de aplicación no
funcionen después de convertir el perfil.
La noche anterior a la notificación a los usuarios para que inicien sesión con sus nuevas
cuentas en el dominio de destino, convierta los perfiles de usuario local. La conversión
de los perfiles la noche antes garantiza que el nuevo perfil de usuario refleje la
configuración de usuario más actual.
Puede convertir los perfiles de usuario local mediante el complemento de ADMT, la opción de
línea de comandos de ADMT o una secuencia de comandos.
1. Para cada estación de trabajo del dominio de origen que migre, agregue la cuenta de
migración de recursos de ADMT al grupo de administradores locales.
3. Utilice el Asistente para la conversión de seguridad siguiendo los pasos de la tabla
siguiente.
Opciones de conversión de seguridad Haga clic en Objetos previamente

migrados.

108
Conversión de perfiles de usuarios locales mediante la opción de línea de comandos de
ADMT


equipo, haga clic en Agregar para
seleccionar los equipos del dominio de
origen para los que desea convertir la
seguridad, haga clic en Aceptar y, a
continuación, en Siguiente.
O bien
Convertir objetos Haga clic en Perfiles de usuario.
Opciones de conversión de seguridad Haga clic en Reemplazar.
Diálogo de agente de ADMT Seleccione Ejecutar comprobación

previa y operación de agente y, a
continuación, haga clic en Inicio.
4. Revise si hay errores en los resultados que se muestran en la pantalla. Una vez
finalizado el asistente, haga clic en Ver registro de migración para ver la lista de
equipos, estado de conclusión y la ruta al archivo de registro para cada equipo. Si se
informa de un error en un equipo, tendrá que consultar el archivo de registro de dicho
equipo para revisar cualquier problema con los grupos locales. El archivo de registro de
cada equipo se denomina MigrationTaskID.log, y se almacena en la carpeta
Windows\ADMT\Logs\Agents.
2. En la línea de comandos, escriba el comando ADMT Security con los parámetros
apropiados y, a continuación, presione ENTRAR.
ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:" <dominio_origen>"
109
Conversión de perfiles de usuarios
/TD:" <dominio_destino>" /TO:" locales mediante una secuencia/TOT:Replace
<unidad_organizativa_destino>" de comandos
/TUP:YES
Como alternativa, puede incluir parámetros en un archivo de opciones que se especifica

ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /O "<archivo_opción>.txt"
cuentas de usuario, junto con los parámetros de línea de comandos y los equivalentes
del archivo de opciones.
Parámetros Sintaxis de línea de Sintaxis del archivo de opciones

comandos

origen>

destino>
Opciones de /TOT:REPLACE TranslateOption=REPLACE

conversión de
seguridad
Modificar la /TUP:YES TranslateUserProfiles=YES

seguridad de perfil
de usuario local
opciones para convertir perfiles de usuarios locales utilizando la siguiente secuencia de
<Job id=" TranslatingLocalProfilesBetweenForests" >
Option Explicit
110
Dim objMigration
Dim objSecurityTranslation
'
'
Set objSecurityTranslation = objMigration.CreateSecurityTranslation
'
'
objMigration.TargetOu = "Equipos"
'
'Especificar opciones especificas de conversión de seguridad.
'
objSecurityTranslation.TranslationOption = admtTranslateReplace
objSecurityTranslation.TranslateUserProfiles = True
'
'Realizar conversión de seguridad en objetos de equipo especificados.
'
objSecurityTranslation.Translate admtData, _
Set objSecurityTranslation = Nothing
111
Nota
Migración
</Script> de estaciones de trabajo mediante el complemento de ADMT
</Job>
Migración de estaciones de trabajo en lotes

Tras la migración de un lote de perfiles de usuarios locales, migre el lote correspondiente de las
estaciones de trabajo de usuario. Cuando migre una estación de trabajo entre dominios, la base
de datos del Administrador de cuentas de seguridad (SAM) se migra junto con el equipo. Las
cuentas de la base de datos local de SAM (como grupos locales) que se utilizan para habilitar el
acceso a los recursos se mueven siempre con el equipo. Por consiguiente, estas cuentas no se
tienen que migrar.
Si una estación de trabajo tiene cuentas de servicio administradas instaladas y esas cuentas se
han migrado previamente, ADMT proporciona una opción que permite reinstalar en el equipo
migrado la cuenta de servicio administrada migrada y actualizar el Administrador de control de
servicios. Para que ADMT pueda realizar esta operación, la cuenta que realiza la migración del
equipo debe tener permisos para modificar el descriptor de seguridad de la cuenta de servicio
administrada migrada.
Utilice un valor bajo para el parámetro RestartDelay para reiniciar las estaciones de
trabajo de forma inmediata tras agregarlas al dominio de destino, o tan pronto como sea
posible. Los recursos que no se han reiniciado después de la migración se encuentran
en un estado indeterminado.
Puede migrar estaciones de trabajo y servidores miembro mediante el complemento de ADMT, la
opción de línea de comandos de ADMT o una secuencia de comandos.
1. En el equipo del dominio de destino en el que instala ADMT, inicie sesión utilizando la
cuenta de migración de recursos de ADMT.
2. Utilice el Asistente para migración de equipos siguiendo los pasos de la tabla siguiente.

112

Selección de equipo Haga clic en Seleccionar equipos desde

O bien
Información sobre la cuenta de Seleccione cualquier cuenta de servicio

servicio administrada (aparece si el administrada que no se tenga que instalar
equipo tiene alguna cuenta de servicio en el equipo migrado en el dominio de
administrada instalada) destino y, a continuación, haga clic en
como Omitir.

contenedor, busque el contenedor
Equipos del dominio de destino o la
unidad organizativa apropiada y, a
Convertir objetos Active la casilla de verificación Grupos

locales.
Active la casilla de verificación Derechos
de usuarios.
Opciones de conversión de seguridad Haga clic en Agregar.
Opciones de equipo En la casilla Minutos que habrán de

transcurrir para que se reinicien los
equipos tras la finalización del
113
Migración de estaciones de trabajo mediante la opción de línea de comandos de ADMT
asistente, acepte el valor predeterminado

de 5 minutos o escriba un valor distinto.
Exclusión de propiedad de objetos Para excluir determinadas propiedades de

objeto de la migración, active la casilla de
verificación Excluir propiedades de
objeto específicas de la migración,
seleccione las propiedades de objeto que
desee excluir y muévalas a Propiedades
excluidas y, a continuación, haga clic en
Siguiente.

dominio de destino.

4. Abra Usuarios y equipos de Active Directory y compruebe que las estaciones de trabajo
1. En el equipo del dominio de destino en el que se instala ADMT, inicie sesión utilizando la
2. En la línea de comandos, escriba el comando ADMT Computer con los parámetros
ADMT COMPUTER /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:"<dominio_origen>"
/TD:"<dominio_destino>" /TO:"<unidad_organizativa_destino>" [/M: “<nombre de
cuenta de servicio administrada 1>” “<nombre de cuenta de servicio administrada
2>”] [/UALLMSA:Yes] /RDL:5

en la línea de comandos, de la manera siguiente:
ADMT COMPUTER /N "<nombre_equipo1>" "<nombre_equipo2>" /O:" <archivo_opción>.txt"
114
La siguiente tabla enumera los parámetros comunes que se utilizan para migrar
estaciones de trabajo, junto con el parámetro de línea de comandos y los equivalentes

comandos

origen>
Ubicación de la / SourceOU="unidad_organizativa_o
<Unidad SO:"unidad_organizativa_ori rigen"
organizativa de gen"
origen>

destino>
Actualizar todas las /UALLMSA: YES UpdateAllManagedServiceAccounts

cuentas de servicio =Yes
administradas
Actualizar las /M “nombre 1” “nombre 2”… UPDATEMSANAME= “nombre 1”

cuentas de servicio “nombre 2”…
administradas
especificadas
Nota
El
paráme
tro /M
tiene
prefere
ncia
sobre
el
paráme
tro
/UALL
MSA.
Ubicación de la / TargetOU="unidad_organizativa_d
<Unidad TO:"unidad_organizativa_de estino"
organizativa de stino"
destino>
115
Migración de estaciones de trabajo mediante una secuencia de comandos

comandos
Retraso de reinicio /RDL:5 RestartDelay=5

(minutos)
Opción de /TOT:ADD TranslationOption=ADD

conversión de
seguridad
Convertir derechos /TUR:YES TranslateUserRights=YES

de usuario
Convertir grupos /TLG:YES TranslateLocalGroups=YES

locales
3. Revise si hay errores en los resultados que se muestran en la pantalla. El registro de

migración muestra los equipos, estado de conclusión y la ruta al archivo de registro para
cada equipo. Si se informa de un error en un equipo, tendrá que consultar el archivo de
registro de dicho equipo para revisar cualquier problema con los grupos locales. El
archivo de registro de cada equipo se denomina MigrationTaskID.log, y se almacena en
la carpeta Windows\ADMT\Logs\Agents.
Compruebe que las estaciones de trabajo y los servidores miembro existen en la unidad
organizativa de destino.
opciones para la migración de estaciones de trabajo utilizando la siguiente secuencia de
comandos Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con
la extensión .wsf en la misma carpeta que el archivo AdmtConstants.vbs..
<Job id="MigratingWorkstationsBwtweenForest" >
Option Explicit
Dim objMigration
Dim objComputerMigration
'
116
'
Set objComputerMigration = objMigration.CreateComputerMigration
'
'
objMigration.SourceOu = "Equipos"
'
'Especificar opciones específicas de migración de equipo.
'
objComputerMigration.RestartDelay = 1
objComputerMigration.TranslationOption = admtTranslateAdd
objComputerMigration.TranslateLocalGroups = True
objComputerMigration.TranslateUserRights = True
objComputerMigration.UpdateAllManagedServiceAccounts = True
'
'Migrar objetos de equipo en objetos de equipo especificados.
'
objComputerMigration.Migrate admtData, _
Set objComputerMigration = Nothing
117
Importante
Migración del
Set objMigration = lote actual
Nothing de cuentas de usuario mediante el complemento de ADMT
</Script>
</Job>

usuarios en lotes
Después de haber comprobado el éxito de la migración de la estación de trabajo y el perfil de
usuario local para el lote de usuarios, migre las cuentas de usuario para ese lote. Puede migrar
las cuentas de usuario en lotes mediante el complemento de ADMT, la opción de línea de
comandos de ADMT o una secuencia de comandos.
Puede migrar cuentas de usuario mediante el complemento de ADMT, la opción de línea de
Cuando inicie una migración de usuarios con el historial del identificador de seguridad
(SID) desde la línea de comandos o desde un script, debe realizarla en un controlador de
dominio del dominio de destino.
2. Complete el Asistente para migración de cuentas de usuarios siguiendo los pasos de la
tabla siguiente.

118


Siguiente.
O bien

Examinar.
Opciones de contraseña Haga clic en Migrar contraseñas.

En Controlador de dominio origen de
migración de contraseña:, escriba el
nombre del servidor de exportación de
contraseñas o acepte el valor
predeterminado.

haga clic en Habilitar cuentas de
destino.
119

Se utiliza comúnmente un valor de siete.

administrativas.

perfiles móviles.
Active la casilla de verificación Actualizar

migración.
Gestión de conflictos Active la casilla de verificación Migrar y

combinar objetos en conflicto.
Desactive la casilla de verificación Antes
de combinar, quitar los derechos de
usuario de las cuentas de destino
existentes.
Desactive la casilla de verificación Mover
objetos combinados a la Unidad
organizativa de destino especificada.
3. Cuando el asistente haya terminado, haga clic en Ver registro y revise si hay errores en
el registro de migración.
4. Abra Usuarios y equipos de Active Directory y compruebe que las cuentas de usuarios
120
Migración del lote actual de usuarios mediante la opción de línea de comandos de
ADMT
2. En la línea de comandos, escriba el comando ADMT User con los parámetros
/TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /MSS:YES /TRP:YES
/UUR:YES


de origen>
<Unidad
organizativ
a de
origen>

de
destino>
<Unidad "
organizativ
a de
destino>
Gestión de /CO:REPLACE ConflictOptions=REPLACE

conflictos

perfil móvil
121
Migración del lote actual
Parámetros Sintaxisde
decuentas
línea de de usuario mediante
comandos una
Sintaxis del secuencia de comandos
archivo de opciones

derechos
de usuario
Opciones /PO:COPY /PS:<nombre de PasswordOption=COPY

de servidor PES> PasswordServer=:<nombre de servidor
contraseña PES>
Caducidad /SEP:7 SourceExpiration=7

de origen

<Job id="MigratingUserAccountsInBatchesBetweenForests" >
Option Explicit
Dim objMigration
'
'
'
'
122
objMigration.PasswordOption = admtCopyPassword
objMigration.PasswordServer = "nombre de servidor de exportación de

contraseña"
objMigration.ConflictOptions = admtReplaceConflicting
'
'
objUserMigration.SourceExpiration = 7
'
'

de usuario2" )
</Script>
</Job>
123
Importante
Nueva migración de grupos globales mediante el complemento de ADMT
Repetición de la migración de todos los grupos
globales después de la migración de cuenta de
usuario
Una migración de cuentas de usuarios de gran tamaño puede tener lugar durante un amplio
período de tiempo. Por este motivo, es posible que tenga que repetir la migración de grupos
globales desde el dominio de origen al de destino después de migrar cada lote de usuarios, para
reflejar los cambios realizados en la pertenencia de grupos del dominio de origen tras producirse
la migración inicial de grupo global. Para obtener más información y procedimientos para la
repetición de la migración de los grupos globales, consulte Repetición de la migración de todos
los grupos globales después de migrar todos los lotes, más adelante en esta guía.
Repetición de la migración de todos los

grupos globales después de migrar todos
los lotes
Después de que se hayan migrado todos los lotes, realice una nueva migración de grupos
globales final para garantizar que cualquier cambio de última hora que se efectúe en la
pertenencia a un grupo global en el dominio de origen se refleja en el dominio de destino. Puede
volver a migrar grupos globales mediante el complemento de la Herramienta de migración para
Active Directory (ADMT), la opción de línea de comandos de ADMT o una secuencia de
comandos.
Cuando inicie una migración del grupo global con SID History desde la línea de
comandos o desde una secuencia comandos, debe realizarla en un controlador de
siguientes:

124


O bien

contenedor, busque el contenedor en el
dominio de destino al que desee mover los
clic en Aceptar.
Opciones de grupo Haga clic en Actualizar derechos de

usuario
Asegúrese de que Copiar miembros de
grupo no está seleccionada.
Asegúrese de que Actualizar objetos
previamente migrados no está
seleccionada.
125
Nueva migración de grupos globales mediante la opción de línea de comandos de
ADMT
Haga clic en Revisar la pertenencia al

grupo.
Haga clic en Migrar SID de grupo al
dominio de destino.

origen.

migración.

combinar objetos en conflicto (el resto
de opciones están desactivadas).
Compruebe que los grupos globales existen en la unidad organizativa del dominio de
destino.
1. En un controlador de dominio del dominio de destino en el que está instalado ADMT,

inicie sesión con la cuenta de migración de cuentas de ADMT.
Importante
Cuando inicie una migración del grupo global con SID History desde la línea de
comandos, debe realizarla en un controlador de dominio del dominio de destino.
2. En la línea de comandos, escriba el comando ADMT Group con los parámetros apropiados
y, a continuación, presione ENTRAR.
<dominio de destino>" /TO:" <unidad organizativa de destino>" /MSS:YES /CO:REPLACE

la línea de comandos como se muestra a continuación:
126
Nueva migración
grupos de grupos
globales, universales
junto con mediante
los parámetros una
de línea desecuencia
comandosde comandos
y los equivalentes del

de origen>
<Unidad
organizativ
a de
origen>

de
destino>
<Unidad "
organizativ
a de
destino>

de GG

conflictos

destino.
para migrar de grupos globales utilizando la siguiente secuencia de comandos de
muestra. Copie la secuencia de comandos en el Bloc de notas y guarde el archivo con la
<Job id=" RemigratingGlobalGroupsBetweenForests" >
127
Option Explicit
Dim objMigration
'
'
'
'
'
'
'
'

grupo2" )
128
</Script>
</Job>
Migración de cuentas sin utilizar el historial

de SID
Si no utiliza el historial de identificadores de seguridad (SID) para el acceso a los recursos
porque se ha establecido el filtrado de SID entre bosques, su proceso de migración conlleva la
realización de los siguientes pasos. En primer lugar, migra todas las cuentas de usuario (pero no
las active en el dominio de destino) para rellenar el dominio de destino y permitir la migración de
perfiles de usuario. A continuación, ejecuta la conversión de seguridad en todos los recursos a
los que obtienen acceso los usuarios en todos los bosques. El siguiente paso es migrar usuarios
en lotes, empezando por la migración del perfil de usuario, luego la estación de trabajo y, a
continuación, la cuenta de usuario. Finalmente, debe repetir la migración de grupos globales
para aplicar los cambios que ha realizado en los grupos globales del dominio de origen y
convertir la seguridad en el modo Quitar.
Sigue siendo importante migrar el historial de SID aunque las cuentas de usuario no usen el
historial de SID para tener acceso a los recursos. Lo que garantiza que las operaciones como los
archivos sin conexión continúen funcionando dentro del bosque. La migración del historial de SID
no presenta un riesgo de seguridad porque se ha establecido el filtrado de SID entre los bosques
de origen y destino. Antes de migrar todas las cuentas de usuarios, asegúrese de que ha creado
cuentas de prueba que pueda usar para comprobar el éxito de la migración para dicho lote.
Complete los siguientes pasos para migrar las cuentas de usuario al dominio de destino:
1. Migre las cuentas de servicio administradas. Las cuentas de servicio administradas deben
migrarse antes de los equipos.
2. Migrar todos los usuarios. Use la opción Revisar la pertenencia a grupos de los usuarios
para que la Herramienta de migración para Active Directory (ADMT) identifique los grupos
globales en el dominio de destino al que pertenecían los usuarios del dominio de origen y
agregue el usuario al grupo global apropiado en el domino de destino. Para esta migración
de usuario inicial, deje la cuenta de usuario habilitada en el dominio de origen y deshabilitada
3. Convierta la seguridad en modo Agregar para los archivos, recursos compartidos,
impresoras, grupos locales y grupos locales de dominios.
4. Convierta los perfiles locales de usuario para un lote de usuarios
129
5. Migre las estaciones de trabajo en lotes que correspondan a los lotes de cuentas de usuario.
6. Antes de migrar el lote de cuentas de usuarios, compruebe que la migración de la estación
de trabajo y el perfil local se ha realizado correctamente para todos los usuarios del lote. No
migre ninguna cuenta de usuario cuya migración de estación de trabajo o perfil haya dado
error, porque provocará que los usuarios sobrescriban sus perfiles existentes cuando inicien
sesión en el dominio de destino.
7. Vuelva a migrar las cuentas de usuario en lotes pequeños con las cuentas en el dominio de
origen definidas con un período de caducidad de siete días con las cuentas de destino
habilitadas, la migración de contraseña seleccionada y con todos los atributos seleccionados
para la migración.
8. Después de cada lote, vuelva a migrar todos los grupos para actualizar cualquier cambio de
pertenencia a grupos.
9. Una vez migrados todos los usuarios, ejecute una migración final de grupo global para
actualizar cualquier cambio de pertenencia a grupos.
10. Convierta la seguridad en modo Quitar para los archivos, recursos compartidos, impresoras,
grupos locales y grupos locales de dominios.
11. Notifique a los usuarios del lote para que inicien sesión en el nuevo dominio.
Hasta que migre todos los usuarios y cuentas de grupos, continúe administrando la pertenencia
a grupos globales en el dominio de origen.
La siguiente ilustración muestra los pasos que implica la migración de cuentas que no usa el
historial de SID para el acceso a los recursos.
130
Importante

administradas
131


132

O bien

Siguiente.
133
comandos de ADMT
O bien




ENTRAR:
134

origen.


comandos

bosques

cuenta

grupos de cuentas
Nota
Sólo puede
migrar SID de
cuentas de
servicio
administradas
entre
bosques. Si
utiliza este
parámetro
durante una
migración
dentro del
mismo
bosque,
135
Nota

comandos
aparece un
error.
el equipo.
Migración de todas las cuentas de usuario

Comience el proceso de migración de cuentas de usuario migrando todos los usuarios. A
continuación, puede convertir la seguridad en todos los archivos, impresoras, carpetas
compartidas, grupos locales y grupos locales de dominio. De esta forma se garantiza que los
usuarios continúan con el acceso adecuado a los recursos después de la migración.
Las cuentas integradas (como Administradores, Usuarios o Usuarios avanzados) no
pueden ser objetos de migración de la Herramienta de migración para Active Directory
(ADMT). Ya que los identificadores de seguridad (SID) de la cuenta integrada son
idénticos en todos los dominios, la migración de estas cuentas a un dominio de destino
provocará la duplicación de los SID en un dominio único. Cada SID de un dominio debe
ser exclusivo. Las cuentas conocidas (como Admins. del dominio y Usuarios del dominio)
tampoco pueden ser objetos de migración de ADMT.
El proceso de migración de cuentas de usuarios de ADMT incluye los siguientes pasos:
1. ADMT lee los atributos de los objetos de usuario de origen.
2. ADMT crea un nuevo objeto de usuario en el dominio de destino y un nuevo SID principal
para la nueva cuenta de usuario.
3. ADMT agrega el SID original de la cuenta de usuario al atributo del historial de SID de la
nueva cuenta de usuario.
4. ADMT migra la contraseña de la cuenta de usuario.
5. Si ADMT identifica los grupos globales del dominio de destino al que pertenecían los
Durante la migración, los eventos de auditoría inician sesión en los dominios de destino y de
origen.
136
Migración de cuentas de usuario mediante el complemento de ADMT
Puede migrar las cuentas de usuario mediante el complemento de ADMT, la opción de línea de
2. Utilice el Asistente para migración de cuentas de usuario realizando los pasos de la tabla
siguiente.


Siguiente.
137
O bien
En el equipo del dominio de destino en el
que ADMT está instalado, inicie sesión con
la cuenta de migración de cuentas ADMT.

Examinar.
Opciones de contraseña Haga clic en No actualizar contraseñas

de usuarios existentes.
Haga clic en Generar contraseñas
complejas.

haga clic en Deshabilitar cuentas de
destino.
Se utiliza comúnmente un valor de 7.

administrativas en el dominio de origen.

perfiles móviles.
138
Seleccione Revisar la pertenencia a

grupos de los usuarios.

migración.
Gestión de conflictos Active la casilla de verificación No migrar

el objeto de origen si se detecta un
conflicto en el dominio de destino.
Asegúrese de que las casillas de
verificación Antes de combinar, quitar
los derechos de usuario de las cuentas
de destino existentes y Mover objetos
combinados a la Unidad organizativa de
destino especificada no están activadas.
3. Cuando el asistente termine, haga clic en Ver registro y revise si hay errores en el
registro de migración.
y, a continuación, presione ENTRAR:
/UUR:YES

la línea de comandos, de la manera siguiente:
139
de origen>
<Unidad
organizativ
a de
origen>

de
destino>
<Unidad "
organizativ
a de
destino>


perfil móvil

derechos
de usuario
Opciones /PO:COMPLEX(valor PasswordOption=COMPLEX

de predeterminado)
contraseña

140
<Job id=" MigratingAllUserAccountsBetweenForests" >
Option Explicit
Dim objMigration
'
'
'
'
objMigration.PasswordOption = admtComplexPassword
'
'
141
Conversión de seguridad en el modo Agregar en
objUserMigration.FixGroupMembership objetos mediante el complemento de
= True
ADMT
'
'

de usuario2" )
</Script>
</Job>
Conversión de seguridad en modo Agregar

Convierta la seguridad en servidores para agregar los identificadores de seguridad (SID) de las
cuentas de usuario y grupo en el dominio de destino a las listas de control de acceso (ACL) de
los recursos. Una vez migrados al dominio de destino, los objetos contienen las entradas de ACL
de ambos dominios, el de origen y el de destino. Utilice el Asistente para la conversión de
seguridad de la Herramienta de migración para Active Directory (ADMT) para agregar los SID del
dominio de destino de los objetos migrados. Ejecute el Asistente para la conversión de seguridad
en todos los archivos, recursos compartidos, impresoras, grupos locales, al menos, un
controlador de dominio (para convertir la seguridad en los grupos locales compartidos).
Puede convertir la seguridad en el modo Agregar en objetos mediante el complemento de ADMT,
la opción de línea de comandos de ADMT o una secuencia de comandos.
siguiente.
142
migrados.


seleccionar los equipos para los que
desea convertir la seguridad, haga clic en
O bien
Convertir objetos Desactive la casilla de verificación Perfiles

de usuarios.
Active el resto de casillas de verificación.

143
Conversión de seguridad en el modo Agregar en objetos mediante la opción de línea de
comandos de ADMT
/TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /TOT:Add


comandos

origen>

destino>
Opciones de /TOT:Add TranslateOption=ADD

conversión de
seguridad
144
Conversión de seguridad en modo Agregar en objetos mediante una secuencia de
comandos
opciones para convertir seguridad en modo Agregar en objetos utilizando la siguiente
secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de
notas y guarde el archivo con la extensión .wsf en la misma carpeta que el archivo
AdmtConstants.vbs.
<Job id=" TranslatingSecurityInAddModeOnObjectsBetweenForests" >
Option Explicit
Dim objMigration
'
'
'
'
'
'
objSecurityTranslation.TranslationOption = admtTranslateAdd
145
objSecurityTranslation.TranslateFilesAndFolders = True
objSecurityTranslation.TranslateLocalGroups = True
objSecurityTranslation.TranslatePrinters = True
objSecurityTranslation.TranslateRegistry = True
objSecurityTranslation.TranslateShares = True
objSecurityTranslation.TranslateUserProfiles = False
objSecurityTranslation.TranslateUserRights = True
'
'
</Script>
</Job>

usuario y migración de las estaciones de
trabajo en lotes
La repetición de la migración de las cuentas de usuario y las estaciones de trabajo en lotes le
ayuda a realizar un registro del proceso de migración. Para cada lote de usuarios, primero
convierta los perfiles de usuarios locales y, a continuación, migre las estaciones de trabajo.
Compruebe que la migración de la estación de trabajo y el perfil se ha realizado correctamente y,
a continuación, migre las cuentas de usuario. Repita la migración de los grupos globales
después de cada lote. Para obtener más información, consulte Repetición de la migración de
todos los grupos globales después de migrar todos los lotes, más adelante en esta guía.
146
Nota
Conversión de perfiles de usuarios locales
La Herramienta de migración Active Directory (ADMT) convierte los perfiles para los objetos de
migración de equipo admitidos. Si desea obtener una lista de los sistemas operativos
compatibles para objetos de migración del equipo en las diferentes versiones de ADMT, consulte
Herramienta de migración Active Directory: versiones y entornos admitidos.
Los perfiles locales se convierten en modo Reemplazar porque si realiza la conversión del perfil
en modo Agregar, es posible que la instalación del software mediante la implementación del
software de la directiva de grupo no funcione. Es posible que cualquier aplicación incluida con
Windows Installer versión 2.0 (utilizada en las estaciones de trabajo con
Windows 2000 Server Service Pack 3 (SP3) o Service Pack 4 (SP4) y Windows XP Service
Pack 1 (SP1) o Service Pack 2 (SP2), y en muchos paquetes de software comunes) no funcione
después de la conversión del perfil. Cuando el Asistente para conversión de seguridad de ADMT
convierta perfiles locales en modo Reemplazar, volverá al modo Agregar si se bloquea un perfil.
Puede resultar en una conversión de perfil correcta. No obstante, es posible que las
instalaciones de aplicación no funcionen después de convertir el perfil.
Antes de iniciar la conversión de perfiles de usuarios locales, deje tiempo suficiente para que las
estaciones de trabajo se reinicien después de moverlas al dominio de destino. Tenga en cuenta
el factor de retraso de tiempo de ADMT (cinco minutos de forma predeterminada) más el tiempo
necesario para un ciclo de reinicio de su estación de trabajo.
La noche anterior a la notificación a los usuarios para que inicien sesión con sus nuevas
cuentas en el dominio de destino, convierta los perfiles de usuarios locales. La
conversión de los perfiles la noche antes garantiza que el nuevo perfil de usuario refleje
la configuración de usuario más actual.
Puede convertir los perfiles de usuarios locales mediante el complemento de ADMT, la opción de
línea de comandos de ADMT o una secuencia de comandos.
1. Para cada estación de trabajo del dominio de origen que migre, agregue la cuenta de
migración de recursos de ADMT al grupo de administradores locales.
siguiente.

migrados.

147


origen para los que desea convertir la
seguridad, haga clic en Aceptar y, a
continuación, en Siguiente.
O bien

148
Conversión de perfiles de usuarios locales mediante la opción de línea de comandos de
ADMT
/TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /TOT:Replace
/TUP:YES

de opciones.

comandos

origen>

destino>
Opciones de /TOT:REPLACE TranslateOption=REPLACE

conversión de
seguridad

seguridad de perfil
de usuario local
149
Conversión de perfiles de usuarios locales mediante una secuencia de comandos
opciones para convertir perfiles de usuarios locales utilizando la siguiente secuencia de
<Job id=" TranslatingLocalProfilesBetweenForests" >
Option Explicit
Dim objMigration
'
'
'
'
'
'
150
Nota
Migración
' de estaciones de trabajo mediante el complemento de ADMT
'
</Script>
</Job>
Migración de estaciones de trabajo en lotes

Tras la migración de un lote de perfiles de usuarios locales, migre el lote correspondiente de las
estaciones de trabajo de usuario. Cuando migre una estación de trabajo entre dominios, la base
de datos del Administrador de cuentas de seguridad (SAM) se migra junto con el equipo. Las
cuentas ubicadas en la base de datos local de SAM (como grupos locales) que se utilizan para
habilitar el acceso a los recursos se mueven siempre con el equipo. Por consiguiente, no se
tienen que migrar.
Para reiniciar las estaciones de trabajo de forma inmediata tras agregarlas al dominio de
destino o tan pronto como sea posible, utilice un valor bajo para el parámetro
RestartDelay de ADMT. Los recursos que no se han reiniciado después de la migración
se encuentran en un estado indeterminado.
Puede migrar estaciones de trabajo mediante el complemento de ADMT, la opción de línea de
comandos de ADMT o una secuencia de comandos.
2. Utilice el Asistente para migración de equipos siguiendo los pasos de la tabla siguiente.
151


O bien

como Omitir.

152

locales.
de usuarios.


desee excluir y muévalas a la casilla
Propiedades excluidas y, a continuación,

dominio de destino.

153
Migración de estaciones de trabajo mediante la opción de línea de comandos de ADMT

La siguiente tabla enumera los parámetros comunes que se utilizan para la migración de

comandos
<Dominio de SD:"dominio_origen" SourceDomain="dominio_origen"

origen>
origen>

destino>

administradas
Actualizar cuentas /M: “nombre 1” “nombre 2”… UPDATEMSANAME= “nombre 1”

de servicio “nombre 2”…
administradas
específicas
Nota
El
paráme
tro /M
tiene
prefere
154
Migración de estaciones de trabajo mediante una secuencia de comandos

comandos
ncia
sobre
el
paráme
tro
/UALL
MSA.
destino>

(minutos)

conversión de
seguridad

de usuario

locales

Compruebe que las estaciones de trabajo existen en la unidad organizativa de destino.
opciones para la migración de estaciones de trabajo utilizando la siguiente secuencia de
<Job id="MigratingWorkstationsBwtweenForest" >
155
Option Explicit
Dim objMigration
'
'
'
'
'
'
156
Repetición'de la migración del lote actual de cuentas de usuario mediante el
complemento de ADMT
'
</Script>

usuarios en lotes
Después de haber comprobado el éxito de la migración de los perfiles de usuarios locales y las
estaciones de trabajo de usuario para el lote de usuarios, migre las cuentas de usuario para ese
lote.
Puede migrar las cuentas de usuario en lotes mediante el complemento de ADMT, la opción de
línea de comandos de ADMT o una secuencia de comandos. Si va a migrar cuentas de usuario
que tienen habilitada la seguridad del mecanismo de autenticación, use un archivo de inclusión.
En el archivo de inclusión, especifique los nombres principales de usuario (UPN) originales del
dominio de origen como UPN de destino para poder mantener en funcionamiento la seguridad
del mecanismo de autenticación. Para obtener más información acerca del uso de un archivo de
2. Utilice el Asistente para migración de cuentas de usuario siguiendo los pasos de la tabla
siguiente.

157

Siguiente.
O bien

Examinar.
Opciones de contraseña Haga clic en Migrar contraseñas.

En Controlador de dominio origen de
migración de contraseña:, escriba el
nombre del servidor de exportación de
contraseñas o acepte el valor
predeterminado.
158
haga clic en Habilitar cuentas de

destino.
Se utiliza comúnmente un valor de 7.

administrativas.

perfiles móviles.
Active la casilla de verificación Migrar

migración.
Gestión de conflictos Haga clic en Migrar y combinar objetos

en conflicto.
Desactive la casilla de verificación Antes
de combinar, quitar los derechos de
usuario de las cuentas de destino
existentes.
Desactive la casilla de verificación Mover
objetos combinados a la Unidad
organizativa de destino especificada.
3. Cuando el asistente termine, haga clic en Ver registro y revise si hay errores en el
registro de migración.
159
Repetición
existende
enlalamigración del lote actual
unidad organizativa de usuarios
apropiada mediante
del dominio la opción de línea de
de destino.
comandos de ADMT
/UUR:YES


de origen>
<Unidad
organizativ
a de
origen>

de
destino>
<Unidad "
organizativ
a de
destino>

conflictos
160
Repetición de la migración del lote actual de cuentas de usuario mediante una
secuencia de comandos

perfil móvil

derechos
de usuario
Opciones /PO:COPY /PS:<nombre de PasswordOption=COPY

de servidor PES> PasswordServer=:<nombre de servidor
contraseña PES>
Caducidad /SEP:30 SourceExpiration=30

de origen

<Job id="MigratingUserAccountsInBatchesBetweenForests" >
Option Explicit
Dim objMigration
'
'
161
'
'
objMigration.PasswordOption = admtCopyPassword
objMigration.PasswordServer = "nombre de servidor de exportación de

contraseña"
'
'
objUserMigration.SourceExpiration = 7
objUserMigration.UpdateUserRights = False
'
'

de usuario2" )
</Script>
</Job>
162
Nueva migración de grupos globales mediante el complemento de ADMT
Repetición de la migración de todos los grupos
globales después de la migración de cuenta de
usuario
Una migración de cuentas de usuarios de gran tamaño puede tener lugar durante un amplio
período de tiempo. Por este motivo, es posible que tenga que repetir la migración de los grupos
globales desde el dominio de origen al de destino después de migrar cada lote de usuarios. El
objetivo es reflejar los cambios realizados en la pertenencia a un grupo del dominio de origen
después de la migración inicial de grupos globales. Para obtener más información y
procedimientos para la repetición de la migración de los grupos globales, consulte Repetición de
la migración de todos los grupos globales después de migrar todos los lotes, más adelante en
esta guía.
Repetición de la migración de todos los

grupos globales después de migrar todos
los lotes
Después de que se hayan migrado todos los lotes, realice una nueva migración de grupos
globales final para garantizar que cualquier cambio de última hora que se efectúe en la
pertenencia a un grupo global en el dominio de origen se refleja en el dominio de destino.
Puede volver a migrar grupos globales mediante el complemento de la Herramienta de migración
para Active Directory (ADMT), la opción de línea de comandos de ADMT o una secuencia de
comandos.
siguientes:

163


O bien

contenedor, busque el contenedor en el
dominio de destino al que desee mover los
clic en Aceptar.
Opciones de grupo Active la casilla de verificación Actualizar

Asegúrese de que la casilla de verificación
Copiar miembros de grupo no está
activada.
Asegúrese de que la casilla de verificación
Actualizar objetos previamente
migrados no está activada.
164
Nueva migración de grupos globales mediante la opción de línea de comandos de
ADMT
pertenencia al grupo.

contraseña y el dominio de una cuenta
que tenga derechos administrativos en el
dominio de origen.

migración.

combinar objetos en conflicto (el resto
de opciones están desactivadas).
destino.
2. En la línea de comandos, escriba el comando ADMT Group con los parámetros apropiados
<dominio de destino>" /TO:" <unidad organizativa de destino>" /MSS:YES /CO:REPLACE

grupos globales, junto con los parámetros de línea de comandos y los equivalentes del
165
Nueva migración de grupos universales mediante una secuencia de comandos

de origen>
<Unidad
organizativ
a de
origen>

de
destino>
<Unidad "
organizativ
a de
destino>

de GG

conflictos

destino.
para migrar grupos globales utilizando la siguiente secuencia de comandos de muestra.
<Job id=" RemigratingGlobalGroupsBetweenForests" >
Option Explicit
166
Dim objMigration
'
'
'
'
'
'
'
'

grupo2" )
167
Conversión deobjGroupMigration
Set seguridad en modo Quitar en objetos mediante el complemento de
= Nothing
ADMT
</Script>
</Job>
Conversión de seguridad en modo Quitar

Convierta la seguridad en los objetos para quitar los identificadores de seguridad (SID) de las
cuentas del dominio de origen de las listas de control de acceso (ACL) de los objetos migrados.
Esto se realiza sólo después de que se hayan deshabilitado todas las cuentas de origen. Ejecute
el Asistente para conversión de seguridad en todos los archivos, carpetas compartidas y grupos
locales y al menos un controlador de dominio (para convertir la seguridad en los grupos locales
compartidos).
Cuando convierte la seguridad en modo Quitar, los SID del dominio de origen para el usuario ya
no están presentes o disponibles si la cuenta del usuario de destino se ha migrado
correctamente y los SID se han agregado allí. Este proceso habilita la limpieza administrativa y
asegura que los usuarios utilizan su "nueva" cuenta de dominio de destino y dejan de usar la
"antigua" cuenta de dominio de origen.
Puede convertir la seguridad en modo Quitar en objetos mediante el complemento de la
Herramienta de migración para Active Directory (ADMT), la opción de línea de comandos de
ADMT o una secuencia de comandos.
siguiente.

migrados.

168
Conversión de seguridad en modo Quitar en objetos mediante la opción de línea de
comandos de ADMT


O bien
Convertir objetos Desactive la casilla de verificación

Perfiles de usuario.
Active el resto de casillas de verificación.
Opciones de conversión de seguridad Haga clic en Quitar.
/TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /TOT:Remove
169
Para en
convertir
la líneala
deseguridad
comandos,endemodo Quitar
la manera en objetos mediante una secuencia de
siguiente:
comandos

comandos

origen>

destino>
Opciones de /TOT:Remove TranslateOption=REMOVE

conversión de
seguridad
finalizado el Asistente, haga clic en Ver registro de migración para ver la lista de
 Prepare una secuencia de comandos que incorpore los comandos y opciones de ADMT
para convertir la seguridad en modo Quitar en objetos mediante la siguiente secuencia
de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde
el archivo con la extensión .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" TranslatingSecurityInRemoveModeOnObjectsBetweenForests" >
Option Explicit
Dim objMigration
'
170
'
'
'
'
'
objSecurityTranslation.TranslationOption = admtTranslateRemove
'
'
171
</Script>
</Job>
Migración de recursos
El proceso de la migración de recursos entre los dominios de Active Directory en distintos
bosques implica la finalización de la migración de lo siguiente:
 Cuentas de estaciones de trabajo y servidores miembro
 Grupos locales del dominio y compartidos
 Controladores de dominio
Una vez migrados correctamente todos los objetos de recursos al dominio de destino, puede dar
de baja el dominio de origen.
En la ilustración siguiente se muestra el proceso para la migración de objetos de recursos entre
los dominios de Active Directory en distintos bosques.
172
Nota
Migración de estaciones de trabajo y servidores miembro mediante el complemento de
ADMT
Migración de estaciones de trabajo y

servidores miembro
Migre las estaciones de trabajo restantes que no ha migrado durante el proceso de migración de
cuentas, junto con los servidores miembro, en pequeños lotes de hasta 100 equipos. La
migración de cuentas de estaciones de trabajo y de servidores miembro es un proceso sencillo.
Las estaciones de trabajo y los servidores miembro tienen su propia base de datos de cuentas
del Administrador de cuentas de seguridad (SAM). Cuando migre una estación de trabajo entre
dominios, la base de datos de SAM se migra junto con el equipo. Las cuentas de la base de
datos local de SAM (como grupos locales) que se utilizan para habilitar el acceso a los recursos
se mueven siempre con el equipo. Por consiguiente, no se tienen que migrar.
han migrado previamente, la Herramienta de migración Active Directory (ADMT) proporciona una
opción que permite reinstalar la cuenta de servicio administrada migrada en el equipo migrado y
actualizar el Administrador de control de servicios. Para que ADMT pueda realizar esta
operación, la cuenta que realiza la migración del equipo debe tener permisos para modificar el
descriptor de seguridad de la cuenta de servicio administrada migrada.
Como la migración requiere el reinicio de las estaciones de trabajo y de los servidores miembro,
es importante programar la migración cuando el servidor no esté realizando solicitudes.
Reinicie las estaciones de trabajo inmediatamente después de unirlas al dominio de
destino, seleccionando un número bajo (como 1) para el parámetro RestartDelay. Los
recursos que no se han reiniciado después de la migración se encuentran en un estado
indeterminado.
Puede migrar estaciones de trabajo y servidores miembro mediante el complemento de la
Herramienta de migración para Active Directory (ADMT), la opción de línea de comandos de
ADMT o secuencia de comandos.
2. Utilice el Asistente para migración de cuentas de equipo siguiendo los pasos de la tabla
siguiente.

173


O bien

equipo cuenta con alguna cuenta de en el equipo migrado en el dominio de
servicio administrada instalada) destino y, a continuación, haga clic en
como Omitir.

Opciones de conversión de seguridad Active la casilla de verificación Grupos

locales.
174
Migración de estaciones de trabajo y servidores miembro mediante la opción de línea
de comandos de ADMT

de usuario.
Convertir objetos Haga clic en Agregar.
Opciones de equipo En Minutos que habrán de transcurrir

para que se reinicien los equipos tras la
finalización del asistente, acepte el valor
predeterminado de 5 minutos o escriba un
valor distinto.

objetos de la migración, active la casilla de
Siguiente.

dominio de destino.

finalizado el Asistente, haga clic en Ver registro de migración para ver la lista de
175

La siguiente tabla enumera los parámetros comunes que se utilizan para migrar

comandos
<Dominio de SD:"dominio_origen" SourceDomain="dominio_origen"

origen>
origen>

destino>
Actualizar cuentas /UALLMSA: YES UpdateAllManagedServiceAccounts

de servicio =Yes
administradas
Actualizar cuentas /M “nombre 1” “nombre 2”… UPDATEMSANAME= “nombre 1”

administradas
específicas
Nota
El
paráme
tro /M
tiene
prefere
ncia
sobre
el
paráme
176
Migración de estaciones de trabajo y servidores miembro mediante una secuencia de
comandos

comandos
tro
/UALL
MSA.
destino>

(minutos)

conversión de
seguridad

de usuario

locales

Compruebe que las estaciones de trabajo existen en la unidad organizativa de destino.
para migrar estaciones de trabajo y servidores miembro utilizando la siguiente secuencia
de comandos de muestra. Copie la secuencia de comandos en el Bloc de notas y guarde
el archivo con la extensión .wsf en la misma carpeta que el archivo AdmtConstants.vbs.
<Job id="MigratingWorkstationsMemberServersBetweenForests" >
177
Option Explicit
Dim objMigration
'
'
'
'
'
'
'
178
Migración 'Migrar
de grupos locales
objetos de compartidos y de dominios
equipo en objetos de equipomediante el complemento de
especificados.
ADMT
'
</Script>
</Job>
Migrar grupos locales compartidos y de

dominios
Los grupos locales compartidos son grupos locales de los dominios de Windows NT 4.0 y
Active Directory que se pueden utilizar en las listas de control de acceso (ACL) de los
controladores de dominio. Cuando un dominio se configura para funcionar en modo nativo de
Windows 2000 o a nivel funcional del dominio de Windows Server 2003, los grupos locales
compartidos se cambian automáticamente a grupos locales de dominios. Estos grupos se
pueden utilizar en las listas ACL de servidores miembro y estaciones de trabajo. Si los grupos
locales de dominios o grupos locales compartidos se utilizan en las listas ACL de controladores
de dominio o servidores miembro, tiene que migrarlos al dominio de destino antes de migrar el
servidor.
No es necesario cambiar las listas ACL como parte del proceso de migración. Las listas ACL
continúan haciendo referencia a los grupos locales de dominios o grupos locales compartidos del
dominio de origen. Puesto que los grupos locales de dominios o grupos locales compartidos se
pueden migrar al dominio de destino mientras se utiliza el historial de identificadores de
seguridad (SID), los usuarios conservan acceso a los recursos. ADMT conserva la pertenencia
del grupo local durante la migración.
Puede migrar grupos locales compartidos o de dominios mediante el complemento de la
Herramienta de migración para Active Directory (ADMT) o una secuencia de comandos.
siguiente.
179


Siguiente.
O bien

clic en Aceptar.
Opciones de grupo Active la casilla de verificación Migrar SID
180
Migración de grupos locales compartidos y de dominios mediante una secuencia de
comandos

todas las opciones.

contraseña y el dominio de una cuenta
que tenga derechos administrativos en el
dominio de origen.

migración.

combinar objetos en conflicto. (Todas
las opciones están desactivadas).
3. Cuando el asistente finalice su ejecución, haga clic en Ver registro. Revise si hay
errores en el registro de migración.
4. Abra Usuarios y equipos de Active Directory, busque la unidad organizativa de destino y,
a continuación, compruebe que los grupos locales compartidos existen en la unidad
opciones para la migración de grupos locales compartidos y de dominios utilizando la
siguiente secuencia de comandos de muestra. Copie la secuencia de comandos en el
Bloc de notas y guarde el archivo con la extensión .wsf en la misma carpeta que el
archivo AdmtConstants.vbs.
<Job id=" MigratingDomainAndSharedLocalGroupsBetweenForests" >
Option Explicit
Dim objMigration
181
'
'
'
'
'
'
'
'
objGroupMigration.Migrate admtData, _
Array("nombre de grupo local1" ,"nombre de grupo local2" )
</Script>
</Job>
182
Migración de controladores de dominio
En Active Directory o en los Servicios de dominio de Active Directory (AD DS), puede migrar
controladores de dominio entre dominios. Para ello, debe realizar las siguientes acciones:
 Quitar Active Directory o AD DS del controlador de dominio.
 Migrar el controlador de dominio como servidor miembro al dominio de destino.
 Reinstalar Active Directory o AD DS.
Si el servidor ejecuta Windows 2000 Server, no podrá instalar Active Directory o AD DS en el
dominio de destino si éste ya está en el nivel funcional de Windows Server 2003. En este caso,
debe actualizar el servidor a Windows Server 2003 antes de instalar Active Directory o AD DS.
Los mismos pasos que se requieren para migrar un RODC son necesarios para migrar un
controlador de dominio de escritura.
Finalización de la migración
Después de migrar todas las cuentas y recursos del dominio de origen al de destino, realice las
siguientes tareas para completar el proceso de reestructuración:
 Transfiera la administración de cuentas de usuario y cuentas de grupo del dominio de origen
al de destino.
 Asegúrese de que, al menos, dos controladores de dominio siguen funcionando en el
dominio de origen hasta que el proceso de migración de recursos haya terminado.
 Haga una copia de seguridad de los dos controladores de dominio en el dominio de origen.
Una vez complete estos pasos, puede convertir la seguridad en los servidores miembros del
dominio de destino y dar de baja el dominio de origen. La siguiente ilustración muestra el
proceso para completar la migración de dominios de Active Directory entre bosques.
183
Conversión de seguridad en los servidores
miembro
Convierta la seguridad de los servidores de miembro para limpiar las listas de control de acceso
(ACL) de los recursos. Tras la migración de los objetos al dominio de destino, los recursos
contienen entradas de listas ACL de los objetos del dominio de origen. Si usa el historial de
identificadores de seguridad (SID) para proporcionar acceso a los recursos durante la migración,
los SID del dominio de origen permanecen en las listas ACL de manera que los usuarios pueden
tener acceso a los recursos durante el proceso de migración. Después de finalizar la migración,
los SID del dominio de origen ya no son necesarios. Use el Asistente para conversión de
seguridad de la Herramienta de migración para Active Directory (ADMT) para reemplazar los SID
del dominio de origen por los SID del dominio de destino.
No tiene que realizar este procedimiento si no utiliza el historial de SID para el acceso a los
recursos, puesto que ya debería haber ejecutado la conversión de seguridad en modo Quitar
después de la migración de usuarios.
Puede convertir la seguridad de los servidores miembro mediante el complemento de ADMT, la
184
Conversión de seguridad en los servidores miembro mediante el complemento de
ADMT
siguiente.

migrados.


O bien
Convertir objetos Desactive la casilla de verificación
185
Conversión de seguridad en los servidores miembro mediante la opción de línea de
comandos de ADMT
Perfiles de usuarios.
Seleccione todas las demás opciones.
/TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>" /TOT:Replace

de opciones.

comandos

origen>

destino>
Opciones de /TOT:Replace TranslateOption=REPLACE

conversión de
seguridad
186
Conversión de seguridad en servidores miembro mediante una secuencia de comandos
opciones para convertir la seguridad en los servidores miembro mediante la siguiente
secuencia de comandos de muestra. Copie la secuencia de comandos en el Bloc de
notas y guarde el archivo con la extensión .wsf en la misma carpeta que el archivo
AdmtConstants.vbs.
<Job id=" TranslatingSecurityOnMemberServersBetweenForests" >
Option Explicit
Dim objMigration
'
'
'
'
'
'
187
Para dar de baja el dominio de origen
'
'
</Script>
</Job>
Cómo dar de baja el dominio de origen

Después de completar la migración de las cuentas y recursos en el dominio de origen, dé de baja
el dominio de origen. Asegúrese de que conserva una copia de seguridad del estado de todo el
sistema de un controlador de dominio para que pueda volver a conectar el dominio en cualquier
momento.
1. Quite todas las relaciones de confianza entre el dominio de origen y el dominio de

destino.
2. Vuelva a adaptar cualquier controlador de dominio restante en el dominio de origen que
no haya migrado al dominio de destino.
3. Deshabilite todas las cuentas que haya creado durante el proceso de migración,
incluyendo aquellas cuentas a las que ha asignado permisos administrativos.
Nota
Cuando dé de baja el dominio de origen, los grupos locales compartidos y los
188
grupos locales que no ha convertido usando el Asistente para conversión de
seguridad mostrarán los miembros de grupo como "cuenta desconocida". Esto
es debido a que los nombres de los miembros del dominio de origen no se
resuelven. Sin embargo esta pertenencia al grupo todavía existe y esto no afecta
a los usuarios. No elimine las entradas de la "cuenta desconocida" porque esto
deshabilita el acceso que se facilita por el historial de identificadores de
seguridad (SID). Ejecute al Asistente para la conversión de seguridad para quitar
estas entradas.

Directory dentro de un mismo bosque
La reducción del número de dominios de Active Directory en su bosque reduce o simplifica a su
vez lo siguiente:
 Requisitos administrativos de la organización
 Tráfico de replicación
 Administración de grupos y usuarios
 Implementación de la directiva de grupo
Si los usuarios se cambian con frecuencia a ubicaciones que forman parte de diferentes
dominios, también puede migrar objetos entre dominios con regularidad. El proceso de
reestructuración de dominios de Active Directory dentro de un bosque es diferente del proceso
de reestructuración de los dominios de Active Directory entre bosques. Este proceso requiere un
atento planeamiento y realización de pruebas.
Lista de comprobación: Realización de una

migración dentro del mismo bosque
La reducción del número de dominios de Active Directory en el bosque simplifica las tareas
siguientes o reduce el tiempo necesario para completarlas:
 Administración de requisitos administrativos de la organización
 Control del tráfico de replicación
 Administración de usuarios y grupos
 Implementación de la directiva de grupo
189
Si cambia con frecuencia la asignación de usuarios a diferentes dominios, también puede migrar
objetos entre dominios con regularidad. La reestructuración de los dominios de Active Directory
dentro de un bosque es diferente a la migración entre bosques y requiere un atento
planeamiento y realización de pruebas.
Tarea Referencia
Revise las instrucciones de instalación de la Instalación de ADMT en el dominio de

Herramienta de migración Active Directory (ADMT). destino
Para migrar equipos que ejecuten Para obtener más información acerca
Windows Server® 2008, Windows Server 2003, de cómo realizar cambios mediante la
Windows Vista® (sin Service Pack 1(SP1)), Windows directiva de grupo, consulte "Problemas
XP y Microsoft® Windows 2000 (utilizando ADMT 3.1) a conocidos de instalación y eliminación
un dominio de destino con controladores de dominio de AD DS"
que ejecuten Windows Server 2008 R2 o Windows (http://go.microsoft.com/fwlink/?
Server 2008, debe configurar primero la siguiente clave LinkId=119321).
del Registro en los controladores de dominio de
destino:
Nota
No es necesario configurar esta clave para
migrar los equipos que ejecuten
Windows Vista SP1, Windows 7 o Windows
Server 2008 R2.
Ruta de Registro:
HKLM\System\CurrentControlSet\Services\Netlogon
\Parameters
Valor del Registro: AllowNT4Crypto
Tipo: REG_DWORD
Datos: 1
Nota
Esta configuración de registro corresponde a la
configuración Permitir algoritmos de cifrado
con Windows NT 4.0 en la directiva de grupo.
Para cualquier tarea de migración que use la Para obtener más información,
implementación de agente y el Firewall de Windows, consulte "Habilitar o deshabilitar la
habilite la excepción Compartir impresoras y archivos. regla de excepción de uso compartido
Esto puede incluir la migración en las siguientes de archivos e impresoras"
situaciones: (http://go.microsoft.com/fwlink/?
 Migración de equipos de estación de trabajo y LinkID=119315).
servidores miembro que se ejecutan en Windows
Server 2008 R2, Windows Server 2008, Windows 7
190
Tarea Referencia
o Windows Vista
 Migración de configuración de seguridad o
Prepárese para la reestructuración de los dominios de Instalación de ADMT en el dominio de

Active Directory dentro de un bosque. Esta tarea destino
contiene las siguientes subtareas: Preparación para la reestructuración de
 Evalúe la nueva estructura de dominios de dominios de Active Directory dentro de
Active Directory. un bosque
 Asigne las funciones y ubicaciones de objetos de
dominio.
 Planee la migración de grupos y texto.
 Cree un plan de reversión y un plan de
comunicación de usuarios.
 Cree grupos de cuentas de migración.
 Instale ADMT.
 Planee la transición de cuentas de servicios.
Migre grupos globales y universales mediante el Migración de grupos

Asistente para migración de cuentas de grupo o con la
Migre cuentas de servicios mediante el Asistente para Migrar cuentas de sercivios

migración de cuenta de servicios o las herramientas de
línea de comandos de ADMT como, por ejemplo, admt
service para identificar cuentas de servicio en el
dominio de origen y admt user para migrar las cuentas
de servicio especificadas.
Migre cuentas de servicio administradas mediante el Migración de cuentas de servicio

Asistente para migración de cuentas de servicio administradas
administradas o con la herramienta de línea de
comandos admt managedserviceaccount.
Migre cuentas de usuario mediante el Asistente para Migrar cuentas de usuario

migración de cuentas de usuario o con la herramienta
de línea de comandos admt user.
Convierta los perfiles locales de usuario mediante el Conversión de perfiles de usuarios

Asistente para conversión de seguridad o bien con la locales
herramienta de línea de comandos admt security.
Migre los equipos de estación de trabajo y servidores Migración de estaciones de trabajo y

miembro mediante el Asistente para migración de servidores miembro
191
Tarea Referencia
equipos o bien con la herramienta de línea de

comandos admt computer.
Migre los grupos locales de dominios usando el Migrar grupos locales de dominios
Asistente para migración de cuentas de grupo o la
Complete las tareas posteriores a la migración. Esta  Examen de los registros de

tarea contiene las siguientes subtareas: migración en busca de errores
 Examine los registros de migración en busca de  Comprobar tipos de grupos
errores.  Conversión de seguridad en los
 Compruebe los tipos de grupo. servidores miembro
 Convierta la seguridad de los servidores miembro.  Baja del dominio de origen
 Retire los dominios de origen.
Introducción a la reestructuración de
dominios de Active Directory dentro de un
bosque mediante
El diseño de Active Directory más eficaz incluye el menor número posible de dominios. Al
minimizar el número de dominios en su bosque, puede reducir los costos administrativos y
aumentar la eficacia de su organización.
Es posible que tenga que reestructurar los dominios de su bosque si, por ejemplo, su
organización cierra una ubicación de oficina regional y el dominio regional de dicha ubicación ya
no se necesita. Para simplificar su estructura lógica de Active Directory, en los siguientes casos,
también podrá reestructurar dominios en su bosque:
 Si ha actualizado su infraestructura de red.
 Si ha aumentado el ancho de banda de red y la capacidad de replicación.
El proceso de reestructuración de los dominios de Active Directory en un bosque es similar al
proceso de migración de cuentas entre dominios. Cuando migra cuentas y recursos entre
dominios, migra objetos del dominio de origen al de destino sin dar de baja el dominio de origen.
Al reestructurar dominios de Active Directory, elimina el dominio de origen del bosque después
de completar la migración de todos los objetos de dominio.
Antes de comenzar el proceso de reestructuración de los dominios de Active Directory de un
bosque, asegúrese de que los dominios de origen y de destino operen en el nivel funcional
mínimo de dominio que es necesario para la versión de ADMT que vaya a utilizar. Si utiliza ADMT
192
v3.1, el nivel funcional mínimo de dominio es Windows 2000 nativo. Si utiliza ADMT v3.2, el nivel
funcional mínimo de dominio es Windows Server 2003.
Una vez completado el proceso de reestructuración de los dominios de Active Directory en un
bosque, puede dar de baja el dominio de origen para ayudar a reducir la sobrecarga y simplificar
la administración del nivel funcional del dominio en su organización.

Directory dentro de un bosque mediante
ADMT v3.1
Para mantener el acceso de los usuarios a los recursos durante el proceso de reestructuración
de dominios, debe realizar los pasos de la migración en un orden específico. La siguiente
ilustración muestra el proceso de reestructuración de dominios de Active Directory en un bosque.
Información general para la reestructuración

de dominios de Active Directory dentro de
un bosque
La reestructuración de los dominios de Active Directory dentro de un bosque implica la migración
de cuentas y recursos desde dominios de origen a dominios de destino. A diferencia del proceso
de reestructuración de dominios de Active Directory entre bosques, cuando se reestructuran
dominios en un bosque, los objetos migrados ya no existen en el dominio de origen.
193
Nota
En el caso de la migración dentro de un mismo bosque, las cuentas del equipo se tratan
de forma diferente que las cuentas de grupos y usuarios. Para facilitar la reversión, se
crea una nueva cuenta de equipo en el dominio de destino y la cuenta del equipo de
origen permanece habilitada en el dominio de origen tras la migración.
Además, la migración de cuentas de usuario, recursos y grupos requiere una consideración
especial cuando reestructura los dominios de Active Directory dentro de un bosque debido a las
reglas de contención que se aplican a los grupos de Active Directory. Por estos motivos, el
desafío cuando se reestructuran dominios de Active Directory en un bosque es asegurar que los
usuarios tienen un acceso continuo a los recursos durante el proceso de migración.
Conjuntos cerrados y conjuntos abiertos

Al reestructurar los dominios de Active Directory en un bosque, debe tener presente dos tipos de
conjuntos cerrados:
 Usuarios y grupos
 Recursos y grupos locales
Usuarios y grupos
El primer tipo de conjunto cerrado incluye lo siguiente:
 Cuentas de usuario
 Todos los grupos globales a los que pertenecen los usuarios
 Todos los demás miembros de los grupos globales
Los grupos globales están limitados a los miembros del dominio donde existen los grupos
globales. Por tanto, si migra una cuenta de usuario a un nuevo dominio pero no migra los grupos
globales a los que pertenece el usuario, éste dejará de ser un miembro válido de dichos grupos
globales y no podrá tener acceso a los recursos que están basados en la pertenencia a esos
grupos globales. Por consiguiente, cuando esté desplazando cuentas entre dominios en un
bosque, es necesario desplazar los conjuntos cerrados para que los usuarios conserven el
acceso a esos recursos.
Aunque las cuentas incorporadas (como administradores, usuarios y usuarios avanzados) y las
cuentas conocidas (como administradores de dominio y usuarios de dominio) no pueden ser
objetos de migración de la Herramienta de migración para Active Directory (ADMT), la migración
de esos grupos en conjuntos cerrados no es un problema común. Su utilización en listas de
control de acceso (ACL) o la pertenencia a grupos locales de dominio no es una forma eficaz de
asignar permisos de recursos.
Cuando se migran usuarios, ADMT convierte al usuario en miembro del grupo de usuarios de
dominio del dominio de destino. Sin embargo, no mantiene los permisos de otros grupos
incorporados (como operadores de servidor y operadores de copias de seguridad) o de grupos
conocidos (como administradores de dominio). Si tiene grupos incorporados o conocidos a los
que asignar permisos de recursos, debe reasignar esos permisos a un nuevo grupo local de
194
Nota
dominio antes de comenzar la migración. La reasignación de permisos incluye la realización de

los pasos siguientes:
1. Cree un nuevo grupo local de dominio en el dominio de origen.
2. Cree un nuevo grupo local en el dominio de origen que contenga usuarios que necesiten
tener acceso al recurso.
3. Agregue el nuevo grupo global al grupo local de dominio.
4. Ejecute la conversión de seguridad con el archivo de asignación del identificador de
seguridad (SID) que asigna el grupo conocido al nuevo grupo local de dominio (creado en el
primer paso) en todos los recursos que asignan permisos usando grupos conocidos. Para
obtener información sobre cómo realizar una conversión de seguridad usando un archivo de
asignación SID, consulte Conversión de seguridad mediante un archivo de asignación SID,
más adelante en esta guía.
En los pequeños entornos de dominio que tienen pocos grupos locales, es posible que pueda
identificar los conjuntos cerrados de usuarios y grupos. Si puede identificar los conjuntos
cerrados, en este caso puede migrar usuarios y grupos al mismo tiempo. En un entorno de
dominio más grande, un usuario puede pertenecer a varios grupos globales. Por tanto, es difícil
identificar y migrar sólo conjuntos cerrados de usuarios y grupos. Por este motivo, es mejor
migrar los grupos antes de migrar cuentas de usuario.
Por ejemplo, el Usuario 1 pertenece a los grupos globales Global A y Global B y es miembro del
Dominio 1. Si un administrador desplaza el Usuario 1 y Global A al Dominio 2 del mismo bosque,
estas cuentas dejarán de existir en el Dominio 1. Sólo existirán en el Dominio 2 del mismo
bosque. El grupo Global B continúa en el Dominio 1. Esto crea un conjunto abierto, o un conjunto
que incluye usuarios y grupos de más de un dominio. Como los grupos globales sólo pueden
contener miembros del dominio en donde existe el grupo global, la pertenencia del Usuario 1 a
Global B ya no es válida, y el Usuario 1 ya no tendrá acceso a los recursos basados en la
pertenencia a Global B. Por tanto, es mejor migrar ambos grupos globales antes de migrar el
Usuario 1.
Si está migrando un conjunto abierto de objetos en un entorno en el que el nivel funcional tanto
del dominio de origen como de destino está en modo nativo de Windows 2000 y superior, ADMT
transforma el grupo global en un grupo universal para que pueda contener usuarios de otros
dominios y conserven la pertenencia al grupo. Cuando el conjunto se convierte en un conjunto
cerrado, ADMT vuelve a cambiar el grupo a un grupo global. La ventaja de este proceso es que
ADMT se asegura que se resuelven todos los problemas con los conjuntos cerrados. Sin
embargo, la replicación del catálogo global aumenta aunque los grupos son grupos universales
porque la pertenencia se copia en el catálogo global.
Si el nivel funcional del dominio de origen es Windows 2000 mixto, ADMT no puede
transformar el grupo global en un grupo universal porque los grupos universales no
existen en ese nivel funcional. Sin embargo, aunque el dominio de destino esté en modo
nativo, los usuarios de los dominios de modo mixto no podrían obtener los SID de los
grupos universales en sus tokens de acceso, si los grupos proceden de fuera del
dominio. Por tanto, ADMT crea una copia del grupo global en el dominio de destino y
195
agrega todos los usuarios migrados a la copia de dicho grupo. Este grupo tiene un nuevo
SID y ningún historial de SID. Este método no conserva el acceso a los recursos a no ser
que se ejecute el Asistente para conversión de seguridad de ADMT en modo Agregar
para actualizar los permisos, lo que retrasa y complica el proceso de migración. Por este
motivo, no recomendamos reestructurar dominios que están funcionando en el nivel
funcional de Windows 2000 mixto o en el nivel funcional de dominio provisional de
Windows Server 2003.
Recursos y grupos locales

El segundo tipo de conjunto cerrado son los recursos y grupos locales. En la mayoría de los
casos, los recursos tienen permisos asignados a grupos locales del equipo o a grupos locales de
dominio. Como los grupos locales del equipo se migran cuando migra el equipo, estos grupos
son un conjunto cerrado natural. Sin embargo, los grupos locales de dominio se pueden usar en
varios equipos para asignar permisos.
En este caso, o bien puede migrar todos los equipos que usan el grupo local de dominio al
mismo tiempo que el grupo local de dominio migra al dominio de destino, o bien puede cambiar
manualmente el grupo local de dominio a un grupo universal y luego migrar el grupo universal. El
cambio del grupo local de dominio a un grupo universal es un proceso manual porque ADMT no
realiza de forma automática esta tarea. Aunque este cambio puede aumentar el tamaño del
catálogo global, en un período limitado de tiempo, es una forma eficaz de migrar recursos y
grupos locales de dominio como un conjunto cerrado.
Historial de SID
El historial de SID le ayuda a mantener el acceso del usuario a los recursos durante el proceso
de reestructuración de dominios de Active Directory. Cuando migra un objeto a otro dominio, al
objeto se le asigna un nuevo SID. Como asigna permisos a objetos basados en SID, cuando el
SID cambia, el usuario pierde el acceso a ese recurso hasta que se puedan reasignar los
permisos. Cuando usa ADMT para migrar objetos entre dominios del mismo bosque, el historial
de SID se conserva automáticamente. De esta forma, el SID del dominio de origen permanece
como un atributo del objeto después de que éste migre al dominio de destino.
Por ejemplo, una organización que está reestructurando sus dominios de Active Directory
desplaza los grupos universales y globales de un dominio de origen a un dominio de destino
antes de mover las cuentas de usuario. Como es una migración dentro de un bosque y el nivel
funcional del dominio de origen es Windows 2000 nativo, estos grupos dejan de existir en el
dominio de origen y sólo existen en el dominio de destino. Como se migra el historial de SID de
usuarios y grupos, los usuarios siguen teniendo acceso a los recursos del dominio de origen
basándose en su pertenencia a un grupo que existe en el dominio de destino.
Asignación de acceso de recursos a grupos

La forma más eficaz de asignar permisos a recursos es realizar las acciones siguientes:
1. Asignar usuarios a grupos globales
196
2. Colocar grupos globales dentro de grupos locales de dominio
3. Asignar permisos a los grupos locales de dominio
La asignación de permisos a recursos simplifica así el proceso de migración.
Preparación para la reestructuración de

dominios de Active Directory dentro de un
bosque
La cuidadosa preparación antes de reestructurar los dominios de Active Directory puede reducir
el efecto que tiene en los usuarios la migración de objetos de los dominios de origen a los de
destino. En la ilustración siguiente se muestran los pasos implicados en la preparación de la
reestructuración de dominios de Active Directory dentro de un bosque.
197
Evaluación de la nueva estructura de bosque
de Active Directory
Evalúe la estructura de dominio de su bosque de Active Directory existente y, a continuación,
identifique los dominios que desea reestructurar consolidándolos con otros dominios. También
deberá:
 Identificar los dominios de origen desde los que migra objetos.
 Identificar y evaluar la estructura de unidad organizativa (OU) del dominio de destino en el
que ubicará esos objetos.
198
Identificar los dominios de origen
Los dominios de origen son aquéllos desde los que desea migrar objetos y que planea dar de
baja. Cuando reestructura los dominios de Active Directory, lo mejor es migrar el menor número
posible de objetos. Cuando selecciona dominios de origen, identifique los dominios que tienen
menos objetos que migrar.
Identifique y evalúe la estructura de unidades

organizativas del dominio de destino
Identifique las unidades organizativas del dominio de origen que necesite en el dominio de
destino y, a continuación, determine si tiene que crear nuevas unidades organizativas en el
dominio de destino.
Si está utilizando la Herramienta de migración para Active Directory (ADMT) en modo línea de
comandos o secuencia de comandos, puede migrar la estructura de unidades organizativas
cuando migre usuarios, grupos o equipos. Las unidades organizativas siempre se copian entre
los dominios y no se eliminan en el dominio de origen. Para migrar correctamente una unidad
organizativa, debe especificar una unidad organizativa de origen y otra de destino en ADMT y la
unidad organizativa de destino debe existir. Todos los objetos en la unidad organizativa de origen
y todas las unidades organizativas subordinadas se migran a la unidad organizativa de destino.
La unidad organizativa de origen especificada en sí misma no se migra.
Para obtener más información acerca de cómo crear una estructura de unidad organizativa,
consulte "Designing Organizational Units for Delegation of Administration" (Diseño de unidades
organizativas para la delegación de la administración) (http://go.microsoft.com/fwlink/?
LinkID=76628).
Asignación de las funciones y ubicaciones

de objetos de dominio
Cree una tabla de asignación de objetos que enumere las funciones y ubicaciones de todos los
objetos que está migrando. Cree una tabla para objetos de cuenta, como usuarios, grupos y
cuentas de servicios, así como una tabla para los objetos de recursos, como estaciones de
trabajo, perfiles y controladores de dominio. En sus tablas, enumere las ubicaciones de origen y
de destino para todos los objetos que se van a migrar.
Antes de crear su tabla de asignación de objetos de cuentas, determine si las estructuras de
unidades organizativas (OU) del dominio para los dominios de origen y destino son las mismas.
Si no son las mismas, debe identificar las unidades organizativas de origen y destino en sus
tablas de asignación de objetos.
Para obtener una hoja de cálculo para ayudarle a crear una tabla de asignación de objetos de
cuenta, consulte "User and Group Object Assignment Table" (Tabla de asignación de objetos de
199
grupo y usuario) (DSSREER_1.doc) en la descarga
Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/?LinkId=14384).
La siguiente ilustración muestra un ejemplo de una tabla de asignación de objetos para usuarios
y grupos.
Para crear una tabla de asignación de objetos de recursos, identifique las unidades organizativas
de origen y destino para cada objeto y observe la ubicación física y la función en el dominio de
destino. Para obtener una hoja de cálculo para ayudarle a crear una tabla de asignación de
objetos de recursos, consulte "Resource Object Assignment Table" (Tabla de asignación de
objetos de recursos) (DSSREER_2.doc) en la descarga
La siguiente ilustración muestra un ejemplo de una tabla de asignación de objetos de recursos.
200
Plan para la migración de grupos
A no ser que pueda identificar conjuntos cerrados al reestructurar dominios de Active Directory
dentro de un bosque, debería migrar grupos y usuarios por separado. De esta forma se asegura
de que los usuarios continúan teniendo acceso a los recursos requeridos.
En la tabla siguiente se enumera cada tipo de grupo y dónde se ubica físicamente.
Tipo de grupo Ubicación
Grupo global Active Directory
Grupo universal Active Directory
Grupo local de dominio Active Directory
Grupo local del equipo Base de datos del equipo local
201
Cada tipo de grupo se migra de forma diferente en función de la ubicación física del grupo y de
sus reglas para la pertenencia al grupo. Puede migrar los grupos universales y los grupos
globales usando la Herramienta de migración para Active Directory (ADMT). Puede
transformarlos en grupos universales durante la duración de la migración, si no está migrando
conjuntos cerrados. Puede actualizar la pertenencia a grupos locales del equipo usando el
Asistente para la conversión de seguridad.
Cada tipo de grupo tiene reglas diferentes para la pertenencia y cada tipo de grupo sirve para un
propósito diferente. Esto afecta al orden de migración de los grupos de los dominios de origen a
los de destino. En la tabla siguiente se resumen los grupos y sus reglas de pertenencia.
Tipo de grupo Reglas y pertenencia
Grupos universales Los grupos universales pueden contener

miembros de cualquier dominio del bosque y
pueden replicar la pertenencia a grupos del
catálogo global. Por tanto, puede usarlos para
grupos administrativos. Al reestructurar los
dominios, migre primero los grupos universales.
Grupos globales Los grupos globales sólo pueden incluir

miembros del dominio al que pertenecen.
ADMT cambia automáticamente el grupo global
en el dominio de origen a un grupo universal
cuando se ha migrado al dominio de destino, si
el nivel funcional de ambos dominios está en
modo nativo de Windows 2000 o superior.
ADMT vuelve a cambiar automáticamente los
grupos universales en grupos globales después
de que todos los miembros del grupo hayan
migrado al dominio de destino.
Grupos locales de dominio Los grupos locales de dominio pueden contener

usuarios de cualquier dominio. Se utilizan para
asignar permisos a recursos. Al reestructurar
los dominios, debe migrar los grupos locales de
dominio cuando migra los recursos a los que
proporcionan acceso, o debe cambiar el tipo de
grupo a grupo universal. Esto minimiza la
interrupción del acceso del usuario a los
recursos.
ADMT no convierte automáticamente los
grupos locales de dominio en grupos
universales, como lo hace para los grupos
globales.
202
Plan para migraciones de prueba
La Herramienta de migración Active Directory (ADTM) no incluye una opción de migración de
prueba. Desarrolle un plan de prueba para ayudarle a la comprobación sistemática de cada
objeto después de migrarlo al nuevo entorno y a la identificación y corrección de cualquier
problema que pueda surgir. La comprobación de que la migración se ha realizado correctamente
le ayuda a asegurar que los usuarios que se migran del dominio de origen al de destino puedan
iniciar sesión, tener acceso a los recursos en base a la pertenencia a un grupo y tener acceso a
los recursos en base a sus credenciales de usuario. La comprobación también le ayuda a
asegurar que los usuarios puedan obtener acceso a los recursos que migre.
Una vez completada la comprobación, puede seguir con la migración de pequeños grupos piloto
y, a continuación, ir aumentando gradualmente el tamaño de cada lote de objetos de migración
en su entorno de producción.
Utilice el siguiente proceso para comprobar la migración de su objeto de cuenta y objetos de
recursos:
1. Cree un usuario de prueba en el dominio de origen. Incluya este usuario de prueba en sus
migraciones.
2. Agregue dicho usuario a los grupos globales apropiados para habilitar el acceso a los
recursos.
3. Inicie sesión en el dominio de origen como el usuario de prueba y compruebe que puede
obtener acceso a los recursos correspondientes.
4. Tras migrar la cuenta de usuario, convierta el perfil de usuario y migre la estación de trabajo
del usuario, inicie sesión en el dominio de destino como el usuario de prueba y compruebe
que el usuario conserva todos los accesos y funciones necesarios. Por ejemplo, podrá
comprobar que:
 El usuario puede iniciar sesión correctamente.
 El usuario tiene acceso a todos los recursos apropiados, como usos compartidos de
impresiones y archivos; acceso a los servicios como mensajería, así como acceso a las
aplicaciones de línea de negocio (LOB). Es especialmente importante comprobar el
acceso a las aplicaciones desarrolladas internamente que tienen acceso a los servidores
de bases de datos.
 El perfil de usuario se ha convertido correctamente y el usuario conserva su
configuración de escritorio, apariencia de escritorio, accesos directos y acceso a la
carpeta Mis documentos. Asimismo, compruebe que las aplicaciones aparecen y se
inician desde el menú Inicio.
No puede migrar cada propiedad de usuario al migrar cuentas de usuario. Para obtener
más información sobre las propiedades de usuario que no se pueden migrar, consulte
Migrar cuentas de usuario, más adelante en esta guía.
Una vez migrados los recursos, inicie sesión como el usuario de prueba en el dominio de destino
y compruebe que puede obtener acceso a los recursos correspondientes.
203
Si cualquier paso del proceso de prueba da error, identifique el origen del problema y determine
si puede corregir el problema antes de que se deba tener acceso al objeto en el dominio de
destino. Si no puede corregir el problema antes de obtener acceso al objeto necesario, revierta la
configuración original para asegurar el acceso al objeto de recurso o usuario. Para obtener más
información sobre la creación de un plan de reversión, consulte Creación de un plan de
reversión, más adelante en esta guía.
Como parte de su plan de prueba, cree una matriz de prueba de migración. Complete una matriz
de prueba para cada paso que complete en el proceso de migración. Por ejemplo, si migra 10
lotes de usuarios, complete 10 veces la matriz de prueba, una para cada lote que migre. Si migra
10 servidores miembro, complete la matriz de prueba para cada uno de los 10 servidores.
Para obtener una hoja de cálculo para ayudarle a crear una matriz de prueba, consulte Migration
Test Matrix (DSSREER_3.doc) en la descarga
La siguiente ilustración muestra un ejemplo de una matriz de prueba de migración completada.
204
Crear un plan de reversión
Una vez comenzado el proceso de migración, no se pueden revertir los cambios que haya
realizado en los dominios de Active Directory en el bosque. Como las cuentas se mueven y no se
copian de un dominio a otro cuando se reestructuran los dominios, los cambios no son
reversibles. Si sus planes cambian después de comenzar el proceso de migración, la única
forma de devolver las cuentas a su dominio de origen es volver a migrarlas. Cree un plan de
205
Nota
reversión en caso de que tenga que volver a migrar las cuentas después de haber comenzado a
reestructurar los dominios. Para crear un plan de reversión, seleccione el método que utilizará
para volver a migrar las cuentas.
Para garantizar una correcta reversión de una migración en el mismo bosque, no intente
eliminar los objetos en el dominio de destino y restaurarlos en el dominio de origen. No
podrá recuperar los objetos en el dominio de origen porque se eliminan automáticamente
por el proxy de movimiento entre dominios si se intenta restaurar.
Puede usar la Herramienta de migración para Active Directory (ADMT) para volver a migrar las
cuentas desde el dominio de destino de nuevo al dominio de origen. En este caso, el dominio de
destino original se convierte en el nuevo dominio de origen y el dominio de origen original se
convierte en el nuevo dominio de destino. Siga los mismos pasos de los asistentes que ha
utilizado anteriormente para migrar las cuentas. Si repite la migración de las cuentas, los objetos
que ha migrado en el dominio de destino y luego ha vuelto a migrar dominio de origen tendrán
nuevos identificadores de seguridad (SID). Sin embargo, tendrán el SID original en el atributo de
historial de SID. Por tanto, no serán idénticas a las cuentas antes de la migración, sino que
tendrán la misma funcionalidad.
Si desea revertir una migración de cuentas de servicios, debe enumerar de nuevo los servicios y,
a continuación, volver a migrar las cuentas de servicio al revertir los dominios de destino y de
origen.
Si utiliza secuencias de comandos para realizar la migración original, la utilización de secuencias
de comandos para volver a migrar las cuentas es el método más rápido para revertir los
cambios. Simplemente revierta los objetos usados en los dominios de origen y destino en la
secuencia de comandos para volver a migrar los objetos.
Después de crear su plan de reversión, asegúrese de probarlo para identificar y corregir
cualquier problema antes de comenzar a reestructurar sus dominios de Active Directory.
Crear un plan de comunicación con los

usuarios finales
Desarrolle un plan para informar a todos los usuarios afectados sobre la próxima migración de
cuentas, para asegurarse de que saben cuáles son sus responsabilidades, el impacto de la
migración y con quién tienen que ponerse en contacto para obtener ayuda y soporte técnico.
Antes de comenzar el proceso de migración de usuarios, envíe un aviso a todos los usuarios
programados para la migración. Dado que normalmente migra usuarios en lotes de
aproximadamente 100 usuarios de una vez, también es útil enviar un aviso final a los usuarios de
cada lote dos o tres días antes de la programación de su lote. Si su organización dispone de una
intranet, publique la programación de la migración de cuentas y la información contenida en el
correo de usuario en una página web fácilmente accesible.
206
Incluya la siguiente información en su comunicación al usuario final.
Información general
Avise a los usuarios de que sus cuentas de usuario están programadas para la migración a un
nuevo dominio. Remita a los usuarios a una página web o recurso interno donde puedan
encontrar información adicional y ver una programación de migración.
Informe a los usuarios del nuevo nombre de dominio. Asegúrese de informarles de que sus
contraseñas de cuentas no cambiarán. Informe a los usuarios de que la cuenta de dominio
original se deshabilitará inmediatamente después de la migración y la cuenta deshabilitada se
eliminará transcurrido un período de tiempo específico. Esto no es necesario si inician la sesión
con nombres principales de usuario (UPN).
Impacto
Asegúrese de que los usuarios comprenden que cuando sus cuentas se migran, es posible que
no puedan tener acceso a algunos recursos, como sitios web, carpetas compartidas o recursos
que los usuarios de su grupo o división no utilizan de forma habitual.
Proporcione información a los usuarios sobre con quién tienen que ponerse en contacto para
obtener asistencia para tener acceso a los recursos necesarios.
Estado de inicio de sesión durante la migración

Asegúrese de que los usuarios comprenden que, durante el proceso de migración, no podrán
iniciar sesión en el dominio ni acceder al correo electrónico ni a otros recursos. Asegúrese de
especificar el período de tiempo durante el que no podrán iniciar sesión.
Pasos de migración previa

Alerte a los usuarios de cualquier paso que necesiten completar antes de que comience el
proceso de migración. Por ejemplo, deben descifrar los archivos cifrados por medio del Sistema
de cifrado de archivos (EFS). Si se produce un error al descifrar archivos cifrados, se perderá el
acceso a los archivos cifrados después de la migración.
Los usuarios también deben asegurarse de que sus equipos están conectados a la red cuando la
migración de su cuenta está programada.
Cambios esperados
Describa otros cambios que los usuarios puedan experimentar después de la migración, como
cambios en el uso de tarjetas inteligentes, correo electrónico seguro o mensajería instantánea, si
procede.
207
Programación e información de soporte técnico
Proporcione información sobre dónde se pueden dirigir los usuarios para obtener más
información, por ejemplo, pueden visitar un sitio web interno donde publique información sobre la
migración. Además, proporcione información sobre con quién debe ponerse en contacto el
usuario si la fecha programada para la migración presenta un conflicto para un usuario.
Creación de grupos de cuentas de migración

Para migrar cuentas y recursos dentro de un bosque, puede crear un grupo de migración de
cuentas y un grupo de migración de recursos con las credenciales apropiadas. Debe agregar las
cuentas que vayan a realizar las migraciones de la Herramienta de migración para
Active Directory a los grupos de migración de cuentas y de migración de recursos, según
corresponda. Dado que ADMT requiere sólo un conjunto limitado de permisos, la creación de
grupos de migración separados hace posible simplificar la administración mediante la creación
de grupos, la asignación de los permisos adecuados y la posterior adición de los administradores
necesarios para dichos grupos. Si las tareas de migración de su organización se distribuyen a
más de un grupo administrativo, cree grupos de migración independientes para cada grupo
administrativo que realice la migración.
Asigne los permisos necesarios para modificar objetos, como usuarios, grupos globales y perfiles
locales, conforme a la siguiente tabla. El usuario que ejecuta ADMT debe ser administrador de
un equipo en el que esté instalada ADMT.
En el dominio de destino, utilice un grupo con control delegado de la unidad organizativa del
equipo y la unidad organizativa del usuario. Es posible que desee utilizar un grupo independiente
para la migración de estaciones de trabajo si este proceso de migración se delega a los
administradores de la misma ubicación que las estaciones de trabajo.
Use la información de la siguiente tabla para determinar las credenciales necesarias para su
migración.
Objeto de migración Credenciales necesarias en Credenciales necesarias en el

el dominio de origen dominio de destino
Usuario/cuenta de servicio de Administrador local, Permiso delegado para Crear,

administrada/grupo administrador de dominio y eliminar y administrar cuentas
permiso delegado Leer de usuario, Crear, eliminar y
Nota
toda la información del administrar grupos y Modificar
Las cuentas de servicio usuario para la unidad la pertenencia de un grupo
administradas no organizativa de origen para la unidad organizativa de
conservan el historial usuario o la unidad organizativa
del identificador de de grupo y administrador local
seguridad (SID) en una del equipo en el que está
migración interna del
208
Objeto de migración Credenciales necesarias en Credenciales necesarias en el
el dominio de origen dominio de destino
bosque. instalada ADMT
Equipo Administrador de dominio o Permiso delegado en la unidad

derechos delegados para organizativa de equipo y
eliminar los objetos de la administrador local en el equipo
unidad organizativa de en el que está instalada ADMT
origen y miembro del grupo
Nota
Administradores de cada
equipo Si el equipo tiene una
cuenta de servicio
administrada instalada,
utilice una cuenta que
tenga permiso para
actualizar el descriptor
de seguridad de la
cuenta de servicio
administrada en el
dominio de destino.
Perfil Administrador local o Permiso delegado para Crear,

administrador de dominio; eliminar y administrar cuentas
para perfiles móviles, de usuario para la unidad
Administrador del equipo organizativa del equipo y
que aloja la carpeta administrador local del equipo
compartida del perfil móvil en el que está instalada ADMT
Nota
Es posible que tenga
que seguir otros pasos
adicionales de
preparación si migra
perfiles móviles de
Windows Vista o
Windows 7. Para
obtener más
información, consulte
Preparación para la
migración de perfiles
móviles con equipos que
ejecutan Windows Vista
y Windows 7.
209
ADMT también incluye funciones de administración de base de datos que puede utilizar para
asignar un subconjunto de permisos a los usuarios que realicen tareas de migración específicas.
Las funciones de administración de base de datos y las tareas de migración que pueden realizar
se enumeran en la siguiente tabla.
Función Tarea de migración
Migradores de cuentas Tareas de migraciones de cuentas, como

migración de usuarios y grupos
Migradores de recursos Tareas de migración de recursos, como

migraciones de equipos y conversión de
seguridad; los migradores de cuentas también
desempeñan la función de migradores de
recursos.
Lectores de datos Consultas en la base de datos; los migradores

de cuentas y los migradores de recursos
también desempeñan la función de lectores de
datos
Los usuarios que tienen la función de administrador del sistema de SQL Server asumen todas
las funciones de administración de base de datos de ADMT. Tienen permisos para:
 Mostrar funciones de base de datos y usuarios que asumen dichas funciones.
 Agregar grupos o usuarios a funciones.
 Quitar grupos o usuarios de funciones.
De manera predeterminada, se asigna la función de administrador del sistema al grupo local
Administradores. Este grupo puede realizar todas las funciones de la base de datos de ADMT.
Instalación de ADMT en el dominio de

destino
Siga una de las siguientes instrucciones para instalar la Herramienta de migración
Active Directory (ADMT), según la versión que vaya a instalar. La versión 3.1 de ADMT ofrece
una opción para instalar una instancia de base de datos de Microsoft SQL Server® Express
preconfigurada. La versión 3.2 de ADMT necesita una instancia de base de datos de SQL Server
para instalarse previamente. El resto de instrucciones para separar, reconfigurar y eliminar un
archivo de base de datos se aplican a cualquier versión de ADTM.
210
Para instalar ADMT usando el almacén de la base de datos predeterminado
 Separar un archivo de base de datos existente de una versión anterior de ADMT y de

SQL Server
 Reconfigurar la instalación de la base de datos con Admtdb.exe
 Reutilizar una base de datos de ADMT existente desde una instalación anterior

En esta sección se tratan los siguientes problemas de instalación de ADMT v3.1.
 Instalación de ADMT v3.1 usando el almacén de la base de datos predeterminado

Cuando instala la Herramienta de migración para Active Directory 3.1 (ADMT v3.1), también
instala SQL Server 2005 Express Edition de forma predeterminada para usarlo como almacén de
datos. Como opción, puede configurar ADMT v3.1 para usar una base de datos SQL Server 2000
con Service Pack 4 (SP4) Standard o Enterprise Edition o una instalación SQL Server 2005
Standard o Enterprise Edition anteriormente creada.
Antes de instalar ADMT v3.1, complete los siguientes requisitos previos:
 Instale Windows Server 2008.
 Quite todas las versiones anteriores de ADMT mediante Agregar o quitar programas del
Panel de control. Si intenta instalar ADMT v3.1 en un servidor con una versión anterior de
ADMT, recibirá un mensaje de error y la instalación se detendrá. Si es necesario, puede
importar la base de datos de la versión anterior de ADMT (como ADMT v2.0 o ADMT v3.0) en
ADMT v3.1 durante la instalación.
 Si no piensa usar la instalación de la base de datos local predeterminada, asegúrese de que
está configurada otra instalación de la base de datos SQL Server 2000 o SQL Server 2005
con una instancia de ADMT. Para obtener más información sobre cómo crear una instancia
de ADMT en una base de datos de SQL Server, consulte Instalación de ADMT usando una
base de datos de SQL Server preconfigurada.
Instalación de ADMT v3.1 usando el almacén de la base de datos

predeterminado
Para instalar ADMT, puede usar el almacén de la base de datos predeterminado basado en SQL
Server 2005 Express Edition o una base de datos SQL preconfigurada. El método de instalación
más común y recomendado es usar el almacén de la base de datos predeterminado, configurado
automáticamente por el Asistente para la instalación de Herramienta de migración para Active
Directory.
 Según su entorno, descargue ADMT v3.1 (http://go.microsoft.com/fwlink/?
211
LinkId=121732) o ADMT v3.2 (http://go.microsoft.com/fwlink/?LinkId=186197). Para
obtener más información acerca de qué versión de ADMT se debe utilizar, consulte
Herramienta de migración Active Directory: versiones y entornos admitidos. En la
ubicación de descarga, haga doble clic en admtsetup.exe para abrir el asistente de
instalación.
Ésta es la instalación de la Haga clic en Siguiente.

Herramienta de migración Active
Directory
Configuración de componentes La instancia de la base de datos de ADMT

(MS_ADMT) se crea en el equipo local.
Aunque SQL Server 2005 Express Edition
se instala localmente de manera
predeterminada lo use o no ADMT, ADMT
deshabilita SQL Server 2005 Express
Edition si especifica otra instancia de la
base de datos en la siguiente página del
Asistente.
Selección de base de datos Especifique la instancia de la base de

datos a la que desea conectarse. La
selección recomendada es Usar
Microsoft SQL Server Express Edition,
que configura ADMT v3.1 para usar la
instancia de la base de datos instalada
localmente.
Si está usando varias consolas de
ADMT v3.1 y tiene un servidor de base de
datos dedicado donde desea centralizar su
base de datos de ADMT, seleccione la
opción Utilizar Microsoft SQL Server
existente. Especifique el servidor al que
se va a conectar mediante el formato
Servidor\instancia.
Debería configurar la instancia de la base
de datos de SQL Server antes de
seleccionar esta opción. Aunque la
instalación de ADMT v3.1 continúe a pesar
de no poder ponerse en contacto con la
base de datos, no podrá usar ADMT para
migrar cuentas o recursos hasta que se
cree la instancia de la base de datos y esté
212
disponible.

datos de ADMT v3.0.
base de datos existente
(predeterminado).
datos de ADMT v3.0.

datos de ADMT v2.0.
base de datos de ADMT v2.
datos de ADMT v2.0.
La base de datos de ADMT v2.0 tiene el
nombre de archivo protar.mdb y debería
estar ubicada en el directorio
anteriormente usado para su instalación
de ADMT v2.0.
213
Nota
Resumen En esta página se resumen las opciones

que ha seleccionado. Haga clic en
Finalizar para completar la instalación de
ADMT v3.1.

ADMT v3.2 requiere una instancia de SQL Server preconfigurada para su almacén de datos
subyacente. Debe utilizar SQL Server Express. Al utilizar una de las siguientes versiones de
SQL Server Express, la instalación de ADMT impone los siguientes requisitos de Service Pack:
Si utiliza SQL Server Express, la consola de ADMT se debe instalar y ejecutar
localmente en el servidor que aloja la instancia de base de datos de SQL Server
Express.
Como opción, puede utilizar versiones completas de SQL Server 2005 o SQL Server 2008. En
este caso, puede instalar y ejecutar la consola de ADMT en un equipo remoto y puede ejecutar
varias consolas de ADMT en diferentes equipos remotos. Si utiliza una versión completa de
SQL Server, la instalación de ADMT no impondrá ningún requisito de Service Pack.
El resto de la sección abarca los siguientes problemas de instalación:
 Instalar ADMT v3.2

Antes de instalar ADMT v3.2, complete las siguientes tareas de requisitos previos:
 En el Panel de control, seleccione Agregar o quitar programas para quitar todas las
versiones de ADMT anteriores a ADMT v3.2.
Aunque ADMT v3.2 no admite actualizaciones de una versión anterior de ADMT, puede
reutilizar una base de datos existente de una instalación de ADMT anterior, a menos que sea
una base de datos de ADMT v2 o ADMT v1. Para obtener más información, consulte
Reutilizar una base de datos de ADMT existente desde una instalación anterior.
 Instale o actualice un equipo de servidor (preferiblemente un servidor miembro) en el entorno
de dominio de origen o de destino, si fuera necesario, para que se ejecute Windows
Server 2008 R2.
Aunque puede utilizar ADMT v3.2 para migrar cuentas y recursos desde entornos de
Active Directory que tienen el nivel funcional del dominio de Windows Server 2003 o
posterior, puede instalar ADMT v3.2 sólo en un servidor que esté ejecutando Windows
Server 2008 R2.
214
Para instalar ADMT v3.2
Además de ejecutar Windows Server 2008 R2, no debe instalarse el equipo de servidor
utilizado para instalar ADMT v3.2 con la opción de instalación de Server Core ni debe estar
ejecutándose como un controlador de dominio de sólo lectura (RODC).
 Configure una instalación de base de datos de SQL Server con una instancia de ADMT.
Puede descargar e instalar SQL Server Express localmente o crear una instancia de base de
datos para ADMT desde una base de datos existente de SQL Server.
Para obtener más información acerca de cómo instalar SQL Server Express, consulte
Instalar ADMT v3.2 . Para obtener más información sobre cómo crear una instancia de
ADMT en una base de datos existente de SQL Server, consulte Instalar ADMT
reconfigurando la instalación de la base de datos con Admtdb.exe.
Instalar ADMT v3.2

Descargue SQL Server 2005 Express (http://go.microsoft.com/fwlink/?LinkId=181159), o cree una
nueva instancia de base de datos en una instalación existente de SQL Server para utilizar con
ADMT v3.2. Durante el proceso de instalación de SQL Server, seleccioneModo de
autenticación de Windows. Después de instalar SQL Server, complete el siguiente
procedimiento para instalar ADMT v3.2.
1. En el paquete de descarga de ADMT, haga doble clic en admtsetup32.exe.

2. En la página de bienvenida, asegúrese de que las recomendaciones se han cumplido y,
a continuación, haga clic en Siguiente.
3. En la página del Contrato de licencia, haga clic en Acepto y, a continuación, en
Siguiente.
4. En la página Selección de base de datos, escriba servidor\instancia.
El requisito de escribir el nombre del servidor se aplica también a la instancia de la base
de datos local. Puede escribir un punto (“.”) para indicar el servidor local. De forma
predeterminada, la instancia de SQL Server Express se denomina SQLEXPRESS.
Por ejemplo, para utilizar una instancia de SQL Server Express predeterminada en el
servidor local, escriba .\SQLEXPRESS.
5. Si elige instalar SQL Express y el archivo ADMT.mdf de la base de datos no se
encuentra en la ubicación de datos predeterminada %windir%\ADMT\Data, aparecerá la
página Importación de base de datos. De lo contrario, la configuración de ADMT se
asocia automáticamente a ese archivo de base de datos y aparece la página Resumen.
En la página de Importación de base de datos, si no necesita realizar una importación
de datos, haga clic en No, no importar los datos desde una base de datos existente
215
(Predeterminado). Si necesita importar datos de una instalación anterior de ADMT, haga
clic en Sí, importar datos de una base de datos existente de ADMT v3.0 o
ADMT v3.1 y, a continuación, para desplazarse a la ubicación del archivo de base de
datos existente haga clic en Examinar.
Antes de importar los datos desde una base de datos existente, debe separar el archivo
de base de datos del SQL Server utilizando los comandos de SQL Server. Para obtener
más información, consulte Separar un archivo de base de datos existente de una
versión anterior de ADMT y de SQL Server.
Cuando haya terminado, haga clic en Siguiente.
6. En la página Resumen, revise los resultados de la instalación y, a continuación, haga
clic en Finalizar.
Separar un archivo de base de datos existente de

una versión anterior de ADMT y de SQL Server
Si utiliza SQL Server Express, la base de datos se separa automáticamente al quitar ADMT. La
base de datos de SQL Server Express separada puede reutilizarse para una instalación de
ADMT posterior. En ese caso, ADMT se conecta automáticamente con la base de datos existente
que especifique durante la instalación.
Puede separar el archivo de base de datos de ADMT desde una instancia completa de
SQL Server si tiene otra aplicación que quiera conectar a la misma base de datos. Por ejemplo,
si tiene previsto moverlo desde una instalación completa de SQL Server a SQL Server Express,
o si tiene un archivo de base de datos de ADMT de una instalación previa que ha conectado a
las herramientas de administración de SQL Server, tendrá que separarlo de esa base de datos
para que ADMT pueda utilizarlo.
Para separar una base de datos, puede completar el procedimiento almacenado de SQL:
sp_detach_db [ @dbname = ] 'dbname'
Para obtener más información acerca de la llamada al procedimiento almacenado, consulte la

documentación de SQL Server. Para obtener más información acerca de cómo usar SQL Server
Management Studio para separar la base de datos, consulte Cómo: Separar una base de datos
(SQL Server Management Studio (http://go.microsoft.com/fwlink/?LinkId=183994).
Reconfigurar la instalación de la base de datos

con Admtdb.exe
Si durante la instalación tiene problemas con la configuración de la base de datos, o si especificó
SQL Server Express durante la instalación de ADMT v3.2 pero desea cambiar a SQL Server (o
viceversa) después del proceso de instalación, puede utilizar Admtdb.exe. La sintaxis de línea de
comandos para Admtdb.exe se encuentra en la tabla siguiente.
216
Puede ejecutar Admtdb.exe desde el símbolo del sistema con privilegios elevados en cualquier
servidor que se pueda dirigir al equipo de servidor que ejecute SQL Server para crear una
instancia de ADMT en dicho equipo de servidor.
Sintaxis Descripción
admtdb create /{s|server}: Instala una nueva base de datos de ADMT o

"Servidor\instancia" prepara una base de datos vacía.
El parámetro /server especifica el nombre del
servidor SQL Server y la instancia a la que se
va a conectar para crear la base de datos. Es
un parámetro obligatorio.
admtdb upgrade /s|server: Server\Instance Actualiza a una versión anterior de una base de
datos de ADMT v3.0 o ADMT v3.1.
El parámetro /server, que es obligatorio,
especifica el nombre del servidor SQL Server y
la instancia a la que se va a conectar para
actualizar la base de datos de ADMT v3.0 o
ADMT v3.1.
Nota
Antes de actualizar la base de datos de
ADMT, abra la consola de ADMT para
comprobar que es compatible con la
base de datos.
admtdb attach [/{a|attach}: "ruta de acceso a Conecta una base de datos existente de ADMT
la base de datos v3x" a la instancia de SQL Server Express 2005 o
SQL Server Express 2008 local.
El parámetro /attach, que es obligatorio,
especifica la ruta al archivo de base de datos
Admt.mdf separado.
Para ver la Ayuda de todas las opciones de la línea de comandos de Admtdb.exe, en el símbolo
del sistema, escriba admtdb /? .
Si ha empezado la migración mediante una base de datos local de SQL Server Express y luego
ha configurado la instancia remota de una base de datos de SQL Server, y necesita volver a
utilizar una base de datos local de SQL Server Express, complete el siguiente procedimiento. En
este caso, el archivo de base de datos de ADMT ya está conectado a la instancia de
SQL Express. Por lo tanto, no es necesario que se vuelva a conectar.
Si ha empezado la migración mediante SQL Server y desea cambiar a SQL Server Express,
consulte Reutilizar una base de datos de ADMT existente desde una instalación anterior.
217
Nota
Para utilizar
reutilizar
una
la base de datos de
local
ADMT
después
existente
de configurar
(separada)
una
con
instancia
la instancia
remota
de de una
base Server
SQL de datoslocal
de SQL Server

2. En el panel de Detalles, asegúrese de que el servicio que aloja la instancia de
Nota
El comando admtdb attach es necesario sólo si anteriormente ha ejecutado
comandos SQL para que separen la instancia local de SQL Server Express.
admtdb attach /{s | Server}:”Instancia de SQL Server Express local”
admt config setdatabase /s:Servidor\Instancia.
Ahora puede utilizar la base de datos local.
Reutilizar una base de datos de ADMT existente

desde una instalación anterior
Si desea utilizar una base de datos existente (separada) de una instalación de ADMT v3.0,
ADMT v3.1 o ADMT v3.2 anterior con la instancia de SQL Server local, puede completar el
siguiente procedimiento.
Para llevar a cabo este procedimiento, se requiere como mínimo pertenecer a
Administradores o a un grupo equivalente. Revise los detalles sobre cómo usar las
cuentas apropiadas y pertenencia a grupos en Grupos de dominio y locales
predeterminados (http://go.microsoft.com/fwlink/?LinkId=83477).
218
2. En el panel de detalles, asegúrese de que el servicio que aloja la instancia de
admtdb attach /{s | Server}:”Instancia de SQL Server Express local” /{a |
Attach}:”Ruta de acceso al archivo de base de datos de ADMT v3.x que desea
asociar"
admt config setdatabase /s: servidor\instancia
Ahora puede utilizar la base de datos de ADMT existente con la instancia de SQL Server
local. No es necesario volver a ejecutar el asistente de instalación de ADMT. La
instalación de ADMT se puede ejecutar una sola vez. Puede realizar cualquier cambio
posterior en la configuración de la base de datos mediante los comandos admtdb.exe y
admt config setdatabase.
Plan para transiciones de cuentas de

servicios
La mayoría de los servicios se ejecutan dentro del contexto de la cuenta del sistema local. Por
consiguiente, no necesitan mantenimiento alguno cuando se migran a un dominio diferente. No
obstante, algunos servicios se ejecutan dentro del contexto de una cuenta de usuario en lugar de
la cuenta del sistema local.
La transición de cuentas de servicios hace referencia al proceso de identificación, migración y
actualización de servicios que se ejecutan en el contexto de las cuentas de usuario. Este
proceso consta de tres pasos. En primer lugar, el administrador inicia la Herramienta de
migración para Active Directory (ADMT) desde el controlador de dominio de destino de
Active Directory y ejecuta el Asistente para migración de cuentas de servicios. En segundo lugar,
el Asistente para migración de cuentas de servicios envía un agente al equipo especificado e
identifica (pero no migra) todos los servicios del equipo que se ejecutan en el contexto de una
cuenta de usuario. En tercer lugar, que puede producirse posteriormente en el proceso de
219
Ejecución del Asistente para migración de cuentas de servicio
migración, las cuentas se migran cuando otras cuentas de usuario se migran con el Asistente
para migración de cuentas de usuario.
El Asistente para migración de cuentas de servicios comprueba cada servicio de un equipo para
identificar los servicios que se ejecutan en el contexto de una cuenta de usuario. Puede
producirse una carencia de seguridad durante la migración de cuentas de servicio si alguien
distinto del administrador de servicio entra en una cuenta con permisos administrativos en el
dominio de origen, pero utiliza una contraseña no válida en el equipo para iniciar el servicio. El
servicio no se iniciará antes de la migración de la cuenta, dado que la contraseña no es correcta,
pero funcionará después de la migración, porque ADMT restablece la contraseña de la cuenta de
servicio y configura todos los servicios que utilizan dicha cuenta de servicio con la nueva
contraseña.
Para eliminar este posible problema de seguridad, es importante incluir en el Asistente para
migración de cuentas de servicios sólo los servidores cuya administración depende de
administradores de confianza. No utilice el Asistente para migración de cuentas de servicios para
detectar las cuentas de servicio en equipos que los administradores de confianza no administran,
como las estaciones de trabajo.
Si no identifica ni realiza una transición de un equipo de confianza que, por consiguiente, no
actualiza su cuenta de servicio, tendrá que definir de forma manual la nueva contraseña que crea
ADMT. Para ello, obtenga la contraseña del archivo Password.txt y, a continuación, introduzca de
forma manual la información de la contraseña y la cuenta para el servicio del equipo al que no se
le ha realizado la transición.
Cuando las cuentas que el Asistente para migración de cuentas de servicios identifica en la base
de datos de ADMT como en ejecución en el contexto de una cuenta de usuario se migran al
dominio de destino, ADMT otorga a cada cuenta el derecho de iniciar sesión como servicio.
1. En ADMT, inicie el Asistente para migración de cuentas de servicios.

2. Utilice el asistente siguiendo los pasos de la tabla siguiente.

Dominio, escriba o seleccione el nombre
de DNS (Sistema de nombres de dominio)
o NetBIOS del dominio de origen. En la
lista desplegable Controlador de
dominio, escriba o seleccione el nombre
del controlador de dominio o seleccione
Al realizar una migración dentro del mismo
bosque, el controlador de dominio que
realiza el papel de servidor principal de
220
operaciones de identificador relativo (RID)

se utiliza siempre como el controlador de
dominio de origen, independientemente de
su selección.
desplegable Dominio, escriba o seleccione
el nombre de DNS o NetBIOS del dominio
de destino. En la lista desplegable
controlador de dominio y, a continuación,
Actualizar información Haga clic en Sí, actualizar la información.

cuentas de servicio, haga clic en Agregar
para seleccionar las cuentas del dominio
de origen que desea migrar, haga clic en
O bien
Diálogo de agente En Acciones de agente seleccione

Ejecutar comprobación previa y
operación de agente y, a continuación,
haga clic en Inicio. Aparecerá un mensaje
en Resumen de agente cuando se
completen las operaciones de agente. Una
vez finalizadas las operaciones de agente,
haga clic en Cerrar.
Información de cuentas de servicios Seleccione cualquier cuenta de usuario

que no tenga que estar marcada como
cuenta de servicio en la base de datos de
ADMT y, a continuación, haga clic en
como Omitir.
221
Identificación de cuentas de servicio mediante la opción de línea de comandos de
El asistente se conecta a los equipos seleccionados y, a continuación, envía un agente
ADMT
para comprobar cada servicio en los equipos remotos. La página Información de cuentas
de servicios muestra los servicios que se ejecutan en el contexto de una cuenta de
usuario y el nombre de dicha cuenta de usuario. ADMT indica en su base de datos que
estas cuentas de usuario se tienen que migrar como cuentas de servicio. Si no desea
migrar una cuenta de usuario como cuenta de servicio, seleccione la cuenta y, a
continuación, haga clic en Omitir/Incluir para cambiar el estado de Incluir a Omitir.
3. Utiliza Actualizar SCM para actualizar el Administrador de control de servicios con la
nueva información. A menos que se produzca un error de acceso a un equipo para
actualizar el servicio, el botón Actualizar SCM no está disponible. Si tiene problemas al
actualizar una cuenta de servicio una vez identificada y migrada la cuenta, asegúrese de
que el equipo al que intenta tener acceso está disponible y, a continuación, reinicie el
Asistente para migración de cuentas de servicios. En el asistente, haga clic en
Actualizar SCM para intentar actualizar el servicio. Si ya ha ejecutado el Asistente para
migración de cuentas de servicios anteriormente y el botón Actualizar SCM no está
disponible, examine los archivos de registro de ADMT para determinar la causa del
problema. Una vez corregido el problema y cuando el agente se pueda conectar
correctamente, el botón Actualizar SCM estará disponible.
ENTRAR:
ADMT SERVICE /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:"<dominio_origen>" /TD:"
<dominio_destino>"
Donde <nombre_equipo1> y <nombre_equipo2> son los nombres de equipos del

dominio de origen que ejecutan cuentas de servicio.
ADMT SERVICE /N "<nombre_equipo1>" "<nombre_equipo2>" /O:" <archivo_opción>.txt"
La siguiente tabla enumera los parámetros comunes que se utilizan para la identificación
de cuentas de servicio, junto con el parámetro de línea de comandos y los equivalentes

comandos

origen>

destino>
222
Identificación de cuentas de servicio mediante una secuencia de comandos
 Cree una secuencia de comandos que incorpore los comandos de ADMT y las opciones
para la identificación de cuentas de servicio utilizando la siguiente secuencia de
<Job id="IdentifyingServiceAccounts" >
Option Explicit
Dim objMigration
Dim objServiceAccountEnumeration
'
'
Set objServiceAccountEnumeration = _
objMigration.CreateServiceAccountEnumeration
'
'
'
'Enumerar cuentas de servicio en equipos especificados.
'
objServiceAccountEnumeration.Enumerate admtData, _
223
Set objServiceAccountEnumeration = Nothing
</Script>
</Job>
Ejemplo: Preparación para la

Directory
Contoso Corporation ha actualizado el hardware para aumentar su ancho de banda de la red y la
cantidad de tráfico de replicación que puede admitir. Como resultado, la compañía está
consolidando su dominio África en su dominio EMEA.
El dominio África es el dominio de origen y el dominio EMEA es el dominio de destino para la
migración. La organización tiene que migrar un total de 1.800 usuarios del dominio África al
dominio EMEA. Además de las cuentas de usuario, la organización también debe migrar los
recursos, como estaciones de trabajo, servidores y grupos.
Como Contoso Corporation es una gran organización con varios grupos globales, los grupos
cerrados son difíciles de identificar. Por tanto, la compañía decide migrar los grupos globales
como grupos universales. La compañía puede hacerlo porque la infraestructura de la corporación
puede manejar la replicación aumentada de los grupos universales, y porque tanto los dominios
de África como los de EMEA están funcionando a nivel funcional de Windows 2000 nativo. La
compañía ha creado estructuras idénticas de la unidad organizativa idéntica (OU) en los
dominios África y EMEA. Por tanto, no tienen que crear una nueva estructura de la unidad
organizativa ni migrar las unidades organizativas.
Contoso Corporation ha creado una lista de equipos que ejecutan cuentas de servicios, por lo
que puede usar el Asistente para la migración de cuentas de servicios para identificar los
servicios que se ejecutan en el contexto de las cuentas de usuario. La compañía está más
preocupada por un conjunto de cuentas que tienen acceso a una base de datos de SQL Server.
El acceso a esta base de datos es una parte importante de su negocio.
La compañía ha decidido usar la Herramienta de migración para Active Directory (ADMT) como
su herramienta de migración y para usar los asistentes. La compañía instala ADMT y crea dos
grupos de migración de cuentas que se utilizarán para el proceso de migración. La compañía
asigna permisos de alto nivel al primer grupo y después agrega los miembros del equipo de
implementación apropiados a dicho grupo. El equipo de implementación centralizado usará esta
cuenta para migrar usuarios. La compañía asigna los permisos de la estación de trabajo y
224
recursos locales al segundo grupo. El equipo de implementación usará el segundo grupo para
migrar recursos en las ubicaciones remotas.
Migración de objetos de dominio entre

dominios de Active Directory
La reestructuración de dominios de Active Directory en un bosque implica la migración de objetos
de dominio en un orden específico para garantizar que los usuarios mantienen el acceso a los
recursos. La siguiente ilustración muestra el proceso de migración de objetos de dominio entre
dominios de Active Directory.
Migración de grupos
225
Nota
Migración de grupos universales mediante el complemento de ADMT
Para proteger su sistema frente al problema de los conjuntos abiertos cuando reestructura los
dominios de Active Directory en un bosque, migre los grupos antes de migrar las cuentas de
usuario que pertenezcan a esos grupos. Si migra grupos de forma simultánea a la migración de
usuarios, es posible que no pueda migrar los grupos anidados, lo que crea un conjunto abierto.
Además, siga las estas indicaciones para la migración de grupos:
 Migre primero los grupos universales y después los grupos globales.
 Migre los grupos locales del dominio cuando migre los recursos (controladores de dominio y
servidores miembros) en los que se usan para asignar permisos.
 Puede elegir migrar los grupos locales del equipo cuando migre el equipo más adelante en el
proceso de reestructuración.
Migrar grupos universales

Migre grupos universales, sin migrar los usuarios que sean miembros de estos grupos a la
misma vez, desde el dominio de origen al dominio de destino. La migración de grupos
universales sin usuarios ayuda a proteger del problema de conjuntos abiertos. El historial de
identificadores de seguridad (SID) permite a los miembros del grupo seguir teniendo acceso a los
recursos en base a una pertenencia a grupos universales. Cuando migra grupos universales al
dominio de destino, cesan de existir en el dominio de origen.
Si migra un número pequeño de grupos universales, puede migrar grupos universales al
mismo tiempo que migra grupos globales.
Puede migrar grupos universales mediante el complemento de la Herramienta de migración para
Active Directory (ADMT), la opción de línea de comandos de ADMT o secuencia de comandos.
 En el equipo del dominio de destino en el que ADMT está instalado, inicie sesión con la
 Utilice el Asistente para migración de cuentas de grupo realizando los pasos de la tabla
siguiente.

226

(también conocidas como operaciones de
servidor principal único flexible o FSMO) se
utiliza siempre como el controlador de
su selección.
Opción de selección de grupo Haga clic en Seleccionar grupos desde

Siguiente.
O bien

grupos universales y, a continuación, haga
clic en Aceptar.
Opciones de grupo Se activan las casillas de verificación
227
Migración de grupos universales mediante la opción de línea de comandos de ADMT
Migrar los identificadores de seguridad

(SID) de grupos hacia el dominio de
destino y Corregir pertenencia a grupo,
y aparecen atenuadas.
Asegúrese de que no se seleccionan otras
opciones.
Gestión de conflictos Seleccione No migrar el objeto de origen

de destino.
Nota
Cuando inicie una migración de grupos con la migración del SIDHistory desde la
línea de comandos, el comando se debe ejecutar en un controlador de dominio
del dominio de destino.
2. En la línea de comandos, escriba el comando ADMT GROUP con los parámetros adecuados
ADMT GROUP /N "<nombre_grupo1>" "<nombre_grupo2>" /IF:YES /SD:"
<dominio_origen>" /TD:" <dominio_destino>" /TO:" <unidad_organizativa_destino>"

La siguiente tabla muestra los parámetros necesarios para migrar grupos universales,
los parámetros de línea de comandos y los equivalentes del archivo de opciones. Para
obtener una lista completa de todos los parámetros disponibles, consulte la Ayuda de
ADMT v3.1.
Dentro de /IF:YES IntraForest=YES

un mismo
bosque

de
destino>
228
Migración de grupos universales usando una secuencia de comandos
<Unidad "
organizativ
a de
destino>


4. Abra Usuarios y equipos de Active Directory y, a continuación, localice la unidad
organizativa del dominio de destino. Compruebe que los grupos universales existen en la
unidad organizativa del dominio de destino.
 Utilice la siguiente muestra para preparar una secuencia de comandos que incorpore los
comandos de ADMT y las opciones para migrar grupos dentro de un bosque. Copie la
secuencia de comandos en el Bloc de notas y guarde el archivo con la extensión .wsf en
la misma carpeta que el archivo AdmtConstants.vbs.
Nota
Cuando inicie una migración de grupos con la migración sIDHistory desde una
secuencia de comandos, éste debe ejecutarse en comandos en un controlador
de dominio del dominio de destino.
<Job id="MigratingGroupsWithinForest" >
Option Explicit
Dim objMigration
'
'
229
'
'
objMigration.IntraForest = True
objMigration.SourceOu = "source container"
'
'

grupo2" )
</Script>
</Job>
Migrar grupos globales

Migre grupos globales, sin miembros, desde el dominio de origen al dominio de destino para
protegerse del problema de los conjuntos abiertos. (Para obtener más información sobre los
conjuntos abiertos, consulte Información general para la reestructuración de dominios de Active
Directory dentro de un bosque, anteriormente en esta guía). Cuando los grupos globales hayan
migrado al dominio de destino, dejan de existir en el dominio de origen si éste tiene un nivel
funcional de modo nativo Windows 2000 o superior.
230
Para migrar grupos globales usando el complemento de ADMT
Como los grupos globales sólo contienen miembros de su propio dominio, no puede migrarlos de
un dominio a otro. La Herramienta de migración para Active Directory (ADMT) cambia los grupos
globales a grupos universales cuando se migran. El grupo universal del dominio de destino
conserva el historial de identificadores de seguridad (SID) del grupo global en el dominio de
origen, que permite a los usuarios continuar teniendo acceso a los recursos del dominio de
origen después de migrar los grupos globales. ADMT vuelve a cambiar los grupos universales a
grupos locales después de migrar todos los miembros del grupo global desde el dominio de
origen al dominio de destino.
No tiene que incluir grupos globales integrados y bien conocidos en su migración porque estos
grupos ya existen en el dominio de destino. Si selecciona un grupo integrado o un grupo global
bien conocido para la migración, ADMT no lo migra. En cambio, ADMT lo anota en el registro y
continúa la migración de otros grupos globales.
El procedimiento para usar el Asistente para migración de cuentas de grupo para migrar grupos
globales es el mismo que el utilizado para migrar grupos universales. Para obtener más
información sobre el procedimiento para migrar grupos globales y grupos universales, consulte
Migrar grupos universales, anteriormente en esta guía.
Después de completar el proceso de migración de grupos globales, utilice Usuarios y equipos de
Active Directory para comprobar que los grupos globales han migrado correctamente.
Compruebe que los grupos globales ya no existen en el dominio de origen y que los grupos
aparecen en el dominio de destino en la unidad organizativa (OU) especificada durante el
proceso de migración. Los grupos globales se enumeran como grupos universales en el dominio
de destino si todavía tienen miembros en el dominio de origen. Para ver una lista de miembros
del grupo universal, haga clic con el botón secundario en el grupo, haga clic en Propiedades y, a
continuación, haga clic en la ficha Miembros. Se muestran los miembros originales del grupo
global. Sin embargo, observe que las cuentas de usuario todavía no se han migrado.
Si está migrando las cuentas de usuario durante la migración dentro del mismo bosque, pero no
está migrando los grupos globales del dominio de origen de los que son miembros las cuentas
de usuario, ADMT actualiza de cualquier forma los grupos globales en el dominio de origen.
ADMT quita las cuentas de usuario migradas de la pertenencia del grupo global en el dominio de
origen porque el grupo global sólo puede incluir miembros del dominio de origen. Como resultado
de ello, es posible que los usuarios no continúen teniendo acceso a los recursos del dominio de
origen después de la migración porque ya no hay miembros de esos grupos.
Puede migrar grupos globales usando el complemento de ADMT, la opción de línea de
comandos ADMT o script.
siguiente.
231

Al realizar una migración dentro de un
mismo bosque, el controlador de dominio
que almacena la función del maestro de
operaciones (también denominada
operaciones FSMO (Flexible Single Master
Operations)) de ID relativo (RID) siempre
se usa como el controlador de dominio de
origen, sin importar cuál sea la selección.

Siguiente.
O bien
232
Para migrar grupos globales usando la opción de línea de comandos de ADMT

clic en Aceptar.

opciones.

de destino.
3. Después de ejecutar el Asistente, haga clic en Ver registro y revise el registro de

migración para buscar si hay algún error.
organizativa del dominio de destino. Compruebe que los grupos globales existen en la
Nota
Cuando inicie una migración de grupos con la migración sIDHistory desde la
línea de comandos, debe ejecutar el comando en un controlador del dominio en
el dominio de destino.
<dominio_origen>" /TD:" <dominio de destino>" /TO:" <unidad organizativa de
destino>"

233
Para ADMT
migrar grupos
GROUP globales usando un
/N "<nombre_grupo1>" script
"<nombre_grupo2>" /O: "<archivo_opción>.txt"
En la tabla siguiente se muestran los parámetros necesarios para migrar grupos

globales, los parámetros de línea de comandos y los equivalentes del archivo de
opciones.

un mismo
bosque

de
destino>
<Unidad "
organizativ
a de
destino>

3. Revise los resultados que se muestran en la pantalla en busca de errores.

organizativa del dominio de destino. Compruebe que los grupos globales existen en la
1. Utilice un script que incorpora comandos y opciones de ADMT para migrar grupos
universales. Para obtener más información sobre la migración de grupos universales,
consulte Migrar grupos universales, anteriormente en esta guía.
Nota
Cuando inicie una migración de grupos con la migración sIDHistory desde un
script, éste debe ejecutarse en un controlador de dominio del dominio de
destino.
2. Después de haber completado la migración del grupo global usando un script, vea el
registro de migración. El archivo migration.log se almacena en la carpeta donde ha
instalado ADMT, por lo general, Windows\ADMT\Logs.
Nota
Como los grupos universales se replican en el catálogo global, la conversión de
los grupos globales en grupos universales puede afectar al tráfico de replicación.
234
Cuando de servicio
el bosque mediante en
está funcionando el complemento de ADMT
el nivel de Windows Server 2003 o
Windows Server 2008, este impacto se reduce porque sólo se replican los
cambios en la pertenencia al grupo universal. Sin embargo, si el bosque no está
funcionando en el nivel de Windows Server 2003 o Windows Server 2008, toda
la pertenencia al grupo se replica cada vez que cambia la pertenencia a grupos
universal.
Migrar cuentas de sercivios

Migre las cuentas de servicio que ha identificado anteriormente en el proceso de reestructuración
dentro del mismo bosque mediante el Asistente para migración de cuentas de servicios. Este
asistente marca las cuentas como cuentas de servicio en la base de datos de la Herramienta de
migración para Active Directory (ADMT). Para obtener más información sobre el uso de ADMT
para identificar cuentas de servicio que se ejecutan en el contexto de una cuenta de usuario,
consulte Plan para transiciones de cuentas de servicios, expuesto anteriormente en esta guía.
Puede migrar las cuentas de servicio mediante el complemento de ADMT, la opción de línea de
comandos de ADMT o secuencia de comandos.
 Utilice el Asistente para migración de cuentas de usuario realizando los pasos de la tabla
siguiente.

235

su selección.

seleccionar las cuentas del dominio de
O bien

dominio de destino al que desea mover las
cuentas y, a continuación, haga clic en
Aceptar.
Opciones de usuario Active la casilla de verificación Actualizar

Asegúrese de que no ha seleccionado otra
configuración, incluida la opción Migrar
grupos de usuario asociados. Aparecerá
un cuadro de advertencia para informarle
de que si los grupos globales a los que
pertenecen las cuentas de usuario no se
migran también, los usuarios perderán el
236
Migración de cuentas de servicio mediante la opción de línea de comandos de ADMT
acceso a los recursos. Seleccione Aceptar

para continuar con la migración.

de destino.
Información de cuentas de servicios Haga clic en Migrar todas las cuentas de

servicio y actualizar SCM de los
elementos marcados para incluir. El
asistente le muestra una lista de las
cuentas de servicio que está migrando (si
migra cuentas que no son cuentas de
servicio, se migrarán pero no se mostrará
en la lista). De forma predeterminada, las
cuentas se marcan como Incluir. Para
cambiar el estado de la cuenta,
selecciónela y haga clic en Omitir/Incluir.
Haga clic en Siguiente para migrar las
cuentas.
Un cuadro de diálogo Progreso de la migración le mantiene informado del estado de la

migración. Durante este tiempo, ADMT mueve las cuentas al dominio de destino, genera
una nueva contraseña para las cuentas, asigna a las cuentas el derecho de iniciar sesión
como un servicio y proporciona esta nueva información a los servicios que utilizan las
cuentas. Cuando el estado se muestre como Completado en el cuadro de diálogo
Progreso de la migración, puede continuar con el resto de la migración dentro del
mismo bosque.
Antes de que se complete la migración de las cuentas de servicio, es posible que los
usuarios experimenten interrupciones al utilizar los servicios. Lo que se debe a que,
hasta que el servicio se reinicie, se sigue utilizando la cuenta que se ha estado
migrando. Para cualquier servicio que utilice continuamente credenciales, como los
servicios de búsqueda, reinicie manualmente los servicios para garantizar resultados
óptimos.
ENTRAR:
ADMT USER /N "<nombre_servidor1>" "<nombre_servidor2>" /IF:YES /SD:"
237
Migración de cuentas de
<dominio_origen>" servicio
/TD:" mediante una secuencia
<dominio_destino>" de comandos
/TO:" <unidad_organizativa_destino>"
/MSA:YES
Donde <Nombre_servidor1> y <Nombre_servidor2> son los nombres de servidores del

dominio de origen que ejecutan cuentas de servicio. Como alternativa, puede incluir
parámetros en un archivo de opciones que se especifica en la línea de comandos, de la
manera siguiente:
ADMT USER /N "<nombre_servidor1>" "<nombre_servidor2>" /O: "<archivo_opción>.txt"
La tabla siguiente muestra los parámetros necesarios para migrar cuentas de servicio, la
sintaxis de línea de comandos y los equivalentes del archivo de opciones.

un mismo
bosque

de
destino>
<Unidad "
organizativ
a de
destino>
Migrar /MSA:YES MigrateServiceAccounts=YES

cuentas de
servicio

derechos
de usuario
Omitir /CO:IGNORE (valor ConflictOptions=IGNORE (valor

cuentas en predeterminado) predeterminado)
conflicto

4. Abra Usuarios y equipos de Active Directory y busque la unidad organizativa del dominio
de destino. Compruebe que las cuentas de servicio existen en la unidad organizativa del
dominio de destino.
 Utilice la siguiente lista para preparar una secuencia de comandos que incorpore los
238
comandos de ADMT y las opciones para migrar cuentas de servicio. Copie la secuencia
de comandos en el Bloc de notas y guarde el archivo con la extensión .wsf en la misma
carpeta que el archivo AdmtConstants.vbs.
<Job id=" MigratingServiceAccountsWithinForest" >
Option Explicit
Dim objMigration
'
'
'
'
'
'
objUserMigration.MigrateServiceAccounts = True
239
'
'Migrar cuentas de servicio especificadas.
'
objUserMigration.Migrate admtData, _
Array("nombre de cuenta de servicio1", "nombre de cuenta de servicio2" )
</Script>
</Job>

administradas
240
Importante

241


O bien
242


Siguiente.
O bien


243
comandos de ADMT

ENTRAR:

origen.


comandos

bosques

cuenta
244
comandos
grupos de cuentas
Nota
Sólo puede
migrar SID de
cuentas de
servicio
administradas
entre
bosques. Si
utiliza este
parámetro
durante una
migración
dentro del
mismo
bosque,
aparece un
error.
el equipo.
Migrar cuentas de usuario

Los dominios pueden incluir un amplio número de cuentas de usuario. Para conseguir que la
migración de cuentas de usuario sea gestionable, use una técnica denominada transición en
fases, según la cual se colocan las cuentas de usuarios en lotes más pequeños y se migra cada
uno de los lotes por separado. Puede agrupar los usuarios de la forma en que prefiera.
No puede migrar cada propiedad de usuario al migrar cuentas de usuario. Por ejemplo, los datos
protegidos con la API de protección de datos (DPAPI) no se migran. DPAPI ayuda a proteger los
siguientes elementos:
 Los credenciales de página Web (por ejemplo, contraseñas)
245
 Credenciales de recurso compartido de archivo
 Las claves privadas asociadas con EFS, Extensiones seguras multipropósito al correo de
Internet (S/MIME) y otros certificados
 Los datos de programa protegidos mediante la función CryptProtectData()
Por este motivo, es importante para comprobar las migraciones de usuarios. Utilice su cuenta de
migración de prueba para identificar cualquier propiedad que no se haya migrado y actualice las
configuraciones en el dominio de destino consecuentemente.
Si usa objetos de directiva de grupo para gestionar la instalación del software, recuerde que
algunos archivos de Windows Installer requieren acceso al origen para determinadas
operaciones, como la reparación o la desinstalación. El administrador debe reasignar los
permisos al punto de distribución del software para proporcionar acceso a cualquier cuenta.
Para conservar el acceso a la distribución de software, realice estas tareas:
1. Migre cuentas de usuario mediante la Herramienta de migración para Active Directory
(ADMT).
2. Ejecute el Asistente para conversión de seguridad en el punto de distribución de software.
Migración de unidades organizativas y

subárboles de unidades organizativas
Si desea copiar unidades organizativas y subárboles de unidades organizativas a su dominio de
destino, puede utilizar las opciones de línea de comandos o de secuencia de comandos y
sustituir los parámetros adecuados. Debe especificar una unidad organizativa de origen y otra de
destino, y la de destino debe existir. Todos los objetos en la unidad organizativa de origen y en
todas las unidades organizativas subordinadas se migran a la unidad organizativa de destino,
pero la unidad organizativa de origen especificada en sí no se migra.
Si usa la opción de línea de comandos para migrar las cuentas, grupos o equipos y también
desea migrar unidades organizativas, modifique la línea de comandos para utilizar la opción /D.
En lugar de usar la opción /N (/IncludeName), debe emplear la opción /D (/IncludeDomain) con
RECURSE y MAINTAIN de la siguiente forma:
ADMT /D:RECURSE+MAINTAIN /O "<archivo_opción.txt>"
Si migra cuentas, grupos o equipos mediante la opción de secuencia de comandos y también

desea migrar unidades organizativas, modifique la secuencia de comandos para usar la opción
admtDomain. En lugar de usar la opción admtData o admtFile, debe usar la opción
admtDomain con admtRecurse y admtMaintainHierarchy, de la siguiente forma:
objUserMigration.Migrate admtDomain + admtRecurse + admtMaintainHierarchy
246
Migración de cuentas de usuario mediante el complemento de ADMT
Puede migrar cada lote de cuentas de usuario mediante el complemento de la Herramienta de
migración para Active Directory (ADMT), la opción de línea de comandos de ADMT o una
secuencia de comandos. Si va a migrar cuentas de usuario que tienen habilitada la seguridad del
mecanismo de autenticación, use un archivo de inclusión. En el archivo de inclusión, especifique
el nombre principal de usuario (UPN) original del dominio de origen como UPN de destino para
poder mantener en funcionamiento la seguridad del mecanismo de autenticación. Para obtener
más información acerca del uso de un archivo de inclusión, consulte Uso de un archivo de
inclusión.
 Utilice el Asistente para migración de cuentas de usuario realizando los pasos de la tabla
siguiente:

su selección.
247


Siguiente.
O bien

Examinar.

perfiles móviles.
grupos de usuario asociados. Aparecerá
un cuadro de advertencia que indica que si
los grupos globales a los que pertenecen
las cuentas de usuario no se migran
también, el usuario perderá el acceso a los
recursos. Haga clic en Aceptar para
continuar con la migración.

248
dominio de destino.
Después de hacer clic en Finalizar en el Asistente para migración de cuentas de usuario,

aparecerá el cuadro de diálogo Progreso de la migración. Una vez que el estado cambia a
Completado, vea el registro de migración para determinar si se han producido errores en el
proceso de migración. En el cuadro de diálogo Progreso de la migración, haga clic en
Cerrar.
Las cuentas de usuario migradas pueden iniciar sesión sólo en el dominio de destino y se
indica que cambien la contraseña la primera vez que inician sesión en el dominio de destino.
249
Nota
Cuando inicie una migración de usuario con la migración del historial de SID
desde la línea de comandos, debe ejecutar el comando en un controlador de
2. En una línea de comandos, escriba el comando ADMT User con los parámetros
apropiados, por ejemplo:
ADMT USER /N "<nombre_usuario1>" "<nombre_usuario2>" /IF:YES /SD:"
/TRP:YES /UUR:YES

La tabla siguiente muestra los parámetros necesarios para la migración de cuentas de

usuario, los parámetros de línea de comandos y los equivalentes del archivo de
opciones.

un mismo
bosque

de origen>
<Unidad
organizativ
a de
origen>

de
destino>
<Unidad "
organizativ
a de
destino>

250

perfil móvil

derechos
de usuario

organizativa del dominio de destino. Compruebe que los usuarios existen en la unidad
Nota
Cuando inicie una migración de usuario con la migración del historial de SID
desde una secuencia de comandos, se debe ejecutar la secuencia de comandos
en un controlador de dominio del dominio de destino.
Utilice la siguiente muestra para preparar una secuencia de comandos que incorpore los
comandos de ADMT y las opciones para migrar cuentas de usuario dentro de un bosque.
<Job id=" MigratingUserAccountsWithinForest" >
Option Explicit
Dim objMigration
'
'
251
'
'
'
'
'
'

de usuario2" )
</Script>
</Job>
252
Precaución
Conversión de perfiles de usuarios locales

Convierta los perfiles locales de usuario después de migrar las cuentas de usuario. Para
minimizar la interrupción de los usuarios, convierta los perfiles de usuario locales
inmediatamente después de migrar un lote de usuarios. Si su dominio de origen incluye sólo un
número pequeño de clientes previos a Active Directory, mígrelos como grupo y, a continuación,
convierta sus perfiles de usuario antes de migrar el siguiente lote de usuarios.
Normalmente, no se requiere ninguna acción para convertir un perfil local en clientes entre
dominios del mismo bosque porque el GUID del usuario sigue siendo el mismo. El perfil local
puede utilizar la asignación SID a GUID que se conserva en el registro para reasignar el perfil del
usuario y, a continuación, reasociarlo con el nuevo identificador de seguridad (SID).
Si migra la cuenta de usuario a un dominio dentro del bosque y la ruta de acceso al perfil local es
diferente, se modifica el perfil de usuario y se crea una nueva carpeta de perfil en el servidor con
las listas de control de acceso (ACL) correctas. El administrador se debe asegurar de que el
usuario tenga acceso a la carpeta de perfiles.
Puede convertir los perfiles de usuario locales mediante el complemento de la Herramienta de
migración para Active Directory (ADMT), la opción de línea de comandos de ADMT o una
secuencia de comandos.
Compruebe que la conversión de perfil de usuario se haya completado correctamente
para cada usuario antes de permitir que ese usuario inicie sesión. Si se produce un error
en la conversión de perfil de usuario, ese usuario no debe iniciar sesión en el dominio de
destino. En ese caso, revierta la cuenta de usuario de forma manual deshabilitando la
cuenta de usuario en el dominio de destino y permitiendo la cuenta de usuario en el
dominio de origen.
2. En el complemento de la Herramienta de migración para Active Directory (ADMT), haga
clic en Acción y, a continuación, haga clic en Asistente para conversión de seguridad.
3. Complete el Asistente para la conversión de seguridad con la información de la tabla
siguiente.

migrados.

253

lista desplegable Controlador de dominio,
su selección.

origen que contengan los perfiles de
usuario que desea migrar, haga clic en
O bien
254
Conversión de perfiles de usuarios locales mediante una
la opción
secuencia
de línea
de comandos
de comandos de
ADMT
/TD:" <dominio_destino>" /TOT:REPLACE /TUP:YES

ADMT SECURITY /N "<nombre_equipo1>" "<nombre_equipo2>" /O "archivo_opción.txt "
La siguiente tabla muestra los parámetros necesarios para la conversión de perfiles de

usuario locales, los parámetros de línea de comandos y los equivalentes del archivo de
opciones.

comandos
Dentro de un /IF:YES IntraForest=YES

mismo bosque

origen>

destino>
<Dominio de /TOT:REPLACE TranslateOption=REPLACE

destino>

seguridad de perfil
de usuario local
3. Revise si hay errores en los resultados que se muestran en el registro de migración.
comandos de ADMT y las opciones para convertir perfiles de usuario locales. Copie la
secuencia de comandos en el Bloc de notas y guarde el archivo con la extensión .wsf en
la misma carpeta que el archivo AdmtConstants.vbs.
<Job id=" TranslatingLocalProfilesWithinForest" >
255
Option Explicit
Dim objMigration
'
'
Set objMigration = CreateObject("ADMT.Migration")
'
'
'
'
'
'
256
Nota
</Script>
</Job>
Migración de estaciones de trabajo y

servidores miembro
Migre estaciones de trabajo y servidores miembro del dominio de origen al dominio de destino.
Cuando migra equipos, los cambios no tienen efecto hasta que se reinicie el equipo. Reinicie los
equipos que está migrando con la mayor brevedad posible para completar el proceso de
migración.
Reinicie las estaciones de trabajo y los servidores miembro inmediatamente después de
agregarlos al dominio de destino seleccionando un número bajo para el parámetro
RestartDelay. Los recursos que no se han reiniciado después de la migración se
encuentran en un estado indeterminado.
Los Firewall, como Firewall de Windows en Windows XP Service Pack 2 (SP 2), pueden impedir
que se complete la migración de la cuenta de equipo de la Herramienta de migración para
Active Directory (ADMT). Compruebe rigurosamente la migración de su equipo en un entorno de
laboratorio para descubrir cualquier problema potencial antes de realizar la migración en el
entorno de producción. Para obtener más información sobre la configuración del
Firewall de Windows, consulte Parece que algunos programas dejan de funcionar después de
instalar el Service Pack 2 de Windows XP (http://go.microsoft.com/fwlink/?LinkId=76705) e
Introducción al servicio y requisitos del puerto de red para el sistema
Windows Server(http://go.microsoft.com/fwlink/?LinkId=58432).
Las cuentas de equipo se tratan de forma diferente que las cuentas de grupo y usuario durante
un proceso de migración entre dominios en un bosque de Active Directory. Mientras que las
cuentas de grupo y usuario del dominio de origen se eliminan durante una migración interna del
bosque, las cuentas de equipo se dejan habilitadas en el dominio de origen y se crea una nueva
cuenta de equipo en el dominio de destino.
Lo que hace posible revertir la migración del equipo, en caso necesario. Tras completar la
migración y comprobar que el equipo funciona según lo esperado, puede eliminar de forma
segura la cuenta de equipo en el dominio de origen.
257
Migración de estaciones de trabajo y servidores miembro mediante el complemento de
ADMT
Puede migrar estaciones de trabajo y servidores miembro mediante el complemento de ADMT, la
1. En el equipo del dominio de destino donde se instala ADMT, inicie sesión utilizando una
cuenta de usuario que sea miembro del grupo de migración de recursos de ADMT.
2. Utilice el Asistente para migración de cuentas de equipos siguiendo los pasos de la tabla
siguiente.

servidor principal único flexible o FSMO)
se utiliza siempre como el controlador de
su selección.
258

O bien

como Omitir.

contenedor, haga clic en la unidad
organizativa del dominio de destino al que
se migran los equipos y, a continuación,

locales.
de usuarios.

Al ejecutar una migración dentro del mismo
bosque, ADMT migra el historial de
identificadores de seguridad (SID) y
elimina el objeto de origen. Por lo tanto, al
realizar una migración en el mismo
bosque, ADMT sólo permite la conversión
de seguridad en el modo Reemplazar.

259
Migración de estaciones de trabajo y servidores miembro mediante la opción de línea
de comandos de ADMT

Siguiente.

dominio de destino.

finalizado el asistente, haga clic en Ver registro para ver la lista de equipos, estado de
conclusión y la ruta al archivo de registro para cada equipo. Si se informa de un error en
un equipo, tendrá que consultar el archivo de registro de dicho equipo para revisar
cualquier problema con los grupos locales. El archivo de registro de cada equipo se
denomina MigrationTaskID.log, y se almacena en la carpeta
1. En el equipo del dominio de destino donde se instala ADMT, inicie sesión utilizando una
cuenta de usuario que sea miembro del grupo de migración de recursos de ADMT.
ADMT COMPUTER /N "<nombre_equipo1>" "<nombre_equipo2>" /IF:YES
/SD:"<dominio_origen>" /TD:"<dominio_destino>" /TO:"<unidad_organizativa_destino>"
[/M: "nombre de cuenta de servicio administrada 1” “nombre de cuenta de servicio
administrada 2”] [/UALLMSA:Yes] /RDL:1

260
La siguiente tabla enumera los parámetros necesarios para la migración de estaciones
de trabajo y servidores miembro, los parámetros de la línea de comandos y los
equivalentes de archivo de opciones.

comandos
Dentro de un /IF:YES IntraForest=YES

mismo bosque

origen>

destino>
Actualizar las /M:“nombre de cuenta de UpdateMSAName=:“nombre de

cuentas de servicio servicio administrada” cuenta de servicio administrada”
administradas
especificadas
Nota
El
paráme
tro /M
tiene
prefere
ncia
sobre
el
paráme
tro
/UALL
MSA.

administradas
Actualizar cuentas /M “nombre 1” “nombre 2”… UPDATEMSANAME= “nombre 1”

administradas
específicas
Nota
El
paráme
261
comandos
tro /M
tiene
prefere
ncia
sobre
el
paráme
tro
/UALL
MSA.
destino>

(minutos)

Opciones de /TOT:ADD TranslationOption=YES

conversión de
seguridad

de usuario

locales

organizativa del dominio de destino. Compruebe que las estaciones de trabajo y los
servidores miembro existen en la unidad organizativa del dominio destino.
262
Migración de estaciones de trabajo y servidores miembro mediante una secuencia de
comandos
 Utilice la siguiente lista para preparar una secuencia de comandos que incorpore los
comandos de ADMT y las opciones para migrar estaciones de trabajo y servidores
miembro dentro de un bosque. Copie la secuencia de comandos en el Bloc de notas y
guarde el archivo con la extensión .wsf en la misma carpeta que el archivo
AdmtConstants.vbs.
<Job id=" MigratingWorkstationsMemberServersWithinForest" >
Option Explicit
Dim objMigration
'
'
'
'
'
'
263
Para migrar grupos locales de dominio usando el complemento de ADMT
'
'
Array("nombre de equipo1" ,"nombre de equipo2")
</Script>
</Job>
Migrar grupos locales de dominios

Migre los grupos locales de dominio que existen en el dominio de Active Directory. Puede migrar
grupos locales de dominio mediante el complemento de la Herramienta de migración para Active
Directory (ADMT), la opción de línea de comandos ADMT o secuencia de comandos.
 Utilice el Asistente para migración de cuentas de grupo siguiendo los pasos de la tabla
siguiente.

264

Al realizar dentro del mismo bosque, el
controlador de dominio que realiza el papel
de servidor principal de operaciones de
identificador relativo (RID) (también
conocidas como operaciones de servidor
principal único flexible o FSMO) se utiliza
siempre como el controlador de dominio de
origen, independientemente de su
selección.

Siguiente.
O bien

En Buscar un contenedor, busque la
unidad organizativa en el dominio de
265
Para migrar grupos locales de dominio usando la opción de línea de comandos de
ADMT
destino a la que desea migrar los grupos

locales de dominio y, a continuación, haga
clic en Aceptar.

opciones.
Conflictos de nombre Haga clic en Omitir las cuentas en

conflicto y no migrar.
Como alternativa, puede incluir parámetros en un archivo de opciones que se

especifique en la línea de comandos, de la manera siguiente:
En la tabla siguiente se muestran los parámetros necesarios para migrar grupos locales
de dominio, los parámetros de línea de comandos y los equivalentes del archivo de
opciones. Para obtener una lista completa de todos los parámetros disponibles, consulte
la Ayuda de ADMT v3.1.

un mismo
bosque

de
destino>
266
Migración de grupos locales de dominio mediante una secuencia de comandos
<Unidad "
organizativ
a de
destino>


organizativa del dominio de destino. Compruebe que los grupos locales de dominio
existen en la unidad organizativa del dominio de destino.
 Utilice una secuencia de comandos que incorpora comandos y opciones de ADMT para
migrar grupos locales de dominio. Puede usar la misma secuencia de comandos que ha
usado para migrar grupos universales. Para obtener más información sobre la migración
de grupos universales, consulte Migrar grupos universales, anteriormente en esta guía.
Ejemplo: Reestructuración de dominios de

Active Directory
Contoso Corporation desea migrar los objetos del dominio África al dominio EMEA. Para
minimizar el impacto sobre los usuarios y reducir el tiempo en que el tráfico de red resultaría
afectado, Contoso decidió realizar la migración de objetos de dominio en el menor tiempo
posible. Durante la migración, todos los grupos globales que se migran se convierten en grupos
universales hasta que cada usuario propietario del grupo se migre al dominio de destino. Como
el bosque incluye dominios que se ejecutan en el nivel funcional de Windows Server 2003, sólo
se replican los cambios graduales de pertenencia de los grupos universales en el catálogo
global.
Los administradores de Contoso crearon un exhaustivo laboratorio de pruebas para analizar el
proceso de migración antes de continuar. Probando los procedimientos determinaron que
podrían completar el proceso de migración en dos semanas. Los grupos universales y globales
se migrarían el lunes y el martes de la primera semana. El miércoles se migrarían las cuentas de
267
servicio y se actualizarían los servicios. Jueves, viernes y sábado se reservarían para la
migración de cuentas de usuario. Los servidores se migrarían el domingo de la primera semana.
La segunda semana se dedicaría a la migración de servidores y estaciones de trabajo. Los
grupos locales se migrarían al final de la segunda semana.
Finalización de las tareas posteriores a la

migración
Una vez completadas todas las tareas de migración necesarias para reestructurar sus dominios
de Active Directory en un bosque, debe verificar que la migración se produjo según lo planeado y
completar algunas tareas posteriores a la migración. La siguiente ilustración muestra el proceso
de realización de las tareas posteriores a la migración.
Examen de los registros de migración en

busca de errores
268
Nota
La Herramienta de migración para Active Directory (ADMT) conserva un registro detallado de

cada acción que realiza cuando migra recursos entre dominios de Active Directory. Los errores
que se producen durante el proceso de migración se incluyen en el registro de migración,
aunque no produzcan un mensaje de advertencia en ADMT. La comprobación del registro de
migración tras la migración es una buena forma de comprobar que todas las tareas se han
completado correctamente. Dado que es importante completar los pasos de la migración en un
orden específico, es mejor comprobar el registro de migración después de cada paso, de manera
que pueda descubrir cualquier error a tiempo para solucionarlo.
Los archivos de registro se crean en la carpeta Windows\ADMT\Logs del equipo donde
está instalada ADMT.
Acceso a archivos de registro de ADMT

ADMT registra cada tarea de migración y almacena los registros en la base de datos de ADMT.
Los registros de las últimas 20 tareas de migración se almacenan en el equipo local. Puede ver
la información del registro que se almacena en la base de datos de ADMT desde el complemento
de ADMT, o puede usar el comando admt task para recuperar y almacenar dicha información en
una ubicación específica.
Cuando realiza migraciones entre distintos bosques, puede seleccionar si desea registrar los
atributos de cada usuario, grupo y objeto de equipo migrado. Se denomina registro detallado y se
realiza con el comando admt config logging.
Para obtener más información y ejemplos de comandos relacionados con el acceso a los
archivos de registro de ADMT, busque "admt config logging" o "admt task" en la Ayuda de ADMT.
Comprobar tipos de grupos

La Herramienta de migración para Active Directory (ADMT) cambia los grupos globales en
grupos universales cuando los migra desde el dominio de origen al de destino. El cambio tiene
lugar automáticamente porque los grupos globales sólo pueden contener miembros de su propio
dominio. Por tanto, no pueden continuar siendo grupos globales cuando se migran a otro dominio
hasta que migran los miembros del grupo. ADMT vuelve a cambiar los grupos universales a
grupos globales cuando el último miembro del grupo migra al dominio de destino. Como los
grupos universales replican su pertenencia en el catálogo global, es importante comprobar que
los grupos universales se han vuelto a cambiar correctamente en grupos globales.
Use el complemento Usuarios y equipos de Active Directory para comprobar que los grupos
universales han migrado correctamente. Si ha cambiado manualmente los grupos locales de
dominio en grupos universales, asegúrese de que los vuelve a cambiar en grupos locales de
dominio cuando todos los recursos hayan migrado.
269
Importante
Conversión de seguridad en servidores miembro mediante el complemento de ADMT
Conversión de seguridad en los servidores

miembro
Convierta la seguridad en los servidores miembro para limpiar las listas de control de acceso
(ACL) de los recursos. Tras la migración de los objetos al dominio de destino, los recursos
contienen entradas de listas ACL de los objetos del dominio de origen. Aunque el historial de
identificadores de seguridad (SID) proporciona acceso a los recursos durante la migración, las
listas ACL se deben limpiar después de la migración para contener el nuevo SID principal de los
grupos migrados. Use el Asistente para conversión de seguridad en ADMT para reemplazar los
SID del dominio de origen con los SID del dominio de destino.
Si ha migrado cuentas de servicio administradas entre dominios dentro del mismo
bosque, ejecute la conversión de seguridad en los servidores miembro del dominio de
origen que tengan recursos con permisos de acceso a la cuentas de servicio
administradas. Las cuentas de servicio administradas que se migran entre diferentes
dominios en el mismo bosque se copian. Se crea una nueva cuenta en el dominio de
destino y las propiedades de la cuenta (excepto SID) se copian desde el dominio de
origen. Por tanto, será necesario ejecutar la conversión de seguridad. Para obtener más
información, consulte Migración de cuentas de servicio administradas.
 Utilice el Asistente para la conversión de seguridad siguiendo los pasos de la tabla
siguiente.

migrados.
Si planea usar un archivo de asignación de
SID, haga clic en Otros objetos
especificados en un archivo y, a
continuación, proporcione la ubicación del
archivo de asignación de SID que ha
creado.

lista desplegable Controlador de dominio,
270

Al realizar dentro del mismo bosque, el
controlador de dominio que realiza el papel
de servidor principal de operaciones de
identificador relativo (RID) (también
conocidas como operaciones de servidor
principal único flexible o FSMO) se utiliza
siempre como el controlador de dominio de
origen, independientemente de su
selección.

cuentas de servicio, haga clic en Agregar
para seleccionar las cuentas del dominio
de origen que desea migrar, haga clic en
- o bien -
Convertir objetos Haga clic en Archivo y carpetas,

Recursos compartidos, Impresoras,
Derechos de usuario y Registro.
271
Conversión de seguridad en servidores
los servidores
miembro
miembro
mediante
mediante
unalasecuencia
opción dedelínea
comandos
de
comandos de ADMT
ENTRAR:
ADMT Security /N "<nombre_equipo1>" "<nombre_equipo2>" /SD:" <dominio_origen>"
/TD:" <dominio_destino>"
Donde <nombre_equipo1> y <nombre_equipo2> son los nombres de los equipos para los
que desea convertir la seguridad.
ADMT Security /N "<nombre_equipo1>" "<nombre_equipo2>" /O:" <archivo_opción>.txt"
La siguiente tabla enumera los parámetros comunes que se utilizan para la conversión
de seguridad en servidores miembro, junto con el parámetro de línea de comandos y los
equivalentes de archivo de opciones.

comandos

origen>

destino>
comandos de ADMT y las opciones para convertir la seguridad en servidores miembro.
<Job id=" TranslatingSecurityOnMemberServersWithinForest" >
Option Explicit
Dim objMigration
272
'
'
'
'
'
'
'
'
273
</Script>
</Job>
Conversión de seguridad mediante un

archivo de asignación SID
Si tiene que convertir la seguridad de forma que los permisos que se conceden a la cuenta o
grupo de origen se concedan ahora a la cuenta de destino, use un archivo de asignación de
identificador de seguridad (SID) para asociar las dos cuentas. El archivo de asignación de SID es
un archivo con formato de valores separados por comas (CSV) que enumera pares de cuentas,
bien en formato de nombre de cuenta de Windows NT (dominio\nombre) o en formato SID. La
cuenta de la izquierda es la cuenta de origen y la de la derecha la cuenta de destino. La
conversión de seguridad de la Herramienta de migración para Active Directory (ADMT) convierte
la seguridad de la cuenta de origen a la de destino.
Puede hacer referencia al archivo de asignación SID en el Asistente para conversión de
seguridad o desde la línea de comandos. La opción es /SMF de forma que toda la línea de
comandos es similar a la siguiente:
ADMT SECURITY /N "<nombre_equipo>" /SMF:"<ruta_acceso_archivo_asignación_sid>"
Baja del dominio de origen

Una vez que haya migrado todos los objetos del dominio de origen al dominio de destino,
incluidos todos los equipos y servidores miembro, sólo los controladores de dominio permanecen
en el dominio de origen. Para dar de baja el dominio de origen, ejecute el Asistente para la
instalación de Active Directory para quitar Active Directory o los Servicios de dominio de
Active Directory (AD DS) de los controladores de dominio en el dominio de origen.
Migre los controladores de dominio del dominio de origen al dominio de destino como servidores
miembros. Si es necesario, según la nueva función que se ha planificado para los servidores en
el dominio de destino, utilice el Asistente para la instalación de Active Directory para instalar
Active Directory o AD DS en los servidores miembro para devolverlos al estado de controlador de
274
dominio en el dominio de destino. Ejecute la conversión de seguridad en los controladores de
dominio, si en el equipo residen recursos que se usarán como nuevo controlador de dominio.
Ejemplo: Finalización de las tareas

posteriores a la migración
El equipo postmigración de Contoso Corporation inicia las tareas de postmigración durante la
primera semana de la migración. Los miembros del equipo examinan el registro de migración
una vez se ha completado el primer grupo de migraciones el primer día. Analizan el registro de
migraciones y definen la acción necesaria para migrar las cuentas en las que encuentren errores.
De esta forma, el equipo de migración puede continuar con la migración sin interrupciones.
Durante la segunda semana del proceso de migración, el equipo de implementación verifica que
los grupos globales han vuelto del estado de grupo universal al de grupo global una vez se ha
completado la migración de usuarios. Una vez se han migrado los servidores miembro, el equipo
de implementación ejecuta el Asistente para conversión de seguridad para quitar los
identificadores de seguridad (SID) del dominio de origen de las listas de control de acceso (ACL)
de los servidores miembro. Finalmente, los miembros del equipo de implementación dan de baja
el dominio África al final de la segunda semana quitando Active Directory o AD DS de los
controladores de dominio en el dominio África. A continuación, migran los controladores de
dominio al dominio Europa, Oriente Medio y África como servidores miembro.
Apéndice: Procedimientos avanzados

Los siguientes son procedimientos avanzados que puede utilizar para realizar varias tareas de
utilidad cuando reestructura dominios mediante la Herramienta de migración Active Directory
versión (ADMT).
 Configurar un controlador de dominio preferido
 Cambiar los nombres de objetos durante la migración
 Uso de un archivo de inclusión
 Uso de un archivo de opciones
Configurar un controlador de dominio

preferido
275
Nota
Para configurar un controlador de dominio preferido en el dominio de destino
origen
La Herramienta de migración para Active Directory (ADMT) permite seleccionar el controlador de

dominio de origen y de destino que se va a usar en una herramienta en lugar de depender del
ubicador del controlador de dominio para seleccionarlos.
La página Selección de dominio, que contiene todos los asistentes de ADMT, incluye ahora una
forma de seleccionar un controlador de dominio de origen y de destino explícito. Sólo se puede
seleccionar un controlador de dominio de escritura como controlador de dominio preferido.
Como alternativa, puede seleccionar Cualquier controlador de dominio en la lista desplegable.
Si especifica un controlador de dominio, se utilizará dicho controlador de dominio si está
disponible. Si selecciona Cualquier controlador de dominio, ADMT busca un controlador de
dominio preferido. Si no se ha configurado ninguno, ADMT usa el ubicador del controlador de
dominio para ubicar un controlador de dominio en el dominio especificado.
También puede especificar un controlador de dominio preferido mediante la opción de línea de
comandos admt config. Debe configurar de manera independiente los controladores de dominio
de origen y destino. Una vez configurado el controlador de dominio preferido, ADMT determina
su validez y disponibilidad y, a continuación, lo utiliza automáticamente cada vez que se ejecuta
ADMT.
Al realizar una migración dentro de un mismo bosque, el controlador de dominio que
almacena la función de servidor principal de operaciones de identificador relativo (RID)
(también concidas como operaciones de servidor principal único flexible o FSMO)
siempre se usa de forma predeterminada. Si selecciona un controlador de dominio
distinto del servidor principal de RID como controlador de dominio preferido, ADMT anula
su selección y siempre utiliza el servidor principal de RID.
 En un símbolo de sistema, escriba el siguiente comando y, a continuación, presione

ENTRAR:
admt config setdomaincontroller /Domain:<NombreDominio>
/sdc:<ControladorDominioOrigen>
Valor Descripción
NombreDominio Especifica el nombre de un dominio de Active

Directory.
SourceDomainController Especifica el nombre del equipo de un

controlador de dominio del dominio de origen.

ENTRAR:
admt config setdomaincontroller /Domain:<NombreDominio>
/tdc:<ControladorDominioDestino>
276
Para mostrar
borrar los
loscontroladores
controladoresdededominio
dominiopreferidos
preferidosdeque
un ha
dominio
configurado
especificado
Valor Descripción

Directory.
TargetDomainController Especifica el nombre del equipo de un

controlador de dominio del dominio de destino.
También puede borrar el controlador de dominio preferido que ha configurado en el dominio de

origen o destino.

ENTRAR:
admt config cleardomaincontrollers /Domain:<NombreDominio>
Valor Descripción

Directory.
También puede mostrar los controladores de dominio preferidos que ha configurado en el

dominio de origen o destino.

ENTRAR:
admt config getdomaincontrollers
Cambiar los nombres de objetos durante la

migración
En la Herramienta de migración Active Directory (ADMT), puede usar un archivo de inclusión
para cambiar el nombre de los objetos del dominio de origen de manera que adquieran un nuevo
nombre después de migrarlos al dominio de destino.
Para obtener más información sobre cómo usar un archivo de inclusión durante una migración,
consulte Uso de un archivo de inclusión.
Use el formato siguiente en un archivo de inclusión para cambiar el nombre del equipo, usuario u
objetos de grupo durante la migración.
277
Importante
Cambio de nombre de objetos mediante un archivo de inclusión
 Use SourceName, TargetRDN, TargetSAM y TargetUPN como encabezados de

columna en la parte superior del archivo de inclusión. SourceName es el nombre de la
cuenta de origen y se debe mostrar como el encabezado de la primera columna.
Nota
Si el nombre principal de usuario (UPN) de destino de un usuario exige que
especifique un nombre de dominio diferente del UPN del dominio de destino, use
este formato para garantizar que el nombre de usuario se conserva y que ADMT
no lo modifica durante la migración.
 Debe especificar el nombre de cuenta como nombre de usuario, nombre distintivo
relativo o nombre canónico. Si especifica el nombre de cuenta como un nombre distintivo
relativo, también debe especificar la unidad organizativa de origen.
 Los encabezados de columna TargetRDN, TargetSAM y TargetUPN son opcionales y
puede incluirlos en cualquier orden.
Nota
El encabezado de columna TargetUPN sólo es relevante durante las
migraciones de cuentas de usuario porque las cuentas de grupos y equipos no
tienen UPN.
A continuación se incluyen ejemplos de archivos de inclusión válidos en los que se usa la opción
de cambio de nombre:
SourceName,TargetSam
abc,def
Esta entrada de archivo de inclusión cambia el nombre de cuenta de TargetSam para el usuario
"abc" a "def.". TargetRDN y TargetUPN, que no se han especificado en el archivo de inclusión,
no cambian como resultado de la migración.
SourceName,TargetRDN,TargetUPN
abc,CN=def,def@contoso.com
Esta entrada de archivo de inclusión cambia TargetRDN para el usuario abc a CN=def y
TargetUPN a def@contoso.com. TargetSAM para el usuario abc no cambia como resultado de
la migración.
Debe especificar CN= antes de usar un valor RND.
Uso de un archivo de inclusión

Cuando migra un gran número de usuarios, grupos o equipos, es más eficaz utilizar un archivo
de inclusión. Un archivo de inclusión es un archivo de texto en el que se incluyen los objetos de
usuario, grupo y equipo que desea migrar, con cada objeto en una línea separada. Puede incluir
278
Especificación de un archivo de inclusión desde la
unlínea
asistente
de comandos
de ADMT
usuarios, grupos y equipos juntos en un archivo o puede crear un archivo independiente para
cada tipo de objeto.
Una vez creado el archivo (o archivos) de inclusión, especifique el nombre del archivo durante la
migración. La Herramienta de migración para Active Directory (ADMT) obtiene acceso al archivo
para obtener la información apropiada.
Especificación de un archivo de inclusión

Desde un asistente de ADMT
Desde la línea de comandos
 En:
 La página Opción de selección de equipos del Asistente para migración de
equipos
 La página Opción de selección de usuarios del Asistente para migración de
cuentas de usuario
 La página Opción de selección de grupos del Asistente para migración de cuentas
de grupo
Haga clic en Leer objetos de un archivo de inclusión. Cuando se muestre un
mensaje, especifique la ubicación del archivo de inclusión.

ENTRAR:
admt computer /sd:<DominioOrigen> /td:<DominioDestino> /F:<NombreArchivoInclusión>
Nota
Para obtener la sintaxis de línea de comandos apropiada para la migración de
usuarios y grupos, busque "admt user" y "admt group" en la Ayuda de ADMT
versión 3.1 (v3.1).
La siguiente información describe los campos de un archivo de inclusión y proporciona ejemplos

de cada campo:
Campo SourceName
El campo SourceName especifica el nombre del objeto de origen. Puede especificar un nombre
de cuenta o un nombre distintivo relativo. Si sólo especifica nombres de origen, es opcional
definir un encabezado en la primera línea del archivo.
Los siguientes ejemplos incluyen una línea de encabezado que indica el campo SourceName y
un nombre de objeto de origen que se especifica en varios formatos. La segunda línea especifica
un nombre de cuenta. La tercera línea especifica un nombre de cuenta en formato de nombre de
cuenta de Windows NT 4.0. La cuarta línea especifica un nombre distintivo relativo.
279
Nota
SourceName
name
domain\name
CN=name
Campo TargetName
Puede utilizar el campo TargetName para especificar un nombre base que se utilice para generar
un nombre distintivo relativo de destino, un nombre de cuenta del Administrador de cuentas de
seguridad (SAM) y un nombre principal de usuario de destino (UPN). El campo TargetName no
se puede combinar con otros campos de nombre de destino que se describirán a continuación.
El UPN de destino se genera sólo para los objetos de usuario y sólo se genera un prefijo
de UPN. Se anexa un sufijo de UPN mediante un algoritmo que depende de si se define
un sufijo de UPN para la unidad organizativa de destino o para el bosque de destino. Si
el objeto es un equipo, el nombre de cuenta del SAM de destino incluye un sufijo "$".
Dada la entrada del siguiente ejemplo, el nombre distintivo relativo de destino, el nombre de
cuenta del SAM de destino y el UPN de destino generado son "CN=newname", "newname" y
"newname" respectivamente.
SourceName,TargetName
oldname, newname
Campos TargetRDN, TargetSAM y TargetUPN
Puede utilizar los campos TargetRDN, TargetSAM y TargetUPN para especificar nombres de
destino diferentes para cada uno. Puede especificar una combinación de estos campos en
cualquier orden. TargetRDN especifica el nombre distintivo relativo de destino del objeto.
TargetSAM especifica el nombre de cuenta del SAM de destino del objeto. Tenga en cuenta que
en los equipos el nombre debe incluir un sufijo "$" para que sea un nombre de cuenta de SAM
válido para un equipo.
TargetUPN especifica el nombre principal de usuario (UPN) de destino del objeto. Puede
especificar sólo el prefijo de UPN o un nombre completo de UPN (prefix@suffix). Si el nombre
que especifica contiene caracteres " "o ",", debe incluir el nombre entre comillas dobles (").
Además, un carácter "," debe estar precedido de un carácter de espacio "\", de lo contrario se
producirá un error en la operación y ADMT registrará un error de sintaxis no válido en el archivo
de registro.
SourceName,TargetRDN
oldname, CN=newname
SourceName,TargetRDN,TargetSAM
oldname, "CN=New RDN", newsamname
SourceName,TargetRDN,TargetSAM,TargetUPN
oldname, "CN=last, first", newsamname, newupnname
SourceName,TargetSAM,TargetUPN,TargetRDN
280
Nota Nota
Utilice este formato cuando cambie el nombre de objetos de usuario, por ejemplo, para
llevar a cabo la especificación de un dominio de destino de un dominio diferente para el
UPN de destino. Para obtener más información, consulte Cambiar los nombres de
objetos durante la migración.
oldname, newsamname, newupnname@targetdomain.com, "CN=New Name"
También puede cambiar el nombre de objetos durante la migración mediante un archivo
de inclusión. Para obtener más información sobre cómo utilizar un archivo de inclusión,
consulte Cambiar los nombres de objetos durante la migración.
Uso de un archivo de opciones

Puede usar archivos de opciones para especificar uno o más parámetros para las tareas de
migración. Un archivo de opciones elimina la necesidad de proporcionar parámetros cada vez
que ejecuta una tarea desde la línea de comandos.
Dispone de dos opciones para crear un archivo de opciones. Puede:
 Crear un único archivo de opciones que contenga sectores para cada tipo de tarea de
migración.
 Crear archivos de opciones independientes con configuraciones exclusivas para cada tipo de
tarea de migración.
La sección de migración del archivo de opción especifica los parámetros que se aplican a todas
las tareas. Las siguientes secciones especifican los parámetros concretos de cada tarea.
Use el siguiente archivo de opciones como referencia para personalizar el archivo de opciones
de su migración.
[Migración]
IntraForest=No
SourceDomain=nombreDeDominioDeOrigen
SourceOu=SourceOuPath
TargetDomain=nombreDeDominioDeDestino
TargetOu=TargetOuPath
PasswordOption=Complex
PasswordServer=""
PasswordFile=""
ConflictOptions=Ignore
UserPropertiesToExclude=""
InetOrgPersonPropertiesToExclude=""
GroupPropertiesToExclude=""
281
Nota
ComputerPropertiesToExclude=""
[Usuario]
DisableOption=EnableTarget
SourceExpiration=None
MigrateSIDs=Yes
TranslateRoamingProfile=No
UpdateUserRights=No
MigrateGroups=No
UpdatePreviouslyMigratedObjects=No
FixGroupMembership=Yes
MigrateServiceAccounts=No
UpdateGroupRights=No
[Grupo]
MigrateSIDs=Yes
UpdatePreviouslyMigratedObjects=No
FixGroupMembership=Yes
UpdateGroupRights=No
MigrateMembers=No
DisableOption=EnableTarget
SourceExpiration=None
TranslateRoamingProfile=No
MigrateServiceAccounts=No
[Seguridad]
TranslationOption=Add
TranslateFilesAndFolders=No
TranslateLocalGroups=No
TranslatePrinters=No
TranslateRegistry=No
TranslateShares=No
TranslateUserProfiles=No
TranslateUserRights=No
SidMappingFile=SidMappingFile
Se pueden incluir comentarios para las opciones agregando un punto y coma al comienzo de la
línea.
Cuando no se especifica un parámetro, se usa el parámetro predeterminado.
282
Solución de problemas de ADMT
Para solucionar cualquier problema durante el proceso de migración, siga estas
recomendaciones:
 Solución de problemas de instalación de ADMT
 Solución de problemas relativos a la migración de usuarios
 Solución de problemas relativos a la migración de grupos
 Solución de problemas relativos a la migración de cuentas de servicios
 Solución de problemas relativos a la migración de cuentas de servicios administradas
 Solución de problemas relativos a la migración de equipos
 Solución de problemas relativos a la migración de contraseñas
 Solución de problemas relativos a la conversión de seguridad
 Solución de problemas relativos a la migración dentro de un mismo bosque
 Solución de problemas relativos a los archivos de registro de ADMT
 Solución de problemas relativos a la línea de comandos de ADMT
 Solución de problemas relativos a las operaciones de agentes
Solución de problemas de instalación de

ADMT
En este tema se describen problemas conocidos relacionados con la instalación de la
Herramienta de migración Active Directory.
Error en el inicio de ADMT después de que la instalación se realice correctamente y
cuando la versión de la base de datos es 0.0
Cuando la instalación de ADMT puede ubicar la instancia de la base de datos de SQL Server
Express Edition pero no puede crear la base de datos de ADMT como consecuencia de un
acceso denegado o por cualquier otro motivo, la instalación de ADMT puede realizarse
correctamente pero la página Finalizar indica Versión de base de datos: 0.0. La versión de
base de datos puede obtenerse también desde el archivo de registro en %windir
%\ADMT\Logs\admtsetup.log.
En este caso, se encontrará con el siguiente error cuando intente iniciar ADMT:
No se pueden comprobar las acciones erróneas...Error de inicio de sesión del usuario. El
usuario no está asociado a una conexión de SQL Server de confianza.
Para solucionar este error:
1. Desinstale ADMT.
283
Nota
2. Compruebe que el usuario ha escrito el acceso en la instancia especificada y puede crear la

base de datos.
El grupo de cuentas de servicio de SQL Server Express Edition que se crea durante la
instalación de SQL Server cuenta con permisos de acceso a la carpeta de base de datos de
ADMT. Es necesario agregar al usuario que instala ADMT al grupo de cuentas de servicio.
No obstante, si la cuenta que se utiliza para instalar ADMT es la misma que se utilizó para
instalar SQL Server Express Edition, la cuenta se agrega a este grupo como parte de la
instalación de SQL Server.
En SQL Server 2005 Express Edition, el grupo de cuentas de servicio es
SQLServer2005MSSQLUser$nombre del equipo$nombre de instancia.
En SQL Server 2008 Express Edition, el grupo de cuentas de servicio es
SQLServerMSSQLUser$nombre del equipo$nombre de instancia.
3. Reinstale ADMT.
Si observa este comportamiento con la versión completa de SQL Server, compruebe que
la cuenta que instala ADMT tiene permisos para crear y conectarse a la base de datos en
la instancia de SQL Server.
Solución de problemas relativos a la

migración de usuarios
En este tema se describen problemas conocidos relativos a la migración de usuarios con la
Los caracteres especiales se sustituyen cuando se migran los nombres de cuentas
ADMT sustituye los siguientes caracteres por un signo de subrayado “_” en el nombre de cuenta
del Administrador de cuentas de seguridad (SAM) y en el nombre principal de usuario (UPN) de
versiones anteriores a Windows 2000:
"*+,/:;<=>?[\]|
El punto “.” se sustituye por un signo de subrayado “_” si es el último carácter del nombre.
La pertenencia a grupos de las cuentas de destino se actualiza después de las posteriores
migraciones de usuarios
Al migrar un usuario que se ha migrado anteriormente, la opción Migrar grupos de usuario
asociados del Asistente para migración de cuentas de usuarios actualiza la pertenencia a
grupos de la cuenta migrada. Durante las posteriores migraciones de usuarios, cualquier grupo
nuevo del que la cuenta de usuario de origen sea miembro se agrega a la pertenencia del grupo
del usuario en la cuenta de destino.
Ejemplo: Roberto es un usuario del dominio HB-ACCT-WC. Es miembro del grupo HB-ACCT-WC
\Writers y se migra junto con el grupo Writers al dominio de destino hay-buv.tld (nombre NetBIOS
284
HAY-BUV). Tras la primera migración, Roberto es miembro de HAY-BUV\Writers. Roberto
también se agrega a los siguientes grupos en el dominio de origen después de su primera
migración:
1. HB-ACCT-WC\Roberto se agrega al grupo HB-ACCT-WC\Editors
2. HAY-BUV\Roberto se agrega a HAY-BUV\TechEditors.
Cuando se vuelva a migrar la cuenta HB-ACCT-WC\Roberto para revisar sus cuentas de grupo,
HAY-BUV\Roberto será miembro de HAY-BUV\Writers.
Para restablecer la cuenta solamente con los grupos del usuario de origen, deberá eliminar la
cuenta de destino y después repetir la migración de la cuenta de origen.
También se pueden volver a migrar grupos con la opción Quitar los miembros existentes.
Los permisos de un usuario migrado desde un dominio de Active Directory se restablecen
a sus valores predeterminados durante la migración.
Al migrar un usuario desde un dominio a otro de Active Directory, el Asistente para migración de
cuentas de usuario crea un nuevo descriptor de seguridad en objetos de usuario migrados con
opciones de configuración del dominio de destino. La ficha Seguridad sólo es visible si
selecciona Ver\Características avanzadas.
Este comportamiento se produce de forma predeterminada porque el dominio de destino, y no el
de origen, dicta la configuración de seguridad de la cuenta de usuario migrada.
Se muestra un mensaje de error incorrecto durante la corrección de un grupo de usuarios
si se elimina una cuenta
Después de una migración, si se elimina una cuenta de usuario del dominio de destino y se
migra un grupo que contenía la cuenta de usuario en el dominio de origen (como miembro de
otro grupo) entre los mismos dominios, ADMT registra el siguiente mensaje de error incorrecto:
No se puede agregar <cuenta> a <grupo>, porque <cuenta> no ha migrado al dominio de
destino.
Si recibe este mensaje de error, vuelva a migrar la cuenta de usuario al dominio de destino.
Se ha ignorado la exclusión de la propiedad useraccountcontrol
La propiedad de usuario userAccountControl siempre se copia cuando migra desde dominios
Windows NT 4.0. Incluso si elige excluir esta propiedad en la página del asistente Exclusión de
propiedad de objetos, se ignora la exclusión y se migra la propiedad.
Sin embargo, cuando migra desde dominios Active Directory, la exclusión de esta propiedad se
cumple y no se copia durante la migración de usuario.
No ha funcionado la opción Quitar los derechos de usuario existentes.
Causa: no se puede realizar esta operación si la plantilla Directiva de grupo asociada a un
usuario cuyos derechos de usuario se están quitando contiene el nombre cualificado del usuario
que no es del dominio (por ejemplo, si contiene Usuario1 en lugar de DominioA\Usuario1).
Solución: corrija la entrada del nombre de usuario en la plantilla Directiva de grupo.
Cuando intenta migrar usuarios con el historial SID, recibe el siguiente error:
No se puede migrar usuarios. No se realizó la siguiente configuración requerida para el historial
SID. No se habilitó la auditoría en el dominio de destino. Error no especificado (0x80004005)
285
Este error se puede deber a que algunas subcategorías de la directiva de auditoría del servicio
de directorio no están habilitadas de forma predeterminada en Windows Server 2008 y Windows
Server 2008 R2. Para migrar usuarios con su SID History deben estar habilitadas todas las
subcategorías. Para obtener más información acerca de cómo habilitarlas, consulte
Configuración de los dominios de origen y destino para la migración del historial de SID.

migración de grupos
En este tema se describen problemas conocidos relativos a la migración de grupo con la
El grupo local contiene tanto la cuenta de origen como la cuenta de destino cuando se
migra dicha cuenta después de migrar el grupo local
Cuando migra un miembro de un grupo local migrado previamente, la cuenta de origen de ese
miembro no se quita al agregar el miembro de destino. Si se migra el miembro antes de migrar el
grupo local, sólo se agrega el miembro de la cuenta de destino.
Este comportamiento se produce de forma predeterminada y sólo se aplica a migraciones de un
bosque a otro.
La lista de miembros de grupo no se actualiza en un grupo que incluye un grupo migrado
de otro dominio
Si migra un grupo, todo grupo de otro dominio que incluya el grupo original como miembro
seguirá haciendo referencia al grupo del dominio de origen. Cuando realiza una migración dentro
del mismo bosque, los miembros de grupo mantienen el acceso a los recursos porque el historial
de identificadores de seguridad (SID) se migra automáticamente. Cuando realiza una migración
dentro del mismo bosque, la pertenencia a un grupo debe corregirse a menos que se migre el
historial de SID.
Utilizar el Asistente para migración de grupos para migrar usuarios que pertenecen a
grupos anidados
Si se selecciona Migrar grupos de usuarios asociados, el Asistente para migración de cuentas
de usuario migra solamente los grupos de los que es miembro directo el usuario. No migra los
grupos de los que es miembro el usuario mediante el anidamiento de grupos.
Cuando se migran grupos mediante el Asistente para migración de cuentas de grupo, si se ha
seleccionado Copiar miembros de grupo, el asistente migra recursivamente todos los usuarios
y grupos que son miembros de ese grupo, incluidos los grupos que lo son mediante el
anidamiento de grupos.
Si en el dominio de origen se ejecuta Windows 2000 o Windows Server 2003 con anidamiento de
grupos, se recomienda migrar los objetos afectados mediante el Asistente para migración de
grupos, si desea conservar la pertenencia a grupos obtenida mediante dicho anidamiento.
286
Para agregar una excepción del Firewall de Windows para la Administración remota de
servicios

migración de cuentas de servicios
En este tema se describen problemas conocidos relativos a la migración de cuentas de servicio
con la Herramienta de migración Active Directory.
Debe tener los derechos apropiados para actualizar una cuenta de servicios en un equipo
remoto cuando migra una cuenta.
La cuenta de usuario que ejecuta ADMT debe tener derechos de inicio de sesión local en
cualquier equipo remoto al que la herramienta distribuya un agente. Esto también es aplicable a
cualquier equipo remoto cuyo Administrador de control de servicios (SCM) se modifique mientras
se migra una cuenta de servicios con el Asistente para migración de cuentas de usuarios. Si la
cuenta no tiene el derecho de cambiar el SCM, la cuenta de servicios seguirá migrándose al
dominio de destino, pero el servicio del equipo remoto no se actualizará para utilizar la cuenta del
dominio de destino. Para actualizar el servicio en el equipo remoto, ejecute el Asistente para
migración de cuentas de servicios y seleccione la opción No, usar la información recogida
anteriormente en la página Actualizar información. Puesto que la falta de acceso del usuario
no se indica siempre como un error en el Progreso de la migración, se recomienda consultar el
archivo de registro de la migración para ver si hay errores tras la migración de cuentas de
servicios.
Los servicios deben identificarse en todos los equipos antes de migrar cuentas de
servicios
Si se identifican servicios en servidores usando el Asistente para migración de cuenta de
servicios después de que haya tenido lugar la migración de usuario, la configuración de estos
servicios con la cuenta migrada y la contraseña dará lugar a error. Para configurar estos
servicios, tiene que volver a ejecutar la migración de usuarios.
La migración de cuentas de servicios en Windows Server 2008 y Windows Vista emplea
más tiempo del esperado
Si está ejecutando una migración de cuentas de servicios en un equipo que está ejecutando
Windows Server 2008 o Windows Vista y está tardando mucho más tiempo del esperado, puede
aumentar el rendimiento habilitando una excepción del Firewall de Windows para la
Administración remota de servicios en el equipo que se está usando. Para obtener más
información, consulte el procedimiento siguiente.
1. Abra el Panel de control (Vista clásica) y, a continuación, abra el Firewall de Windows.

2. Haga clic en la ficha Excepciones.
3. Asegúrese de que se ha seleccionado la casilla de verificación Administración remota
de servicios.
287
Seguridad
4. Haga clic en Aceptar.

migración de cuentas de servicios
administradas
En este tema se describen los problemas conocidos relativos a la migración de cuentas de
servicio administradas con la Herramienta de migración Active Directory. Las cuentas de servicio
administradas sólo se pueden migrar con ADMT v3.2.
Es posible que si el Asistente para migración de equipos se bloquea, tenga que revocar
los cambios en el descriptor de seguridad de una cuenta de servicio administrada.
Si migra un equipo que tiene cuentas de servicio administradas instaladas y las ha migrado,
ADMT instala dichas cuentas en el equipo después de que éste se haya migrado al dominio de
destino. Antes de que ADMT instale una cuenta de servicio administrada, cambia el descriptor de
seguridad en la cuenta para que conceda permisos al equipo de destino para restablecer la
contraseña y modificar el atributo userAccountControl. Cambiar el descriptor de seguridad es
necesario para que se instalen las cuentas de servicio administradas.
Mientras el equipo tenga los permisos elevados, un servicio de red del equipo puede
tener la posibilidad de deshabilitar una cuenta de servicio administrada. Por lo tanto,
puede iniciar un ataque por denegación de servicio en aquellos servicios que se estén
ejecutando en el contexto de seguridad de la cuenta de servicio administrada. El
atacante también puede utilizar los credenciales de la cuenta de servicio administrada
para tener acceso a otro tipo de datos.
Para mitigar el riesgo, ADMT registra como referencia los cambios hechos al descriptor de
seguridad de las cuentas de servicio administradas. Si el Asistente para migración de equipos se
bloquea, compruebe el archivo de registro del equipo migrado. Para cada cuenta de servicio
administrada, compruebe que se revocó el permiso. Si el permiso no se revocó, realice estos
cambios manualmente en Active Directory Domain Services (AD DS) para impedir que los
equipos de destino reciban permisos elevados para restablecer contraseñas y habilitar y
deshabilitar las cuentas de servicio administradas.
Los cambios realizados en los descriptores de seguridad se registran en el archivo de registro de
la migración del equipo denominado Migration<TaskID>.log. Este archivo se ubica en la carpeta
%windir%\ADMT\Logs del equipo que ejecuta ADMT. Los mensajes de registro y las
descripciones de los mismos se enumeran en la siguiente tabla.
Mensaje de registro El mensaje se registra cuando ...
El descriptor de seguridad para la cuenta de ADMT modifica con éxito el descriptor de

servicio administrada '%1' permite que el seguridad de una cuenta de servicio
288
Para revocar
Mensaje los cambios realizados en el descriptor
de registro El mensajede
seseguridad de una
registra cuando ... cuenta
migrada de servicios administrada
equipo '%2' restablezca su contraseña y administrada.
modifique su atributo userAccountControl.
El descriptor de seguridad se ha restaurado ADMT restaura con éxito el descriptor de

para la cuenta de servicio administrada '%1'. seguridad de una cuenta de servicio
administrada.
No se puede modificar el descriptor de ADMT no modifica el descriptor de seguridad

seguridad para la cuenta de servicio de una cuenta de servicio administrada.
administrada '%1', hr=%2!lx!. La siguiente
instalación de esta cuenta de servicio
administrada en el equipo '%3' generará un
error.
No se restaura el descriptor de seguridad para ADMT no restaura el descriptor de seguridad

la cuenta de servicio administrada '%1', hr=%2! de una cuenta de servicio administrada.
lx!.
Complete el siguiente procedimiento para revocar manualmente los cambios realizados en el

descriptor de seguridad.
1. Abra Usuarios y equipos de Active Directory. Para abrir Usuarios y equipos de Active
Directory, haga clic en Inicio, en Panel de control, haga doble clic en Herramientas
administrativas y, a continuación, haga doble clic en Usuarios y equipos de Active
Directory.
2. Haga clic en Ver y, a continuación, haga clic en Características avanzadas.
3. Desplácese al contenedor donde esta la cuenta de servicio administrada, haga clic con
el botón secundario en la cuenta y, a continuación, haga clic en Propiedades.
De forma predeterminada, las cuentas de servicio administradas se crean en el
contenedor Cuentas de servicio administradas
4. Haga clic en la ficha Seguridad y, a continuación, en la entrada de control de acceso al
objeto de equipo.
5. Para Restablecer contraseña, desactive la casilla de verificación Permitir.
6. Haga clic en Avanzadas.
7. Haga clic en la entrada de control de acceso al objeto de equipo, luego en Editar y, a
continuación, para Escribir userAccountCntrol desactive la casilla de verificación
Permitir.
8. Haga doble clic en Aceptar, luego en Aplicar y, a continuación, de nuevo en Aceptar
para cerrar el cuadro de diálogo Propiedades.
289
Nota

migración de equipos
En este tema se describen problemas conocidos relativos a la migración de equipos con la
Herramienta de migración Active Directory (ADTM).
La migración de equipos dentro del mismo bosque no deshabilita la cuenta de equipo en
el dominio de origen
Después de una migración de equipos dentro del mismo bosque, no se deshabilita ni elimina la
cuenta de equipo migrada en el dominio de origen. Este comportamiento se produce de forma
predeterminada.
Para deshabilitar o eliminar las cuentas de los equipos migrados en del dominio de origen,
escriba una sencilla secuencia de comandos de Interfaces de servicio de Active Directory (ADSI).
Aunque se produzca un error en la migración, se crea una cuenta de equipo
Si en la migración de un equipo se produce un error debido a un error relacionado con el agente,
la cuenta de equipo creada en el dominio de destino para el equipo que se pretendía migrar no
se elimina.
Si selecciona Migrar y combinar objetos en conflicto en la página Gestión de
conflictos del Asistente para migración de cuentas de equipos, no tiene que eliminar la
cuenta de equipo que se creó en el dominio de destino antes de volver a intentar migrar
el equipo.
Los equipos se migran antes que cualquier grupo en una migración en el mismo bosque
Cuando realiza una migración en el mismo bosque, si tiene equipos que son miembros de
grupos (distintos del grupo Equipos del dominio), debe migrar siempre esos equipos antes que
los grupos a los que pertenecen. Esta condición se aplica a las migraciones dentro de un mismo
bosque y evita que los equipos pierdan su pertenencia al grupo.
Error ocasional del servicio del agente remoto de ADMT
Si se produce un error al implementar el servicio del agente remoto de ADMT en un equipo
remoto durante una migración de equipos, conversión de seguridad, identificación de cuentas de
servicios o informe de referencia de cuentas, es posible que el agente no pueda detenerse o
desinstalarse automáticamente. Si esto se produce, recibirá el mensaje “Ya se está ejecutando
una instancia del agente” con cada implementación posterior del agente hasta que se cierre el
proceso de agente ADMT o se reinicie el equipo remoto.
La migración de equipos puede fallar si ya existe una cuenta de equipo con el mismo
nombre NetBios en el dominio de destino
Cuando migre un equipo entre dos dominios, la distribución del agente puede fallar si ya existe
una cuenta de equipo en el dominio de destino con el mismo nombre NetBIOS que el equipo que
se está migrando desde el dominio de origen.
290
Para cambiar la pertenencia al
a un
dominio
dominiode de
unun
equipo
equipo
queque
ejecuta
está ejecutando
Windows Vista,
Windows 7,
2000
Windows
(para ADMT
Server
v3.1)
2008o oWindows
WindowsServer
Server2003
2008 R2
ADMT no ha podido cambiar la afiliación de dominio de un equipo concreto. Este error

provocó la pérdida de la afiliación del equipo con todos los dominios.
Causa: este error puede ser consecuencia de una configuración incorrecta del entorno de
migración o del mal funcionamiento de los equipos, ya sean de origen o de destino.
Solución: agregue el equipo a un dominio y cree en él la cuenta de equipo siguiendo los pasos
que se describen a continuación:
Para agregarse a un dominio, deberá proporcionar credenciales de una cuenta que tenga
permisos administrativos en el dominio al que desea agregar el equipo. Debe reiniciar el equipo
para terminar de agregar el equipo al dominio.
1. Inicie la sesión en el equipo que usa una cuenta que tiene credenciales locales de
administrador.
2. En el escritorio, haga clic con el botón secundario en Mi PC y, después, haga clic en
Propiedades.
3. En la ficha Nombre de equipo, haga clic en Cambiar.
4. En Cambios en el nombre de equipo, seleccione Dominio: y, a continuación, escriba
el nombre del dominio al que quiere agregar este equipo. Haga clic en Aceptar y,
cuando se le pida que reinicie el equipo, haga clic de nuevo en Aceptar.
1. Inicie la sesión en el equipo que usa una cuenta que tiene credenciales locales de
administrador.
2. Haga clic en Inicio, haga clic con el botón secundario en Equipo y, a continuación, haga
clic en Propiedades.
3. Haga clic en Cambiar configuración.
4. En la ficha Nombre de equipo, haga clic en Cambiar.
5. En Cambios en el nombre de equipo, seleccione Dominio y, a continuación, escriba el
nombre del dominio al que desea agregar este equipo. Haga clic en Aceptar y, cuando
se le pida que reinicie el equipo, haga clic de nuevo en Aceptar.

migración de contraseñas
En este tema se describe un problema conocido relacionado con la migración de contraseñas
con la Herramienta de migración Active Directory.
291
Para quitar
habilitar
el la
indicador
posibilidad
El usuario
de cambiar
debela
cambiar
contraseña
la contraseña
de usuario
Las contraseñas migradas podrían no cumplir la directiva de contraseñas del dominio de

destino.
La migración de contraseñas en ADMT omite las comprobaciones de la directiva de contraseñas.
Si se establece una directiva de contraseñas, no se puede implementar hasta que la contraseña
se cambie. Por este motivo, ADMT siempre requiere que los usuarios migrados cambien sus
contraseñas la próxima vez que inicien sesión.
Después de una migración entre distintos bosques, los usuarios no pueden iniciar sesión
en su nuevo dominio.
Causa: al realizar una migración entre distintos bosques, ADMT siempre establece la opción El
usuario debe cambiar la contraseña para los usuarios migrados. Si la cuenta de usuario tiene
activada la opción El usuario no puede cambiar la contraseña, la cuenta de destino no podrá
iniciar sesión hasta que se cambie una o ambas opciones.
Solución: cambie las opciones siguiendo uno de los siguientes procedimientos:
1. En Usuarios y equipos de Active Directory, en el menú Ver, haga clic en Características

avanzadas.
2. Haga clic con el botón del mouse (ratón) secundario en el usuario y, a continuación,
haga clic en Propiedades.
3. En la ficha Seguridad, conceda el permiso de Cambiar contraseña a Todos y al
usuario.
 En Usuarios y equipos de Active Directory, haga clic con el botón secundario en el

usuario y, a continuación, haga clic en Restablecer contraseña.
Después de una migración dentro del mismo bosque, los usuarios no pueden iniciar
sesión en su nuevo dominio.
Causa: puede que las contraseñas de cuentas de usuario que se utilizaban en el antiguo
dominio infrinjan las restricciones de contraseña del nuevo dominio.
En una migración dentro del mismo bosque, las contraseñas de cuentas de usuario del dominio
de origen se migran al dominio de destino. Si las cuentas de usuario del dominio de origen tienen
contraseñas que infringen las restricciones de contraseña (como el número mínimo de
caracteres, por ejemplo) del de destino, los usuarios migrados afectados no podrán iniciar
sesión, a menos que la contraseña se haya configurado con un valor que se ajuste a las
directivas de contraseña del dominio de destino.
Si los usuarios intentan utilizar las contraseñas incorrectas, sus nuevas cuentas de usuario se
bloquearán. Si seleccionó Deshabilitar cuentas de destino en el Asistente para migración de
cuentas de usuario, las nuevas cuentas de usuario se deshabilitarán. El resultado será que los
usuarios migrados quizá no puedan iniciar sesión hasta que sus cuentas se desbloqueen o se
marquen como habilitadas.
292
Solución: restablezca las contraseñas de cuentas de usuario en un valor que se ajuste a la
directiva de contraseña del nuevo dominio y habilite las cuentas de usuario si anteriormente
habían sido deshabilitadas como resultado de continuos errores de contraseña.
A los usuarios migrados les aparece un error indicando que su nombre o contraseña de
usuario es incorrecto.
Causa: los usuarios migrados no pueden iniciar sesión debido a la directiva de contraseña,
aunque parezca que las directivas de contraseña están deshabilitadas.
Durante una migración, algunos administradores pueden decidir deshabilitar las directivas de
contraseña en el dominio de destino. Si intentan llevar esto a cabo desactivando la directiva de
caracteres mínimos de la contraseña sin establecer la directiva de contraseña en cero, es posible
que, al haber aún una directiva de contraseña activa, los usuarios no puedan iniciar sesión.
Solución: establezca la directiva de caracteres mínimos de la contraseña en cero. Una vez que
la directiva de longitud esté establecida en cero, podrá desactivarse la directiva de longitud
mínima de la contraseña.

En este tema se describen problemas conocidos relativos a la conversión de seguridad con la
La conversión de seguridad no afecta al perfil de Outlook
Cuando seleccione Perfiles de usuario en la página Convertir objetos del Asistente para la
conversión de seguridad, la seguridad no se convierte en los perfiles de Microsoft Office
Outlook®. Para solucionar los perfiles de Outlook para las cuentas migradas, utilice el Asistente
para migración de Exchange Server de Microsoft. El Asistente para migración de
Exchange Server se incluye e instala con Exchange Server a partir de Exchange Server 2003.
La conversión de seguridad en las claves del registro nativas no está disponible cuando
ejecuta versiones de 64 bits anteriores a Windows Vista
Este es un problema conocido que se produce debido a inconsistencias en cómo el subsistema
de Windows en Windows de 64 bits (WoW64) gestiona la redirección del registro de forma
distinta en Windows Vista y en versiones anteriores del sistema operativo Microsoft Windows.
Este problema no afecta a la ejecución de conversión de seguridad en ubicaciones de registros
nativas para las versiones de 64 bits de Windows Server 2008 o Windows Vista.
Después de la migración, las nuevas cuentas de usuario del dominio de destino no
pueden obtener acceso a los recursos en los que tienen permisos las cuentas del dominio
de origen.
Causa: La configuración necesaria para ejecutar ADMT no se ha establecido correctamente.
La mayoría de los problemas de migración son ocasionados por un entorno de migración mal
configurado.
293
Nota
Solución: abra el archivo de registro de la migración y busque la cuenta que migró con el
historial de identificadores de seguridad (SID). Si se agregó el historial de SID a la cuenta,
debería ver una entrada similar a la siguiente:
06.10.05 18:28:50-SID para nombreDeCuentaDeUsuario agregada al historial de SID de
nombreDeCuentaDeUsuario
Si aparece un mensaje de error, seguramente no habrá configurado el entorno correctamente y
deberá consultar los temas de configuración antes de volver a intentar la migración.
No funciona la migración del historial de SID.
Causa: para que se la migración del historial de SID funcione, deben cumplirse una serie de
condiciones.
Solución: Configure el entorno de migración correctamente antes de ejecutar ADMT y revise los
temas de configuración antes de continuar con la migración.
Al migrar un principal de seguridad anteriormente migrado a un nuevo dominio, los tres
dominios deben tener establecidos los criterios para migrar el historial de SID.
Por ejemplo, supongamos que tenemos estos tres dominios: DominioA, DominioB y DominioC.
El Usuario1 del DominioA (DominioA\Usuario1) se migra al DominioB como DominioB\Usuario1 y
se convierte el historial de SID. El DominioB\Usuario1 tiene ahora el SID principal para el
DominioB\Usuario1 y el valor del historial de SID para el DominioA\Usuario1. Si un administrador
quiere migrar el DominioB\Usuario1 al DominioC\Usuario1 y preservar todos los SID del
DominioB\Usuario1, deberá establecerse la configuración apropiada para posibilitar la migración
del DominioA al DominioC y del DominioB al DominioC. Si se ha dado de baja el DominioA o si
no se puede establecer la configuración apropiada entre el DominioA y el DominioC, ADMT
migrará el SID para el DominioB\Usuario1 al DominioC\Usuario1 y registra el hecho de que no
pudo migrar el SID del DominioA\Usuario1.
Si no existe el DominioA, ADMT generará un mensaje de error en el registro, pero la migración
se habrá realizado correctamente. Puede ignorar este mensaje de error.
Después de la migración, las nuevas cuentas de usuario del dominio de destino no
pueden obtener acceso a los recursos en los que tienen permisos las cuentas del dominio
de origen.
Causa: La configuración necesaria para ejecutar ADMT no se ha establecido correctamente.
La mayoría de los problemas de migración son ocasionados por un entorno de migración mal
configurado.
Solución: abra el archivo de registro de la migración y busque la cuenta que migró con el
historial de SID. Si se agregó el historial de SID a la cuenta, debería ver una entrada similar a la
siguiente:
2005-10-06 18:28:50-SID para nombreDeCuentaDeUsuario agregada al historial de SID de
nombreDeCuentaDeUsuario
Si aparece un mensaje de error, seguramente no habrá configurado el entorno correctamente y
deberá consultar los temas de configuración antes de volver a intentar la migración.
294
Me aparece el siguiente error: "La Papelera de reciclaje de C:\ está dañada o no es válida.
¿Desea vaciar la Papelera de reciclaje de esta unidad?"
Causa: Este comportamiento se produce de forma predeterminada. Por razones de seguridad,
cada usuario que inicia sesión en un equipo de Windows 2000 o Windows Server 2003 tiene una
Papelera de reciclaje específica propia. La lista de control de acceso (ACL) sólo puede contener
un SID por usuario por cada instancia de Papelera de reciclaje. Cuando se migra el perfil de un
usuario mediante la opción Agregar, el SID del usuario del dominio de origen se agrega al
historial de SID de la Papelera de reciclaje. Lo que se consigue con esto es colocar dos SID por
usuario en la lista ACL de la Papelera de reciclaje. Este problema no se produce si migra los
perfiles mediante la opción Reemplazar.
Solución: en el mensaje de error, haga clic en Sí y la Papelera de reciclaje se vaciará sin
problemas. Si hace clic en No, el error seguirá apareciendo hasta que la Papelera de reciclaje se
vacíe.
Los usuarios de dominios que no son de confianza no pueden tener acceso a los recursos
compartidos del sistema de archivos distribuido (DFS) en dominios de Active Directory.
Causa: Este comportamiento se produce de forma predeterminada.
Solución: si planea utilizar recursos compartidos de DFS en el dominio, migre los equipos que
pertenecen a usuarios que antes tienen acceso a los recursos compartidos de DFS, o migre los
equipos y los usuarios en la misma sesión de migración.

migración dentro de un mismo bosque
En este tema se describen problemas conocidos relativos a la migración entre bosques con la
Los derechos de usuario y de grupo de todo el dominio no migran al dominio de destino
Cuando activa Derechos de usuario en los Asistentes para migración de cuentas de grupo y
usuario, migra sólo los derechos locales en el controlador de dominio de origen. Los derechos de
todo el dominio no migran.
Migración de grupos globales y dominios de origen en modo mixto
Cuando se migran grupos globales de un dominio de origen en modo mixto a un dominio de
destino en modo nativo, y los grupos no están vacíos, ADMT crea copias de dichos grupos
globales en el dominio de destino y no agrega el identificador de seguridad (SID) del grupo global
del dominio de origen al atributo del historial de SID. Este comportamiento se produce de forma
predeterminada.
En esta situación, ADMT no puede convertir el grupo global en un grupo universal porque los
dominios en modo mixto no reconocen grupos universales y no pueden agregarlos al token de
acceso del usuario. Por lo tanto, los usuarios perderían el acceso a los recursos.
295
Importante Importante
Se recomienda migrar usuarios y grupos sólo de un dominio en modo nativo a otro

dominio también en modo nativo.
Los grupos globales se copian sin el atributo del historial de SID en las migraciones
dentro del mismo bosque si no se migran con miembros del grupo y el dominio de origen
está en modo mixto.
Al migrar un grupo global en un dominio de modo mixto para realizar una migración dentro del
mismo bosque mediante el Asistente para migración de cuentas de grupo, si no está
seleccionada la opción Copiar miembros de grupo, ese grupo global no se migrará, sino que se
copiará sin el historial de SID en lugar de moverse. Esto ocurre por las reglas de pertenencia a
grupos globales.
Si ADMT mueve el grupo global en lugar de copiarlo, los miembros del grupo serán "huérfanos"
con respecto al grupo y perderán todo acceso a recursos concedido mediante la pertenencia al
grupo porque los grupos globales no pueden contener miembros de otros dominios.
Al migrarse posteriormente los miembros de ese grupo, la pertenencia al grupo se restaura. Sin
embargo, como el historial de SID no se migra con el grupo, deberá ejecutar el Asistente para
conversión de seguridad para actualizar las listas de control de acceso (ACL), al igual que en
una migración entre distintos bosques sin historial de SID.
Se recomienda migrar usuarios y grupos sólo de un dominio en modo nativo a otro
dominio también en modo nativo.
La tabla de objetos migrados no se sincroniza
Si el administrador del dominio de destino elimina un grupo migrado tras la migración, las
entradas del grupo migrado no se quitan de la tabla de objetos migrados. Si se migra un grupo
desde el dominio de origen con el mismo nombre que el del grupo eliminado en el dominio de
destino, puede producirse un error. Este error sólo se produce si los usuarios se migran con el
grupo. El mensaje de error es el siguiente:
ERR2:7422 Error al mover objeto <objeto_RDN>, hr=80070057 El parámetro no es correcto.
Solución de problemas relativos a los

archivos de registro de ADMT
En esta sección se describe un problema conocido relativo a los archivos de registro de la
Herramienta de migración Active Directory (ADMT).
No puedo encontrar los archivos de registro de ADMT.
Solución: todos los archivos de registro de ADMT se almacenan en la base de datos de ADMT.
Sin embargo, los 20 últimos registros de migración también se almacenan en la carpeta Logs,
dentro de la carpeta ADMT del equipo en el que está instalado ADMT. Puede tener acceso a
296
todos los registros de ADMT en la base de datos mediante el comando admt task en una línea
de comandos.
No puedo leer las entradas del registro de eventos para el agente ADMT.
Causa: no está en un equipo que tenga instalado ADMT.
Solución: el agente puede escribir entradas de registro de eventos en el equipo en el que se
ejecuta. Sin embargo, el software del agente se quita cuando la tarea del agente ha terminado.
Puede ver las entradas del registro de eventos en el equipo al que se distribuyó al agente
ejecutando el Visor de sucesos desde el equipo en el que ADMT está instalado.
Necesito más información de los registros de ADMT.
Causa: configuración incorrecta del nivel de registro.
De forma predeterminada, ADMT escribe la información de resumen en sus archivos de registro.
Puede aumentar el nivel de detalle cambiando la entrada del registro que controla el nivel de
registro.
Solución: En el equipo en el que ADMT está instalado, establezca en 7 el valor de la clave del
registro HKEY_LOCAL_MACHINE\Software\Microsoft\ADMT\TranslationLogLevel.
Puede utilizar el modo de registro detallado para el diagnóstico y la solución de problemas. El
modo de registro detallado puede crear archivos de registro muy grandes, especialmente en los
casos en los que el equipo de destino tiene muchos archivos u otros objetos cuyas listas de
control de acceso (ACL) deban actualizarse. Dado que los registros del agente se escriben en la
carpeta especificada por la variable de entorno %TEMP%, el volumen al que se dirige dicha
variable de entorno debe contar con bastante espacio en disco. Cuando inicia sesión con el
modo detallado, puede que tenga que cambiar el valor de la variable de entorno %TEMP% antes
de distribuir a un agente.
Los informes generados no aparecen en ADMT.
Causa: cuando ADMT genera informes, no actualiza automáticamente la consola.
Solución: Para ver los informes, cierre y vuelva a abrir ADMT.
Ejecución de varias instancias de ADMT en varios idiomas
Cuando ejecuta varias instancias de ADMT en las que distintas instancias utilizan diferentes
idiomas, los archivos de registro se generan en el idioma en el que se ejecuta la instancia. Esto
no afecta a la funcionalidad de ADMT en modo alguno. Sin embargo, recomendamos que utilice
un lenguaje unificado cuando ejecute varias instancias de ADMT.
Solución de problemas relativos a la línea de

comandos de ADMT
Tenga en cuenta que la herramienta de línea de comandos usa el componente de secuencias de
comandos y, por lo tanto, las cuestiones relativas a las secuencias de comandos se aplican
también a la herramienta de línea de comandos.
297
Los parámetros duplicados de la línea de comandos prevalecen sobre cualquier aparición
anterior
Si se especifica varias veces un parámetro de la línea de comandos, el último valor prevalece
sobre el valor anterior. Este comportamiento se produce de forma predeterminada.
La interfaz de línea de comandos no muestra caracteres extendidos
La interfaz de línea de comandos de ADMT no convierte caracteres Unicode. Por lo tanto, los
caracteres extendidos como la diéresis no se muestran correctamente.
La opción de habilitar la cuenta de origen no está deshabilitada en las migraciones dentro
de un mismo bosque
Cuando realiza migraciones dentro de un mismo bosque, las cuentas se mueven de un dominio
a otro en lugar de copiarse. La cuenta de origen se quita durante el proceso. No obstante, la
opción de habilitar una cuenta de origen se encuentra disponible por medio de la interfaz de línea
de comandos de ADMT. Cuando use esta opción, recibirá la siguiente advertencia:
WRN1: 7362: <nombre_de_objeto>: no se pudo habilitar la cuenta de origen. El parámetro
es incorrecto.
Solución de problemas relativos a las

operaciones de agentes
Me aparece un mensaje de error según el cual la Herramienta de migración para
Active Directory (ADMT) no pudo comprobar la auditoría ni TcpipClientSupport en los
dominios.
Causa: el agente se distribuye con unas credenciales que no son válidas o no está configurado
correctamente el entorno de migración.
Solución: un agente se distribuye en un equipo remoto mediante las credenciales de la cuenta
utilizada para ejecutar ADMT. Una vez instalado el agente en el equipo remoto, se ejecuta bajo la
cuenta del sistema local. Las credenciales que se proporcionan al asistente antes de la
distribución del agente en el equipo remoto se utilizan para volver a escribir los resultados en un
recurso compartido creado en el equipo en el que se ejecuta ADMT. El agente debe tener el
derecho de iniciar sesión localmente en el equipo remoto y, si se utiliza para migrar equipos,
debe tener derechos administrativos en el dominio de origen y ser un administrador local en
todas las estaciones de trabajo.
Para asegurarse de que tiene las credenciales correctas, cree confianzas de tal modo que el
dominio de origen confíe en el de destino y viceversa. Agregue el grupo Administradores de
dominio del dominio de destino (destino\Administradores de dominio) al grupo Administradores
incorporado del dominio de origen (origen\Administradores). Inicie sesión utilizando la cuenta
destino\Administradores de dominio y proporcione un conjunto de credenciales para la cuenta
origen\Administradores cuando se le solicite. Esto le concederá permisos administrativos tanto
en el dominio de origen como en el de destino.
298
Las operaciones de distribución del agente fallan por errores de conflicto de credenciales.
Causa: tiene una conexión activa, como una unidad asignada o una impresora, en un equipo en
el que se está instalando un agente. La operación de distribución falla porque las credenciales de
la instalación del agente entran en conflicto con el actual conjunto de credenciales.
Solución: quite todas las conexiones activas que haya entre el equipo que ejecuta ADMT y el
equipo en el que se está distribuyendo el agente.
Cuando intento ver los resultados de una operación de agente remoto, aparece el
siguiente error: "No se puede abrir el archivo \\NombreDelEquipo\(%SystemRoot%)
$\temp\dctlog.txt."
Causa: el recurso compartido administrativo predeterminado para el volumen de sistema del
equipo en el que se distribuyó el agente no está habilitado.
Al no estar habilitado el recurso compartido predeterminado, ADMT no puede leer el archivo de
registro.
Solución: vuelva a habilitar el recurso compartido predeterminado del volumen de sistema.
Al generar informes, aparece el error 3107 IDispatch.
Causa: este error puede surgir cuando se cierra el Agente de supervisión antes de que todos los
agentes hayan terminado de escribir de nuevo sus resultados en la base de datos de informe de
ADMT.
Solución: para evitar este problema, espere a que todos los agentes terminen sus tareas antes
de cerrar el Agente de supervisión.
Necesito saber qué protocolos y puertos utiliza ADMT para establecer la comunicación de
la consola con los controladores de dominio y los agentes de ADMT que se ejecutan en
las estaciones de trabajo.
Causa: cuando ejecuta ADMT en entornos con firewall, es posible que tenga que establecer
excepciones de puertos de firewall para permitir el tráfico relacionado con ADMT en su red.
Solución: la consola de ADMT utiliza el puerto de Protocolo ligero de acceso a directorios
(LDAP) 389 para comunicarse con los controladores de dominio y Llamada a procedimiento
remoto (RPC) para comunicarse con los agentes de ADMT. Para la comunicación RPC, se puede
utilizar cualquier puerto RPC disponible en el intervalo comprendido entre 1024 y 5000. Para
obtener más información, consulte el artículo 836429 de Microsoft Knowledge Base
¿Por qué no se quitan los archivos que genera ADMT para la implementación del agente
después de su uso?
Los archivos generados en los equipos cliente donde se ejecutó el servicio de agente de ADMT
para la conversión de seguridad de grupos locales se colocan en %windir
%\onepointdomainagent:
Los archivos de esta ubicación pueden conservarse después de reiniciar debido a los siguientes
motivos:
 Si el equipo aún tiene instalada ADMT.
 Si tras quitar ADMT del equipo, no realiza una limpieza de registro para quitar cualquier
entrada desde la ruta de acceso HKLM\Software\Microsoft\ADMT.
299
 Si reinicia el equipo sin esperar a que los procesos del agente de ADMT se cierren o
completen. Para comprobar que los procesos de ADMT se han cerrado, puede usar el
Administrador de tareas para comprobar que ADMTAgnt.exe y DctAgentServices.exe no se
muestran en la ficha Procesos. Si se muestra alguno de estos procesos, utilice el
Administrador de tareas para finalizarlos antes de reiniciar.
Recursos adicionales
Estos recursos contienen ayudas para tareas, herramientas e información adicionales
relacionadas con esta guía.
Información relacionada
 Designing and Deploying Directory and Security Services (Diseño e implantación de
Directory y los servicios de seguridad) (http://go.microsoft.com/fwlink/?LinkId=76005)
Herramientas relacionadas
 Artículo 295758 de Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkId=77553)
Ayudas para tareas relacionadas

 La descarga Job_Aids_Designing_and_Deploying_Directory_and_Security_Services de Job
Aids for Windows Server 2003 Deployment Kit (http://go.microsoft.com/fwlink/?LinkId=14384)
Este paquete incluye hojas de cálculos y secuencias de comandos de ejemplo que puede
personalizar para su propia migración.
300

Guia ADMT

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Guia ADMT

Enviado por

Direitos autorais:

Formatos disponíveis

Guía de ADMT: Migración y reestructuración

de dominios de Active Directory

Herramienta de migración Active Directory: versiones y entornos admitidos................................20

Prácticas recomendadas para la migración de Active Directory...................................................24

Prácticas recomendadas para el uso de la Herramienta de migración para Active Directory.......24

Prácticas recomendadas para la realización de migraciones de cuentas de grupo y usuario......25

Prácticas recomendadas para realizar migraciones de equipos...................................................27

Prácticas recomendadas para revertir una migración...................................................................27

Reestructuración de dominios de Active Directory entre distintos bosques..................................28

Lista de comprobación: Realización de una migración entre bosques.........................................29

Introducción a la reestructuración de dominios de Active Directory entre bosques......................32

Proceso para la reestructuración de Active Directory entre bosques............................................32

Información general básica para la reestructuración de dominios de Active Directory entre

Planeamiento para la reestructuración de dominios de Active Directory entre bosques...............35

Determinación del proceso de migración de cuentas...................................................................36

Uso del historial de SID para conservar el acceso a recursos......................................................38

Asignación de las funciones y ubicaciones de objetos.................................................................40

Desarrollo de un plan de prueba para la migración......................................................................42

Creación de un plan de reversión.................................................................................................44

Administración de usuarios, grupos y perfiles de usuario.............................................................45

Creación de un plan de comunicación con los usuarios finales....................................................51

Preparación de los dominios de origen y destino.........................................................................52

Instalación de software de cifrado alto de 128 bits.......................................................................53

Establecimiento de confianzas necesarias para la migración.......................................................54

Establecimiento de cuentas de migración para la migración........................................................54

Configuración de la estructura de unidades organizativas del dominio de destino para la

Instalación de ADMT en el dominio de destino.............................................................................61

Habilitación de la migración de contraseñas.................................................................................70

Inicialización de ADMT ejecutando una migración de prueba.......................................................73

Identificación de cuentas de servicios para la migración..............................................................76

Transición de cuentas de servicio en su migración.......................................................................82

Migración de grupos globales....................................................................................................... 88

Migración de cuentas mientras utiliza el historial de SID..............................................................93

Migración de cuentas de servicio administradas..........................................................................96

Migración de todas las cuentas de usuario.................................................................................101

Repetición de la migración de las cuentas de usuario y migración de las estaciones de trabajo en

Migración de cuentas sin utilizar el historial de SID....................................................................130

Migración de cuentas de servicio administradas........................................................................132

Migración de todas las cuentas de usuario.................................................................................137

Conversión de seguridad en modo Agregar................................................................................143

Repetición de la migración de las cuentas de usuario y migración de las estaciones de trabajo en

Migración de recursos................................................................................................................. 173

Migración de estaciones de trabajo y servidores miembro.........................................................174

Migrar grupos locales compartidos y de dominios......................................................................181

Migración de controladores de dominio......................................................................................184

Finalización de la migración........................................................................................................ 185

Conversión de seguridad en los servidores miembro.................................................................186

Cómo dar de baja el dominio de origen......................................................................................190

Reestructuración de dominios de Active Directory dentro de un mismo bosque........................190

Lista de comprobación: Realización de una migración dentro del mismo bosque......................191

Introducción a la reestructuración de dominios de Active Directory dentro de un bosque mediante

Reestructuración de dominios de Active Directory dentro de un bosque mediante ADMT v3.1..194

Información general para la reestructuración de dominios de Active Directory dentro de un

Preparación para la reestructuración de dominios de Active Directory dentro de un bosque.....198

Evaluación de la nueva estructura de bosque de Active Directory.............................................199

Asignación de las funciones y ubicaciones de objetos de dominio.............................................200

Plan para la migración de grupos............................................................................................... 202

Plan para migraciones de prueba...............................................................................................204

Crear un plan de reversión......................................................................................................... 206

Crear un plan de comunicación con los usuarios finales............................................................207

Creación de grupos de cuentas de migración.............................................................................209

Instalación de ADMT en el dominio de destino...........................................................................211

Plan para transiciones de cuentas de servicios..........................................................................221

Ejemplo: Preparación para la reestructuración de dominios de Active Directory........................226