我有一个场景,其中有一个根域 (RD) 和两个子域(CD1 和 CD2)。用户在 CD1 和 CD2 上都有帐户,具有相同的 samAccountNames、名称等,并且各种应用程序使用 CD1 或 CD2 帐户对资源进行身份验证。
我需要将 CD2 折叠到 CD1,所以我想将帐户合并在一起。但是 ADMT 不允许我使用此选项(合并选项显示为灰色),我认为是因为它不支持帐户的林内合并(尽管它没有在文档中的任何地方明确说明这一点)。
我的问题是 - 我合并这些帐户的最简单方法是什么?最终,我真正需要的(我认为)是将 CD2\user1 的 SID 添加到 CD1\user1 的 SIDHistory - 是否有支持此功能的工具?
计算机帐户和配置文件不是这种情况的关注点。组迁移也不太可能成为问题 - CD2\user1 通常通过 CD1 上的组成员身份授予资源访问权限。
查看 ADMT 3.1 迁移指南:
可能是您的子域不在本机模式下吗?
这个问题的简单答案是,您不能进行林内合并。我们最终通过创建临时外部林解决了这个问题,使用 ADMT 将帐户从 CD1 迁移到该林,然后将其迁移回 CD2。
笨重,但它的工作。