Mover objetos a su alrededor en Active Directory puede implicar mover objetos de un lugar a otro dentro de un dominio, o puede que tenga que mover objetos de un dominio a otro. Usted necesita saber los detalles asociados con cualquiera de operación para el examen de los Servicios de directorio MCSE. Afortunadamente, sólo tiene que recordar algunas reglas simples.

Mover objetos dentro de un dominio

Mover objetos dentro de un dominio es un proceso sencillo: Justo a la derecha; haga clic en el objeto y elija Mover. Windows 2000 muestra un cuadro de diálogo en el que sólo tiene que elegir el objeto contenedor de destino para el traslado. (En las versiones más recientes de Windows 2000, puede arrastrar y soltar objetos de Active Directory de una OU a otro.)

Un ejemplo del mundo real de mover un objeto dentro de un dominio consiste en mover una cuenta de usuario de una unidad organizativa a otra cuando el usuario las transferencias de un departamento a otro en su organización. Mover la cuenta del usuario permite al usuario recibir los beneficios y restricciones que ha definido para la nueva unidad organizativa.

Lo que no es tan sencillo (y lo que necesita saber para el examen) es el efecto que los objetos en movimiento tiene sobre permisos. Estas son las reglas que usted debe saber:

• Permisos que se asignan directamente a un objeto de Active Directory se quedan con el objeto después de mover el objeto.

• El objeto hereda los permisos asignados a la nueva unidad organizativa y pierda los permisos previamente heredadas.

Ya ha dado cuenta de esto uno: Una excelente estrategia para administrar objetos de Active Directory es mover objetos que necesitan configuración de permisos similares en la misma unidad organizativa. De esta manera, se pueden manejar fácilmente su red, la asignación de permisos y la delegación de autoridad efectiva con sólo unos clics del ratón.

Objetos entre dominios en movimiento

En una de varios dominios de Windows 2000 del bosque, es posible que deba mover objetos (usuarios, unidades organizativas, grupos) entre estos varios dominios. Utilice la utilidad de línea de comandos MoveTree para realizar muchas de estas operaciones.

Al mover usuarios y grupos a un nuevo dominio, reciben nuevos identificadores de seguridad (SID). Afortunadamente, Windows 2000 se ejecuta en modo nativo soporta un atributo llamado SIDHistory. Al mover un usuario de dominio al dominio, Windows 2000 rellena SIDHistory por lo que no tiene que restablecer los permisos a los objetos cada vez que se realiza la operación de movimiento.

MoveTree le ayuda con la mayoría de las operaciones de movimiento entre dominios. Y en aquellos casos en los que MoveTree no puede hacer el trabajo, usted puede dar vuelta a otra utilidad llamada NETDOM. MoveTree puede

• Mover objetos de directorio más activos (incluidos los contenedores no vacíos) de un dominio a otro en el mismo bosque.

• Dominio Mover grupos locales y globales entre dominios. Estos grupos no pueden contener miembros, sin embargo. Los dominios deben existir dentro del mismo bosque.

• Mueva los grupos universales y sus miembros entre dominios del mismo bosque.

MoveTree puede moverse la mayoría Objetos de Active Directory. Los que no se pueda mover cuando intenta reubicar grupos de objetos se convierten huérfano. Windows 2000 lugares estos objetos huérfanos en un recipiente especial llamado LostAndFound. Puede ver este contenedor utilizando la función Advanced Vista de Usuarios y equipos de Active Directory.

Debe disponer de los permisos administrativos adecuados para usar MoveTree desde el símbolo del sistema. Este comando utiliza la siguiente sintaxis:

MoveTree / continuar / s SrcDSA / d DstDSA / SDN SrcDN / DDN DstDN [/ u [Dominio]Nombre de usuario / p Clave] [/ Verbose] [/? ]

Las entradas en cursiva en esta sintaxis representan información que debe proporcionar. La Tabla 1 describe los modificadores que puede utilizar con el comando MoveTree.

Cambia la Tabla 1 Comando MoveTree

MoveTree crea archivos de registro cuando se realizan las operaciones. Puede comprobar estos archivos de registro para obtener información sobre el éxito o el fracaso de eventos MoveTree:

• MoveTree.err: Enumera los errores encontrados.

• MOVETREE.LOG: Listas de resultados estadísticos de la operación.

• MOVETREE.CHK: Enumera los errores detectados desde MoveTree está ejecutando en modo de verificación.

MoveTree mueve objetos de equipo de un dominio a otro para ti, pero no puede disjoin el equipo desde el dominio de origen y unirlo al dominio de destino. Esta limitación hace NETDOM una mejor utilidad para mover los ordenadores entre dominios en un entorno de Active Directory de Windows 2000.

NETDOM utiliza la siguiente sintaxis para mover cuentas de equipo:

MoveTree {/ NETDOM mover / D:dominio [/ OU:ou_path] [/ Ud:Usuario / Pd:Clave] [/ Uo:Usuario / Po:Clave] [/ Reboot: [time_in_seconds]]

La Tabla 2 describe los interruptores se utilizan con el comando NETDOM.

Cambia la Tabla 2 de comandos NETDOM