ADMT (Active Directory Migration Tool) est un outil mis à disposition gratuitement par Microsoft qui permet la migration d’objets (Utilisateurs, Ordinateurs et Groupes) entre deux domaines Active Directory.
Quelques exemples d’utilisation d’ADMT :
- Fusion d’entreprise afin de regrouper les annuaires Active Directory.
- Scission d’entreprise pour transférer à la nouvelle entité les objets Active Directory.
- Suppression d’un domaine enfant.
Sommaire
Prérequis
- Un serveur dédié à ADMT avec un base SQLExpress en version 2008 minimum.
- Une relation d’approbation doit être en place entre les deux domaines.
- Utiliser un compte utilisateur présent dans le groupe BUILTIN\Administrateurs des deux domaines.
- Pour migrer les ordinateurs, le compte utilisateur de migration du domaine cible doit également être administrateur local du poste.
Le compte de migration sera configuré lors de la première migration d’objet qui sera faite entre les deux domaines. Dans le tutoriel, j’ai utilise le compte administrateur du domaine de destination. Dans le cas où vous souhaitez dédier un compte à ADMT, celui-ci doit être membre du groupe Admins du domaine du domaine cible et membre du groupe BUILT\Administrateurs du domaine source.
Télécharger les outils nécessaires :
- ADMT 3.2
- Password Export Server (PES) qui permet la migration des mots de passe.
Installation d’ADMT et PES
Installation d’ADMT
Lancer l’exécutable 1 précédemment téléchargé.
Au lancement de l’assistant d’installation cliquer sur Suivant 1.
Accepter le contrat de licence, en sélectionnant I Agree 1 puis cliquer sur Suivant 2.
Sélectionner l’option qui vous convient concernant l’envoie d’informations chez MS 1 et cliquer sur Suivant 2.
Entrer les informations de l’instance SQL Server 1 puis cliquer sur Suivant 2.
Patienter pendant l’installation …
Choisir l’option No, do not import data from an existing database (Default) 1 et cliquer sur Suivant 2.
L’installation est terminée, fermer l’assistant en cliquant sur Terminer 1.
Installation de PES
Afin de migrer les mots de passe entre les deux fôrets, nous allons avoir besoin de configurer et d’installer PES.
Sur le serveur où est installé ADMT, créer un dossier partagé dans lequel nous mettrons la clef de cryptage des mots de passe.
Ouvrir une invite de commande en Administrateur et entrer la commande suivante en adaptant à votre situation :
admt key /option:create /sourcedomain:old.lan /keyfile:D:\Passwords\migpwd.pes /keypassword:password
Vérifier que le migpwd.pes est présent dans le dossier de sortie.
Exécuter le fichier pwdmig sur le contrôleur de domaine source (old.lan), au lancement de l’assistant d’installation, cliquer sur Next 1.
Accepter la licence 1 et cliquer sur Next 2.
Indiquer l’emplacement de la clé de cryptage 1 et cliquer sur Next 2.
Entrer le mot de passe 1 et cliquer sur OK 2.
Cliquer sur Install 1.
Configurer le service avec l’option Local System Account 1 puis cliquer sur OK 2.
L’installation est terminée, fermer l’assistant en cliquant sur Finish 1.
PES demande à redémarrer, cliquer sur Yes 1.
Après le redémarrage, rechercher le service Password Export Server Service et démarrer le.
Résoudre l’erreur pendant l’installation
Il est possible que la vérification du mot de passe échoue avec le message suivant :
The supplied password does not match this encryption key’s password.
ADMT’s Password Migration Filter DLL will not install without a valid encryption key.
Fermer l’assistant d’installation, ouvrir une fenêtre de commande en Administrateur et entrer la commande suivante à adapter en fonction de l’emplacement du fichier pwdmig.msi :
msiexec -i C:\Apps\pwdmig.msi
Préparer la migration d’objet Active Directory avec ADMT
Maintenant qu’ADMT et PES sont installés, il est conseillé dans un premier temps de créer une OU qui va recevoir les objets du domaine source.
Dans les pages qui suit nous allons voir la migration des objets suivants :
- Groupes
- Utilisateurs
- Ordinateurs.
Afin de s’assurer que la migration se passe bien, je vous conseille avant de créer un groupe et utilisateur de test et de tester la migration d’ordinateur avant les objets de production.
Il faut également prévoir une communication au niveau des utilisateurs du changement de domaine, bien faire attention que les utilisateurs ouvrent leur session sur le nouveau domaine.
Lors de la première migration d’objet, il vous sera demander de configurer l’audit sur le domaine source et de destination pour la migration des SID afin que l’objet migré puisse accéder aux ressources non migrées.
Migration d’objets
ADMT : Migration d’un groupe
Depuis la console ADMT, faire un clic droit sur Active Directory Migration Tool 1 et cliquer sur Group Account Migration Wizard 2 pour lancer l’assistant.
Au lancement de l’assistant, cliquer sur Suivant 1.
Sélectionner le domaine 1 et le contrôleur de domaine 2 source puis faire de même pour le domaine de destination 3 et le contrôleur 4 et cliquer sur Suivant 5.
Choisir l’option Select group from domain 1 puis cliquer sur Suivant 2.
Cliquer sur Add 1.
Sélectionner le ou les groupes à migrer 1 et cliquer sur OK 2.
Les groupes sélectionnés, cliquer sur Suivant 1.
Cliquer sur Browser 1 puis sélectionner l’OU de destination 2 et cliquer sur OK 3.
L’OU configurée 1, cliquer sur Suivant 2.
Sélectionner les options de migration, cocher également Migrate group SIDs to target domain 1 et cliquer sur Suivant 2.
Un message d’avertissement s’affiche indiquant que l’audit n’est pas configuré, ceci est nécessaire pour la migration de SID, cliquer sur Oui 1 pour les 3 messages.
Entrer l’identifiant 1 et le mot de passe 2 d’un compte Administrateur du domaine source puis cliquer sur Suivant 3.
Il est possible de choisir les attributs à migrer sur cette page, par défaut ils sont tous migrés sur le domaine cible. Cliquer sur Suivant 1.
Configuration du comportement d’ADMT en cas de conflit, par défaut si un conflit est détecté l’objet n’est pas migré. Cliquer sur Suivant 1.
Un résumé affiche les actions qui vont être effectuées, cliquer sur Terminer 1 pour démarrer la migration.
Une fenêtre s’ouvre qui permet de suivre la migration. Une fois terminé il est possible de voir les logs. Si la migration s’est bien passée cliquer sur Close 1.
Exemple de log :
Sur le contrôleur de domaine destination, vérifier que le groupe 1 soit bien présent dans l’OU. Vérifier également que l’attribut sIDHistory 2 soit bien présent et comporte le SID du domaine source.
ADMT : Migration d’un utilisateur
Maintenant que nous avons vu comment migrer un groupe, nous allons migrer un utilisateur, la procédure est similaire aux groupes.
Pour vous montrez les fonctionnalités d’ADMT, l’utilisateur que nous allons migrer est membre du groupe migré précédemment, après la migration de l’utilisateur, celui-ci sera membre du groupe qui a été migré juste avant.
Depuis la console ADMT, faire un clic droit sur Active Directory Migration Tool 1 et cliquer sur User Account Migration WIzard 2.
Au lancement de l’assistant de migration, cliquer sur Suivant 1.
Comment pour la migration de groupe, configurer le domaine et le contrôleur de source et de destination 1 puis cliquer sur Suivant 2.
Choisir Select users from domain 1 et cliquer Suivant 2.
Sélectionner le ou les utilisateurs à migrer 1 et cliquer sur Suivant 2.
Configurer l’OU de destination 1 puis cliquer sur Suivant 2.
Sélectionner l’option Migrate passwords 1, indiquer le contrôleur de domaine source 2 et cliquer sur Suivant 3.
Configurer le statut du compte 1 après la migration sur le domaine source et de destination, cocher la case Migrate user SID to target domain 2 puis cliquer sur Suivant 3.
Pour la migration du SID, indiquer les identifiants d’un compte Administrateur du domaine source 1 et cliquer sur Suivant 2.
Configurer les options de migration 1 puis cliquer sur Suivant 2.
Si nécessaire configurer les attributs à exclure et cliquer sur Suivant 1.
Configurer la gestion de conflit et cliquer sur Suivant 1.
Un résumé des paramètres de migration s’affiche, cliquer sur Terminer 1 pour fermer l’assistant et démarrer la migration.
Une fois la migration terminée, fermer 1 la fenêtre de migration.
Sur le contrôleur de domaine de destination, on voit que l’utilisateur a bien été migré.
Dans les propriétés du compte, la case de changement de mot de passe a été activée, ce qui implique que l’utilisateur doit changer son mot de passe à la prochaine ouverture de session.
Dans l’onglet Membre de, on voit également que l’utilisateur est bien membre du groupe précédemment migré.
ADMT : Migration d’ordinateur
ADMT permet également la migration des objets Ordinateurs, il est toujours possible de sortir l’ordinateur de l’ancien domaine et de le joindre dans le nouveau. Si la migration d’ordinateur est disponible c’est qu’elle apporte un plus comment :
- Suivi des groupes
- Traitement des profils utilisateurs ce qui évite d’avoir à refaire le profil utilisateur.
Les fenêtres de l’assistant identiques pour la migration des groupes et des utilisateurs seront passés plus rapidement dans cette partie.
Pour rappel, le compte du domaine de destination configuré pour la migration doit être administrateur local du poste.
Sur la console ADMT, faire un clic droit sur Active Directory Migration Tool 1 et cliquer sur Computer Migration Wizard 2.
Cliquer sur Suivant 1.
Configurer la source et la destination et cliquer sur Suivant 1.
Cliquer sur Suivant 1 à l’option de sélection des ordinateurs.
Choisir l’ordinateur à migrer 1 et cliquer sur Suivant 2.
Valider l’OU de destination en cliquant sur Suivant 1.
Sélectionner les objets à transférer dans le nouveau domaine 1 et cliquer sur Suivant 2.
Configurer le transfert d’objet 1 et cliquer sur Suivant 2.
Lors de la migration l’ordinateur sera redémarré, configurer le délai 1 et cliquer sur Suivant 2.
Sur les deux fenêtres qui suivent, cliquer sur Suivant 1.
Démarrer la migration en cliquant sur Terminer 1 pour fermer l’assistant.
Une fenêtre s’ouvre permettant de contrôler l’agent de migration, Sélectionner l’ordinateur 1 et cliquer sur Start 2.
Une fois les tests validés, sélectionner Run pre-check and agent operation 1 et cliquer sur Start 2.
Patienter pendant la migration… Il est possible de suivre en détail la migration en cliquant sur Agent Detail 1.
Une fois la migration terminée, on voit que l’ordinateur est en attente de redémarrage.
Sur l’ordinateur un message d’affiche indiquant que celui-ci va redémarrer.
Sur le domaine de destination, on voit que l’ordinateur est bien présent dans l’OU de migration.
Une fois le poste redémarré, on peut voir que celui-ci a bien été changé de domaine.
Sur la fenetre de suivi des agents, on voit également que la migration est terminée.
ADMT : génération de rapports
ADMT propose la génération de rapport pour suivre les éléments migrés. Depuis la console, faire un clic droit sur Active Directory Migration Tool 1 et cliquer sur Report Wizard 2.
Au lancement de l’assistant, cliquer sur Suivant 1.
Sélectionner les domaines sources et de destination pour la génération du rapport et cliquer sur Suivant 1.
Sélectionner l’emplacement des rapports et cliquer sur Suivant 1.
Choisir les rapports à générer 1 puis cliquer sur Suivant 2.
Cliquer sur Terminer 1 pour lancer la génération des rapports.
Ils sont accessibles depuis la console en cliquant sur Reports 1.
Exemple de rapports :
Foire aux Questions
Qu’est-ce que l’ADMT et à quoi sert-il ?
L’ADMT (Active Directory Migration Tool) est un outil gratuit de Microsoft permettant de migrer les utilisateurs, groupes et ordinateurs entre différents domaines Active Directory sans perdre les permissions ni les profils utilisateur.
Quels types d’objets Active Directory peuvent être migrés avec ADMT ?
ADMT permet de migrer les utilisateurs, groupes, ordinateurs et comptes de service, tout en conservant les relations de sécurité et les profils sur les postes clients.
ADMT nécessite-t-il un arrêt des services Active Directory pendant la migration ?
Non, ADMT fonctionne en mode en ligne et ne nécessite pas l’arrêt des services Active Directory, ce qui permet une migration sans interruption pour les utilisateurs.
Existe-t-il des prérequis avant d’utiliser ADMT ?
Oui, il est nécessaire d’avoir un compte avec les droits administratifs sur les deux domaines, de préparer les relations d’approbation entre domaines, et de disposer d’un serveur pour installer l’outil ADMT.
ADMT peut-il générer des rapports sur la migration ?
Oui, l’outil permet de générer des rapports détaillés sur les objets migrés, les éventuelles erreurs et l’état global de la migration, facilitant ainsi le suivi et le dépannage.
Conclusion
ADMT est un outil pratique pour les environnements où plusieurs domaine cohabitent soit pour fusionner les domaines où pour faire passer les objets d’une domaine à un autre en cas de changement d’affectation par exemple.
A titre personnel, j’ai également utiliser ADMT pour migrer les objets d’une forêt corrumpue vers une nouvelle forêt, ceci m’a évité de devoir recreer l’ensemble des objets (groupes, ordinateurs et utilisateurs) à la main.
Bonjour,
C’est très intéressant, merci pour cette procédure ! Je n’ai pas encore pu la tester, mais sommes-nous bien d’accord que cela migre uniquement les comptes utilisateurs sur l’AD (avec leurs groupes et droits) ? Les sessions ne sont pas migrées ? Les utilisateurs auront-ils une session vierge à la connexion ou leur ancienne session sous le nouveau domaine ?
Merci encore pour le travail,
Hugo