Migrazione utenti, gruppi e computer fra domini windows diversi: il tool ADMT (Active Directory Migration Tool).

di Andrea Raniolo  @RanioloA

Recentemente, un cliente con una quarantina di utenti e altrettante postazioni di lavoro, mi ha chiesto di suddividere il proprio dominio in due domini ben distinti, data la scissione della società in due diverse.

Requisito fondamentale: non toccare in nessun modo gli utenti con relativo desktop e profilo attivo, le loro appartenenze ai gruppi e le permission sui file e sulle macchine. Il lavoro, quindi, si è presentato fin da subito come piuttosto impegnativo.

Mi sono messo quindi a studiare per individuare script, procedure o comandi powershell che mi potessero aiutare nello svolgere il lavoro. Dopo una breve ricerca mi sono trovato di fronte ad un tool, prodotto da Microsoft, che promette di fare (e ha fatto egregiamente!) esattamente tutto quello di cui avevo bisogno: Active Directory Migration Tool (ADMT).

ADMT è uno strumento che, installato su server Windows, mette a disposizione una serie di wizard che consentono la migrazione fra domini diversi di tutti i principali oggetti AD, fra cui:

–          Utenti (password comprese)

–          Gruppi

–          Computer

Il download della versione 3.2 lo si trova all’indirizzo http://go.microsoft.com/fwlink/?LinkId=401534 mentre all’indirizzo http://www.microsoft.com/en-us/download/details.aspx?id=19188 si trova il download di un documento di utilizzo completo.

Dal canto mio vorrei riportare la mia esperienza in merito alla migrazione degli utenti, dei gruppi e dei computer che ho eseguito.

La migrazione utenti avviene mediante un wizard molto semplice e intuitivo, che richiede nome, indirizzo e credenziali del dominio sorgente e del dominio di destinazione. Il wizard poi accede a tali domini e consente di sfogliare Active Directory per selezionare gli utenti da migrare.

Una volta scelti gli utenti viene richiesto se migrare con essi anche le password (NB La migrazione delle password richiede l’installazione di un apposito tool su un domain controller del dominio origine e la previa configurazione mediante scambio di una chiave di crittografia con il server ADMT) o se generare nuove password che vengono annotate in un apposito file di testo. Viene poi richiesto in quale OU del dominio di destinazione si vogliono posizionare gli utenti, quali oggetti dello schema active directory si vogliono migrare insieme all’oggetto, nonché se con questo si vogliono migrare gli eventuali gruppi di appartenenza o riallineare eventuali gruppi per i quali questa attività è stata già fatta precedentemente; al termine la procedura guidata effettua il trasferimento mostrando l’esito dettagliato dell’attività e producendo un log utile da consultare in caso di errori.

 

Lo stesso discorso vale anche per i gruppi (anche se non ci sono password): in questo caso è possibile scegliere se migrarli direttamente o se includere manualmente gli utenti migrati in precedenza.

L’attività evolve ulteriormente riguardo alla migrazione dei computer. In questo caso il vantaggio derivante dall’utilizzo di ADMT è veramente notevole: Il wizard di migrazione chiede sia le informazioni relative ai domini di origine e di destinazione nonché quelle di posizionamento dell’oggetto e lo step finale consente di avviare un pre-check iniziale del processo di migrazione e, qualora non vi siano stati problemi, di far partire il processo vero e proprio.

Tecnicamente questo controllo avviene mediante il push e l’installazione unattended di un apposito agent sulle macchine da migrare e su queste viene eseguita remotamente (e a caldo) un’attività di riconfigurazione della loro appartenenza al dominio.

Se l’utente, il cui profilo è attivo sulla macchina, è stato precedentemente migrato, sarà sufficiente effettuare un riavvio al termine dell’operazione, salvo poi effettuare il login sul nuovo dominio, mantenendo immutato tutto il proprio profilo utente.

Tutto ciò porta ad un grandissimo risparmio di tempo rispetto ad una migrazione manuale di un PC, la quale prevede di effettuare lo scollegamento dal dominio, il collegamento all’altro dominio, la copia dei file utente e delle impostazioni da un profilo all’altro, la riconfigurazione del profilo email e così via.

Personalmente, ho trovato in ADMT uno strumento veramente utile per lo svolgimento del lavoro richiesto: oltre al considerevole risparmio di tempo che mi ha permesso di avere, ha evitato che si verificassero errori o lungaggini derivanti da improbabili script o azioni manuali e mi ha consentito di portare a termine la migrazione degli utenti senza interferire troppo nelle attività di questi ultimi (cosa fondamentale per il mio cliente!).

Se avete necessità di migrare utenti o gruppi di Active Directory da un dominio ad un altro, provate a utilizzare ADMT e fatemi sapere com’è andata!