Domain-User und Domain-Gruppen exportieren/ importieren

Domainmigration

Ich hatte die ehrenvolle Aufgabe eine seit 20 Jahren existierende Domain, die in der Vergangenheit mehrfache Migrationen und Upgrades mitmachte, im Parallelbetrieb komplett neu aufzubauen. Es war beabsichtigt, alles neu zu machen, da nur so alte Einträge wie von einem damals betriebenen Exchange/ Sharepoint-Server nicht übernommen werden.

Zum Glück war alles an einem Standort und zum Glück war auch der File-Server virtualisiert, aber dazu später mehr …

Es erfolgen vorerst nur Stichpunkte meiner Herangehensweise, ich werde hier bei Gelegenheit das Ganze mit ausführlicheren Texten und visuellen Bilder aufhübschen 😉

Generell sei gesagt, dass man eine solche Umstellung nicht übers Knie Brechen sollte. Es ist selten möglich alles von einer Sekunde zur anderen umzustellen ohne das Probleme auf einen zukommen.

Meine gestecktes Ziel war es, dass die Umstellung mit sowenig Störungen wie Möglich umgesetzt wird. Hierbei muss man neben dem Alltagsgeschäft der Mitarbeiter auch die diversen Dienste/ Taskplaner einbeziehen, die über die Jahre angelegt wurden.

Es empfiehlt sich auch Zwischenschritte und Pausen einzubauen, damit man bei aufkommenden Problemen noch eine Vorstellung hat, woran es liegen könnte.

Meine Stichpunkte

  • Neue Domain auf neuem Server (unter selber Netzmaske/ IP-Bereich) installiert. Hier nun Windows Server 2019, aber noch OHNE DHCP-Server, da dies noch der alte Domain-Controller übernimmt.
  • zwei neue Hyper-V-Host ebenso unter Windows Server 2019 im Clusterverbund eingerichtet und der neuen Domain beigetreten
  • Vertrauensstellungen zwischen der alten und neuen Domain eingerichtet
  • alle virtuellen Maschinen (Windows Server 2012R2) zum neuem Hyper-V-Cluster migriert
  • Nach und nach diverse Server, die ohne Domain-User der alten Domain auskommen, neu unter Windows Server 2019 installiert und nach Abbild des entsprechenden abzulösenden Server eingerichtet und in die neue Domain eingetreten.
    z.B. WSUS-Server -> durch GPO-Anpassung in der alten Domain konnten alle Workstations ganz bequem auf den neuen WSUS-Server umgestellt werden. Den alten WSUS-Server außer Betrieb genommen und Funktionalität des neuen WSUS-Server beobachtet.
  • In die neue Domain Gruppen und User anlegen, wenn man diese 1:1 umsetzen möchte. Ich habe die Chance genutzt und gerade die Gruppen neu überdacht. Daher habe ich nur die vorhandenen Benutzer durch Export/Import in der neuen Domain neu anlegen lassen. Es gibt hierfür aber auch Migrationstool, aber ich wollte komplett neu und somit auch neue ID’s für die User.Das Zauberwort für Import/Export heißt „csvde“, damit kann man alles aber auch gezielte Exports von Benutzern und Gruppen machen.

csvde -r „(&(objectCategory=person)(sn=*))“ -f D:\Patches\User-Transfer\export_Users.csv

csvde -r „(&(objectCategory=Computer))“ -f D:\Patches\User-Transfer\export_Computers.csv

Problematisch ist das Handling von Excel mit dieser CSV und das Umspeichern in eine neue Import-Datei. Wichtig ist auch, dass nur neue Benutzer importiert werden. Es ist damit kein Update vorhandener Benutzer möglich und es wird kein Passwort mit übertragen.

– Excel Öffnen und Daten aus CSV einlesen, darauf achten, dass Semikolon als Trenner verwendet wird.
– Unnötige Spalten löschen, wobei ein paar Pflichtfelder wie DN, objectClass, sAMAccountName erforderlich sind
-Alle Felder wo ei „,“ in der Spalte vorkommt wurde durch Anwendung einer Formel dupliziert, weil die Einträge im Import in Hochkommas stehen müssen. (Excel: =““““&[alterSpaltenname]&““““)
– Suchen nach DC=[ALTEDOMAIN] und durch DC=[NEUEDOMAIN] ersetzen
– Als CSV-Trennzeichengetrennt exportiert und durch neu Öffnen von Excel wieder als CSV eingelesen. Nun konnte man die alten Spalten löschen, da in der neuen nun der Text in Hochkomma steht und nicht mehr die Excel-Formel. Das Ganze als weitere neue CSV abgespeichert und mittels Editor zwei Suche-Ersetzen-Befehle abgesetzt:
Suche „““ ersetze “
Suche ; ersetze ,
Fertig ist die Import-Datei 🙂
Bis es aber wirklich lief, habe ich einige CSV-Dateien hin- und her konvertiert.

Der Import selbst ist dann aber einfach:
csvde -i -k -f D:\Patches\User-Transfer\import_07.csv

Damit aber der Import passt, muss in der GPO der neuen Domain darauf geachtet werden, dass das Anlegen von Benutzern mit leeren-Kennwörtern erlaubt ist.

Passwörter kann man per Befehl oder händisch vergeben und danach die GPO-Regeln zur Passwort-Sicherheit wieder aktivieren.
Die angelegten Benutzer haben nun kein Passwort und sind deaktiviert, tragen auch den Befehl,  dass man sich bei der nächsten Anmeldung ein Passwort vergeben muss. Dies macht sinn, wenn bei Domainbeitritt in die neue Domain der User sich selbst ein neues Passwort geben soll.

  • FileServer

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.