По определённым причинам появилась необходимость в переносе пользователей из одного домена в другой. Это возможно сделать штатными средствами операционной системы Microsoft. И в этом нам поможет утилита ldifde.exe. Она предназначена для экспорта/импорта пользователей Active Directory в файл с расширением .ldf. При необходимости его можно редактировать любым текстовым редактором (как в моём случае). Но программа переносит только пользователей, без групп и паролей. Пароли будут сброшены на пустые и при следующем входе в систему будет предложено сменить пароль.
Ссылка на оригинальную статью — itlocate.ru
На контроллере домена запускаем командную строку CMD и для удобства переходим в корень диска С c:, так как при выполнении команды вся информация будет выгружена в файл Exportuser.ldf.
ldifde -u -f C:Exportuser.ldf -s SRVDC1 -d "dc=DOMAIN,dc=NAME" -p subtree -r "(&(objectCategory=person)(objectClass=User)(givenname=*))" -l "cn,sn,description,givenName,initials,displayName,name,objectclass,profilePath,homeDirectory,homeDrive,samAccountName,mail"
Где SRVDC1 — это имя контроллера домена, а dc=DOMAIN,dc=NAME — это текущее доменное имя вашего контроллера. На выходе мы получаем файл Exportuser.ldf в корне диска С.
Так как доменное имя нового домена отличается от текущего, то в файле необходимо заменить все строчки dc=DOMAIN,dc=NAME на необходимые, с указанием нового имени. Сохраняемся, перекидываем файл на новый сервер и выполняем импорт следующей командой
ldifde -i -f C:Exportuser.ldf -s NEWSRVDC1
Где NEWSRVDC1 — это имя нового контроллера домена.
ПЕРЕНОС ГРУППОВЫХ ПОЛИТИК
Далее указываем путь, куда будем выгружать политики. Если у вас более одной политики, то лучше под это создать отдельную директорию, так как под каждую политику будет создаваться новый каталог.
Копируем их в новый домен, но домен то у нас новый, а резервная копия может содержать упоминания или ссылки на ресурсы старого домена. Поправить значения можно при помощи утилиты Migration Table Editor (mtedit.exe). Опять-таки штатный софт на борту MS Windows Server. На новом домене запускаем консоль gpmc.msc и на Объекты групповой политики правой кнопкой мыши вызываем меню, выбираем Открыть редактор таблиц миграции.
После выбираем Сервис / Заполнить из резервной копии, указываем путь к каталогу. Перед нами откроется таблица со списком всех экспортированных групповых политик.
Нажимаем OK и перед нами откроется список всех нестандартных атрибутов политик. Ищем где упоминается старый домен и правой кнопкой меняем на правильный атрибут из нашего нового домена
Все приготовления закончены, теперь дело за малым — выполнить импорт. Открываем gpmc.msc, создаём новую пустую политику в которую будем импортировать настройки и по правому клику мыши из меню выбираем Импорт параметров.... Идём далее, выбираем папку архива, выбираем соответствующий объект групповой политики, Готово!
Вот и всё, осталось ввести машины в новый домен.
