活动目录删除后，数据迁移如何避免踩坑？

老张上周在公司茶水间猛灌咖啡，他刚接手被删除的活动目录迁移工作就遇上烦——财务系统突然无法识别新域用户。这种要命的情况，其实在活动目录迁移过程中并不少见。今天就让我们用修家电的思路，聊聊如何把旧目录里的"零件"安全搬到新家。

一、别急着动手，先把工具箱准备好

就像修空调前要关总闸，迁移前有3件必须做的事：

1. 给旧目录拍个X光片

• 完整备份：用Windows Server Backup给域控制器拍快照
• 重点扫描：用户账号、计算机对象、组策略首选项（GPP）
• 记录特殊配置：比如跨域信任关系

2. 大扫除时间到

某电商公司迁移时发现，旧目录里竟有200多个离职3年以上的幽灵账户。建议使用ADRecon工具生成清理报告，重点处理：

• 禁用超过180天未登录的账户
• 清理空安全组
• 检查过期的计算机对象

3. 查户口本

迁移就像搬家，得知道哪些家具是承重墙。用PowerShell跑个依赖关系检查：

Get-ADObject -Filter  -Properties memberOf |
Where-Object {$_.memberOf -ne $null}

二、工具选不对，加班两行泪

工具	适合场景	坑点预警
ADMT 6.0	同林迁移	SPN更新需手动
Quest工具包	跨林迁移	注意SID Filtering
手动迁移	小规模调整	易漏组策略首选项

1. 密码迁移的暗门

某医院迁移时发现，ADMT默认不迁移密码。解决方法是在源域安装PES服务，记得要在注册表启用AllowPasswordExport键值。

2. 组策略的隐藏副本

使用GPMC迁移表时，很多人会漏掉用户配置里的驱动器映射策略。建议用这个命令检查隐藏设置：

Get-GPO -All | Where-Object {$_.User.DriveMaps -ne $null}

三、试运行比想象中更重要

老王团队去年做迁移时，在测试环境完美运行，但上线后打印机部署全乱套。后来发现是旧策略里的IP段设置没更新。

验证三要素检查表

• 用ADSI Edit核对属性迁移完整性
• 运行dcdiag检查域控制器健康状态
• 抽查10%的终端设备登录情况

四、真实案例中的血泪教训

某制造企业迁移后，ERP系统突然报"访问被拒绝"。根本原因是旧域的Exchange服务器遗留的ACL条目。解决方法：

1. 用Set-ADACL扫描残留权限
2. 启用SID History过渡期
3. 在DNS中完全清除旧域记录

现在你工具箱里的螺丝刀应该都配齐了。记住迁移就像给老房子换地基，既要胆大心细，也要留好逃生通道。遇到棘手问题时，不妨泡杯茶，把检查清单再从头过一遍——好方案都是试出来的。