Configurar PES

Escenario:
1 dominio padre del que cuelgan varios dominios hijos.Vamos a mover cuentas de un hijo hacia el padre.Dominio hijo 2000 actualizado a 2003 R2Dominio padre 2003

Instalar las herramientas de migracion de AD en un DC de hijo y central.
En el DC central ejecutar c:\windows\admt\admt key /opt:create /sd:hijo /kf:c:\padre.pes /pwd:*
Copiar ese fichero al DC hijo.
Este fichero hay que eliminarlo por seguridad de todas partes al terminar la migracion.

En el DC hijo ejecutarc:\windows\admt\pes\PwdMig.msiCuando pida el fichero .pes le damos la ruta donde lo hemos copiado.
Cuando pida una cuenta para ejecutar el servicio del PES le damos unos credenciales de Administrador de dominio en el dominio padre.Editar la clave: (Si quereis.. copiar pegar a un .reg y ejecutar)

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]"AllowPasswordExport"=dword:00000001
Esto hay que dejarlo como estaba despues de la migracion

En caso del que el dominio Origen sea anterior a 2000 hay un par de pasos adicionales:

DC padre: Consola Usuarios y Equipos del Directorio ActivoCarpeta Builtin / Grupo Acceso compatible con versiones anteriores de Windows 2000Agregamos "Todos" a ese grupo.
Ahora abrimos la consola Directiva de seguridad del controlador de dominio

Configuración de seguridad / Directivas locales / Opciones de seguridad / Acceso de red: deja que los permisos de Todos se apliquen a los usuarios anonimos Habilitar

gpupdate /force para aplicar rapidito este cambio.

Esto hay que dejarlo como estaba despues de la migracion

Con esto ya esta listo el tema de la exportacion de usuarios.
Remarcar que las cuentas migradas quedan con el atributo de "necesita cambiar el password en el proximo login"