轉自：http://blogs.technet.com/b/crmchina/archive/2009/12/25/crm-4-0-users-active-directory.aspx

FAQ1: 我們使用了Active Directory的ADMT工具做了跨域用戶的遷移，從此以后那些被遷移過的用戶無法登錄到CRM系統中，什么原因呢?

解答: 這個 要從CRM 4.0中和AD的綁定說起。正常情況下登錄的時候，用戶會被IIS那里驗證，傳出一個WIndows AuthInfo信息，CRM平臺拿到這個信息后會比對SystemUserAuthentication這個庫表，對應找到UserId,通過SystemUserOrganization庫表找到該user所屬的Organization和在那個Organization里面的CrmUserId.

有了這個信息后讀取特定的OrganizationDB的SystemUserBase庫表，找到ActiveDirectoryGuid,DomainName信息, CRM然后訪問Active Directory來驗證自己庫表里存儲的信息是否和AD中的保持一致，如果不一致本次驗證失敗。如下圖表所示黃色部分的信息都是CRM在安裝配置過程中從Active Directory里面讀取的數據。

如果Active Directory使用工具ADMT遷移跨域用戶后，用戶的ActiveDirectoryGuid不會改變，但是AuthInfo和DomainName都會變掉，導致CRM數據庫里的信息和AD的信息不一致。

解決辦法是:

如果你的域關系是單向信任的 (one-way trust),你需要安裝Update Rollup 7. 然后使用CRM 的Deployment Manager來重新映射用戶 (修改用戶對應的alias,比如testDomain\name)，CRM 平臺會自動去Active Directory系統獲取更新最新的相關信息。

FAQ2. 我們公司的AD域被重新建過了，我們備份了CRM數據庫，在新的域里面安裝了CRM軟件和SQL server后我們把CRM數據庫恢復上線。所有的用戶的Alias和域名都沒有更改過。但是CRM系統無法訪問？

解答: 原因參見FAQ1的解釋，重新建的AD域AuthInfo和ActiveDirectoryGuid都會變掉了。解決辦法是使用Import Organization工具做重新部署。

具體過程參看 952934    How to move the Microsoft Dynamics CRM 4.0 deployment

如果你的CRM數據庫很大并且要映射的用戶很多，需要安裝如下的hotfix來提高性能

The Import Organization wizard takes a long time to import an organization in Microsoft Dynamics CRM 4.0

注意: 該Hotfix包含在Update Rollup 8中,需要手動添加注冊表來生效.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM

DWORD  OptimizeOrgImport=1