เราควบรวมกิจการกับบริษัทแห่งหนึ่ง และฉันกำลังรับหน้าที่ด้านไอทีที่นั่น

พวกเขามีโดเมน 2000 ที่อัปเกรดเป็น 2003

ปัญหาคือมีคนใช้เทมเพลตนโยบายความปลอดภัย W2k เพื่อ "ทำให้ DC แข็งตัว" และหลังจากอัปเกรด ดูเหมือนว่าจะไม่ทำงานเลย

ซึ่งหมายความว่า DEFAULT DOMAIN CONTROLLER POLICY ถูกเชื่อมต่อและมีการตั้งค่าความปลอดภัยมากมายที่ทำให้ Domain Controller ที่อัปเกรดแล้วยุ่งเหยิง

ฉันจะสร้างตัวควบคุมโดเมนใหม่ 2 ตัวและทำซ้ำ AD/DNS/DHCP ระหว่างกัน จากนั้นลดระดับ DC ที่มีอยู่

ปัญหาของฉัน:

  • ฉันคิดว่าเพื่อทำในสิ่งที่ฉันต้องการ ฉันจะต้องกำจัดและสร้างนโยบายตัวควบคุมโดเมนเริ่มต้นที่เป็นค่าเริ่มต้นที่แท้จริงขึ้นมาใหม่ จากนั้นเพิ่ม DC ใหม่ลงในโดเมนและทำซ้ำ AD/DNS จากนั้นลดระดับตัวควบคุมโดเมนเก่าและลบออก

นั่นฟังดูสมเหตุสมผลหรือไม่? มีใครอีกที่ต้องจัดการกับระเบียบดังกล่าว?

answer

นี่คือเหตุผลที่ฉันแนะนำอย่างยิ่งไม่ให้ทำการแก้ไข GPO ของ "นโยบายโดเมนเริ่มต้น" และ "นโยบายตัวควบคุมโดเมนเริ่มต้น" นั่นไม่ได้ฟังดูแย่เกินไปสำหรับระเบียบแม้ว่า

คุณไม่ต้องการ (และฉันเชื่อว่าไม่สามารถใช้เครื่องมือ GUI ของหุ้นได้) ลบ GPO "ตัวควบคุมโดเมนเริ่มต้น" แต่คุณต้องทำความสะอาด "ด้วยมือ"

(ใช่ มียูทิลิตี้ DCGPOFIX.EXE ที่จะกู้คืน GPO นี้ Microsoft ไม่แนะนำให้ใช้ยูทิลิตี้ DCGPOFIX.EXE ยกเว้นในสถานการณ์การกู้คืนจากความเสียหาย อย่างไรก็ตาม ก็ยังดีที่จะใช้เอกสารประกอบสำหรับเครื่องมือเพื่อรับแนวคิด ว่าค่าเริ่มต้นควรมีลักษณะอย่างไร)

มันควรจะเป็นการดำเนินการที่ค่อนข้างตรงไปตรงมาเพื่อย้อนกลับการเปลี่ยนแปลงโง่ๆ ที่ทำกับ GPO "นโยบายตัวควบคุมโดเมนเริ่มต้น" โดยใช้ตัวแก้ไขนโยบายกลุ่ม หลังจากที่คุณทำเสร็จแล้ว ให้เลื่อนระดับตัวควบคุมโดเมนใหม่ของคุณ โอนบทบาท FSMO ฯลฯ และเลิกใช้งานเครื่องเก่า

ทำไมคุณไม่ลองใช้เทมเพลต SECPOL แบบหลวมๆ กับ DC ที่มีอยู่ก่อนล่ะ

สำรองข้อมูลให้ดีก่อนที่จะดำเนินการใดๆ และทำนอกเวลาทำการ