Несколько месяцев назад у нас возникла проблема, когда сотрудник (бог знает, по какой причине) решил переименовать один из Mac mini в конференц-зале на то же имя, что и один из наших контроллеров домена. В результате контроллер домена был понижен до рядового сервера и рассердил кучу людей.
В данный момент мы работаем под Windows Server 2008 R2, но сейчас я перехожу на 2012 R2.
Может ли кто-нибудь дать совет о том, как заблокировать это, чтобы никто с компьютером Mac или Linux не мог переименовать свои машины в существующие машины домена Windows? Я не хочу снова проходить через это :)
Спасибо
Решение состоит в том, чтобы заблокировать тех, у кого есть разрешения на переименование компьютера, присоединенного к домену (изменить разрешения для компьютерных объектов Active Directory), и убедиться, что те, у кого есть эти права, осторожны / знают, что делают. По умолчанию права администратора домена необходимы для присоединения компьютера к домену или переименования компьютера, присоединенного к домену.
Соглашение об именах, по которому люди вряд ли будут переименовывать машины с тем же именем, что и контроллер домена или другой сервер, тоже может быть в порядке, но это другой вопрос.
Что же произошло:
Контроллер домена не понизился. Объект компьютера в Active Directory для контроллера домена был в основном перезаписан / заменен на объект Mac mini, потому что у него такое же имя. В принципе, если вы думаете об AD как о файловой системе, а о компьютерных объектах - как о файлах ... что произойдет, если вы переместите файл в папку, в которой уже есть файл с таким же именем? Один файл перезаписывает другой. Здесь то же самое.
Я никогда раньше не видел, чтобы такое происходило с контроллером домена, но много видел этого с рядовыми компьютерами в других средах. На рядовых компьютерах, когда это происходит, попытка входа в систему с учетными данными домена дает печально известную ошибку нарушенных доверительных отношений безопасности, потому что объект компьютера в Active Directory не соответствует компьютеру. Самое быстрое решение этой проблемы с рядовыми компьютерами - войти в систему с локальными учетными данными, отсоединить компьютер, переименовать его и снова присоединиться к нему.
С контроллером домена ... не уверен, что это сработает, потому что нет локальных учетных данных. Возможно, вам придется войти в режим DSRM (режим восстановления служб каталогов) и выполнить принудительное восстановление или, если это не лучший вариант, просто обработать этот контроллер домена как любой другой отказавший, недоступный контроллер домена и повторно создать его образ, а затем выполнить шаги по его очистке из Active Directory.