Мы объединились с компанией, и я беру на себя ИТ-обязанности.
У них был домен 2000 года, который был обновлен до 2003 года.
Проблема в том, что кто-то применил шаблоны политики безопасности W2k, чтобы «укрепить» контроллеры домена, и после обновления, похоже, это вообще не работает.
Это означает, что ПОЛИТИКА КОНТРОЛЛЕРА ДОМЕНА ПО УМОЛЧАНИЮ перегружена и содержит множество настроек безопасности, которые портят обновленные контроллеры домена.
Я собираюсь создать 2 новых контроллера домена и реплицировать между ними AD / DNS / DHCP, а затем понизить статус существующих контроллеров домена.
МОЯ ПРОБЛЕМА:
Это звучит логично? Кому-нибудь еще приходилось иметь дело с таким беспорядком?
Именно по этой причине я настоятельно рекомендую не вносить никаких изменений в GPO «Политика домена по умолчанию» и «Политика контроллеров домена по умолчанию». Впрочем, это не звучит так уж плохо.
Вы не хотите (и я считаю, что не можете использовать стандартные инструменты графического интерфейса) удалять объект групповой политики «Default Domain Controllers Polciy». Скорее нужно убирать «вручную».
(Да, существует служебная программа DCGPOFIX.EXE, которая восстанавливает этот объект групповой политики. Microsoft не рекомендует использовать служебную программу DCGPOFIX.EXE, за исключением сценариев аварийного восстановления. Тем не менее, можно использовать документация к инструменту чтобы получить представление о том, как должны выглядеть значения по умолчанию.)
Отменить глупые изменения, внесенные в GPO «Политика контроллеров домена по умолчанию» с помощью редактора групповой политики, должно быть довольно простой операцией. После этого продвигайте новые контроллеры домена, переносите роли FSMO и т. Д. И списывайте старые машины.
Почему бы вам сначала не попробовать применить более свободный шаблон SECPOL к существующим DC?
Прежде чем что-либо делать, сделайте хорошую резервную копию и делайте это в нерабочее время.