Предыстория.
Итак, у нас был инженер-разработчик (у которого просто случайно был доступ к учетной записи администратора домена), который настроил несколько DHCP-серверов в нашем домене. Это вызвало головную боль, поскольку новые DHCP-серверы были авторизованы в нашем домене и стали авторитетными.
Эти серверы являются временными и перемещаются на другой сторонний сайт. Мы устранили головную боль и разработали график, в течение которого можно не авторизовать их до переезда. Моя работа состоит в том, чтобы неавторизовать серверы, когда придет время их перемещать, и убирать остатки.
Один сервер уже выведен из эксплуатации (роль удалена и удалена из домена). Это означает, что это должен быть мой порядок действий (для первого сервера):
1. Удалите роль DHCP-сервера с мошеннического сервера.
2. Удалите мошеннический сервер из нашего домена.
3. Неавторизовать мошеннический сервер в DHCP mmc.
Я бы предпочел неавторизовать сервер перед удалением с него роли. Я могу сделать это с двумя другими серверами, которые будут перемещены позже. Двигаемся дальше ...
Другой системный администратор работал над этим до меня, она выразила обеспокоенность тем, что AD будет синхронизировать информацию / объекты AD с серверами DHCP. Я ничего не знаю о синхронизации AD к DHCP-сервер, но упоминание этого другого системного администратора меня (и моего менеджера) обеспокоило. Мой менеджер хочет быть полностью уверен в том, что на несанкционированных серверах нет данных AD после того, как они разобраны и перемещены, включая любые ссылки на учетную запись домена, под которой работала служба DHCP. Похоже, что восстановление серверов (чтобы полностью исключить любые проблемы с безопасностью после их перемещения за пределы площадки) - не вариант. Я (пока) не знаю, какую версию Windows Server они используют.
Итак, вопрос (ы):
Что нужно исправить или доработать с порядком операций?
Здесь любой Данные AD (включая журналы, хотя их расположение обычно довольно стандартное), которые мне нужно удалить с распакованных DHCP-серверов?
Будут ли какие-либо ссылки на учетную запись домена, под которой работает служба DHCP, и где я найду их для их очистки?
Что нужно исправить или доработать с порядком операций?
Ничего
Есть ли какие-либо данные AD (включая журналы, хотя их расположение обычно довольно стандартное), которые мне нужно удалить с распакованных DHCP-серверов?
Нет. В базе данных DHCP нет данных AD, данные AD находятся в базе данных AD.
Будут ли какие-либо ссылки на учетную запись домена, под которой работает служба DHCP, и где я найду их для их очистки?
Обычно DHCP не запускается как учетная запись службы. Если так было настроено, посмотрите на эти проклятые серверы и посмотрите, как работает служба DHCP-сервера.
Вы определенно слишком много думаете об этом, к вашему сведению.
Если DHCP-серверы были добавлены в домен, то обязательно будут ссылки на домен после того, как они были удалены из него. Единственный безопасный способ гарантировать отсутствие данных AD на сервере - это стереть диски и переустановить Windows (хотя все еще можно получить данные с помощью программного обеспечения для восстановления данных).