Entfernen eines schreibgeschützten Domänencontrollers aus einer Domäne

Active Directory ist ein großartiges Produkt, außer dass es keine nativen Reinigungsfunktionen für Sie ausführt. In meinem Heimlabor habe ich festgestellt, dass auf der Site ein veralteter Domänencontroller aufgeführt ist (der auf Windows Server 2008 R2-Ebene ausgeführt wird). Es kann riskant erscheinen, einen Domänencontroller aus dem Dienstprogramm Active Directory-Standorte und -Dienste zu löschen, da Domänencontrollerkonten in Active Directory unterschiedlich behandelt werden.

In meinem Beispiel wurde der Domänencontroller RODC außer Betrieb genommen, aber nicht aus der Domäne RWVDEV.INTRA entfernt ( Abbildung A ). Abbildung A.

Klicken Sie auf das Bild, um es zu vergrößern.
Die natürliche Schlussfolgerung kann darin bestehen, das Computerkonto einfach zu löschen. Active Directory ordnet einem Domänencontroller eine Reihe spezieller Merkmale zu. Im Fall des RODC.RWVDEV.INTRA-Systems war es ein schreibgeschützter Domänencontroller. Abbildung B zeigt die mit dem Löschen des Computerkontos verbundenen Optionen. Abbildung B.

Die erste und zweite Option zum Zurücksetzen von Kennwörtern für Computer- und Benutzerkonten, die auf dem schreibgeschützten Domänencontroller zwischengespeichert sind, ist eine nette Sicherheitsfunktion, die jedoch bei der Implementierung mit Sicherheit Chaos verursacht. Wenn der schreibgeschützte Domänencontroller gestohlen oder der Kontrolle der Infrastrukturteams entzogen wurde, ist dies der richtige Weg.

Die dritte Option zum Exportieren der Liste der auf dem Domänencontroller zwischengespeicherten Konten bietet Ihnen eine detailliertere Ansicht des Systeminhalts zum Zeitpunkt des Löschens des Computerkontos. Abbildung C zeigt die letzte Warnmeldung vor dieser aufdringlichen Aktivität. Abbildung C.

In einer Standardkonfiguration ist der schreibgeschützte Domänencontroller auch ein globaler Katalogserver. Es sollte mindestens einen anderen Domänencontroller mit der globalen Katalogrolle geben (was ohnehin der Fall sein sollte). Sobald das Computerkonto von Active Directory-Benutzern und -Computern gelöscht wurde, sollte der Domänencontroller von Active Directory-Standorten und -Diensten entfernt werden. Es wird nun ohne damit verbundene Rollen aufgelistet ( Abbildung D ). Abbildung D.

Klicken Sie auf das Bild, um es zu vergrößern.

Der letzte Schritt ist ein einfaches Klicken mit der rechten Maustaste und Löschen des veralteten Domänencontrollers in Active Directory-Standorten und -Diensten. Zu diesem Zeitpunkt ist das Entfernen des schreibgeschützten Domänencontrollers abgeschlossen.

Haben Sie den schreibgeschützten Domänencontroller ausprobiert und zurückgesetzt? Wenn ja, teilen Sie Ihre Kommentare über die Erfahrung.

© Copyright 2021 | mobilegn.com