リモート オフィスに 1 台のサーバーをセットアップしており、AD から移行しています。この移行を容易にするために、古い Win2k3 AD DC を、ESXi ホストで実行されている新しい Win2k8r2 AD DC に置き換えています。この手順は、AD DC の P2V を回避するために実行されました。
2008r2 ボックスの構築、ドメインへの追加、および FSMO ロールの転送のプロセスはすでに完了しています。現在は、先に進む前に 2 つのボックスですべてを同期させているところです。
古い win2k3 DC には、ユーザーがサーバーに RDP して使用するデータベースと GUI フロントエンドで構成されるカスタム アプリケーションが含まれています。このアプリケーションを動作させるために、マシン全体に分散されたかなり複雑なディレクトリ権限のセットがあり、これらの権限は AD に基づいています。
このサーバーから AD を削除すると、ディレクトリのアクセス許可はどうなりますか? ユーザー アカウントはどうなりますか? など。
質問される前に言っておきますが、私たちはネットワーク全体から AD を完全に削除するつもりです。新しい DC は、古いマシンを P2V し、クライアント用のカスタム データベース/GUI を引き続き実行できるようにするためにのみプロビジョニングされました。
答え1
AD フォレスト全体を削除すると、それらのアカウントは存在しなくなり、ファイルやフォルダーにまだ適用されているドメイン アカウントを参照する ACL エントリは解決できなくなり、「不明」として表示されるか、実際のアカウント名ではなく SID (S-1-5-21-blahblahblah) のように見えます。これらの ACL エントリは引き続き存在しますが、それらの SID を持つアカウントが存在しないため、実質的に意味がありません。
あるドメイン コントローラーから AD を削除しても、別のドメイン コントローラーがまだ存在する場合は、降格された DC が既存の DC と DsCrackNames の使用を開始するだけなので、ファイル アクセスは通常どおり機能するため、問題ありません。