Wir haben einen einzelnen Server in einem Remote-Büro eingerichtet und wechseln von AD. Um diesen Schritt zu erleichtern, ersetze ich den alten Win2k3 AD DC durch einen neuen Win2k8r2 AD DC, der auf einem ESXi-Host läuft. Dieser Schritt wurde unternommen, um ein P2V eines AD DC zu vermeiden.
Der Prozess zum Erstellen der 2008r2-Box, zum Hinzufügen zur Domäne und zum Übertragen der FSMO-Rollen ist bereits abgeschlossen. Im Moment lasse ich die beiden Boxen einfach alles synchronisieren, bevor ich weitermache.
Der alte Win2k3 DC enthält eine benutzerdefinierte Anwendung, die aus einer Datenbank und einem GUI-Frontend besteht, das Benutzer per RDP auf den Server zugreifen können. Damit diese Anwendung funktioniert, verfügt sie über einen ziemlich komplizierten Satz von Verzeichnisberechtigungen, die über den gesamten Computer verteilt sind. Diese Berechtigungen basieren auf AD.
Was passiert mit den Verzeichnisberechtigungen, Benutzerkonten usw., wenn ich AD von diesem Server entferne?
Bevor jemand danach fragt: Wir beabsichtigen, AD vollständig aus dem gesamten Netzwerk zu entfernen. Der neue DC wurde nur bereitgestellt, damit wir die alte Maschine per P2V nutzen und die benutzerdefinierte Datenbank/GUI für Clients weiter ausführen können.
Antwort1
Sobald Sie den gesamten AD-Forest entfernen, sind diese Konten nicht mehr vorhanden und alle ACL-Einträge, die auf Domänenkonten verweisen, die noch auf Dateien und Ordner angewendet werden, sind nun nicht mehr auflösbar und werden als „Unbekannt“ angezeigt und/oder sehen nur wie SIDs (S-1-5-21-blablabla) statt wie tatsächliche Kontonamen aus. Diese ACL-Einträge sind zwar noch vorhanden, aber praktisch bedeutungslos, da die Konten, die diese SIDs hatten, nicht mehr existieren.
Wenn Sie AD von einem Domänencontroller entfernen, ein anderer aber noch vorhanden ist, ist das kein Problem, da der herabgestufte DC einfach mit der Verwendung des vorhandenen DC und der vorhandenen DsCrackNames beginnt und der Dateizugriff weiterhin wie gewohnt funktioniert.