Ich habe einen neuen Active Directory 2008-Domänencontroller in meiner Umgebung installiert. Wir betreiben derzeit den 2008 AD-Server als sekundären Server. Der primäre AD-Server ist ein 2003-Domänencontroller. Wir arbeiten daran, diesen Server auslaufen zu lassen, sobald alles davon entfernt ist und das neue AD ordnungsgemäß funktioniert.
Wir haben den neuen 2008 AD-Server seit etwa 2 Monaten ohne Probleme laufen. Heute arbeite ich an einem aufgetretenen Backup-Problem und habe in den lokalen Benutzerkonten (Strg-Panel, Benutzerkonten) für den Server festgestellt, dass dort etwa 100 Domänenbenutzerkonten aufgelistet sind. Meine Frage ist, ob es normal ist, dass ein 2008 AD-Domänencontroller hier lokale Benutzerkonten einfügt.
Ich habe versucht, einige dieser Konten zu entfernen, aber die Benutzerkonten reagieren einfach nicht mehr. Ich muss Benutzerkonten mit dem Task-Manager schließen, um das Benutzerkonto zu schließen. Wenn ich jedoch Benutzerkonten wieder öffne, ist der Benutzer weg.
Ich muss also im Grunde wissen, ob dies das richtige Verhalten für einen 2008 AD-Domänencontroller ist, Domänenbenutzerkonten im lokalen Benutzerkonto zu platzieren? Ich versuche nur herauszufinden, ob dies ein Problem ist oder nicht?
Antwort1
Ja, das ist normal. Auf einem Windows-DC gibt es keine lokalen Benutzerkonten. Wenn Sie sich inBenutzerkontenund Sie klickenBenutzerkonten verwaltenSie erhalten eine Liste der Konten. Wenn Sie sich die mittlere Spalte der Liste ansehen, sehen Sie, dass die Spaltenüberschrift lautetDomainund die Einträge in dieser Spalte sollten alle den Namen der Windows-Domäne enthalten, für die der DC ein Controller ist. Wenn Sie es schaffen, ein Konto aus dieser Liste zu entfernen, vermute ich, dass Sie tatsächlich ein Domänenkonto entfernen. Sie sollten stattdessen verwendenAktive Verzeichnisse Benutzer und Computerzur Verwaltung von Domänenkonten. Eigentlich das gesamteBenutzerkontenDas Applet sollte aus der Systemsteuerung entfernt werden, wenn einem Server die DC-Rolle hinzugefügt wird, aber ich schätze, Microsoft hielt das nicht für notwendig.