원격 사무실에 단일 서버 설정이 있고 AD에서 멀어지고 있습니다. 이러한 이동을 용이하게 하기 위해 이전 Win2k3 AD DC를 ESXi 호스트에서 실행되는 새로운 Win2k8r2 AD DC로 교체하겠습니다. 이 단계는 AD DC를 P2V할 필요가 없도록 하기 위해 수행되었습니다.
2008r2 박스를 구축하고 이를 도메인에 추가하고 FSMO 역할을 이전하는 과정은 이미 완료되었습니다. 지금은 계속 진행하기 전에 두 상자가 모든 것을 동기화하도록 허용하고 있습니다.
이전 win2k3 DC에는 RDP를 사용하여 서버에 사용하는 GUI 프런트 엔드와 데이터베이스로 구성된 사용자 정의 애플리케이션이 포함되어 있습니다. 이 응용 프로그램은 작동하기 위해 시스템 전체에 흩어져 있는 다소 복잡한 디렉터리 권한 집합을 가지고 있으며 이러한 권한은 AD를 기반으로 합니다.
이 서버에서 AD를 제거하면 디렉터리 권한은 어떻게 되나요? 사용자 계정? 등.?
누가 묻기 전에 우리는 전체 네트워크에서 AD를 완전히 제거할 계획입니다. 새 DC는 기존 시스템을 P2V하고 클라이언트용 사용자 지정 데이터베이스/GUI를 계속 실행할 수 있도록 프로비저닝되었습니다.
답변1
전체 AD 포리스트를 제거하면 해당 계정은 더 이상 존재하지 않으며 파일 및 폴더에 여전히 적용되는 도메인 계정을 참조하는 모든 ACL 항목은 이제 확인할 수 없으며 "알 수 없음" 및/또는 SID(S -1-5-21-blahblahblah) 실제 계정 이름 대신. 해당 ACL 항목은 여전히 존재하지만 해당 SID를 갖고 있던 계정이 더 이상 존재하지 않기 때문에 사실상 의미가 없습니다.
한 도메인 컨트롤러에서 AD를 제거했지만 다른 도메인 컨트롤러가 여전히 존재하는 경우 강등된 DC는 기존 DC 및 DsCrackNames를 사용하기 시작하고 파일 액세스는 평소대로 계속 작동하므로 괜찮습니다.