У нас есть один сервер в удаленном офисе, и мы уходим от AD. Чтобы облегчить этот переход, я заменяю старый Win2k3 AD DC на новый Win2k8r2 AD DC, работающий на хосте ESXi. Этот шаг был предпринят, чтобы избежать необходимости P2V AD DC.
Процесс сборки коробки 2008r2, добавления ее в домен и передачи ролей FSMO уже завершен. Прямо сейчас я просто позволяю двум коробкам синхронизировать все, прежде чем двигаться дальше.
Старый контроллер домена win2k3 содержит пользовательское приложение, состоящее из базы данных и графического интерфейса, который пользователи RDP подключают к серверу для использования. Это приложение имеет довольно запутанный набор разрешений каталогов, разбросанных по всей машине, чтобы оно работало, и эти разрешения основаны на AD.
Что произойдет с разрешениями каталога, учетными записями пользователей и т. д. после удаления AD с этого сервера?
Прежде чем кто-либо спросит, мы намерены полностью удалить AD из всей сети. Новый DC был предоставлен только для того, чтобы мы могли P2V старой машины и продолжить работу с пользовательской базой данных/GUI для клиентов.
решение1
После удаления всего леса AD эти учетные записи больше не будут существовать, и любые записи ACL, которые ссылались на учетные записи домена, которые все еще применяются к файлам и папкам, теперь будут неразрешимыми и будут отображаться как «Неизвестно» и/или просто выглядеть как SID (S-1-5-21-blahblahblah) вместо реальных имен учетных записей. Эти записи ACL все еще будут там, но фактически будут бессмысленными, поскольку учетные записи с этими SID больше не существуют.
Если вы удалите AD с одного контроллера домена, но другой все еще будет существовать, то это нормально, поскольку пониженный DC просто начнет использовать существующий DC и DsCrackNames, а доступ к файлам будет по-прежнему работать как обычно.