我們在遠端辦公室設置了一台伺服器,並且我們正在放棄 AD。為了促進這項遷移,我將舊的 Win2k3 AD DC 替換為在 ESXi 主機上執行的新 Win2k8r2 AD DC。採取此步驟是為了避免必須對 AD DC 進行 P2V。
建構 2008r2 框、將其新增至網域以及轉移 FSMO 角色的過程已經完成。現在,我只是讓兩個盒子同步所有內容,然後再繼續。
舊的 win2k3 DC 包含一個自訂應用程序,該應用程式由資料庫和 GUI 前端組成,使用者透過 RDP 進入伺服器來使用。該應用程式具有一組相當複雜的目錄權限,分散在整個電腦上以使其正常工作,並且這些權限基於 AD。
從該伺服器刪除 AD 後,目錄權限會發生什麼變化?用戶帳戶? ETC。
在有人問之前,我們打算從整個網路中徹底刪除 AD。新 DC 的配置只是為了讓我們可以 P2V 舊機器並繼續為客戶端運行自訂資料庫/GUI。
答案1
刪除整個 AD 林後,這些帳戶將不再存在,並且引用仍套用於檔案和資料夾的網域帳戶的任何 ACL 條目現在將無法解析,並顯示為「未知」和/或只是看起來像 SID (S -1-5-21-blahblahblah) 而非實際的帳號名稱。這些 ACL 條目仍然存在,但實際上毫無意義,因為具有這些 SID 的帳戶已不存在。
如果您從一個網域控制站中刪除 AD,但另一個網域控制站仍然存在,那就沒問題,因為降級的 DC 將開始使用現有的 DC 和 DsCrackNames,並且檔案存取仍將照常進行。