The*_*ner 4 windows-server-2003 domain-controller
我们与一家公司合并,我将接管那里的 IT 职责。
他们有一个 2000 的域升级到 2003。
问题是有人应用了 W2k 安全策略模板来“强化”DC,但在升级后它似乎根本无法正常工作。
这意味着 DEFAULT DOMAIN CONTROLLER POLICY 被抬高了,并且有大量的安全设置弄乱了升级后的域控制器。
我将建立 2 个新的域控制器并在它们之间复制 AD/DNS/DHCP,然后降级现有的 DC。
我的问题:
这听起来合乎逻辑吗?其他人必须处理这样的混乱吗?
这正是我强烈建议不要对“默认域策略”和“默认域控制器策略”GPO 进行任何修改的原因。不过,这听起来倒不是一团糟。
您不想(并且,我相信,不能使用库存 GUI 工具)删除“默认域控制器策略”GPO。相反,您需要“手动”清理它。
(是的,有一个实用程序 DCGPOFIX.EXE 可以恢复此 GPO。Microsoft 不建议使用 DCGPOFIX.EXE 实用程序,除非在灾难恢复场景中除外。不过,使用该工具的文档来了解一下是很好的默认值应该是什么样子。)
使用组策略编辑器取消对“默认域控制器策略”GPO 所做的愚蠢更改应该是一个非常简单的操作。完成此操作后,升级您的新域控制器、转移 FSMO 角色等,并停用旧机器。
| 归档时间: |
|
| 查看次数: |
385 次 |
| 最近记录: |