我们与一家公司合并,我正在那里接管IT职责.
他们有一个2000域名升级到2003年.
问题是有人应用W2k安全策略模板来“强化”DC,并且在升级之后它似乎根本不能正常工作.
这意味着DEFAULT DOMAIN CONTROLLER POLICY已经升级并且有大量的安全设置会搞乱升级的域控制器.
我将构建2个新的域控制器并在它们之间复制AD / DNS / DHCP,然后降级现有的DC.
我的问题:
>我认为为了做我想做的事情,我需要吹走并重新创建真正的默认默认域控制器策略.然后将新DC添加到域并复制AD / DNS,然后降级旧域控制器并将其删除.
这听起来合乎逻辑吗?还有其他人要处理这么乱吗?
这正是我强烈建议不要对“默认域策略”和“默认域控制器策略”GPO进行任何修改的原因.不过,这听起来并不是一团糟.
您不希望(并且,我相信,不能使用库存GUI工具)删除“默认域控制器Polciy”GPO.相反,你需要“手动”清理它.
(是的,有一个实用程序,DCGPOFIX.EXE,将恢复此GPO.除了在灾难恢复方案中,Microsoft不建议使用DCGPOFIX.EXE实用程序.但是,使用documentation for the tool可以了解什么是默认值应该是这样的.)
对于使用组策略编辑器对“默认域控制器策略”GPO进行的愚蠢更改,应该是一个非常直接的操作.完成此操作后,升级新的域控制器,转移FSMO角色等,并停用旧计算机.