几个月前,我们遇到了一个问题:一位员工(上帝知道什么原因)决定将会议室Mac minis中的一个重命名为我们的域控制器之一。 结果是,域控制器被降级到一个成员服务器,生气了一堆人。
我们目前正在运行Windows Server 2008 R2,但目前我正在迁移到2012 R2。
任何人都可以提供关于如何locking这个build议,所以没有一台Mac或Linux机器可以将他们的机器重命名为现有的Windows域机器? 我不想再经过这个:)
谢谢
解决scheme是locking有权重命名join域的计算机的权限(将权限修改为Active Directory计算机对象),并确保具有这些权限的用户非常小心/知道他们在做什么。 默认情况下,需要域pipe理员权限才能将计算机join域,或者重命名join域的计算机。
人们不太可能把机器重命名为域控制器或其他服务器的命名惯例也可能是顺序的,但这是一个不同的问题。
至于发生了什么事情:
域控制器没有降级。 Active Directory中用于域控制器的计算机对象基本上被覆盖/replace为Mac mini的计算机对象,因为它具有相同的名称。 基本上,如果你想像一个文件系统的AD和像文件一样的计算机对象…如果将文件移动到一个具有相同名称的现有文件的文件夹中,会发生什么情况? 一个文件覆盖另一个文件。 这里同样基本的东西。
我以前从来没有见过这种情况发生在域控制器上,但是在其他环境中的成员计算机上看到过这种情况。 在成员计算机上发生这种情况时,尝试使用域凭据login会导致臭名昭着的安全信任关系错误 – 因为Active Directory中的计算机对象与计算机不匹配。 使用成员计算机的最快解决scheme是使用本地凭据login,分离计算机,重命名并重新join计算机。
与域控制器…不知道这将工作,因为没有本地凭据。 您可能必须进入DSRM(目录服务还原模式)并执行授权还原,或者,如果这不是一个好的select,只需将此域控制器视为任何其他失败,无法访问的域控制器并重新映像,然后通过从Active Directory清除它的步骤。