我们和一家公司合并,我正在接pipe那里的IT职责。
他们有2000个域名升级到2003年。
问题在于有人应用W2k安全策略模板来“加强”DC,升级后似乎根本没有正常工作。
这意味着,默认域控制器策略是顶起来,并有大量的安全设置搞乱升级的域控制器。
我将build立2个新的域控制器,并在它们之间复制AD / DNS / DHCP,然后降级现有的DC。
我的问题:
这听起来合乎逻辑吗? 任何人都不得不面对这样的混乱?
这正是我强烈build议不要对“默认域策略”和“默认域控制器策略”GPO进行任何修改的原因。 虽然这听起来不是太糟糕。
您不希望(也不能使用库存GUI工具)删除“默认域控制器策略”GPO。 相反,你需要“手工”清理它。
(是的,有一个实用程序,DCGPOFIX.EXE,将恢复此GPO。Microsoft不build议使用DCGPOFIX.EXE实用程序,除非在灾难恢复情况下。但是,使用该工具的文档以获得一个想法默认值应该是什么样的。)
对于使用组策略编辑器对“默认域控制器策略”GPO进行的愚蠢更改,应该是一个非常简单的操作。 完成之后,升级您的新域控制器,转移FSMOangular色等,并停用旧机器。
你为什么不尝试将宽松的SECPOL模板应用到现有的DC?
在做任何事情之前先做好备份,并在下class时间进行。